در بسیاری از مواقع برای عیب یابی دقیق شبکه نیاز به اطلاعات کاملی از بسته های دیتا و نحوه انتقال داده ها داریم که این اطلاعات از ابزارهای آنالیز دیتا مثل TCPdump به دست می آید
ابزار Tcpdumpیک ابزار خط فرمان رایگان برای سیستم عامل های لینوکس و یونیکس است.
در واقع Tcpdump یکی از ابزارهای شنود بسته ها محسوب می شود.
خروجی این ابزار را می توان در یک فایل ذخیره کرد. خروجی های دریافت شده توسط این ابزار در یک فایل با فرمت .pcap ذخیره می گردد که با برنامه متن باز wireshark امکان خواند آن وجود دارد.
نکته : wireshark یک ابزار تحلیل گر پروتکل است.
نحوه استفاده از Tcpdump
برای آن که بتوانید از ابزار Tcpdump استفاده کنید باید از دستور sudo استفاده کرد یا به سیستم عامل خود با مجوز مدیریتی بالا وارد شوید تا به tcpdump دسترسی داشته باشید.
برای انجام این کار قبل از اجرای هر دستور tcpdump باید sudo را وارد کرده یا sudo su root را وارد کنید تا حساب کاربری شما مجوز دسترسی به ریشه را به دست آورد.
سوییچ های مهم فرمان tcpdump
- Tcpdump not port 22 یا Tcpdump not port 23
بسته های SSH یا تل نت را فیلتر می کند این سوییچ زمانی مفید است که tcpdump را روی یک دستگاه شبکه از راه دور اجرا می کنید.
- Tcpdump -n
این سوییچ آدرس های آی پی را به نام های میزبان تبدیل نمی کند
- Tcpdump -c ۵۰
تعداد بسته های دریافت شده را به ۵۰ عدد محدود می کند.
- Tcpdump -i any
به همه واسط های شبکه روی یک دستگاه گوش می دهد.
- Tcpdump -D
تمام اینترفیس های موجود برای ضبط کردن را فهرست می کند.
- Tcpdump port http
همه ترافیک به جز ترافیک HTTP را فیلتر می کند.
- Tcpdump -w cap
فایل خروجی را با نام capture.cap ذخیره می کند.
- Tcpdump -r cap
فایل capture.cap را خوانده و داده های درون آن را در پنجره ترمینال قرار می دهد این فایل را برنامه هایی شبیه به wireshark نیز می توانند دریافت کنند.
بهداد رحمانی
Telegram: @MikroTikBlog
Insgtagram: @MikroTikBlog
www.mikrotikblog.ir