Утилита tcpdump

В категории Статьи от 5 сентября, 2011. Автор admin

Сеть напоминает кровеносную систему, а движущиеся по ней пакеты сродни тромбоцитам, лейкоцитам и прочим клеткам крови. Однако не все, что плавает в крови, несет пользу. Периодически в кровь проникает зараза, которая стремится навредить или даже убить весь организм. Чтобы обнаружить и вовремя устранить заболевание, необходимо сдавать кровь на анализы. С аналогичной целью следует анализировать «сетевую кровь». Стандартным инструментом для такого анализа в *nix является утилита tcpdump.
Виртуозное владение опциями командной строки

Утилита tcpdump представляет собой сетевой анализатор пакетов, разработанный Lawrence Berkeley National Laboratory. Если tcpdump запустить без каких-либо параметров, она будет перехватывать все сетевые пакеты и выводить о них информацию. С помощью параметра ‘-i’ можно указать сетевой интерфейс, с которого следует принимать данные:

# tcpdump -i eth2

Больше »

Тэги:

Анализ трафика при помощи tcpdump

В категории Статьи от 4 сентября, 2011. Автор admin

Введение

Зачем нужно анализировать трафик? Знание того, как происходит взаимодействие между компьютерами позволяет более быстро обнаружить и решить возможные проблемы, возникшие в работе сети. Приведу простейший пример: один из компьютеров локальной сети перестает отвечать на запросы. Что могло произойти? Были ли он взломан или это ошибки системного администратора? Если в сети присутствует хорошая система управления логами, то можно много информации узнать из этих файлов. Но что если в них нет ничего подозрительного или, что еще хуже, они были скомпрометированы злоумышленником? Тогда на помощь приходит tcpdump. Эта программа, как скрытая камера, которая показывает, что происходит в данный момент в сети. Благодаря ей вы можете создать специальные фильтры, которые будут отображать только нужный вам трафик.

Конечно tcpdump не единственная программа, умеющая анализировать трафик, существует множество подобных программ, например ethereal. Это очень хорошее средство, быстро развивающееся и, несмотря на казалось бы раннюю версию, (последняя на момент написании статьи версия была 0.10.10) является очень надежной и глубоко продуманной программой. Один только список поддерживаемых протоколов перевалил за 500 (последняя версия, насколько я знаю поддерживает 673 протокола www.ethereal.com/introduction.html )! Почему я использовал именно tcpdump, а не эту программу? Во-первых я привык работать с tcpdump, для использования же ethereal необходимо наличие X-сервера, а я больше люблю работать в консоли. Во-вторых, отчеты ethereal трудно отобразить в печатном виде. И все же я планирую подробно рассказать об этой замечательной программе в одной из своих следующих статей.

Создать подобный цикл статей меня заставило почти полное отсутствие в интернете подробного и понятного описания программы tcpdump, а также того, что с помощью нее можно сделать. Понятно, что тема анализа протоколов TCP/IP очень обширна, описать все возможные виды трафика невозможно, да и не нужно, поэтому я постараюсь описать только самое интересное, и, на мой взгляд, необходимое.
Больше »

Тэги: