इस गाइड में, हम प्रदर्शित करेंगे कि लिनक्स सिस्टम पर tcpdump कैसे स्थापित करें और tcpdump का उपयोग करके TCP/IP पैकेट को कैसे कैप्चर और विश्लेषण करें।
टीसीपीडम्प कैसे स्थापित करें
Tcpdump कई लिनक्स वितरणों पर पूर्वस्थापित है। लेकिन अगर यह आपके सिस्टम पर पहले से इंस्टॉल नहीं है, तो आप अपने Linux सिस्टम पर tcpdump इंस्टॉल कर सकते हैं। Ubuntu 22.04 सिस्टम पर tcpdump स्थापित करने के लिए, निम्न कमांड का उपयोग करें:
$ sudo apt इंस्टॉल tcpdump
Fedora/CentOS पर tcpdump स्थापित करने के लिए, निम्नलिखित कमांड का उपयोग करें:
$ sudo dnf tcpdump स्थापित करें
Tcpdump कमांड का उपयोग करके पैकेट को कैसे कैप्चर करें
Tcpdump के साथ पैकेट कैप्चर करने के लिए, 'Ctrl+Alt+t' का उपयोग करके sudo विशेषाधिकारों के साथ टर्मिनल लॉन्च करें। इस टूल में टीसीपी/आईपी पैकेट कैप्चर करने के लिए विभिन्न विकल्प और फ़िल्टर शामिल हैं। यदि आप वर्तमान या डिफ़ॉल्ट नेटवर्क इंटरफ़ेस के सभी प्रवाहित पैकेटों को कैप्चर करना चाहते हैं, तो बिना किसी विकल्प के 'tcpdump' कमांड का उपयोग करें।
$ सुडो टीसीपीडम्प
दिया गया कमांड आपके सिस्टम के डिफ़ॉल्ट नेटवर्क इंटरफ़ेस के पैकेट को कैप्चर करता है।
इस आदेश के निष्पादन के अंत में, सभी कैप्चर किए गए और फ़िल्टर किए गए पैकेट गिनती टर्मिनल पर प्रदर्शित की जाती हैं।
आइए आउटपुट को समझें।
टीसीपीडम्प टीसीपी/आईपी पैकेट हेडर के विश्लेषण को सक्षम बनाता है। यह प्रत्येक पैकेट के लिए एक पंक्ति दिखाता है, और कमांड तब तक चलता रहता है जब तक आप इसे रोकने के लिए 'Ctrl+C' नहीं दबाते।
Tcpdump द्वारा प्रदान की गई प्रत्येक पंक्ति में निम्नलिखित विवरण शामिल हैं:
- यूनिक्स टाइमस्टैम्प (उदा., 02:28:57.839523)
- प्रोटोकॉल (आईपी)
- स्रोत होस्टनाम या आईपी और पोर्ट नंबर
- गंतव्य होस्टनाम या आईपी और पोर्ट नंबर
- टीसीपी फ़्लैग्स (जैसे, फ़्लैग्स [एफ.]) एस (एसवाईएन), एफ (फिन) जैसे मानों के साथ कनेक्शन स्थिति को दर्शाते हैं। (एसीके), पी (पुश), आर (आरएसटी)
- पैकेट में डेटा की अनुक्रम संख्या (जैसे, seq 5829:6820)
- पावती संख्या (उदाहरण के लिए, एके 1016)
- विंडो का आकार (उदाहरण के लिए, विन 65535) टीसीपी विकल्पों के बाद प्राप्त बफर में उपलब्ध बाइट्स का प्रतिनिधित्व करता है
- डेटा पेलोड की लंबाई (जैसे, लंबाई 991)
अपने सिस्टम के सभी सूची नेटवर्क इंटरफेस को सूचीबद्ध करने के लिए, '-D' विकल्प के साथ 'tcpdump' कमांड का उपयोग करें।
$ सुडो टीसीपीडम्प -डीया
$ tcpdump--सूची-इंटरफ़ेसयह कमांड उन सभी नेटवर्क इंटरफेस को सूचीबद्ध करता है जो आपके लिनक्स सिस्टम से जुड़े हैं या चल रहे हैं।
निर्दिष्ट नेटवर्क इंटरफ़ेस के पैकेट कैप्चर करें
यदि आप किसी विशिष्ट इंटरफ़ेस से गुजरने वाले टीसीपी/आईपी पैकेट को कैप्चर करना चाहते हैं, तो 'tcpdump' कमांड के साथ '-i' ध्वज का उपयोग करें और नेटवर्क इंटरफ़ेस नाम निर्दिष्ट करें।
$ सुडो टीसीपीडम्प -आई लो
