Introduzione a Tcpdump

Se si esegue un server, si arriva senza dubbio al punto in cui è necessario inchiodare alcuni problemi relativi alla rete. Ovviamente sarebbe facile sparare una mail al dipartimento di supporto, ma a volte è necessario sporcarsi le mani. In questo caso, tcpdumpè lo strumento per quel lavoro. Tcpdump è un analizzatore di pacchetti di rete che viene eseguito sotto la riga di comando.

Questo articolo sarà diviso in tre parti:

• Caratteristiche di base.
• Filtro basato su determinate caratteristiche del traffico.
• Un breve frammento delle funzionalità più avanzate (come espressioni logiche, filtro per flag TCP).

Poiché tcpdump non è incluso con la maggior parte dei sistemi di base, sarà necessario installarlo. Tuttavia, quasi tutte le distribuzioni Linux hanno tcpdump nei loro repository core. Per le distribuzioni basate su Debian, il comando per installare tcpdump è:

apt-get install tcpdump

Per CentOS / RedHat, utilizzare il comando seguente:

yum install tcpdump

FreeBSD offre un pacchetto predefinito che può essere installato emettendo:

pkg install tcpdump

C'è anche una porta disponibile, net/tcpdumpche può essere installata tramite:

cd /usr/ports/net/tcpdump
make install clean

Se esegui tcpdumpsenza argomenti, verrai colpito dai risultati. L'esecuzione su un'istanza appena aggiunta qui su Vultr per meno di cinque secondi produce i seguenti risultati:

2661 packets captured
2663 packets received by filter
0 packets dropped by kernel

Prima di entrare in maggiori dettagli su come filtrare l'input, dovresti dare un'occhiata ad alcuni parametri che possono essere passati a tcpdump:

• -i- Specifica l'interfaccia che si desidera ascoltare su, per esempio: tcpdump -i eth0.
• -n- Non cercare di fare ricerche inverse su indirizzi IP, ad esempio: tcpdump -n(se aggiungi un altro ntcpdump ti mostrerà i numeri di porta anziché i nomi).
• -X- Visualizzare il contenuto dei pacchetti raccolti: tcpdump -X.
• -c- Cattura solo xpacchetti, xessendo un numero arbitrario, ad esempio tcpdump -c 10cattura esattamente 10 pacchetti.
• -v- Aumenta la quantità di informazioni sui pacchetti che ti vengono mostrate, più vs aggiunge più verbosità.

Ognuno di quei parametri menzionati qui può essere combinato insieme. Se si desidera acquisire 100 pacchetti, ma solo sull'interfaccia VPN tun0, il comando tcpdump sarebbe simile al seguente:

tcpdump -i tun0 -c 100 -X

Ci sono dozzine (se non centinaia) di opzioni oltre a quelle poche, ma sono le più comuni. Sentiti libero di leggere la manpage di tcpdump sul tuo sistema.

Ora che hai una conoscenza di base di tcpdump, è tempo di esaminare una delle funzionalità più straordinarie di tcpdump: le espressioni. Le espressioni renderanno la tua vita molto più semplice. Sono anche noti come filtri per pacchetti BPF o Berkeley. L'uso delle espressioni consente di visualizzare (o ignorare) i pacchetti in modo selettivo in base a determinate caratteristiche, come origine, destinazione, dimensione o anche numero di sequenza TCP.

Finora sei riuscito a limitare la tua ricerca a una determinata quantità di pacchetti su una determinata interfaccia, ma siamo onesti qui: questo lascia ancora troppo rumore di fondo per funzionare efficacemente con i dati raccolti. È qui che entrano in gioco le espressioni. Il concetto è piuttosto semplice, quindi tralasceremo la teoria secca qui e sosterremo la comprensione con alcuni esempi pratici.

