Inleiding tot Tcpdump

Als u een server draait, komt u ongetwijfeld op een punt waar u enkele netwerkgerelateerde problemen moet oplossen. Het is natuurlijk makkelijk om gewoon een mailtje te sturen naar de supportafdeling, maar soms moet je je handen vuil maken. In dit geval tcpdumpis het de tool voor die taak. Tcpdump is een netwerkpakketanalysator die wordt uitgevoerd onder de opdrachtregel.

Dit artikel bestaat uit drie delen:

• Basis kenmerken.
• Filteren op basis van bepaalde verkeerskenmerken.
• Een kort fragment van de meer geavanceerde functies (zoals logische uitdrukkingen, filteren op TCP-vlaggen).

Aangezien tcpdump niet wordt meegeleverd met de meeste basissystemen, moet u het installeren. Bijna alle Linux-distributies hebben echter tcpdump in hun kernrepository's. Voor op Debian gebaseerde distributies is de opdracht om tcpdump te installeren:

apt-get install tcpdump

Gebruik voor CentOS / RedHat de volgende opdracht:

yum install tcpdump

FreeBSD biedt een voorgebouwd pakket dat kan worden geïnstalleerd door het uitgeven van:

pkg install tcpdump

Er is ook een poort beschikbaar, net/tcpdumpdie kan worden geïnstalleerd via:

cd /usr/ports/net/tcpdump
make install clean

Als u tcpdumpzonder argumenten loopt, wordt u gehavend met resultaten. Als u het hier op Vultr gedurende minder dan vijf seconden op een pas opgestarte instantie uitvoert, krijgt u de volgende resultaten:

2661 packets captured
2663 packets received by filter
0 packets dropped by kernel

Voordat u dieper ingaat op het filteren van invoer, moet u enkele parameters bekijken die aan tcpdump kunnen worden doorgegeven:

• -i- Geeft de interface die u wilt op te luisteren, bijvoorbeeld: tcpdump -i eth0.
• -n- Probeer niet om reverse lookups uit te voeren op IP-adressen, bijvoorbeeld: tcpdump -n(als u nog een ntcpdump toevoegt , worden poortnummers weergegeven in plaats van namen).
• -X- Laat de inhoud van de verzamelde pakketten: tcpdump -X.
• -c- Alleen xpakketten vastleggen , xzijnde een willekeurig getal, tcpdump -c 10vangt bijvoorbeeld precies 10 pakketten op.
• -v- Vergroot de hoeveelheid pakketinformatie die u te zien krijgt, meer vs voeg meer uitgebreidheid toe.

Elk van de hier genoemde parameters kan met elkaar worden gecombineerd. Als je 100 pakketten wilde vastleggen, maar alleen op je VPN-interface tun0, dan zou de opdracht tcpdump er als volgt uitzien:

tcpdump -i tun0 -c 100 -X

Er zijn tientallen (zo niet honderden) opties naast die paar, maar ze zijn de meest voorkomende. Voel je vrij om de manpage van tcpdump op je systeem te lezen.

Nu je een basiskennis hebt van tcpdump, is het tijd om naar een van de meest geweldige functies van tcpdump te kijken: uitdrukkingen. Uitdrukkingen maken je leven een stuk makkelijker. Ze staan ​​ook bekend als BPF- of Berkeley-pakketfilters. Door uitdrukkingen te gebruiken, kunt u selectief pakketten weergeven (of negeren) op basis van bepaalde kenmerken - zoals oorsprong, bestemming, grootte of zelfs TCP-volgnummer.

Tot nu toe is het je gelukt om je zoekopdracht te beperken tot een bepaald aantal pakketten op een bepaalde interface, maar laten we eerlijk zijn: dat laat nog steeds te veel achtergrondgeluiden achter om effectief met de verzamelde gegevens te werken. Dat is waar uitdrukkingen in het spel komen. Het concept is vrij eenvoudig, dus we laten de droge theorie hier weg en ondersteunen het begrip met enkele praktische voorbeelden.

De uitdrukkingen die u waarschijnlijk het meest zult gebruiken, zijn:

• host - Zoek verkeer op basis van hostnamen of IP-adressen.
• srcof dst- Zoek naar verkeer van of naar een specifieke host.
• proto- Zoek naar verkeer van een bepaald protocol. Werkt voor tcp, udp, icmp en anderen. Het weglaten van het protozoekwoord is ook mogelijk.
• net - Zoek naar verkeer van / naar een bepaald bereik van IP-adressen.
• port - Zoek naar verkeer van / naar een bepaalde haven.
• greaterof less- Zoek naar verkeer dat groter of kleiner is dan een bepaald aantal bytes.

