Примеры применения Tcpdump
Ниже представлены несколько практических примеров применения Tcpdump
Просмотр всего входящего и исходящего трафика определенного хоста
Если вы хотите отслеживать только входящий и исходящий трафик определенного хоста, то можно отфильтровать все остальное с помощью простого выражения "host". Например, чтобы следить за хостом с IP-адресом 192.168.1.1, нужно выполнить инструкцию
tcpdump -n host 192.168.1.1
Наблюдение за входящим и исходящим трафиком определенного порта
Если вы хотите проследить за использованием определенного приложения, можно применить Tcpdump для улавливания всего трафика, направляемого в определенный порт TCP/UDP. Если приложением, за которым вы пытаетесь наблюдать, является Telnet (порт 23), то это можно сделать с помощью следующего выражения Tcpdump:
tcpdump -n port 23
Просмотр всего входящего и исходящего трафика определенного хоста, за исключением некоторых видов трафика
Предположим, что вы хотите следить за одним хостом, как в первом примере, но желаете отфильтровать трафик SSH (если вы подключаетесь к этому хосту посредством SSH, то нефильтрованный вывод Tcpdump будет отображать трафик вашего собственного соединения). Это можно сделать, добавив выражение port с булевой операцией НЕ. Вот как выглядит команда:
tcpdump -n host 192.163.1.1 and not port 22
Выявление вредоносной рабочей станции
Если возникли сетевые проблемы, и вы подозреваете, что вредоносный компьютер норовит затопить вашу сеть, можно применить Tcpdump для быстрого прослеживания виновника. Вне зависимости от того, будет ли это неисправная сетевая плата или ПК с "троянской" программой, вызывающей атаку на доступность, Tcpdump поможет пролить свет на проблему. Сначала попробуйте просто запустить Tcpdump без фильтрации и посмотреть, что порождает большую часть трафика. Используйте опции -a и -e для генерации имен и MAC-адресов.
tcpdump -ae
Отметим, что можно объединять две буквы с одним дефисом. Если вывод на экране проскальзывает слишком быстро, используйте опцию -c 1000, чтобы остановиться после получения 1000 пакетов.
Слежение за определенной рабочей станцией
С помощью Tcpdump вы легко можете запротоколировать трафик, исходящий из определенной рабочей станции, для последующего анализа (убедитесь только, что вы имеете на это законное право). Используйте инструкцию Tcpdump из первого примера с ключом -w для записи в файл. Если в сети применяется динамическое конфигурирование хостов по протоколу DHCP, то предпочтительным может оказаться использование имен SMB (Windows). Пример:
tcpdump -w logfile host 192.168.1.1
где logfile представляет файл протокола. Можно также добавить опции -c или -C для ограничения размера файла вывода.
Поиск подозрительного сетевого трафика
Если у вас вызывает беспокойство сетевая активность в нерабочее время, то можно оставить запущенный Tcpdump, отметив трафик, который вы считаете сомнительным. Можно запустить Tcpdump с установленным флагом gateway 192.168.0.1, заменяя IP-адрес на адрес своего Интернет-шлюза. Если ваша домашняя сеть использует IP-диапазон от 192.168.0.0 до 192.168.0.254, в этом случае будет помечаться весь трафик, проходящий через шлюз Интернета. Если имеется внутренний почтовый сервер, и вы не хотите протоколировать этот трафик, так как он допустим, можно добавить инструкцию
and host != 192.168.0.2
где IP-адрес является адресом почтового сервера. Восклицательный знак действует как булева операция НЕ. Будет помечаться весь входящий трафик, не предназначенный для почтового сервера. Выражение может выглядеть следующим образом:
tcpdump -w logfile gateway 192.168.0.1 and host != 192.168.1.2
Для выявления пользователей, применяющих определенное приложение, например, программы потокового видео или аудио, можно уточнить выражение, если известен номер порта. Если вы знаете, что используется порт TCP 1000, то можно применить примитив port для перехвата трафика подозрительного приложения. Пример:
tcpdump -w logfile gateway 192.168.0.1 and host != 192.168.1.2 dst port 1000
Для более сложных сценариев обнаружения вторжений лучше применить одну из систем обнаружения вторжений, описанных в лекции 7, но для быстрого предварительного анализа Tcpdump может быть очень полезным средством.
WinDump Автор/основной контакт: Loris Degioanni Web-сайт: windump.polito.it/install/default.htm Платформы: Windows 95, 98, ME, NT4, 2000, XP Лицензия: BSD Рассмотренная версия: 3.8 alpha Список почтовой рассылки WinPcap: http://www.mail-archive.com/winpcap-users@winpcap.polito.it/ |
Наконец появилась программа Tcpdump для Windows. На самом деле, это настоящая UNIX-программа Tcpdump, перенесенная на платформу Windows, поэтому все функции и выражения работают точно так же.
