Si vous exécutez un serveur, vous arriverez sans aucun doute à un point où vous devrez résoudre certains problèmes liés au réseau. Bien sûr, il serait facile de simplement envoyer un mail au service d'assistance, mais parfois vous devez vous salir les mains. Dans ce cas, tcpdump
est l'outil pour ce travail. Tcpdump est un analyseur de paquets réseau qui s'exécute sous la ligne de commande.
Cet article sera divisé en trois parties:
- Caractéristiques de base.
- Filtrage basé sur certaines caractéristiques du trafic.
- Un court extrait des fonctionnalités les plus avancées (telles que les expressions logiques, le filtrage par drapeaux TCP).
Puisque tcpdump n'est pas inclus avec la plupart des systèmes de base, vous devrez l'installer. Cependant, presque toutes les distributions Linux ont tcpdump dans leurs référentiels principaux. Pour les distributions basées sur Debian, la commande pour installer tcpdump est:
apt-get install tcpdump
Pour CentOS / RedHat, utilisez la commande suivante:
yum install tcpdump
FreeBSD propose un paquet pré-construit qui peut être installé en émettant:
pkg install tcpdump
Il y a aussi un port disponible, net/tcpdump
qui peut être installé via:
cd /usr/ports/net/tcpdump
make install clean
Si vous courez tcpdump
sans aucun argument, vous serez frappé de résultats. L'exécuter sur une instance fraîchement lancée ici sur Vultr pendant moins de cinq secondes donne les résultats suivants:
2661 packets captured
2663 packets received by filter
0 packets dropped by kernel
Avant d'entrer dans plus de détails sur la façon de filtrer les entrées, vous devriez jeter un œil à certains paramètres qui peuvent être passés à tcpdump:
-i
- Indique l'interface que vous souhaitez écouter, par exemple: tcpdump -i eth0
.
-n
- N'essayez pas de faire des recherches inversées sur les adresses IP, par exemple: tcpdump -n
(si vous ajoutez un autre n
tcpdump vous montrera les numéros de port au lieu des noms).
-X
- Afficher le contenu des paquets collectés: tcpdump -X
.
-c
- Capture uniquement les x
paquets, x
étant un nombre arbitraire, par exemple tcpdump -c 10
capture exactement 10 paquets.
-v
- Augmentez la quantité d'informations sur les paquets qui vous sont affichées, plus vous v
ajoutez de verbosité.
Chacun de ces paramètres mentionnés ici peut être combiné ensemble. Si vous vouliez capturer 100 paquets, mais uniquement sur votre interface VPN tun0, la commande tcpdump ressemblerait à ceci:
tcpdump -i tun0 -c 100 -X
Il existe des dizaines (voire des centaines) d'options en plus de ces quelques-unes, mais ce sont les plus courantes. N'hésitez pas à lire la page de manuel de tcpdump sur votre système.
Maintenant que vous avez une compréhension de base de tcpdump, il est temps de regarder l'une des fonctionnalités les plus impressionnantes de tcpdump: les expressions. Les expressions vous faciliteront la vie. Ils sont également connus sous le nom de filtres de paquets BPF ou Berkeley. L'utilisation d'expressions vous permet d'afficher (ou d'ignorer) de manière sélective des paquets en fonction de certaines caractéristiques - telles que l'origine, la destination, la taille ou même le numéro de séquence TCP.
Jusqu'à présent, vous avez réussi à limiter votre recherche à une certaine quantité de paquets sur une certaine interface, mais soyons honnêtes ici: cela laisse encore trop de bruit de fond pour travailler efficacement avec les données collectées. C'est là que les expressions entrent en jeu. Le concept est assez simple, nous allons donc laisser de côté la théorie sèche ici et soutenir la compréhension avec quelques exemples pratiques.
Les expressions que vous utiliserez probablement le plus sont:
host
- Recherchez le trafic en fonction des noms d'hôtes ou des adresses IP.
src
ou dst
- Recherchez le trafic en provenance ou à destination d'un hôte spécifique.
proto
- Recherchez le trafic d'un certain protocole. Fonctionne pour tcp, udp, icmp et autres. L'omission du proto
mot-clé est également possible.
net
- Recherchez le trafic vers / depuis une certaine plage d'adresses IP.
port
- Recherchez le trafic vers / depuis un certain port.
greater
ou less
- Recherchez un trafic supérieur ou inférieur à un certain nombre d'octets.
