Tcpdump, ağ trafiğini izlemek (sniffing) ve analiz etmek için mevcut en iyi araçlardan birisidir.  Tcpdump ile ağ üzerinden gelen ve giden paketleri yakalayabilir, anlık olarak görüntüleyebilir veya kaydederek daha sonra analiz edebilirsiniz. BSD lisansı sayesinde tamamen ücretsiz bir araçtır. Linux/Unix sistemlerde çalışan Tcpdump yetkili sistem kullanıcı (root yetkileri) ile kullanılabilmektedir.

Redhat ve türevleri için Tcpdump kurulumu;

[[email protected] ~]# yum install tcpdump -y

Debian ve türevleri için Tcpdump kurulumu;

[[email protected] ~]# apt-get install tcpdump -y

 

Tcpdump Kullanımı

Tcpdump kullanımı dağıtımlara göre farklılık göstermemektedir. Ağ trafiğini dinleyebilmek için ağ arabirimi (eth0, eno1 vb.) promiscious modunda olması gerekmektedir. Tcpdump çalıştırılmaya başlandığı anda bu işlemi otomatik olarak yapmaktadır. Tcpdump kullanımı durdurulduğunda ağ arabirimi tekrar normal moda geri döner.

-i: ağ arabirimi seçilir. (örn. eth0, eno1)

[[email protected] ~]# tcpdump -i eno16777736

-n: isim çözümlemesi yapmaz. Alan adı yerine ip adreslerini görünür. (daha hızlı çalışır.)

[[email protected] ~]# tcpdump -ni eno16777736

-nn:  port çözümlemesi yapmaz. (örn. ip adresinden sonra ssh yerine 22 yazar.)

[[email protected] ~]# tcpdump -nni eno16777736

-t: zamanı göstermez.

[[email protected] ~]# tcpdump -nnti eno16777736

-w: çıktıları bir dosyaya kaydeder.

[[email protected] ~]# tcpdump -nnti eno16777736 -w tcpdump_sniff

-C: Çıktıyı dosyaya kaydedilecek boyutu belirler.
-s:  byte cinsinden paket boyutu
-W: adet

[[email protected]musab ~]# tcpdump -nnnettqi eno16777736 -s65535 -C 10 -w tcpdump_sniff
[[email protected] ~]# tcpdump -nnnettqi eno16777736 -s65535 -C 10-W 10 -w tcpdump_sniff

-r: kaydedilen paketleri okur.

[[email protected] ~]# tcpdump -r tcpdump_sniff

-c: yakalanacak paket sayısı. (defaultta kullanımda sınır yoktur)

[[email protected] ~]# tcpdump -nnti eno16777736 -c 2

-p: ağ arabirimini promiscious modundan çıkararak işlem yapar. Bulunduğu networkün trafiğini değil kendi trafiğini izleme imkanı sağlar.

[[email protected] ~]# tcpdump -nntpi eno16777736

host: ip veya hostname bazlı host filtreleme. dst (hedef) ve src (kaynak) yönlendirmeleri ile kullanılabilir.

[[email protected] ~]# tcpdump -nnti eno16777736 host 192.168.1.1
[[email protected] ~]# tcpdump -nnti eno16777736 src host 192.168.1.1
[[email protected] ~]# tcpdump -nnti eno16777736 dst host 192.168.1.1

port: port adı veya port numarası bazlı filtreleme. dst (hedef) ve src (kaynak) yönlendirmeleri ile kullanılabilir.

[[email protected] ~]# tcpdump -nnti eno16777736 dst host 192.168.1.1 and port 22
[[email protected] ~]# tcpdump -nnti eno16777736 dst host 192.168.1.1 and dst port 22
[[email protected] ~]# tcpdump -nnti eno16777736 dst host 192.168.1.1 and src port 22

Örneğin; 22.port haricindeki paketleri yakalamak için

[[email protected] ~]# tcpdump -nnti eno16777736 dst host 192.168.1.1 and not src port 22

icmp: sadece icmp paketlerini yakalar.

[[email protected] ~]# tcpdump -nnti eno16777736 icmp

arp: sadece arp paketlerini yakalar.

[[email protected] ~]# tcpdump -nnti eno16777736 arp

-s 0: tcpdump default olarak ilk 90 byte’lık kısmı dinler. bu parametre sayesinde bu limit kaldırılır.

[[email protected] ~]# tcpdump -nnti eno16777736 -s 0

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Time limit is exhausted. Please reload CAPTCHA.

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Post Navigation