இந்த வழிகாட்டியில், லினக்ஸ் கணினியில் tcpdump ஐ எவ்வாறு நிறுவுவது மற்றும் tcpdump ஐப் பயன்படுத்தி TCP/IP பாக்கெட்டுகளை எவ்வாறு கைப்பற்றுவது மற்றும் பகுப்பாய்வு செய்வது என்பதை நாங்கள் விளக்குவோம்.
Tcpdump ஐ எவ்வாறு நிறுவுவது
Tcpdump பல லினக்ஸ் விநியோகங்களில் முன்பே நிறுவப்பட்டுள்ளது. ஆனால் இது ஏற்கனவே உங்கள் கணினியில் நிறுவப்படவில்லை என்றால், உங்கள் லினக்ஸ் கணினியில் tcpdump ஐ நிறுவலாம். உபுண்டு 22.04 கணினியில் tcpdump ஐ நிறுவ, பின்வரும் கட்டளையைப் பயன்படுத்தவும்:
$ sudo apt tcpdump ஐ நிறுவவும்
Fedora/CentOS இல் tcpdump ஐ நிறுவ, பின்வரும் கட்டளையைப் பயன்படுத்தவும்:
$ sudo dnf tcpdump ஐ நிறுவவும்
Tcpdump கட்டளையைப் பயன்படுத்தி பாக்கெட்டுகளை எவ்வாறு கைப்பற்றுவது
tcpdump மூலம் பாக்கெட்டுகளைப் பிடிக்க, “Ctrl+Alt+t” ஐப் பயன்படுத்தி sudo சலுகைகளுடன் டெர்மினலைத் தொடங்கவும். இந்தக் கருவியில் TCP/IP பாக்கெட்டுகளைப் பிடிக்க பல்வேறு விருப்பங்கள் மற்றும் வடிப்பான்கள் உள்ளன. தற்போதைய அல்லது இயல்புநிலை பிணைய இடைமுகத்தின் அனைத்து பாயும் பாக்கெட்டுகளையும் நீங்கள் கைப்பற்ற விரும்பினால், எந்த விருப்பமும் இல்லாமல் 'tcpdump' கட்டளையைப் பயன்படுத்தவும்.
$ sudo tcpdump
கொடுக்கப்பட்ட கட்டளை உங்கள் கணினியின் இயல்புநிலை பிணைய இடைமுகத்தின் பாக்கெட்டுகளைப் பிடிக்கிறது.
இந்த கட்டளையின் செயல்பாட்டின் முடிவில், அனைத்து கைப்பற்றப்பட்ட மற்றும் வடிகட்டிய பாக்கெட் எண்ணிக்கைகள் முனையத்தில் காட்டப்படும்.
வெளியீட்டைப் புரிந்துகொள்வோம்.
Tcpdump TCP/IP பாக்கெட் தலைப்புகளின் பகுப்பாய்வை செயல்படுத்துகிறது. இது ஒவ்வொரு பாக்கெட்டிற்கும் ஒரு வரியைக் காட்டுகிறது, மேலும் அதை நிறுத்த 'Ctrl+C' ஐ அழுத்தும் வரை கட்டளை தொடர்ந்து இயங்கும்.
tcpdump வழங்கும் ஒவ்வொரு வரியும் பின்வரும் விவரங்களைக் கொண்டுள்ளது:
- Unix நேர முத்திரை (எ.கா., 02:28:57.839523)
- நெறிமுறை (IP)
- மூல ஹோஸ்ட்பெயர் அல்லது ஐபி மற்றும் போர்ட் எண்
- இலக்கு ஹோஸ்ட்பெயர் அல்லது IP மற்றும் போர்ட் எண்
- TCP கொடிகள் (எ.கா., கொடிகள் [F.]) S (SYN), F (FIN), போன்ற மதிப்புகளுடன் இணைப்பு நிலையைக் குறிக்கிறது. (ஏசிகே), பி (புஷ்), ஆர் (ஆர்எஸ்டி)
- பாக்கெட்டில் உள்ள தரவின் வரிசை எண் (எ.கா., seq 5829:6820)
- ஒப்புகை எண் (எ.கா., 1016)
- சாளர அளவு (எ.கா., வெற்றி 65535) TCP விருப்பங்களைத் தொடர்ந்து பெறும் இடையகத்தில் கிடைக்கும் பைட்டுகளைக் குறிக்கிறது
- டேட்டா பேலோடின் நீளம் (எ.கா. நீளம் 991)
உங்கள் கணினியின் அனைத்து பட்டியல் பிணைய இடைமுகங்களையும் பட்டியலிட, '-D' விருப்பத்துடன் 'tcpdump' கட்டளையைப் பயன்படுத்தவும்.
