Pengantar Tcpdump

Jika Anda menjalankan server, Anda pasti akan sampai pada titik di mana Anda harus menyelesaikan beberapa masalah terkait jaringan. Tentu saja akan mudah untuk hanya mengirim surat ke departemen dukungan, tetapi kadang-kadang Anda perlu membuat tangan Anda kotor. Dalam hal ini, tcpdumpadalah alat untuk pekerjaan itu. Tcpdump adalah penganalisa paket jaringan yang berjalan di bawah baris perintah.

Artikel ini akan dibagi menjadi tiga bagian:

• Fitur dasar.
• Penyaringan berdasarkan karakteristik lalu lintas tertentu.
• Cuplikan singkat dari fitur yang lebih canggih (seperti ekspresi logis, pemfilteran menurut bendera TCP).

Karena tcpdump tidak disertakan dengan sebagian besar sistem basis, Anda harus menginstalnya. Namun, hampir semua distribusi Linux memiliki tcpdump dalam repositori inti mereka. Untuk distribusi berbasis Debian, perintah untuk menginstal tcpdump adalah:

apt-get install tcpdump

Untuk CentOS / RedHat, gunakan perintah berikut:

yum install tcpdump

FreeBSD menawarkan paket pra-dibangun yang dapat diinstal dengan mengeluarkan:

pkg install tcpdump

Ada juga port yang tersedia, net/tcpdumpyang dapat diinstal melalui:

cd /usr/ports/net/tcpdump
make install clean

Jika Anda menjalankan tcpdumptanpa argumen, Anda akan babak belur dengan hasil. Menjalankannya pada instance yang baru saja diputar di Vultr selama kurang dari lima detik memberikan hasil sebagai berikut:

2661 packets captured
2663 packets received by filter
0 packets dropped by kernel

Sebelum masuk ke detail lebih lanjut tentang cara memfilter input, Anda harus melihat beberapa parameter yang dapat diteruskan ke tcpdump:

• -i- Menentukan antarmuka Anda ingin mendengarkan pada, misalnya: tcpdump -i eth0.
• -n- Jangan mencoba melakukan pencarian terbalik pada alamat IP, misalnya: tcpdump -n(jika Anda menambahkan ntcpdump lain akan menunjukkan nomor port bukan nama).
• -X- Tampilkan isi dari paket yang dikumpulkan: tcpdump -X.
• -c- Hanya menangkap xpaket, xmenjadi nomor arbitrer, misalnya tcpdump -c 10menangkap tepat 10 paket.
• -v- Tingkatkan jumlah informasi paket yang Anda tunjukkan, lebih banyak vtambahkan lebih banyak kata.

Masing-masing parameter yang disebutkan di sini dapat digabungkan bersama. Jika Anda ingin menangkap 100 paket, tetapi hanya pada antarmuka VPN Anda tun0, maka perintah tcpdump akan terlihat seperti ini:

tcpdump -i tun0 -c 100 -X

Ada lusinan (jika bukan ratusan) opsi selain beberapa itu, tetapi mereka adalah yang paling umum. Jangan ragu untuk membaca manual tcpdump di sistem Anda.

Sekarang setelah Anda memiliki pemahaman dasar tentang tcpdump, sekarang saatnya untuk melihat salah satu fitur paling keren dari tcpdump: ekspresi. Ekspresi akan membuat hidup Anda jauh lebih mudah. Mereka juga dikenal sebagai BPF atau Filter Paket Berkeley. Menggunakan ekspresi memungkinkan Anda untuk menampilkan paket (atau mengabaikan) secara selektif berdasarkan karakteristik tertentu - seperti asal, tujuan, ukuran, atau bahkan nomor urut TCP.

Sejauh ini Anda telah berhasil membatasi pencarian Anda ke sejumlah paket pada antarmuka tertentu, tetapi mari kita jujur ​​di sini: yang masih menyisakan terlalu banyak kebisingan latar belakang untuk bekerja secara efektif dengan data yang dikumpulkan. Di situlah ekspresi ikut bermain. Konsepnya cukup mudah, jadi kita akan meninggalkan teori kering di sini dan mendukung pemahaman dengan beberapa contoh praktis.

Ekspresi yang paling mungkin Anda gunakan adalah:

• host - Cari lalu lintas berdasarkan nama host atau alamat IP.
• srcatau dst- Cari lalu lintas dari atau ke host tertentu.
• proto- Cari lalu lintas protokol tertentu. Bekerja untuk tcp, udp, icmp, dan lainnya. Menghilangkan protokata kunci juga dimungkinkan.
• net - Cari lalu lintas ke / dari rentang alamat IP tertentu.
• port - Cari lalu lintas ke / dari port tertentu.
• greateratau less- Cari traffic yang lebih besar atau lebih kecil dari jumlah byte tertentu.

