-r filename: Đọc các gói từ một file cụ thể thay cho một giao diện mạng, thường được sử dụng sau khi các gói dữ liệu thô đã được ghi vào một file với tùy chọn –w.. Primitive mẫu: dst
Trang 1Đại học Quốc Gia TP Hồ Chí Minh
Trường Đại học Công Nghệ Thông Tin
Nhóm sinh viên thực hiện:
Vũ Văn Hiệu 07520125.
Nguyễn Quang Gia Khang 07520170.
Ngô Duy Thống 07520338.
Giảng viên hướng dẫn: Th.s Vũ Trí Dũng.
Khoa: Mạng máy tính & Truyền thông Môn: Quản trị hệ thống mạng
Tìm hiểu về TCPdump
1
Trang 3Giới thiệu về TCPdump
hoạt động của hệ thống mạng.
Craig Leres, và Steven McCanne giảng viên của University of California.
3
Trang 4Giới thiệu về Tcpdump
giao tiếp mạng, qua đó giúp người quản trị hệ thống nắm được tình hình của hệ thống
4
Trang 5Sử dụngTCPdump
Cú pháp của TCPdump:
#tcpdump “options”
5
Trang 6Sử dụngTCPdump
6
Trang 7Sử dụngTCPdump
Các tùy chọn:
Tcpdump cung cấp khá nhiều các tùy chọn, ở đây chỉ giới thiệu một số trong chúng:
-A: In các gói theo mã ASCII.
-c N: Ký tự N ở đây là số, tùy chọn này thông báo cho tcpdump biết để thoát sau gói N.
-i interface: Capturre các gói trên giao diện mạng nào đó.
7
Trang 8 Các tùy chọn: (tiếp theo).
-q: Cung cấp đầu ra ngắn để các dòng đầu ra ngắn
hơn.
-r filename: Đọc các gói từ một file cụ thể thay cho
một giao diện mạng, thường được sử dụng sau khi các gói
dữ liệu thô đã được ghi vào một file với tùy chọn –w.
-t: Không in thời gian trên mỗi dòng đầu ra.
-v: Cung cấp đầu ra dài hơn Dài hơn nữa với -vv, vào
thậm chí còn cả -vvv
-w filename: Ghi các gói dữ liệu thô vào một file.
Sử dụngTCPdump
8
Trang 9Các biểu thức:
Tcpdump hỗ trợ các biểu thức dòng lệnh Các biểu thức gồm :
Sử dụngTCPdump
9
Trang 101 Primitive (mẫu):
dst foo: Chỉ định một địa chỉ hoặc một
hostname nhằm hạn chế các gói được capture về mặt lưu lượng gửi đến.
host foo: Chỉ định một địa chỉ hoặc một
hostname nhằm hạn chế các gói đã được capture
về mặt lưu lượng đến và đi.
net foo: Chỉ định một mạng hoặc một đoạn
mạng sử dụng ghi chú CIDR để hạn chế sự
capture gói.
Sử dụngTCPdump
10
Trang 111 Primitive (mẫu): (tiếp theo)
proto foo: Chỉ định một giao thức nhằm hạn
chế các gói đã được capturre về mặt lưu lượng mạng đang sử dụng giao thức đó.
src foo: Chỉ định một địa chỉ hoặc một
hostname nhằm hạn chế các gói được capture đối với lưu lượng được gửi bởi một host.
Sử dụngTCPdump
11
Trang 122 Modifiers (từ bổ nghĩa)
and: Sử dụng modifier này nhằm ràng buộc các mẫu cùng
nhau khi muốn hạn chế các gói đã được capture để có được các yêu cầu cần thiết của các biểu thức trên cả hai phía của and.
not: Sử dụng modifier này trước một mẫu khi muốn hạn
chế các gói đã được capturre để không có được các yêu cầu của biểu thức theo sau.
or: Sử dụng modifier này nhằm trói buộc các mẫu cùng
nhau khi muốn hạn chế các gói đã được capture để có được các yêu cầu cần thiết của một hoặc nhiều biểu thức trên phía của or.
Sử dụng TCPdump
12
Trang 13Một vài công dụng của TCPdump:
tỷ lệ mất gói tin Nó cũng có thể cho biết về khả năng tiếp cận đối với một số máy chủ ở xa
kết nối TCP / UDP được tạo và kết thúc TCP sử dụng một cơ chế đặc biệt để thiết lập và đóng các kết nối , có thể đo thời gian giữa các gói liên quan đến cơ chế này để biết một số các kết nối hoạt động
Sử dụng TCPdump
13
Trang 14Kết hợp các tùy chọn, primitive và modifier này, cùng với một số tùy chọn khác được được
sử dụng để xây dựng các lệnh rất cụ thể nhằm cung cấp đầu ra chính xác những packets cần lấy Tạo thuận lợi cho việc phân tích các gói sau này
Sử dụng TCPdump
14
Trang 15Chú ý: Để sử dụng được TCPdump cần chạy dưới quyền root
Sử dụng TCPdump
15
Trang 16Ví dụ
TCPdump
16
Trang 17Ví dụ
tcpdump: chạy tcpdump không tùy chọn Với tùy
chọn này, ta sẽ bắt mọi packets trên giao tiếp
mạng
17
Trang 19#tcpdump -c 50 dst uit.edu.vn
Cho bạn các thông tin có thể nhận ra được nguồn của một lưu lượng nặng gửi đến và rất có thể làm quá tải máy chủ với hostname “uit.edu.vn”, lấy
50 gói đầu tiên
#tcpdump -c 500 -w 'date +"%Y%j%T"'.log
Ghi 500 gói vào một file có tên time/date hiện hành (ví dụ 2010111915:16:31.log) để chúng có thể được lọc sau theo các thông tin mà bạn muốn xem Ở đây date là hàm hệ thống
Ví dụ
19
Trang 20Ví dụ
Bằng cách kết hợp các tùy chọn, Primitive , Modifiers
ta sẽ bắt được các gói tin như mong muốn.
tcpdump -w test.pcap -i eth1 tcp port 6881
Trong ví dụ này ta sẽ bắt các gói tin TCP tại giao tiếp eth1 ở
port 6881 và ghi vào file có tên “test.pcap”
20
Trang 21Ví dụ
tcpdump dst 192.168.1.22 and tcp port 21
Bắt các gói có địa chỉ đích là 192.168.1.22 và đi qua
port 21 với giao thức TCP.
tcpdump -s 1550 dst 192.168.1.22 and tcp port 22
Thông thường kích thước các packets là 96 bytes, dùng tùy chọn –s để thay đổi kích thước.
tcpdump tcp portrange 20-24
Lắng nghe trên một dãy port.
tcpdump -w test.pcap -s 1550 dst 10.168.28.22 and tcp port 22
21
Trang 23Demo Sniff packets
23
Trang 24Đánh giá công cụ
Ưu điểm:
Là một công cụ nhỏ gọn Được tích hợp sẵn
Là công cụ mạnh, khả năng tùy biến cao.
Chiếm ít tài nguyên của hệ thống.
Miễn phí.
24
Trang 26Tổng kết
người quản trị hệ thống mạng, song để sử dụng nó hiệu quả cần có kinh nghiệm và thời gian để tiếp xúc
em đã có thêm nhiều kiến thức bổ ích phục
vụ cho việc học tập và làm việc sau này
26
Trang 27Tài liệu tham khảo
http://www.quantrimang.com.vn/baomat/bao-mat/giai-phap-bao-mat/47439_Su-27