$ sudo tcpdump -Dஅல்லது
$ tcpdump --list-interfacesஇந்த கட்டளை உங்கள் லினக்ஸ் கணினியில் இணைக்கப்பட்ட அல்லது இயங்கும் அனைத்து பிணைய இடைமுகங்களையும் பட்டியலிடுகிறது.
குறிப்பிட்ட பிணைய இடைமுகத்தின் பாக்கெட்டுகளைப் பிடிக்கவும்
ஒரு குறிப்பிட்ட இடைமுகத்தின் வழியாக செல்லும் TCP/IP பாக்கெட்டுகளை நீங்கள் கைப்பற்ற விரும்பினால், 'tcpdump' கட்டளையுடன் '-i' கொடியைப் பயன்படுத்தி பிணைய இடைமுகப் பெயரைக் குறிப்பிடவும்.
$ sudo tcpdump -i lo
கொடுக்கப்பட்ட கட்டளை 'lo' இடைமுகத்தில் போக்குவரத்தைப் பிடிக்கிறது. பாக்கெட்டைப் பற்றிய சொற்கள் அல்லது விரிவான தகவலைக் காட்ட விரும்பினால், '-v' கொடியைப் பயன்படுத்தவும். மேலும் விரிவான விவரங்களை அச்சிட, 'tcpdump' கட்டளையுடன் '-vv' கொடியைப் பயன்படுத்தவும். வழக்கமான பயன்பாடு மற்றும் பகுப்பாய்வு ஒரு வலுவான மற்றும் பாதுகாப்பான பிணைய சூழலை பராமரிக்க உதவுகிறது.
இதேபோல், பின்வரும் கட்டளையைப் பயன்படுத்தி எந்த இடைமுகத்திலும் நீங்கள் போக்குவரத்தைப் பிடிக்கலாம்:
$ sudo tcpdump -i ஏதேனும்
ஒரு குறிப்பிட்ட போர்ட்டைப் பயன்படுத்தி பாக்கெட்டுகளைப் பிடிக்கவும்
இடைமுகத்தின் பெயர் மற்றும் போர்ட் எண்ணைக் குறிப்பிடுவதன் மூலம் நீங்கள் பாக்கெட்டுகளைப் பிடிக்கலாம் மற்றும் வடிகட்டலாம். எடுத்துக்காட்டாக, போர்ட் 22 ஐப் பயன்படுத்தி “enp0s3” இடைமுகத்தின் வழியாக செல்லும் பிணைய பாக்கெட்டுகளைப் பிடிக்க, பின்வரும் கட்டளையைப் பயன்படுத்தவும்:
$ tcpdump -i enp0s3 போர்ட் 22முந்தைய கட்டளை 'enp0s3' இடைமுகத்திலிருந்து அனைத்து பாயும் பாக்கெட்டுகளையும் பிடிக்கிறது.
Tcpdump மூலம் வரையறுக்கப்பட்ட பாக்கெட்டுகளைப் பிடிக்கவும்
குறிப்பிட்ட எண்ணிக்கையிலான பாக்கெட்டுகளைப் பிடிக்க, 'tcpdump' கட்டளையுடன் '-c' கொடியைப் பயன்படுத்தலாம். எடுத்துக்காட்டாக, 'enp0s3' இடைமுகத்தில் நான்கு பாக்கெட்டுகளைப் பிடிக்க, பின்வரும் கட்டளையைப் பயன்படுத்தவும்:
$ tcpdump -i enp0s3 -c 4
உங்கள் கணினியைப் பயன்படுத்தி இடைமுகப் பெயரை மாற்றவும்.
