Tcpdump linux ������� sip

tcpdump

Утилита tcpdump относится к числу так называемых «снифферов» — программ предназначенных для перехвата сетевого трафика. Одним словом, tcpdump предназначен для подслушивания. Разрабо­тан Группой сетевых исследований (Network Reseach Group, NRG) Отдела инфор­мационных и вычислительных технологий (Information and Computing Sciences Division, ICSD) в Национальной лаборатории Лоренс Беркли (Lawrence Berkeley National Laboratory, LBNL).

tcpdump не единственный Сетевые анализаторы снифферы, которым может пользоваться администратор. Кроме tcpdump можно обратить внимание на такие программы, как:

tcpdump работает при помощи интерфейса bpf (Berkeley Packet Filter). Если поддержку этого устройства отключить, сниффинг в BSD окажется невозможен. Права на запуск программы tcpdump определяются правами доступа к устройсву bpf (/dev/bpf0). Эти права можно регулировать через devfs. Если вы предоставляете, например, группе operator права на чтение из этого устройства, то это значит, что все члены этой группы смогут перехватывать любой трафик, в том числе трафик суперпользователя.

Если программа tcpdump вызвана для прослушивания некоторого интерфейса, она переводит его в «promiscuous mode» — «неразборчивый режим». В этом режиме интерфейс ловит вообще все пакеты, которые до него добрались, а не только пакеты адресованные непосредственно ему. Таким образом, если сеть собрана не на коммураторах (switch), а на репитерах (hub), то tcpdump позволит перехватить трафик между посторонними машинами, т.е. подслушать разговор двух сторонних машин. Сказанное не означает, что перехват трафика невозможен в сети собранной на коммутаторах. Впрочем, интерфейс можно и не переводить в promiscous mode, если передать программе аргумент -p.

tcpdump для VoIP SIP H.323

Анализирует траффик удаленно через SSH с помощью Wireshark

UDP трафик с и на IP xxx.xxx.xxx.251 destined for port 5060:

Записать в файл mbill251 весь трафик с хоста xxx.xxx.xxx.251 за исключением трафика ssh

Прослушать порт 5060 с ip xxx.xxx.xxx.251

H.323 сигналинг ловим с двух IP. В таком виде с двух IP отказалось снимать, может быть OR нужно было поставить.

tcpdump Packet Filter Firewall (PF)

Примеры использования tcpdump

перечислить доступные интерфейсы (которые можно прослушивать при помощи опции -i)

посмотреть трафик одного хоста:

посмотреть трафик на порте:

посмотреть IP трафик на хост:

посмотреть ARP трафик на хост:

посмотреть RARP трафик на хост:

посмотреть трафик, кроме хоста unixserver:

посмотреть трафик на server1 и server2

посмотреть содержимое пакетов на интерфейсе tun0 на хост ya.ru

подсмотреть номера и пароли к icq

посмотреть содержимое пакетов на интерфейсе tun0 на хост ya.ru, при этом прочитать из каждого пакета по 1500 байт и не преобразовывать IP в имя хоста

Примеры использования tcpdump AND OR EXCEPT

TCP traffic from 10.5.2.3 destined for port 3389:

Traffic originating from the 192.168 network headed for the 10 or 172.16 networks:

Non-ICMP traffic destined for 192.168.0.2 from the 172.16 network:

Проблема +arplookup 0.0.0.0 failed: host is not on local network

Лечение: запускаем команду и ищем MAC c ошибкой

arpdig – dig an interface for arp responses. Выводит соответствие между IP и MAC. Пример использования:

gratuitous arp — самообращенные запросы. При таком запросе инициатор формирует пакет, где в качестве IP используется его собственный адрес.

Wireshark: Packet size limited during capture

Файлы tcpdump совместимы с Wireshark. Запуская ее с параметром -w filename, мы получаем файл, содержащий нужный нам сетевой трафик. К сожалению, по умолчанию в tcpdump каждый пакет ограничивается 96ю байтами (которых, как правило, достаточно для анализа любых пакетов). Однако если нужно залезть глубже и смотреть всё содержимое пакетов, нужно использовать команду -s size (где size — размер пакетов, которые нужно ловить). Для обычного ethernet’а размер пакетов равен 1500, для «разогнанного» гигабитного etherneta — порой до 65к.

Итого, имеем следующую команду:

И используем ее для того, чтобы можно было создать полный дамп сетевого трафика, который можно смотреть в Wireshark без сообщений вида Packet size limited during capture

tcpdump использование в Windows 10

Утилиту tcpdump можно использовать не только в Linux, но Windows.

