Bí kíp Hướng dẫn TCPDUMP là gì? Tìm hiểu về những thủ thuật sử dụng TCPDUMP 2022
READ ALSO
Top 5 ứng dụng sửa đổi video Trung Quốc tốt nhất lúc bấy giờ
BAEMIN là gì? Hướng dẫn cách Đk bán thành phầm trên BAEMIN đơn thuần và giản dị nhất
TCPDUMP là công cụ rất hữu ích riêng với những ai sử dụng hệ điều hành quản lý Unix/Linux , bạn cũng trọn vẹn có thể sử dụng công cụ này để kiểm tra lưu lượng mạng và lưu lại những gói tin bắt được. Vậy TCPDUMP là gì? Để làm rõ hơn về thuật ngữ này, bạn hãy cùng Group tìm hiểu qua nội dung bài viết sau này nhé!
NỘI DUNGTCPDUMP là gì?Định nghĩa TCPDUMPREAD ALSOTCPDUMP tồn tại dưới hình thức nào?Những quyền lợi khi sử dụng TCPDUMPĐịnh dạng chung của một dòng giao thức TCPDUMPĐịnh dạng đầu ra TCPDUMPCác thủ thuật sử dụng TCPDUMP Một số tùy chọn thông dụng trong lệnh TCPDUMPNhững thủ thuật thường dùng với TCPDUMPNhững thắc mắc thường gặp về TCPDUMPTCPDUMP có miễn phí không?Hệ điều hành quản lý Windows có sử dụng được TCPDUM không?TCPDUMP có tương hỗ cho bảo mật thông tin an ninh mạng không?TCPDUMP là gì?
Định nghĩa TCPDUMP
TCPDUMP thực ra là công cụ được phát triển nhằm mục đích mục tiêu nhận diện và phân tích những gói tài liệu mạng theo dòng lệnh. TCPDUMP được cho phép người tiêu dùng chặn và hiển thị những gói tin được truyền đi hoặc được trao trên một mạng có sự tham gia của máy tính.
Hiểu đơn thuần và giản dị, TCPDUMP là ứng dụng bắt gói tin trong mạng thao tác trên hầu hết những phiên bản hệ điều hành quản lý Unix/Linux. TCPDUMP được cho phép bắt và lưu lại những gói tin bắt được, từ đó toàn bộ chúng ta trọn vẹn có thể sử dụng để phân tích.
TCPDUMP sẽ là trụ cột trong việc tháo gỡ và kiểm tra yếu tố link mạng và bảo mật thông tin.
TCPDUMP tồn tại dưới hình thức nào?
TCPDUMP xuất ra màn hình hiển thị nội dung những gói tin (chạy trên card mạng mà sever đang lắng nghe) phù phù thích hợp với biểu thức logic tinh lọc mà người tiêu dùng nhập vào. Với từng loại tùy chọn rất khác nhau người tiêu dùng trọn vẹn có thể xuất những mô tả về gói tin này ra một file “pcap” để phân tích sau, và trọn vẹn có thể đọc nội dung của file “pcap” đó với option –r của lệnh TCPDUMP, hoặc sử dụng những ứng dụng khác ví như thể : Wireshark.
Trong trường hợp không còn tùy chọn, lệnh TCPDUMP sẽ tiếp tục chạy cho tới lúc nào nó nhận được một tín hiệu ngắt từ phía người tiêu dùng. Sau khi kết thúc việc bắt những gói tin, TCPDUMP sẽ văn bản báo cáo giải trình những cột sau:
Packet capture: số lượng gói tin bắt được và xử lý.Packet received by filter: số lượng gói tin được trao bởi bộ lọc.Packet dropped by kernel: số lượng packet đã biết thành dropped bởi cơ chế bắt gói tin của hệ điều hành quản lý.
