Инструменты безопасности с открытым исходным кодом

Запуск Tcpdump


Существует ряд операций для фильтрации вывода, чтобы найти определенный тип трафика или снизить общий объем вывода. На самом деле, в активно используемой сети нефильтрованный вывод Tcpdump будет пролетать на экране быстрее, чем вы сможете его прочитать! Однако прямо сейчас для демонстрации возможностей Tcpdump запустим его из командной строки, набрав просто

tcpdump

Вы увидите весь нефильтрованный трафик TCP, проходящий через плату Ethernet вашей машины. Он может выглядеть примерно так, как в примере на листинге 6.1.

12:25:38.504619 12.129.72.142.http > 192.168.1.3.3568: . ack 1418369642 win 31856 <nop,nop,timestamp 72821542 25475802> (DF) 12:25:38.504758 192.168.1.3.3568 > 12.129.72.142.htt: . ack 1 win 40544 <nop,nop,timestamp 25486047 72811295> (DF) 12:25:38.507753 192.168.1.3.4870 > 65.83.241.167.domain: 11414+ PTR? 1 42.72.129.12.in-addr.arpa. (44) (DF) 12:25:38.561481 65.83.241.167.domain > 192.168.1.3.4870: 11414 NXDomain*- 0/1/0 (113) 12:25:38.562754 192.168.1.3.4870 > 65.83.241.167.domain: 11415+ PTR? 3.1.168.192.in-addr.arpa. (42) (DF) 12:25:38.609588 65.83.241.167.domain > 192.168.1.3.4870: 11415 NXDomain 0/1/0 (119) 12:25:38.610428 192.168.1.3.4870 > 65.83.241.167.domain: 1416+ PTR? 167.241.83.65.in-addr.arpa. (44) (DF) 12:25:38.649808 65.83.241.167.domain > 192.168.1.3.4870: 11416 1/0/0 (69) 12:25:43.497909 arp who-has 192.168.1.1 tell 192.168.1.3 12:25:43.498153 arp reply 192.168.1.1 is-at 0:6:25:9f:34:ac 12:25:43.498943 192.168.1.3.4870 > 65.83.241.167.domain: 11417+ PTR? 1.1.168.192.in-addr.arpa. (42) (DF) 12:25:43.533126 65.83.241.167.domain > 192.168.1.3.4870: 11417 NXDomain 0/1/0 (119) 12:25:44.578546 192.168.1.1.8783 > 192.168.1.255.snmptrap: Trap(35) E:3955.2.2.1 192.168.1.1 enterpriseSpecific[specific-trap(1)!=0] 43525500[|snmp]

Листинг 6.1. Пример выдачи Tcpdump

На первый взгляд, выдача кажется запутанной, но если разбить ее на составляющие, то смысл начинает проясняться. Первое число является временной меткой с точностью до долей секунды, так как в активно используемой сети каждую секунду проходит множество пакетов. Следующее число - это IP-адрес отправителя пакета, за которым следует > (знак больше), а затем целевой адрес. Наконец, могут присутствовать некоторые комментарии и другие данные. В примере можно видеть несколько различных видов трафика, включая трафик DNS (domain), ARP и SNMP.

По умолчанию Tcpdump выполняется, пока не будет остановлен нажатием Ctrl+C или другим сигналом прерывания. Когда Tcpdump останавливается, он выдает сводные данные о просмотренном трафике, включая:

  • пакеты, полученные фильтром. Это количество пакетов, обработанных фильтром Tcpdump, а не общее число пакетов TCP в сети, если только вы не выполняете Tcpdump без критериев фильтрации;
  • пакеты, отброшенные ядром. Число пакетов, которые были отброшены в связи с отсутствием ресурсов в системе. Эта возможность поддерживается не всеми системами. Даже когда она поддерживается, число может быть неточным, если сеть очень загружена или машина анализатора очень медленная.



Содержание раздела