Linuxシステムのネットワーク分析の例

Linuxがネットワークサーバー、特にルーターおよびゲートウェイとして使用されている場合、データの収集と分析は不可欠です。それで、今日はLinuxの強力なネットワークデータ収集と分析ツールTcpDumpを見てみましょう。

名前が示すように、TcpDumpは分析のためにネットワークを介して送信されたパケットの「先頭」を完全に傍受できます。ネットワーク層、プロトコル、ホスト、ネットワーク、またはポートのフィルタリングをサポートし、andやorなどの論理ステートメントを提供して、不要な情報を削除しないようにします。

Linuxの端末状態にある他のソフトウェアと同様に、TcpDumpも動作するパラメータに依存しています。この記事では例を挙げて説明します。

データフィルタリング

TcpDumpをパラメータなしで使用すると、システム内のすべてのネットワークインターフェイスが検索され、それが傍受したすべてのデータが表示されます。分析に役立たない。 TcpDumpは、データを選択するために次のパラメータを提供します。

-bは、ip、arp、rarp、ipxなど、データリンク層のプロトコルを選択します。レイヤード

例：tcpdump -b arpは、ネットワーク内のarp、つまりアドレス変換プロトコル情報のみを表示します。

-iは、フィルタ処理されたネットワークインタフェースを選択しますネットワークインタフェースが2つ以上あるルータの場合、このオプションを使用すると、指定したインタフェースに渡されたデータだけをフィルタ処理できます。たとえば、次のようになります。

tcpdump -i eth0は、eth0インターフェイスのすべてのヘッダーのみを表示します。

src、dst、port、host、net、ether、gatewayの各オプションには、src、dst、port、host、net、ehostなどの追加オプションがあります。 src host 192.168.0.1は送信元ホストのIPアドレスが192.168.0.1であることを指定し、dst net 192.168.0.0/24は送信先がネットワーク192.168.0.0であることを指定します。同様に、hostはその指定ホストに関連し、それが送信元か宛先かに関係なく、netはその指定ネットワークに関連し、etherの後にIPアドレスではなく物理アドレスが続き、gatewayホストにはgatewayが使用されます。それは少し複雑かもしれません、次の例を見てください：

tcpdump srcホスト192.168.0.1とdst net 192.168.0.0/24

ソースホストは192.168.0.1で、宛先ネットワークは192.168.0.0のヘッダー。

tcpdump ether src 00：50：04：BA：9Bおよびdst ......

送信元ホストの物理アドレスをXXXヘッダーとしてフィルタリングします（なぜEther srcの後ろにホストやネットがないのですか？物理アドレスはもちろんです）ネットワークがないかもしれません喽）。

Tcpdump srcホスト192.168.0.1およびdstポートがtelnetではありません

送信元ホスト192.168.0.1をフィルタリングし、宛先ポートがtelnetヘッダーではありません。

ip icmp arp rarpおよびtcp、udp、icmpおよびその他のオプションは、データグラムの種類をフィルタするために使用される最初のパラメータの場所に配置する必要があります。例：

tcpdump ip src ...

データのみをフィルタリングする - リンク層のIPヘッダー。

tcpdump udpとsrcホスト192.168.0.1

送信元ホスト192.168.0.1のすべてのudpヘッダーのみをフィルタリングします。

データの表示/入出力

TcpDumpは、以下に示すように、結果のデータを処理する方法を選択するのに十分なパラメータを提供します。

-lはデータをリダイレクトできます。

tcpdump -l> tcpcap.txtとして、取得したデータはtcpcap.txtファイルに格納されます。

-nはIPアドレスをホスト名に変換しません。

この項目を使用しない場合、システムにホストのホスト名があると、TcpDumpはIPアドレスをホスト名表示に変換します。eth0 router.domainのようになります。 Net.telnetは、-nを使用した後、eth0 <192.168.0.9.1165> 192.168.0.1.telnetになります。

-nnポート名を変換しません。

上記のメッセージは、-nnを使用した後、-eth0 router.domain.net.23になります。

-Nはデフォルトのドメイン名を表示しません。

またはこの情報-Nは、eth0 router.telnetです。

-Oは、一致するコードを最適化しません。

-t UNIXのタイムスタンプを印刷しません。つまり、時刻を表示しません。

-ttフォーマットされていない元の時刻を表示します。

-v詳細な出力。通常のTTLとサービスの種類以上のものです。

さて、TcpDumpは良いツールだと思いますか。それはまた、良い多機能限定スペースを一つずつ導入することはできません、もっと読む "help"はたくさんの利益を得るでしょう、これはLinuxの世界への近道と見なすことができます。