Những quyền lợi khi sử dụng TCPDUMP
Như định nghĩa ở trên, TCPDUMP tương hỗ cho bạn phân gói những tài liệu mang theo dòng lệnh. Cụ thể TCPDUMP tương hỗ cho bạn:
Nhìn thấy được những bản tin DUMP trên terminalBắt những bản tin và lưu vào định dạng PCAP (trọn vẹn có thể đọc được bởi Wireshark)Tạo được những bộ lọc Filter để bắt những bản tin thiết yếu, ví dụ: http, ftp, ssh, …Có thể nhìn được trực tiếp những bản tin điều khiển và tinh chỉnh khối mạng lưới hệ thống Linux sử dụng wireshark
TCPDUMP là một công cụ vô cùng hữu ích riêng với kĩ năng capturing packets khá mạnh mẽ và tự tin. Nó hoạt động và sinh hoạt giải trí trên network layer và trọn vẹn có thể capture toàn bộ những packets ra vào máy tính. Ngoài ra, trọn vẹn có thể sử dụng TCPDUMP để capture và save những packets tới một file nào đó và phân tích sau.
Định dạng chung của một dòng giao thức TCPDUMP
Định dạng chung của một dòng giao thức tcmpdump rõ ràng là: time-stamp src > dst: flags data-seqno ack window urgent options
Time-stamp: hiển thị thời hạn gói tin được capture.
Src và dst: hiển thị địa IP của người gởi và người nhận.
Cờ (Flag) gồm có những giá trị sau:
S(SYN): Được sử dụng trong quy trình link của giao thức TCP..(ACK): Được sử dụng để thông tin cho bên gửi biết là gói tin đã nhận được được tài liệu thành công xuất sắc.F(FIN): Được sử dụng để đóng link TCP.P(PUSH): Thường được đặt tại cuối để ghi lại việc truyền tài liệu.R(RST): Được sử dụng khi muốn thiết lập lại đường truyền.
Data-sqeno: Số sequence number của gói tài liệu hiện tại.
ACK: Mô tả số sequence number tiếp theo của gói tin do bên gởi truyền (số sequence number mong ước nhận được).
Window: Vùng nhớ đệm có sẵn theo phía khác trên link này.
Urgent: Cho biết có tài liệu khẩn cấp trong gói tin
Định dạng đầu ra TCPDUMP
Định dạng bản ghi được sử dụng để ghi những gói mạng vào tệp đang trở thành một tiêu chuẩn được nhiều trình nhìn nhận gói tin và phân tích lưu lượng mới hơn vận dụng.
Tiêu chuẩn này khá phức tạp và được kiểm soát và điều chỉnh cho từng giao thức. Định dạng được gọi là pcap, là tên thường gọi của quy trình bắt gói được TCPDUMP sử dụng. Các tệp ở định dạng này thường có phần mở rộng .pcap.
Các thủ thuật sử dụng TCPDUMP
Một số tùy chọn thông dụng trong lệnh TCPDUMP
Lệnh TCPDUMP được theo sau bởi những tùy chọn, chúng được biểu thị bằng một dấu gạch nối theo sau là một vần âm. Dưới đấy là list những tùy chọn:
-i: Sử dụng tùy chọn này khi người tiêu dùng muốn chụp những gói tin trên một interface được chỉ định.-D: Khi sử dụng tùy chọn này, TCPDUMP sẽ liệt kê ra toàn bộ những interface đang hiện hữu trên máy tính mà nó trọn vẹn có thể capture được.-c N : khi sử dụng tùy chọn này, TCPDUMP sẽ dừng hoạt động và sinh hoạt giải trí sau khoản thời hạn capture N gói tin.-n: Khi sử dụng tùy chọn này, TCPDUMP sẽ không còn phân giải từ địa chỉ IP sang hostname.-nn: Tương tự như tùy chọn –n, tuy nhiên TCPDUMP sẽ không còn phân giải cả portname.-v:Tăng số lượng thông tin về gói tin mà bạn cũng trọn vẹn có thể nhận được, thậm chí còn trọn vẹn có thể tăng thêm với option –vv hoặc –vvv.-s: Định nghĩa snaplength (kích thước) gói tin sẽ lưu lại, sử dụng 0 để mặc định.-q: Khi sử dụng tùy chọn này, TCPDUMP sẽ hiển thị ít thông tin hơn.-w filename: Khi sử dụng tùy chọn này, TCPDUMP sẽ capture những packet và lưu xuống file chỉ định.-r filename: Sử dụng kèm với tùy chọn –w, vốn để làm đọc nội dung file đã lưu từ trước.-x: Hiển thị tài liệu của gói tin capture dưới dạng mã Hex.