تا %60 تخفیف خرید برای 7 نفر با صدور مدرک فقط تا
00 00 00
در توسینسو تدریس کنید

آموزش شنود ترافیک شبکه با TCPDump : آموزش TCPDump

بعد از نصب TCPdump باید با آن چه‌کاری را انجام دهیم؟ در اکثر توزیع های یونیکس//لینوکس، برای استقاده و اجرای TCPdump نیاز به سطح دسترسی root دارید؛ بخاطر انکه دسترسی و خواندن پکت ها دسترسی ای میخواهد که دیوایس فقط ان را به root میدهد. در ویندوز هم اگر WinDump را نصب کرده اید، برای استفاده از آن خودتان را اماده کنید. برای اجرای TCPdump//WinDump، فقط کافیست عبارت زیر را تایپ کنید:

TCPdump

root@Ehsan:~# TCPdump
TCPdump: listening on eth0

0 packets received by filter
0 packets dropped by kernel
…

WinDump

C:\Users\Ehsan\Desktop\WinDump>WinDump.exe
WinDump.exe: listening on \Device\NPF_{11FB32C3-7A19-4106-949D-6824D157C848}

بطور پیش فرض این ابزار تمام ترافیک ورودی و خروجی از کارت شبکه پیش فرض شما را خوانده و تمام آن ها را بصورت خروجی در کنسول نشان میدهد. از آنجایی که ما فعلا دستور پیش فرض برای اجرای این اسنیفر را اجرا کردیم، در خروجی شاهد این هستیم که پکت ها بسرعت رد میشوند و سخت است که در این حالت بتوانیم ترافیکی را تحلیل کنیم و یا ان که به خاطر بسپاریم. به همین علت برنامه نویسان برخی آپشن ها را به این دستورات اضافه کردند تا بواسطه ان ها بتوانیم خروجی فیلتر شده و شسته رفته خودمان را داشته باشیم.برای بررسی لیست اینترفیس های موجود (ویندوز) عبارت زیر را تایپ میکنیم:

C:\Users\Ehsan\Desktop\WinDump>WinDump –D
1.	\Device\NPF_{ 11FB32C3-7A19-4106-949D-6824D157C848} (Belkin 11mbps
Wireless Notbook Network Adapter (Microsofts packet scheduler) )
2.	\Device\NPF_{ 152FB32C3-7J12-9606-949D-6824D157Vg675} (Intel® PRO/100 VE Network Connection  (Microsofts packet scheduler) )
3.	\Device\NPF_{ 152UK672C3-7J12-9606-949D-6824D1YT78645} (VMWare Virtual Ethernet Adapter)
4.	\Device\NPF_{ 152UK672C3-7J12-9606-949D-6824D1YT58Okjh} (VMWare Virtual Ethernet Adapter)

اما در مورد یونیکس//لینوکس فقط کافیست که در صفحه شل عبارت زیر را تایپ کنیم:

Ifconfig

در صورتی که سطح دسترسی یوزر root را داشته باشید، میتوانید لیست اینترفیس ها را مشاهده کنید.خوب تا اینجا توانستیم لیست اینترفیس ها را ببینیم. برای آنکه بتوانیم یکی از اینترفیس ها را برای عمل شنود انتخاب کنیم، بترتیب در ویندوز و لینوکس بشیوه زیر عمل خواهیم کرد:

WinDump –i 1

C:\Users\Ehsan\Desktop\WinDump>WinDump –i 1
WinDump: listening on \Device\NPF_{5864H-45Hgh-ABgh654-917hgTY5264}

TCPdump –i eth0

root@Ehsan:~# TCPdump -i eth0
TCPdump: listening on eth0

0 packets received by filter
0 packets dropped by kernel

برای انکه بتوانید انواع ترافیکی که مد نظرتان است را انتخاب کنید، میتوانید ان را بعد از نام اینترفیس، مشخص کنید. در این مثال ما میخواهیم ترافیک TCP را مشاهده کنیم:

root@Ehsan:~# TCPdump -i eth0 tcp

یا

C:\Users\Ehsan\Desktop\WinDump>WinDump -i 1 tcp

بسیارخوب. توانستیم مشکل فیلترکردن را حل کنیم. اما با این حال هنوز هم حجم دیتایی که به خروجی میآید بسیار زیاد است و نمیتوان گفت که خروجی ما بهینه شده است. TCPdump بما آپشنی میدهد که بوسیله ان میتوانیم رکوردهای موجود در خروجی را به فرمت باینری درآورده و با dump (ذخیره) کردن ان ها، در فرصت مناسب آن ها را بخوانیم. ما این کار را با آپشن "w filename-" انجام میدهیم.

root@Ehsan:~# TCPdump -i eth0 –f myfiltrer.txt –w LSOoutput
TCPdump: listening on eth0

118 packets received by filter
0 packets dropped by kernel

یا

C:\Users\Ehsan\Desktop\WinDump>WinDump -i 1 –f myfiltrer.txt –w LSOoutput
WinDump: listening on \Device\NPF_{5864H-45Hgh-ABgh654-917hgTY5264}
45 packets received by filter
0 packets dropped by kernel

با این کار میتوانید ترافیک موجود در خروجی را بشکل باینری به خروجی ببرید و با استفاده از آپشن r filename- در زمان دلخواه ان ها را مطالعه کنید. در دو آپشن بالا w- مخفف write و r- مخفف read است.

root@Ehsan:~# TCPdump -i eth0 –f myfiltrer.txt –r LSOoutput
09:26:54.194409 192.168.64.128.32856 > 66-193-231.87.dimenoc.com.http: S
170526548523:170526548523 (0) win 5840 < mss 1460,sackOK,timestamp 308912,nop,wscal 0> (DF)
---- EDITED----
root@Ehsan:~#

یا

C:\Users\Ehsan\Desktop\WinDump>WinDump -i 1 –f myfiltrer.txt –r LSOoutput
09:26:54.194409 192.168.64.128.32856 > 66-193-231.87.dimenoc.com.http: S
170526548523:170526548523 (0) ack 985 632525 win 5840 < mss 1460,sackOK,timestamp 308912,nop,wscal 0> (DF)
---EDITED---
C:\Users\Ehsan\Desktop\WinDump>

مانا باشید.

نویسنده: احسان امجدی

منبع: جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

نظر شما
برای ارسال نظر باید وارد شوید.
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

افرادی که این مطلب را خواندند مطالب زیر را هم خوانده اند