Hoewel de manpage voor tcpdumpslechts een paar voorbeelden bevat, heeft de manpage voor pcap-filterzeer gedetailleerde uitleg over hoe elk filter werkt en kan worden toegepast.

Als u wilt zien hoe uw communicatie met een bepaalde server verloopt, dan kunt u bijvoorbeeld het hosttrefwoord gebruiken (inclusief enkele van de parameters van hierboven):

tcpdump -i eth0 host vultr.com

Soms zijn er computers op het netwerk die de MTU niet eren of u spammen met grote pakketten; ze eruit filteren kan soms moeilijk zijn. Met expressies kunt u pakketten filteren die groter of kleiner zijn dan een bepaald aantal bytes:

tcpdump -i eth0 -nn greater 128
or
tcpdump -i eth0 -nn less 32

Misschien is alleen een bepaalde haven voor u interessant. Gebruik in dit geval de portuitdrukking:

tcpdump -i eth0 -X port 21

U kunt ook uitkijken naar poortbereiken:

tcdump -i eth0 -X portrange 22-25

Aangezien NAT-gateways vrij algemeen zijn, mag u alleen zoeken naar bestemmingspoorten:

tcpdump dst port 80

Als u verkeer naar uw webserver bekijkt, wilt u misschien alleen TCP-verkeer naar poort 80 bekijken:

tcpdump tcp and dst port 80

U vraagt ​​zich waarschijnlijk af wat het zoekwoord anddaar doet. Goede vraag. Dat brengt ons bij het laatste deel van dit artikel.

tcpdump biedt basisondersteuning voor logische uitdrukkingen, meer specifiek:

• and/ &&- Logisch "en".
• or/ ||- Logisch "of".
• not/ !- Logisch "niet".

Samen met de mogelijkheid om uitdrukkingen te groeperen, kunt u hiermee zeer krachtige zoekopdrachten voor inkomend en uitgaand verkeer maken. Laten we dus verkeer filteren dat afkomstig is van vultr.com op poort 22 of 443:

tcpdump -i eth0 src host vultr.com and (dst port 22 or 443)

Als u dit op de opdrachtregel uitvoert, krijgt u de volgende foutmelding:

bash: syntax error near unexpected token `('

Dat komt omdat er een waarschuwing is: bashprobeert elk personage te evalueren dat het kan. Dit omvat de (en )karakters. Om die fout te voorkomen, moet u enkele aanhalingstekens rond de gecombineerde uitdrukking gebruiken:

tcpdump -i eth0 'src host vultr.com and (dst port 22 or 443)'

Nog een nuttig voorbeeld: wanneer u SSH-problemen met een van uw gebruikers debugt, wilt u misschien alles negeren dat betrekking heeft op uw SSH-sessie:

tcpdump '!(host $youripaddress) && port 22)'

Nogmaals, de use-cases zijn eindeloos en u kunt in extreme diepten specificeren wat voor soort verkeer u wilt zien. Met de volgende opdracht ziet u alleen SYNACK-pakketten van een TCP-handshake:

tcpdump -i eth0 'tcp[13]=18'

Dit werkt door te kijken naar de dertiende offset van de TCP-header en de achttiende byte daarin.

Als je het helemaal hier hebt gehaald, ben je klaar voor de meeste use-cases die zich zullen voordoen. Ik kan het oppervlak amper aanraken zonder in teveel details te treden. Ik raad je ten zeerste aan om wat verder te experimenteren met de verschillende opties en uitdrukkingen; en zoals gewoonlijk: verwijs naar de manpage als je verdwaalt.

Last but not least - een snelle terugblik. Weet je nog het begin van dit artikel? Met de duizenden pakketten die binnen enkele seconden zijn vastgelegd? De kracht van tcpdumpkan dat een stuk inkorten:

tcpdump -i eth0 tcp port 22

Het resultaat is nu:

81 packets captured
114 packets received by filter
0 packets dropped by kerne

Dit is veel gezonder en gemakkelijker te debuggen. Gelukkig netwerken!