makdoslogo

21 Kasım 2024 13:07

Anasayfa

undefined...

Tcpdump, Linux/UNIX sistemlerde ağ trafiğini incelemek için kullanılır.Tcpdump, ücretsizdir. Genellikle işletim sistemlerine entegre değildir.Yüklemeniz gerekiyor.

Tcpdump çalıştırıldığında paketleri yakalamak için libcap işlemini başlatacak ve bu paketlerin içeriklerini ekranda görüntüleyecektir.Tcpdump başlatıldığında yakalanacak paket sayısı için bir sınır belirtilmedikçe sonsuza kadar çalışmaya devam edecektir. Sonlandırmak için Ctrl +C'yi kullanabilirsiniz.

 

Ubuntu/Debian için aşağıdaki komutu çalıştırabilirsiniz.

 

apt-get install tcpdump
 

Centos/RHEL  için aşağıdaki komutu çalıştırabilirisniz.

 

yum install tcpdump
 

 

 

Tcpdump'ın Windows sürümü olan WinDump'ı indirmek için tıklayınız.

Not:Tcpdump komut satırı aracı olduğu için ağ trafiğinizi görsel arayüzle incelemek isterseniz Wireshark'ı kullanabilirsiniz.

 

 Tcpdump Kullanımı:

 

Parametresiz tcpdump komutunu çalıştırabilirsiniz. Sistemde aktif olan ilk ağ birimini dinler.  Flag'lar ve parametreler, zorunlu değildir, yazdığınızda da   sırası önemli değildir. 

 

tcpdump [-aAbdDefhHIJKlLnNOpqStuUvxX#] [ -B size ] [ -c count ]
[ -C file_size ] [ -E algo:secret ] [ -F file ] [ -G seconds ]
 [ -i interface ] [ -j tstamptype ] [ -M secret ] [ --number ]
 [ -Q in|out|inout ]
 [ -r file ] [ -s snaplen ] [ --time-stamp-precision precision ]
 [ --immediate-mode ] [ -T type ] [ --version ] [ -V file ]
 [ -w file ] [ -W filecount ] [ -y datalinktype ] [ -z postrotate-command ]
 [ -Z user ] [ expression ]
 

tcpdump
 

tcpdump_output

 

Detaylı incelemek için komut satırına aşağıdaki komutu yazabilirsiniz.

 

man tcpdump
 

Tcpdump çıktı formatını anlama:

Tcpdump çıktısı, protokole bağlıdır.Tcp paketi için çıktı aşağıdaki gibidir.

 

13:53:54.092640 IP makdos.ssh > 172.17.1.41.43100: Flags [P.], seq 16361260:16361464, ack 9217, win 501, options [nop,nop,TS val 1168156822 ecr 1623480999], length 204
 

 Tcpdump çıktısında her satır aşağıdakiler içerir.

  • Zaman damgası(timestamp): Paketin yakalandığı andaki gerçek saattir.(13:53:54.092640) 
hh:mm:ss.frac


  • Protokol: Paketin protokolünü belirtir. (IP)
    IP, IPv4 olan ağ katmanı protokolünü temsil eder.
    

    • fddi, tr, wlan, ip, ip6, arp, rarp, decnet, tcp and udp 


  • Kaynak hostname veya IP: (makdos)
    • 

  • Kaynak port:(ssh)
    • 

  • > : Yön belirteci
    • 

  • Hedef hostname veya IP: (172.17.1.41)
    • 

  • Hedef port: (43100)
    • 

  • Tcp Flag'ları: TCP bayrakları, belirli bir bağlantı durumunu belirtmek veya ek bilgi sağlamak için TCP paket aktarımları içinde kullanılır. Bu nedenle, sorun giderme amacıyla veya belirli bir bağlantının nasıl ele alınacağını kontrol etmek için kullanılabilirler.Çıktıda ilk harf gösterilir.(Flags [.])Yaygın Tcp Flag'ları aşağıdaki gibidir.
    • S – SYN.  İki ana bilgisayar arasında üç yönlü bir el sıkışma oluşturmanın ilk adımı olarak kullanılır.Bir bağlantı başlatır.
    F – FIN. Gönderenden daha fazla veri olmadığı anlamına gelir. Bu nedenle göndericiden gönderilen son pakette kullanılır.Bir bağlantıyı temiz bir şekilde sonlandırır.
    . – ACK. Bir paketin başarılı bir şekilde alındığını onaylamak için kullanılır.Alınan verileri onaylar.
    P – PUSH. Alıcıya bu paketleri arabelleğe almak yerine alındıklarında işlemesini söyler.
    R – RST. Bir paket beklemeyen belirli bir ana bilgisayara gönderildiğinde, sıfırlama bayrağı alıcıdan göndericiye gönderilir.İletişimin durduğunu gösterir.

  • Paketteki verilerin sıra numarası: (seq 16361260:16361464)
    • 16361260 : Kaynaktan ilk sıra numarası
    16361464 : Başlangıç ​​sıra numarası artı veri baytları olarak paketin boyutu olan bitiş sıra numarası 


  • Acknowledgement(onay) numarası: (ack 9217)
    • 

  • Window size: Alıcının gönderdiği ACK paketinde ara bellek dolmadan daha ne kadar veri alabileceği bilgisidir.(win 501) 
    • 

  • nop: Hiçbir işlem diğer seçeneklerin etrafında padding sağlamaz; yeniden göndermeye zorlamadan paketlerin alındığını onaylamak için kullanışlıdır (TCP seçeneği)
    • 

  • TS değeri : Bir TCP zaman damgası. Paketlerin gönderilme sırasını belirlemeye yardımcı olur.
    • 

  • ECR - Echo reply:  Acknowledgement alanıyla birlikte gönderilir.
    Senkronizasyon paketinde gönderilen TSval esas alınarak hesaplanan bir zaman damgası değeri
    • 

  • length: Yakalanan paketteki veri yükünün uzunluğu (length 204)
    •
     

    UDP paket çıktısı örneği;

     

    tcpdump_udp

     

    ARP paket çıktısı örneği;

     

    tcpdump_arp

     

    ICMP paket çıktısı örneği;

     

    tcpdump_icmp

     

    Network

    hakkında diğer konular

    Tcpdump ile Trafiği İzole Etme Yöntemleri

    Unicast, Broadcast ve Multicast Nedir

    MTR nedir? Nasıl Kurulur?

    IP Adresi Sınıfları Nelerdir

    Tcpdump nedir ?

    UDP nedir? UDP protokolü nasıl çalışır?

    Traceroute - Tracert Nedir?

    Private IP Adresleri

    ICMP Nedir ve Kod Değerlerinin Anlamları Nelerdir?

    Makdos Bilişim Teknolojileri 2015 - 2024