Инструменты безопасности с открытым исходным кодом


Примеры применения Tcpdump


Ниже представлены несколько практических примеров применения Tcpdump

Просмотр всего входящего и исходящего трафика определенного хоста

Если вы хотите отслеживать только входящий и исходящий трафик определенного хоста, то можно отфильтровать все остальное с помощью простого выражения "host". Например, чтобы следить за хостом с IP-адресом 192.168.1.1, нужно выполнить инструкцию

tcpdump -n host 192.168.1.1

Наблюдение за входящим и исходящим трафиком определенного порта

Если вы хотите проследить за использованием определенного приложения, можно применить Tcpdump для улавливания всего трафика, направляемого в определенный порт TCP/UDP. Если приложением, за которым вы пытаетесь наблюдать, является Telnet (порт 23), то это можно сделать с помощью следующего выражения Tcpdump:

tcpdump -n port 23

Просмотр всего входящего и исходящего трафика определенного хоста, за исключением некоторых видов трафика

Предположим, что вы хотите следить за одним хостом, как в первом примере, но желаете отфильтровать трафик SSH (если вы подключаетесь к этому хосту посредством SSH, то нефильтрованный вывод Tcpdump будет отображать трафик вашего собственного соединения). Это можно сделать, добавив выражение port с булевой операцией НЕ. Вот как выглядит команда:

tcpdump -n host 192.163.1.1 and not port 22

Выявление вредоносной рабочей станции

Если возникли сетевые проблемы, и вы подозреваете, что вредоносный компьютер норовит затопить вашу сеть, можно применить Tcpdump для быстрого прослеживания виновника. Вне зависимости от того, будет ли это неисправная сетевая плата или ПК с "троянской" программой, вызывающей атаку на доступность, Tcpdump поможет пролить свет на проблему. Сначала попробуйте просто запустить Tcpdump без фильтрации и посмотреть, что порождает большую часть трафика. Используйте опции -a и -e для генерации имен и MAC-адресов.

tcpdump -ae

Отметим, что можно объединять две буквы с одним дефисом. Если вывод на экране проскальзывает слишком быстро, используйте опцию -c 1000, чтобы остановиться после получения 1000 пакетов.




Начало  Назад  Вперед