با ابزار TCPdump چگونه ترافیک را شنود کنیم؟

بعد از نصب TCPdump باید با آن چه‌کاری را انجام دهیم؟


در اکثر توزیع های یونیکس//لینوکس، برای استقاده و اجرای TCPdump نیاز به سطح دسترسی root دارید؛ بخاطر انکه دسترسی و خواندن پکت ها دسترسی ای میخواهد که دیوایس فقط ان را به root میدهد. در ویندوز هم اگر WinDump را نصب کرده اید، برای استفاده از آن خودتان را اماده کنید. برای اجرای TCPdump//WinDump، فقط کافیست عبارت زیر را تایپ کنید:

TCPdump


root@Ehsan:~# TCPdump
TCPdump: listening on eth0

0 packets received by filter
0 packets dropped by kernel
…

WinDump


C:\Users\Ehsan\Desktop\WinDump>WinDump.exe
WinDump.exe: listening on \Device\NPF_{11FB32C3-7A19-4106-949D-6824D157C848}

بطور پیش فرض این ابزار تمام ترافیک ورودی و خروجی از کارت شبکه پیش فرض شما را خوانده و تمام آن ها را بصورت خروجی در کنسول نشان میدهد. از آنجایی که ما فعلا دستور پیش فرض برای اجرای این اسنیفر را اجرا کردیم، در خروجی شاهد این هستیم که پکت ها بسرعت رد میشوند و سخت است که در این حالت بتوانیم ترافیکی را تحلیل کنیم و یا ان که به خاطر بسپاریم. به همین علت برنامه نویسان برخی آپشن ها را به این دستورات اضافه کردند تا بواسطه ان ها بتوانیم خروجی فیلتر شده و شسته رفته خودمان را داشته باشیم.

برای بررسی لیست اینترفیس های موجود (ویندوز) عبارت زیر را تایپ میکنیم:

C:\Users\Ehsan\Desktop\WinDump>WinDump –D
1.	\Device\NPF_{ 11FB32C3-7A19-4106-949D-6824D157C848} (Belkin 11mbps
Wireless Notbook Network Adapter (Microsofts packet scheduler) )
2.	\Device\NPF_{ 152FB32C3-7J12-9606-949D-6824D157Vg675} (Intel® PRO/100 VE Network Connection  (Microsofts packet scheduler) )
3.	\Device\NPF_{ 152UK672C3-7J12-9606-949D-6824D1YT78645} (VMWare Virtual Ethernet Adapter)
4.	\Device\NPF_{ 152UK672C3-7J12-9606-949D-6824D1YT58Okjh} (VMWare Virtual Ethernet Adapter)

اما در مورد یونیکس//لینوکس فقط کافیست که در صفحه شل عبارت زیر را تایپ کنیم:

Ifconfig

در صورتی که سطح دسترسی یوزر root را داشته باشید، میتوانید لیست اینترفیس ها را مشاهده کنید.

خوب تا اینجا توانستیم لیست اینترفیس ها را ببینیم. برای آنکه بتوانیم یکی از اینترفیس ها را برای عمل شنود انتخاب کنیم، بترتیب در ویندوز و لینوکس بشیوه زیر عمل خواهیم کرد:

WinDump –i 1

C:\Users\Ehsan\Desktop\WinDump>WinDump –i 1
WinDump: listening on \Device\NPF_{5864H-45Hgh-ABgh654-917hgTY5264}

TCPdump –i eth0

root@Ehsan:~# TCPdump -i eth0
TCPdump: listening on eth0

0 packets received by filter
0 packets dropped by kernel

برای انکه بتوانید انواع ترافیکی که مد نظرتان است را انتخاب کنید، میتوانید ان را بعد از نام اینترفیس، مشخص کنید. در این مثال ما میخواهیم ترافیک TCP را مشاهده کنیم:

root@Ehsan:~# TCPdump -i eth0 tcp

یا

C:\Users\Ehsan\Desktop\WinDump>WinDump -i 1 tcp

بسیارخوب. توانستیم مشکل فیلترکردن را حل کنیم. اما با این حال هنوز هم حجم دیتایی که به خروجی میآید بسیار زیاد است و نمیتوان گفت که خروجی ما بهینه شده است. TCPdump بما آپشنی میدهد که بوسیله ان میتوانیم رکوردهای موجود در خروجی را به فرمت باینری درآورده و با dump (ذخیره) کردن ان ها، در فرصت مناسب آن ها را بخوانیم. ما این کار را با آپشن "w filename-" انجام میدهیم.

root@Ehsan:~# TCPdump -i eth0 –f myfiltrer.txt –w LSOoutput
TCPdump: listening on eth0

118 packets received by filter
0 packets dropped by kernel

یا

C:\Users\Ehsan\Desktop\WinDump>WinDump -i 1 –f myfiltrer.txt –w LSOoutput
WinDump: listening on \Device\NPF_{5864H-45Hgh-ABgh654-917hgTY5264}
45 packets received by filter
0 packets dropped by kernel

با این کار میتوانید ترافیک موجود در خروجی را بشکل باینری به خروجی ببرید و با استفاده از آپشن r filename- در زمان دلخواه ان ها را مطالعه کنید. در دو آپشن بالا w- مخفف write و r- مخفف read است.

root@Ehsan:~# TCPdump -i eth0 –f myfiltrer.txt –r LSOoutput
09:26:54.194409 192.168.64.128.32856 > 66-193-231.87.dimenoc.com.http: S
170526548523:170526548523 (0) win 5840 < mss 1460,sackOK,timestamp 308912,nop,wscal 0> (DF)
---- EDITED----
root@Ehsan:~#

یا

C:\Users\Ehsan\Desktop\WinDump>WinDump -i 1 –f myfiltrer.txt –r LSOoutput
09:26:54.194409 192.168.64.128.32856 > 66-193-231.87.dimenoc.com.http: S
170526548523:170526548523 (0) ack 985 632525 win 5840 < mss 1460,sackOK,timestamp 308912,nop,wscal 0> (DF)
---EDITED---
C:\Users\Ehsan\Desktop\WinDump>

مانا باشید.

نویسنده: احسان امجدی

منبع: جزیره امنیت اطلاعات و ارتباطات وب سایت توسینسو

هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد.

#libpcap_چیست؟ #tcpdump_چیست؟ #آموزش_امنیت_اطلاعات #ابزار_شنود_ترافیک #windump_چیست؟ #آموزش_امنیت_شبکه #ابزار_شنود_شبکه
عنوان
1 معرفی، نحوه دانلود و نصب ابزار شنود ترافیک TCPdump رایگان
2 با ابزار TCPdump چگونه ترافیک را شنود کنیم؟ رایگان
زمان و قیمت کل 0″ 0
0 نظر

هیچ نظری ارسال نشده است! اولین نظر برای این مطلب را شما ارسال کنید...

نظر شما
برای ارسال نظر باید وارد شوید.
از سرتاسر توسینسو
تنظیمات حریم خصوصی
تائید صرفنظر
×

تو می تونی بهترین نتیجه رو تضمینی با بهترین های ایران بدست بیاری ، پس مقایسه کن و بعد خرید کن : فقط توی جشنواره تابستانه می تونی امروز ارزونتر از فردا خرید کنی ....