-xx: Tương tự tùy chọn –x tuy nhiên sẽ quy đổi cả ethernet header.-X: Hiển thị tài liệu của gói tin capture dưới dạng mã Hex và ASCII-XX: Tương tự như tùy chọn –X tuy nhiên sẽ quy đổi luôn cả ethernet header.-A: Hiển thị những packet được capture dưới dạng mã ACSII.-S: Khi TCPDUMP capture packet, thì nó sẽ chuyển những số sequence number, ACK thành những relative sequense number, relative ACK. Nếu sử dụng option –Snày thì nó sẽ không còn chuyển mà sẽ để mặc định.-F filename: Dùng để filter những packet với những luật đã được định trước trong tập tin filename.-e: Khi sử dụng tùy chọn này, thay thì hiển thị địa chỉ IP của người gửi và người nhận, TCPDUMP sẽ thay thế những địa chỉ này bằng địa chỉ MAC.-t: Khi sử dụng tùy chọn này, TCPDUMP sẽ bỏ qua thời hạn bắt được gói tin khi hiển thị cho người tiêu dùng.-tt: Khi sử dụng tùy chọn này, thời hạn hiển thị trên mỗi dòng lệnh sẽ không còn được format theo như hình thức chuẩn.-ttt: Khi sử dụng tùy chọn này, thời hạn hiển thị đó đó là thời hạn chênh lệnh giữa thời hạn TCPDUMP bắt được gói tin của gói tin và gói tin đến trước nó.-tttt: Khi sử dụng tùy chọn này, sẽ hiển thị thêm ngày vào mỗi dòng lệnh.-ttttt: Khi sử dụng tùy chọn này, thời hạn hiển thị trên mỗi dòng đó đó là thời hạn chênh lệch giữa thời hạn TCPDUMP bắt được gói tin của gói tin hiện tại và gói tin thứ nhất.-K: Với tùy chọn này, TCPDUMP sẽ bỏ qua việc checksum những gói tin.-N: Khi sử dụng tùy chọn này, TCPDUMP sẽ không còn in những quality domain name ra màn hình hiển thị.-B size: Sử dụng tùy chọn này để setup buffer_size.-L: Hiển thị list những datalink type mà interface tương hỗ.-y: Lựa chọn datalinktype khi bắt những gói tin.
Những thủ thuật thường dùng với TCPDUMP
Hiển thị toàn bộ những interface trên máy tính mà TCPDUMP trọn vẹn có thể lắng nghe được.# tcpdump -DLọc những gói tin trên card mạng eth0, có địa chỉ đích là 192.168.1.0 hoặc địa chỉ nguồn là 192.168.1.0# tcpdump –i eth0 host 192.168.1.0# tcpdump –i eth0 src 192.168.1.0 or host 192.168.1.0Lọc những gói tin ARP chạy trên card mạng eth0, xuất phát từ dãy mạng 192.168.1.0/24# tcpdump –i eth0 arp src net 192.168.1.0/24Lọc những gói tin ICMP chạy trên mạng eth0, đi đến máy đích có địa chỉ MAC là 00-23-14-43-E8-08. Khi xuất ra màn hình hiển thị không cho phân giải tên miền, cũng như không sử dụng số relative sequence. Lưu output vào file test.cap. Khi đọc file đó lên: không hiển thị số sequence number, không phân giải hostname.# tcpdump –i eth0 –w test.cap ether dst host 00:23:14:42:E8:08# tcpdump –Snnr test.capLọc gói tin ICMP request and reply: sử dụng option icmp[icmptype]# tcpdump icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreplyLọc một số trong những cờ TCP bằng tcpdump: sử dụng option tcp[tcpflags] && tcp-syn!=0. (Giá trị của những cờ TCP lần lượt là U (32) – A (16) – P (8) – R (4) – S (2) – F (1)).Lọc những gói tin TCP có cờ URG được bật:# tcpdump tcp[13] & 2 != 0 hay #tcpdump tcp[tcpflags] & tcp-urg != 0Lọc những gói tin TCP có cờ ACK được bật:# tcpdump tcp[13] & 16 != 0 hay #tcpdump tcp[tcpflags] & tcp-ack != 0Lọc những gói tin TCP có cờ PSH được bật:# tcpdump tcp[13] & 8 != 0 hay #tcpdump tcp[tcpflags] & tcp-push != 0Lọc những gói tin TCP có cờ SYN/ACK được bật:# tcpdump tcp[13]=18
Mặc dù nhìn có vẻ như hơi phức tạp, nhưng nếu sử dụng thành thạo TCPDUMP, những bạn sẽ thấy lệnh này rất tuyệt vời. Qua nội dung bài viết trên, kỳ vọng những bạn sẽ nắm được những thông tin cơ bản về TCPDUMP và biết phương pháp sử dụng lệnh này. Chúc những bạn thành công xuất sắc.