Sementara halaman manual untuk tcpdumphanya berisi beberapa contoh, halaman manual untuk pcap-filtermemiliki penjelasan yang sangat rinci tentang cara kerja setiap filter dan dapat diterapkan.

Jika Anda ingin melihat bagaimana komunikasi Anda dengan server tertentu, maka Anda dapat menggunakan hostkata kunci, misalnya (termasuk beberapa parameter dari atas):

tcpdump -i eth0 host vultr.com

Terkadang ada komputer di jaringan yang tidak menghormati MTU atau mengirimi Anda spam dengan paket besar; memfilternya kadang kadang sulit. Ekspresi memungkinkan Anda untuk memfilter paket yang lebih besar atau lebih kecil dari jumlah byte tertentu:

tcpdump -i eth0 -nn greater 128
or
tcpdump -i eth0 -nn less 32

Mungkin hanya pelabuhan tertentu yang menarik bagi Anda. Dalam hal ini, gunakan portungkapan:

tcpdump -i eth0 -X port 21

Anda juga dapat melihat rentang port:

tcdump -i eth0 -X portrange 22-25

Karena gateway NAT cukup umum, Anda hanya dapat mencari port tujuan:

tcpdump dst port 80

Jika Anda menonton lalu lintas ke server web Anda, Anda mungkin hanya ingin melihat lalu lintas TCP ke port 80:

tcpdump tcp and dst port 80

Anda mungkin bertanya pada diri sendiri apa kata kunci andyang dilakukan di sana. Pertanyaan bagus. Itu membawa kita ke bagian terakhir dari artikel ini.

tcpdump menawarkan dukungan dasar untuk ekspresi logis, lebih khusus:

• and/ &&- Logis "dan".
• or/ ||- Logis "atau".
• not/ !- Logis "tidak".

Bersama dengan kemampuan untuk mengelompokkan ekspresi bersama, ini memungkinkan Anda untuk membuat pencarian yang sangat kuat untuk lalu lintas masuk dan keluar. Jadi mari kita filter lalu lintas yang datang dari vultr.com di port 22 atau 443:

tcpdump -i eth0 src host vultr.com and (dst port 22 or 443)

Menjalankan ini pada baris perintah akan memberi Anda kesalahan berikut:

bash: syntax error near unexpected token `('

Itu karena ada peringatan: bashmencoba mengevaluasi setiap karakter yang ada. Ini termasuk (dan )karakter. Untuk menghindari kesalahan itu, Anda harus menggunakan tanda kutip tunggal di sekitar ekspresi gabungan:

tcpdump -i eth0 'src host vultr.com and (dst port 22 or 443)'

Contoh bermanfaat lainnya: Saat men-debug masalah SSH dengan salah satu pengguna Anda, Anda mungkin ingin mengabaikan semua yang terkait dengan sesi SSH Anda:

tcpdump '!(host $youripaddress) && port 22)'

Sekali lagi, kasus penggunaan tidak terbatas, dan Anda dapat menentukan ke kedalaman ekstrem jenis lalu lintas apa yang ingin Anda lihat. Perintah berikut hanya akan menunjukkan kepada Anda paket SYNACK dari jabat tangan TCP:

tcpdump -i eth0 'tcp[13]=18'

Ini bekerja dengan melihat offset ketigabelas header TCP dan byte kedelapan belas di dalamnya.

Jika Anda berhasil sampai di sini, maka Anda siap untuk sebagian besar kasus penggunaan yang akan muncul. Saya hampir tidak bisa menyentuh permukaan tanpa terlalu banyak detail. Saya sangat menyarankan agar Anda bereksperimen dengan berbagai opsi dan ekspresi yang sedikit lebih jauh; dan seperti biasa: referensi halaman manual ketika Anda tersesat.

Last but not least - melihat cepat ke belakang. Ingat awal artikel ini? Dengan ribuan paket yang ditangkap dalam hitungan detik? Kekuatan tcpdumpcan memangkas itu banyak:

tcpdump -i eth0 tcp port 22

Hasilnya sekarang:

81 packets captured
114 packets received by filter
0 packets dropped by kerne

Ini jauh lebih waras dan lebih mudah untuk di-debug. Selamat berjejaring!