Le espressioni che probabilmente utilizzerai di più sono:

• host - Cerca il traffico in base a nomi host o indirizzi IP.
• srcoppure dst- Cerca il traffico da o verso un host specifico.
• proto- Cerca il traffico di un determinato protocollo. Funziona con tcp, udp, icmp e altri. protoÈ anche possibile omettere la parola chiave.
• net - Cerca il traffico da / verso un determinato intervallo di indirizzi IP.
• port - Cerca il traffico da / verso una determinata porta.
• greateroppure less- Cerca un traffico maggiore o minore di un determinato numero di byte.

Mentre la manpage per tcpdumpcontiene solo alcuni esempi, la manpage per pcap-filterha spiegazioni molto dettagliate su come ciascun filtro funziona e può essere applicato.

Se vuoi vedere come sta andando la tua comunicazione con un determinato server, puoi usare la hostparola chiave, ad esempio (includendo alcuni dei parametri di cui sopra):

tcpdump -i eth0 host vultr.com

A volte ci sono computer sulla rete che non onorano l'MTU o ti inviano spam con pacchetti di grandi dimensioni; filtrarli a volte può essere difficile a volte. Le espressioni consentono di filtrare i pacchetti più grandi o più piccoli di un determinato numero di byte:

tcpdump -i eth0 -nn greater 128
or
tcpdump -i eth0 -nn less 32

Forse solo un certo porto ti interessa. In questo caso, utilizzare l' portespressione:

tcpdump -i eth0 -X port 21

Puoi anche cercare gli intervalli di porte:

tcdump -i eth0 -X portrange 22-25

Poiché i gateway NAT sono piuttosto comuni, è possibile cercare solo porte di destinazione:

tcpdump dst port 80

Se stai guardando il traffico sul tuo server web, potresti voler guardare solo il traffico TCP alla porta 80:

tcpdump tcp and dst port 80

Probabilmente ti stai chiedendo cosa andci fa la parola chiave . Buona domanda. Questo ci porta all'ultima parte di questo articolo.

tcpdump offre supporto di base per le espressioni logiche, in particolare:

• and/ &&- Logico "e".
• or/ ||- Logico "o".
• not/ !- Logico "non".

Insieme alla possibilità di raggruppare espressioni, questo ti consente di creare ricerche molto potenti per il traffico in entrata e in uscita. Quindi filtriamo il traffico proveniente da vultr.com sulla porta 22 o 443:

tcpdump -i eth0 src host vultr.com and (dst port 22 or 443)

L'esecuzione sulla riga di comando genererà il seguente errore:

bash: syntax error near unexpected token `('

Questo perché c'è un avvertimento: bashcerca di valutare ogni personaggio che può. Questo include i caratteri (e ). Per evitare tale errore, è necessario utilizzare virgolette singole intorno all'espressione combinata:

tcpdump -i eth0 'src host vultr.com and (dst port 22 or 443)'

Un altro esempio utile: durante il debug di problemi SSH con uno dei tuoi utenti, potresti voler ignorare tutto ciò che è legato alla tua sessione SSH:

tcpdump '!(host $youripaddress) && port 22)'

Ancora una volta, i casi d'uso sono infiniti e puoi specificare in profondità i tipi di traffico che vuoi vedere. Il comando seguente mostra solo i pacchetti SYNACK di un handshake TCP:

tcpdump -i eth0 'tcp[13]=18'

Funziona osservando il tredicesimo offset dell'intestazione TCP e il diciottesimo byte al suo interno.

Se hai fatto tutto qui, allora sei pronto per la maggior parte dei casi d'uso che si presentano. Riesco a malapena a toccare la superficie senza entrare in troppi dettagli. Consiglio vivamente di sperimentare ulteriormente le diverse opzioni ed espressioni; e come al solito: fai riferimento alla manpage quando ti perdi.

Ultimo ma non meno importante: una rapida occhiata indietro. Ricordi l'inizio di questo articolo? Con le migliaia di pacchetti catturati in pochi secondi? Il potere di tcpdumppuò ridurlo molto:

tcpdump -i eth0 tcp port 22

Il risultato è ora:

81 packets captured
114 packets received by filter
0 packets dropped by kerne

Questo è molto più sano e più facile da eseguire il debug. Buona rete!