Источник

TCPdump: программа для перехвата и анализа SIP-сообщений.

apt-get install tcpdump

TCPdump позволяет записывать перехваченный трафик в файл или отображать его в реальном времени.

1) Отображение в реальном времени на консоли

-n не конвертировать IP-адреса в DNS -имена

-q печатать меньше исходящей информации

-t не печатать метки времени

-s число байтов захватываемых из пакета, 0 = число iptions по умолчанию, которое составляет максимум 65535, или просто целый пакет

-A печатает каждый пакет в ASCI

-v детализация вывода, vv будет очень подробным

-i интерфейс с которого будет производиться захват

port 5060 — указывает порт для прослушивания трафика (5060 в данном случае)

2) Второй вариант использования tcpdump — захват данных и их запись в файл pcacp, а затем пост-анализ, например, с помощью wireshark.

Домашняя страница инструмента tcpdump находится здесь: http://www.tcpdump.org/tcpdump_man.html

Дополнительная информация из справочных страниц:

Usage: tcpdump [-aAdDeflLnNOpqRStuUvxX] [-c count] [ -C file_size ]

-A Печатать каждый пакет (без заголовка уровня ссылки) в ASCII . Удобно для захвата веб-страниц.

-B Установить размер буфера захвата операционной системы равным buffer_size.

-c Выход после получения определенного количества пакетов

-C Перед записью необработанного пакета в файл сохранения проверяет, больше ли размер файла чем file_size, и, если это так, закрывает текущий файл сохранения и открывает новый. Файл сохранения после первого будут иметь имя, указанное с флагом -w и номер после него, начинающийся с 1 и увеличивающийся. Единицами file_size являются миллионы байтов (1 000 000 байтов, а не 1 048 576 байтов).

-d Дамп скомпилированного кода сопоставления пакетов в удобочитаемой форме для стандартного вывода и остановки.

-dd Дамп кода сопоставления пакетов как фрагмент программы на C.

-ddd Дамп кода сопоставления пакетов в виде десятичных чисел (с предшествующим счетчиком).

-D Распечатать список сетевых интерфейсов, доступных в системе и по которым tcpdump может захватывать пакеты. Для каждого сетевого интерфейса печатаются номер и имя интерфейса, за которым, может следовать текстовое описание интерфейса. Имя или номер интерфейса можно указать во флаге -i, чтобы указать интерфейс для захвата.

Это может быть полезно в системах, в которых нет команды для их перечисления (например, в системах Windows или системах UNIX, в которых отсутствует ifconfig -a); Номер может быть полезен в Windows 2000 и более поздних системах, где имя интерфейса представляет собой довольно сложную строку. Флаг -D не будет поддерживаться, если tcpdump был собран с более старой версией libpcap, в которой отсутствует функция pcap_findalldevs ().

-e Печатать заголовок канального уровня в каждой строке дампа.

-E Использовать алгоритм и секрет spi@ipaddr для расшифровки пакетов IPsec ESP, направленных по адресу addr и содержащих значение индекса параметра безопасности spi. Эта комбинация может повторяться с разделением запятой или новой строкой. Обратите внимание, что в настоящее время поддерживается установка секрета для пакетов IPv4 ESP. Алгоритмы могут быть des-cbc, 3des-cbc, blowfish-cbc, rc3-cbc, cast128-cbc или отсутствовать. По умолчанию используется des-cbc. Возможность дешифрования пакетов присутствует только в том случае, если tcpdump был скомпилирован с включенной криптографией. Параметр secret содержит ASCII -текст для секретного ключа ESP. Если ему предшествует 0x, то будет прочитано шестнадцатеричное значение. Опция предполагает RFC2406 ESP, а не RFC1827 ESP. Опция предназначена только для целей отладки, и использование этой опции с истинным «секретным» ключом не рекомендуется. Представив секретный ключ IPsec в командной строке, вы сделаете его видимым для других с помощью ps(1) и в ряде других случаев. Кроме вышеупомянутого синтаксиса параметры можно указать в файле опций, который tcpdump будет читать при получении первого пакета ESP.

-f Выводить «чужие» IPv4-адреса в числовом формате, а не символически (эта опция предназначена для того, чтобы обойти серьезные проблемы на NIS-сервере Sun). Проверка «чужих» адресов IPv4 выполняется с использованием адреса IPv4 и маски сети интерфейса, на котором выполняется захват. Если этот адрес или маска сети недоступны (либо потому что интерфейс, на котором выполняется захват, не имеет адреса или маски сети, либо потому, что захват выполняется на интерфейсе Linux «any», который может захватывать на нескольких интерфейсах) опция будет некорректно.