दिया गया कमांड 'लो' इंटरफ़ेस पर ट्रैफ़िक को कैप्चर करता है। यदि आप पैकेट के बारे में कोई शब्दाडंबर या विस्तृत जानकारी प्रदर्शित करना चाहते हैं, तो '-v' ध्वज का उपयोग करें। अधिक विस्तृत विवरण मुद्रित करने के लिए, 'tcpdump' कमांड के साथ '-vv' ध्वज का उपयोग करें। नियमित उपयोग और विश्लेषण एक मजबूत और सुरक्षित नेटवर्क वातावरण बनाए रखने में योगदान देता है।
इसी प्रकार, आप निम्न कमांड का उपयोग करके किसी भी इंटरफ़ेस पर ट्रैफ़िक कैप्चर कर सकते हैं:
$ sudo tcpdump -i कोई भी
एक विशिष्ट पोर्ट का उपयोग करके पैकेट कैप्चर करें
आप इंटरफ़ेस नाम और पोर्ट नंबर निर्दिष्ट करके पैकेट को कैप्चर और फ़िल्टर कर सकते हैं। उदाहरण के लिए, पोर्ट 22 का उपयोग करके 'enp0s3' इंटरफ़ेस से गुजरने वाले नेटवर्क पैकेट को कैप्चर करने के लिए, निम्न कमांड का उपयोग करें:
$ tcpdump -i enp0s3 पोर्ट 22पिछला कमांड 'enp0s3' इंटरफ़ेस से सभी बहने वाले पैकेटों को कैप्चर करता है।
Tcpdump के साथ सीमित पैकेट कैप्चर करें
आप निर्दिष्ट संख्या में पैकेट कैप्चर करने के लिए 'tcpdump' कमांड के साथ '-c' ध्वज का उपयोग कर सकते हैं। उदाहरण के लिए, 'enp0s3' इंटरफ़ेस पर चार पैकेट कैप्चर करने के लिए, निम्न कमांड का उपयोग करें:
$ tcpdump -i enp0s3 -c 4
अपने सिस्टम का उपयोग करके इंटरफ़ेस नाम बदलें।
नेटवर्क ट्रैफ़िक कैप्चर करने के लिए उपयोगी Tcpdump कमांड
निम्नलिखित में, हमने कुछ उपयोगी 'tcpdump' कमांड सूचीबद्ध किए हैं जो नेटवर्क ट्रैफ़िक या पैकेट को कुशलतापूर्वक कैप्चर करने और फ़िल्टर करने में आपकी सहायता करेंगे:
'tcpdump' कमांड का उपयोग करके, आप एक परिभाषित गंतव्य आईपी या स्रोत आईपी के साथ इंटरफ़ेस के पैकेट को कैप्चर कर सकते हैं।
$ tcpdump -i {इंटरफ़ेस-नाम} dst {गंतव्य-आईपी}आप पैकेट को 65535 बाइट्स के स्नैपशॉट आकार के साथ कैप्चर कर सकते हैं जो 262144 बाइट्स के डिफ़ॉल्ट आकार से अलग है। Tcpdump के पुराने संस्करणों में, कैप्चर आकार 68 या 96 बाइट्स तक सीमित था।
$ tcpdump -i enp0s3 -s 65535
कैप्चर किए गए पैकेट को फ़ाइल में कैसे सहेजें
यदि आप आगे के विश्लेषण के लिए कैप्चर किए गए डेटा को फ़ाइल में सहेजना चाहते हैं, तो आप ऐसा कर सकते हैं। यह एक निर्दिष्ट इंटरफ़ेस पर ट्रैफ़िक को कैप्चर करता है और फिर इसे '.pcap' फ़ाइल में सहेजता है। कैप्चर किए गए डेटा को फ़ाइल में संग्रहीत करने के लिए निम्न कमांड का उपयोग करें:
$ tcpdump -i <इंटरफ़ेस-नाम> -s 65535 -w <फ़ाइल-नाम>.pcapउदाहरण के लिए, हमारे पास 'enps03' इंटरफ़ेस है। इस कैप्चर किए गए डेटा को निम्न फ़ाइल में सहेजें:
$ सुडो टीसीपीडम्प -आई एनपीएस03 -डब्ल्यू डंप.पीकैपभविष्य में, आप इस कैप्चर की गई फ़ाइल को वायरशार्क या अन्य नेटवर्क विश्लेषण टूल का उपयोग करके पढ़ सकते हैं। इसलिए, यदि आप पैकेटों का विश्लेषण करने के लिए वायरशार्क का उपयोग करना चाहते हैं, तो '-w' तर्क का उपयोग करें और इसे '.pcap' फ़ाइल में सहेजें।
निष्कर्ष
इस ट्यूटोरियल में, हमने विभिन्न उदाहरणों की सहायता से टीसीपीडम्प का उपयोग करके पैकेट को कैप्चर और विश्लेषण करने का तरीका दिखाया। हमने यह भी सीखा कि कैप्चर किए गए ट्रैफ़िक को '.pcap' फ़ाइल में कैसे सहेजा जाए, जिसे आप वायरशार्क और अन्य नेटवर्क विश्लेषण टूल का उपयोग करके देख और विश्लेषण कर सकते हैं।