நெட்வொர்க் டிராஃபிக்கைப் பிடிக்க பயனுள்ள Tcpdump கட்டளைகள்
பின்வருவனவற்றில், நெட்வொர்க் டிராஃபிக்கை அல்லது பாக்கெட்டுகளை திறம்பட கைப்பற்றி வடிகட்ட உதவும் சில பயனுள்ள “tcpdump” கட்டளைகளை நாங்கள் பட்டியலிட்டுள்ளோம்:
“tcpdump” கட்டளையைப் பயன்படுத்தி, வரையறுக்கப்பட்ட இலக்கு IP அல்லது மூல IP உடன் இடைமுகத்தின் பாக்கெட்டுகளை நீங்கள் கைப்பற்றலாம்.
$ tcpdump -i {interface-name} dst {destination-ip}262144 பைட்டுகளின் இயல்பு அளவிலிருந்து வேறுபட்ட 65535 பைட்டுகளின் ஸ்னாப்ஷாட் அளவுடன் நீங்கள் பாக்கெட்டுகளைப் பிடிக்கலாம். tcpdump இன் பழைய பதிப்புகளில், பிடிப்பு அளவு 68 அல்லது 96 பைட்டுகளாக வரையறுக்கப்பட்டது.
$ tcpdump -i enp0s3 -s 65535
கைப்பற்றப்பட்ட பாக்கெட்டுகளை ஒரு கோப்பில் சேமிப்பது எப்படி
மேலும் பகுப்பாய்வுக்காக கைப்பற்றப்பட்ட தரவை ஒரு கோப்பில் சேமிக்க விரும்பினால், நீங்கள் அதைச் செய்யலாம். இது ஒரு குறிப்பிட்ட இடைமுகத்தில் போக்குவரத்தைப் படம்பிடித்து, அதை '.pcap' கோப்பில் சேமிக்கிறது. கைப்பற்றப்பட்ட தரவை ஒரு கோப்பில் சேமிக்க பின்வரும் கட்டளையைப் பயன்படுத்தவும்:
$ tcpdump -iஎடுத்துக்காட்டாக, எங்களிடம் “enps03” இடைமுகம் உள்ளது. இந்த கைப்பற்றப்பட்ட தரவை பின்வரும் கோப்பில் சேமிக்கவும்:
$ sudo tcpdump -i enps03 -w dump.pcapஎதிர்காலத்தில், Wireshark அல்லது பிற பிணைய பகுப்பாய்வுக் கருவிகளைப் பயன்படுத்தி கைப்பற்றப்பட்ட இந்தக் கோப்பை நீங்கள் படிக்கலாம். எனவே, நீங்கள் பாக்கெட்டுகளை பகுப்பாய்வு செய்ய Wireshark ஐப் பயன்படுத்த விரும்பினால், '-w' வாதத்தைப் பயன்படுத்தி அதை '.pcap' கோப்பில் சேமிக்கவும்.
முடிவுரை
இந்த டுடோரியலில், வெவ்வேறு எடுத்துக்காட்டுகளின் உதவியுடன் tcpdump ஐப் பயன்படுத்தி பாக்கெட்டுகளை எவ்வாறு கைப்பற்றுவது மற்றும் பகுப்பாய்வு செய்வது என்பதை நாங்கள் விளக்கினோம். கைப்பற்றப்பட்ட டிராஃபிக்கை '.pcap' கோப்பில் எவ்வாறு சேமிப்பது என்பதையும் நாங்கள் கற்றுக்கொண்டோம், அதை நீங்கள் Wireshark மற்றும் பிற நெட்வொர்க் பகுப்பாய்வுக் கருவிகளைப் பயன்படுத்தி பார்க்கலாம் மற்றும் பகுப்பாய்வு செய்யலாம்.