-F Использовать фильтр, находящийся в файле. При использовании данного параметра, фильтр из командной строки будет игнорироваться.

-G Если указано, включает ротацию файлов дампа указанных с параметром -w, каждые rotate_seconds секунды. Файлы сохранения будут иметь имя, указанное в -w, которое должно включать формат времени, определенный strftime (3). Если формат времени не указан, каждый новый файл будет перезаписывать предыдущий. Если используется вместе с опцией -C, имена файлов будут иметь вид `file `.

-i Интерфейс для прослушивания. Если не указан, tcpdump ищет в системном списке интерфейсов настроенный интерфейс с наименьшим номером (исключая loopback). В системах Linux с ядром 2.2 или более поздней версии «any» может использоваться для захвата пакетов со всех интерфейсов. Обратите внимание, что захват со всех интерфейсов не будет выполняться в случайном режиме. Если поддерживается флаг -D, в качестве аргумента интерфейса может использоваться номер интерфейса, напечатанный этим флагом.

-I Перевести интерфейс в «режим мониторинга»; это поддерживается только в интерфейсах Wi-Fi IEEE 802.11 и только в некоторых операционных системах. Обратите внимание, что в режиме мониторинга адаптер может отсоединиться от сети, с которой он связан, так что вы не сможете использовать никакие беспроводные сети с этим адаптером. Это может помешать доступу к файлам на сетевом сервере или разрешению имен хостов или сетевых адресов, если вы выполняете захват в режиме мониторинга и не подключены к другой сети с помощью другого адаптера. Этот флаг повлияет на вывод флага -L. Если -I не указан, будут показаны только те типы канального уровня, которые доступны, когда он не находится в режиме мониторинга; если указан -I, будут отображаться только те типы канального уровня, которые доступны в режиме монитора.

-K Отключает проверку контрольных сумм IP, TCP или UDP. Это полезно для интерфейсов, которые выполняют такие проверки в аппаратных средствах; в противном случае все исходящие контрольные суммы TCP будут помечены как плохие.

-l Использовать стандартный потоковый вывод tcpdump (stdout). Полезно, если вы хотите увидеть данные во время их захвата. Например, “tcpdump -l | tee dat” or “tcpdump -l > dat & tail -f dat”.

-L Вывести список известных типов каналов передачи данных для интерфейса в указанном режиме и выйти. Список известных типов каналов передачи данных может зависеть от указанного режима; например, на некоторых платформах интерфейс Wi-Fi может поддерживать один набор типов каналов передачи данных, когда режим мониторинга не используется, и другой набор когда он включен.

-m Загружает SMI MIB модуль из файла модуля. Эта опция может использоваться несколько раз для загрузки нескольких модулей MIB в tcpdump.

-M Использовать секрет как общий секрет для проверки дайджестов, найденных в сегментах TCP с опцией TCP-MD5 (RFC 2385), если имеется.

-n Не конвертировать адреса (т. е. адреса хостов, номера портов и т. д.) в имена.

-N Не печатать доменное имя с указанием имен хостов. Например, если вы установите этот флаг, то tcpdump выведет «nic» вместо «nic.ddn.mil».

-O Не запускать оптимизатор кода соответствия пакетов. Это необходимо, только если вы подозреваете ошибку в оптимизаторе.

-p Не переводит интерфейс в режим приема всех пакетов. Обратите внимание, что интерфейс может быть в случайном режиме по какой-то другой причине; следовательно, `-p ‘нельзя использовать в качестве сокращения для` ether host или ether broadcast’.

-q Быстрый (тихий?) вывод. Печатает меньше протокольной информации, чтобы выходные строки были короче.

-R Предполагается, что пакеты ESP/AH основаны на старой спецификации (RFC1825 — RFC1829). Если указано, tcpdump не будет печатать поле replay prevention (защита от воспроизведения). Поскольку в спецификации ESP/AH нет поля версии протокола, tcpdump не может определить версию протокола ESP/AH.

-r Читает трафик из файла, если он был предварительно сохранен параметром -w.

-S Выводит абсолютные, а не относительные порядковые номера TCP.

-s Устанавливает количество байтов пакета, которые будет обрабатывать tcpdump. Пакеты, усеченные из-за данного ограничения, указываются в выходных данных «[|proto]», где proto — это имя уровня протокола, на котором произошло усечение. Обратите внимание, что создание больших моментальных снимков увеличивает время обработки пакетов и фактически уменьшает объем буферизации пакетов. Это может привести к потере пакетов. Вы должны ограничить snaplen наименьшим числом, которое будет захватывать интересующую вас информацию о протоколе. При установке snaplen в 0 устанавливается значение по умолчанию 65535 для обратной совместимости с более старыми версиями tcpdump.

