Introduction à Tcpdump

Si vous exécutez un serveur, vous arriverez sans aucun doute à un point où vous devrez résoudre certains problèmes liés au réseau. Bien sûr, il serait facile de simplement envoyer un mail au service d'assistance, mais parfois vous devez vous salir les mains. Dans ce cas, tcpdumpest l'outil pour ce travail. Tcpdump est un analyseur de paquets réseau qui s'exécute sous la ligne de commande.

Cet article sera divisé en trois parties:

• Caractéristiques de base.
• Filtrage basé sur certaines caractéristiques du trafic.
• Un court extrait des fonctionnalités les plus avancées (telles que les expressions logiques, le filtrage par drapeaux TCP).

Puisque tcpdump n'est pas inclus avec la plupart des systèmes de base, vous devrez l'installer. Cependant, presque toutes les distributions Linux ont tcpdump dans leurs référentiels principaux. Pour les distributions basées sur Debian, la commande pour installer tcpdump est:

apt-get install tcpdump

Pour CentOS / RedHat, utilisez la commande suivante:

yum install tcpdump

FreeBSD propose un paquet pré-construit qui peut être installé en émettant:

pkg install tcpdump

Il y a aussi un port disponible, net/tcpdumpqui peut être installé via:

cd /usr/ports/net/tcpdump
make install clean

Si vous courez tcpdumpsans aucun argument, vous serez frappé de résultats. L'exécuter sur une instance fraîchement lancée ici sur Vultr pendant moins de cinq secondes donne les résultats suivants:

2661 packets captured
2663 packets received by filter
0 packets dropped by kernel

Avant d'entrer dans plus de détails sur la façon de filtrer les entrées, vous devriez jeter un œil à certains paramètres qui peuvent être passés à tcpdump:

• -i- Indique l'interface que vous souhaitez écouter, par exemple: tcpdump -i eth0.
• -n- N'essayez pas de faire des recherches inversées sur les adresses IP, par exemple: tcpdump -n(si vous ajoutez un autre ntcpdump vous montrera les numéros de port au lieu des noms).
• -X- Afficher le contenu des paquets collectés: tcpdump -X.
• -c- Capture uniquement les xpaquets, xétant un nombre arbitraire, par exemple tcpdump -c 10capture exactement 10 paquets.
• -v- Augmentez la quantité d'informations sur les paquets qui vous sont affichées, plus vous vajoutez de verbosité.

Chacun de ces paramètres mentionnés ici peut être combiné ensemble. Si vous vouliez capturer 100 paquets, mais uniquement sur votre interface VPN tun0, la commande tcpdump ressemblerait à ceci:

tcpdump -i tun0 -c 100 -X

Il existe des dizaines (voire des centaines) d'options en plus de ces quelques-unes, mais ce sont les plus courantes. N'hésitez pas à lire la page de manuel de tcpdump sur votre système.

Maintenant que vous avez une compréhension de base de tcpdump, il est temps de regarder l'une des fonctionnalités les plus impressionnantes de tcpdump: les expressions. Les expressions vous faciliteront la vie. Ils sont également connus sous le nom de filtres de paquets BPF ou Berkeley. L'utilisation d'expressions vous permet d'afficher (ou d'ignorer) de manière sélective des paquets en fonction de certaines caractéristiques - telles que l'origine, la destination, la taille ou même le numéro de séquence TCP.

Jusqu'à présent, vous avez réussi à limiter votre recherche à une certaine quantité de paquets sur une certaine interface, mais soyons honnêtes ici: cela laisse encore trop de bruit de fond pour travailler efficacement avec les données collectées. C'est là que les expressions entrent en jeu. Le concept est assez simple, nous allons donc laisser de côté la théorie sèche ici et soutenir la compréhension avec quelques exemples pratiques.

Les expressions que vous utiliserez probablement le plus sont:

• host - Recherchez le trafic en fonction des noms d'hôtes ou des adresses IP.
• srcou dst- Recherchez le trafic en provenance ou à destination d'un hôte spécifique.
• proto- Recherchez le trafic d'un certain protocole. Fonctionne pour tcp, udp, icmp et autres. L'omission du protomot-clé est également possible.
• net - Recherchez le trafic vers / depuis une certaine plage d'adresses IP.
• port - Recherchez le trafic vers / depuis un certain port.
• greaterou less- Recherchez un trafic supérieur ou inférieur à un certain nombre d'octets.