Alors que la page de manuel de tcpdump
contient juste quelques exemples, la page de manuel de pcap-filter
contient des explications très détaillées sur le fonctionnement et l'application de chaque filtre.
Si vous voulez voir comment se passe votre communication avec un certain serveur, vous pouvez utiliser le host
mot - clé, par exemple (y compris certains des paramètres ci-dessus):
tcpdump -i eth0 host vultr.com
Parfois, il y a des ordinateurs sur le réseau qui n'honorent pas le MTU ou ne vous spamment pas avec de gros paquets; les filtrer peut parfois être difficile. Les expressions vous permettent de filtrer les packages plus grands ou plus petits qu'un certain nombre d'octets:
tcpdump -i eth0 -nn greater 128
or
tcpdump -i eth0 -nn less 32
Peut-être que seul un certain port vous intéresse. Dans ce cas, utilisez l' port
expression:
tcpdump -i eth0 -X port 21
Vous pouvez également rechercher les plages de ports:
tcdump -i eth0 -X portrange 22-25
Étant donné que les passerelles NAT sont assez courantes, vous ne pouvez rechercher que les ports de destination:
tcpdump dst port 80
Si vous regardez le trafic vers votre serveur Web, vous ne voudrez peut-être que regarder le trafic TCP vers le port 80:
tcpdump tcp and dst port 80
Vous vous demandez probablement ce que fait le mot clé and
là-bas. Bonne question. Cela nous amène à la dernière partie de cet article.
tcpdump
offre un support de base pour les expressions logiques, plus précisément:
and
/ &&
- Logique "et".
or
/ ||
- Logique "ou".
not
/ !
- Logique "pas".
Associé à la possibilité de regrouper des expressions, cela vous permet de créer des recherches très puissantes pour le trafic entrant et sortant. Alors filtrons le trafic provenant de vultr.com sur le port 22 ou 443:
tcpdump -i eth0 src host vultr.com and (dst port 22 or 443)
L'exécution de cela sur la ligne de commande vous donnera l'erreur suivante:
bash: syntax error near unexpected token `('
C'est parce qu'il y a une mise en garde: bash
essaie d'évaluer chaque personnage qu'il peut. Cela inclut les caractères (
et )
. Afin d'éviter cette erreur, vous devez utiliser des guillemets simples autour de l'expression combinée:
tcpdump -i eth0 'src host vultr.com and (dst port 22 or 443)'
Autre exemple utile: lorsque vous déboguez des problèmes SSH avec l'un de vos utilisateurs, vous souhaiterez peut-être ignorer tout ce qui est lié à votre session SSH:
tcpdump '!(host $youripaddress) && port 22)'
Encore une fois, les cas d'utilisation sont infinis et vous pouvez spécifier dans des profondeurs extrêmes le type de trafic que vous souhaitez voir. La commande suivante ne vous montrera que les paquets SYNACK d'une négociation TCP:
tcpdump -i eth0 'tcp[13]=18'
Cela fonctionne en examinant le treizième décalage de l'en-tête TCP et le dix-huitième octet qu'il contient.
Si vous avez réussi jusqu'ici, vous êtes prêt pour la plupart des cas d'utilisation qui se présenteront. Je peux à peine toucher la surface sans entrer dans trop de détails. Je vous recommande vivement d'expérimenter un peu plus loin les différentes options et expressions; et comme d'habitude: référencez la page de manuel lorsque vous vous perdez.
Dernier point mais non le moindre - un bref retour en arrière. Rappelez-vous le début de cet article? Avec les milliers de paquets capturés en quelques secondes? La puissance de tcpdump
peut réduire cela beaucoup:
tcpdump -i eth0 tcp port 22
Le résultat est maintenant:
81 packets captured
114 packets received by filter
0 packets dropped by kerne
C'est beaucoup plus sain et plus facile à déboguer. Bon réseautage!