Những thắc mắc thường gặp về TCPDUMP
Làm sao để dừng lệnh TCPDUMP?
Bạn hãy sử dụng tổng hợp phím Ctrl + C để gửi tín hiệu ngắt và dừng lệnh. Sau khi bắt được những gói, TCPDUMP sẽ tạm ngưng. Khi không còn giao diện nào được chỉ định, TCPDUMP sử dụng giao diện thứ nhất mà nó tìm thấy và kết xuất toàn bộ những gói trải qua giao diện đó.
TCPDUMP có miễn phí không?
TCPDUMP là ứng dụng mã nguồn mở và bất kỳ ai cũng trọn vẹn có thể góp phần để phát triển. Phần mềm này được phân phối theo giấy phép BSD và trọn vẹn miễn phí.
Hệ điều hành quản lý Windows có sử dụng được TCPDUM không?
Có một phiên bản TCPDUMP trên Windows được gọi là Windump và nhờ vào Wincap để sở hữu thể chụp gói tương tự như TCPDUMP cho Linux
WinPcap thuộc về của Riverbed Technology, công ty này cũng là nhà tài trợ chính của Wireshark – một công cụ dò tìm gói tin nổi tiếng và được sử dụng rộng tự do nhất trên toàn thế giới. Có một phiên bản không dây của WinPcap được gọi là AirPcap. Bạn trọn vẹn có thể tải xuống WinDump, WinPcap và AirPcap miễn phí từ website WinPcap.
TCPDUMP có tương hỗ cho bảo mật thông tin an ninh mạng không?
TCPDUMP sẽ là trụ cột trong việc tháo gỡ và kiểm tra yếu tố link mạng và bảo mật thông tin. Vì vậy, đấy là một tương hỗ update quan trọng cho bất kỳ Chuyên Viên bảo mật thông tin an ninh mạng nào.
CÔNG TY CỔ PHẦN TẬP ĐOÀN TINO
Trụ sở chính: L17-11, Tầng 17, Tòa nhà Vincom Center, Số 72 Lê Thánh Tôn, Phường Bến Nghé, Quận 1, Thành phố Hồ Chí MinhVăn phòng đại diện thay mặt thay mặt: 42 Trần Phú, Phường 4, Quận 5, Thành phố Hồ Chí MinhĐiện thoại: 0364 333 333Tổng đài miễn phí: 1800 6734Email: sales@.orgWebsite: www..org
5
/
5
(
2
bầu chọn
)
Tags: Mạng máy tính và Internet
Video TCPDUMP là gì? Tìm hiểu về những thủ thuật sử dụng TCPDUMP mới nhất?
Pro đang tìm kiếm từ khóa TCPDUMP là gì? Tìm hiểu về những thủ thuật sử dụng TCPDUMP 2022-10-19 19:44:11 san sẻ Mẹo về trong nội dung bài viết một cách Chi Tiết.
#TCPDUMP #là #gì #Tìm #hiểu #về #những #thủ #thuật #sử #dụng #TCPDUMP TCPDUMP là gì? Tìm hiểu về những thủ thuật sử dụng TCPDUMP
===> Nếu bạn có thắc mắc hay yếu tố gì nội dung bài viết trọn vẹn có thể để lại phản hồi cuối bài nhé.