Alors que la page de manuel de tcpdumpcontient juste quelques exemples, la page de manuel de pcap-filtercontient des explications très détaillées sur le fonctionnement et l'application de chaque filtre.

Si vous voulez voir comment se passe votre communication avec un certain serveur, vous pouvez utiliser le hostmot - clé, par exemple (y compris certains des paramètres ci-dessus):

tcpdump -i eth0 host vultr.com

Parfois, il y a des ordinateurs sur le réseau qui n'honorent pas le MTU ou ne vous spamment pas avec de gros paquets; les filtrer peut parfois être difficile. Les expressions vous permettent de filtrer les packages plus grands ou plus petits qu'un certain nombre d'octets:

tcpdump -i eth0 -nn greater 128
or
tcpdump -i eth0 -nn less 32

Peut-être que seul un certain port vous intéresse. Dans ce cas, utilisez l' portexpression:

tcpdump -i eth0 -X port 21

Vous pouvez également rechercher les plages de ports:

tcdump -i eth0 -X portrange 22-25

Étant donné que les passerelles NAT sont assez courantes, vous ne pouvez rechercher que les ports de destination:

tcpdump dst port 80

Si vous regardez le trafic vers votre serveur Web, vous ne voudrez peut-être que regarder le trafic TCP vers le port 80:

tcpdump tcp and dst port 80

Vous vous demandez probablement ce que fait le mot clé andlà-bas. Bonne question. Cela nous amène à la dernière partie de cet article.

tcpdump offre un support de base pour les expressions logiques, plus précisément:

• and/ &&- Logique "et".
• or/ ||- Logique "ou".
• not/ !- Logique "pas".

Associé à la possibilité de regrouper des expressions, cela vous permet de créer des recherches très puissantes pour le trafic entrant et sortant. Alors filtrons le trafic provenant de vultr.com sur le port 22 ou 443:

tcpdump -i eth0 src host vultr.com and (dst port 22 or 443)

L'exécution de cela sur la ligne de commande vous donnera l'erreur suivante:

bash: syntax error near unexpected token `('

C'est parce qu'il y a une mise en garde: bashessaie d'évaluer chaque personnage qu'il peut. Cela inclut les caractères (et ). Afin d'éviter cette erreur, vous devez utiliser des guillemets simples autour de l'expression combinée:

tcpdump -i eth0 'src host vultr.com and (dst port 22 or 443)'

Autre exemple utile: lorsque vous déboguez des problèmes SSH avec l'un de vos utilisateurs, vous souhaiterez peut-être ignorer tout ce qui est lié à votre session SSH:

tcpdump '!(host $youripaddress) && port 22)'

Encore une fois, les cas d'utilisation sont infinis et vous pouvez spécifier dans des profondeurs extrêmes le type de trafic que vous souhaitez voir. La commande suivante ne vous montrera que les paquets SYNACK d'une négociation TCP:

tcpdump -i eth0 'tcp[13]=18'

Cela fonctionne en examinant le treizième décalage de l'en-tête TCP et le dix-huitième octet qu'il contient.

Si vous avez réussi jusqu'ici, vous êtes prêt pour la plupart des cas d'utilisation qui se présenteront. Je peux à peine toucher la surface sans entrer dans trop de détails. Je vous recommande vivement d'expérimenter un peu plus loin les différentes options et expressions; et comme d'habitude: référencez la page de manuel lorsque vous vous perdez.

Dernier point mais non le moindre - un bref retour en arrière. Rappelez-vous le début de cet article? Avec les milliers de paquets capturés en quelques secondes? La puissance de tcpdumppeut réduire cela beaucoup:

tcpdump -i eth0 tcp port 22

Le résultat est maintenant:

81 packets captured
114 packets received by filter
0 packets dropped by kerne

C'est beaucoup plus sain et plus facile à déboguer. Bon réseautage!