Как захватить сетевые пакеты и сохранить их в файл с помощью tcpdump — Information Security Squad

Как захватить сетевые пакеты и сохранить их в файл с помощью tcpdump

Вопрос

Поддержка попросила пользователя собрать сетевые пакеты для анализа сетевой проблемы.

Как он может захватить сетевые пакеты и сохранить их в файл с помощью команды tcpdump в CentOS / RHEL?

Ответ

Команда, которая может использоваться для захвата сетевых пакетов в сети, называется tcpdump, которая предоставляется в пакете RPM tcpdump- [версия]. [Arch]. Rpm.

Если tcpdump запускается сам по себе, он сбрасывает весь сетевой трафик на текущий терминал.

Чтобы захватить эти пакеты в файл, необходимо использовать следующие параметры:

# tcpdump -i ethX -w /tmp/network.cap

где ethX — это сетевое устройство ) интерфейс, в котором должны быть просмотрены захваченные сетевые пакеты.

Tcpdump продолжит сбор сетевых пакетов до тех пор, пока не будет выполнена команда прекращения. Команда: [CTRL] + C.

По умолчанию tcpdump будет записывать только первые 68 байтов пакета.

Вы можете использовать опцию -s 0 для захвата всех данных в сетевых пакетах, как показано ниже:

# tcpdump -i ethX -s 0 -w /tmp/network.cap

Опция -s snaplen предназначена для определения количества байтов каждого пакета.

По умолчанию 68 байтов подходят для IP, ICMP, TCP и UDP, но могут обрезать другую информацию.

Обратите внимание: при увеличении моментальных снимков увеличивается время, затрачиваемое на обработку пакетов, и, фактически, уменьшается количество буферизации пакетов.

Это может привести к потере пакетов.

Оно должно быть ограничено наименьшим числом, которое будет захватывать информацию о протоколе, представляющую интерес.

Установка snaplen в 0 означает захват всего пакета.

Однако обратите внимание, что при использовании параметров TCP 68 байтов может быть недостаточно для захвата заголовков сетевых протоколов.

Параметры TCP сами могут занять более 20 байтов или даже больше в зависимости от того, какие опции были использованы.

Таким образом, более безопасное значение будет составлять около 100 байт, чтобы захватить все заголовки сетевого протокола, избегая при этом данных.

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40