-T Интерпретация пакетов заданного типа. В настоящее время известны следующие типы: aodv (Ad-hoc On-demand Distance Vector protocol), cnfp (протокол Cisco NetFlow), rpc (удаленный вызов процедур), rtp (протокол приложений реального времени), rtcp (протокол управления приложениями реального времени), snmp (простой протокол управления сетью), tftp (простой протокол передачи файлов), vat (Visual Audio Tool) и wb (distributed White Board).

-t Не печатать метку времени в каждой строке дампа.

-tt Печать неформатированной метки времени в каждой строке дампа.

-ttt Печать дельты (микросекундное разрешение) между текущей и предыдущей строками в каждой строке дампа.

-tttt Печать времени вместе с датой в каждой строке дампа.

-ttttt Вывести дельту (микросекундное разрешение) между текущей и первой строкой в каждой строке дампа.

-u Печать недекодированных манипуляторов (handle) NFS.

-U Захваченные пакеты будут сразу сохраняться в файл, а иначе копиться в памяти до тех пор, пока она не закончится. Флаг -U не будет поддерживаться, если tcpdump был собран с более старой версией libpcap, в которой отсутствует функция pcap_dump_flush ().

-v Печатает более подробную информацию (TTL; ID; общая длина заголовка, а также его параметры; производит проверку контрольных сумм IP и ICMP-заголовков). При записи в файл с параметром -w оповещает каждые 10 секунд о количестве перехваченных пакетов.

-vv Еще более подробный вывод. Например, дополнительные поля печатаются из ответных пакетов NFS, а пакеты SMB полностью декодируются.

-vvv Вывод максимально подробной информации. Например, опции telnet SB… SE отображаются полностью. С -X Telnet также отображаются в шестнадцатеричном формате.

-w Записывать необработанные пакеты в файл, а не анализировать и выводить их. Позже они могут быть напечатаны с опцией -r. Стандартный вывод используется, если файл «-». Преимущество использования данного способа по сравнению с обычным перенаправлением в файл является высокая скорость записи и возможность чтения подобных данных другими программами, например snort, но этот файл нельзя прочитать человеку. Смотрите pcap-savefile (5) для описания формата файла.

-W Используется вместе с опцией -C, это ограничивает количество созданных файлов указанным числом, и начнет перезаписывать файлы с самого начала, создавая таким образом ротацию буфера.

-x Выводит данные каждого пакета (за исключением заголовка канального уровня) в шестнадцатеричном формате.

-xx Аналогично -x, но включает в себя заголовок канального уровня

-X Выводит данные каждого пакета (за исключением заголовка канального уровня) в шестнадцатеричном и ASCII -формате. Это очень удобно для анализа новых протоколов.

-XX Аналогично -X, но включает в себя заголовок канального уровня.

-y Устанавливает тип канального уровня, используемого при захвате пакетов.

-z Используется вместе с опциями -C или -G, это заставит tcpdump запустить «командный файл», где файл — это файл сохранения, закрываемый после каждой ротации. Например, указание -z gzip или -z bzip2 будет сжимать каждый файл сохранения с помощью gzip или bzip2. Обратите внимание, что tcpdump будет запускать команду параллельно с захватом, используя самый низкий приоритет, чтобы это не нарушало процесс захвата. И если вы хотите использовать команду, которая сама принимает флаги или другие аргументы, вы всегда можете написать сценарий оболочки, который примет имя файла сохранения в качестве единственного аргумента, создаст флаги и аргументы и выполнит команду, которую вы хотите.

-Z Удаляет привилегии (если root) и меняет идентификатор пользователя на пользователя, а идентификатор группы на основную группу пользователей. Это поведение также может быть включено по умолчанию во время компиляции. выражение выбирает, какие пакеты будут сброшены. Если выражение не указано, все пакеты в сети будут сброшены. В противном случае будут выгружаться только пакеты, для которых выражение «true». Синтаксис выражения см. В разделе pcap-filter (7). Аргументы выражения могут быть переданы в tcpdump как один аргумент или как несколько аргументов, в зависимости от того, что более удобно. Как правило, если выражение содержит метасимволы Shell, его проще передать в виде одного аргумента в кавычках. Несколько аргументов объединяются с пробелами перед анализом.

Источник