اگر آپ کو لینکس میں نیٹ ورک پیکٹوں کا تجزیہ یا انفیکشن کرنے کی ضرورت ہے تو، یہ اس کے لئے کنسول کی افادیت کا استعمال کرنا بہتر ہے. tcpdump. لیکن مسئلہ اس کے پیچیدہ انتظام میں پیدا ہوتا ہے. یہ ایک عام صارف کے لئے افادیت کے ساتھ کام کرنے کے لئے تکلیف لگے گا، لیکن یہ صرف پہلی نظر میں ہے. آرٹیکل اس بات کی وضاحت کرے گا کہ ٹی سی پیڈمپ کس طرح منظم کیا جاتا ہے، اس کا نحوق کیا ہے، اس کا استعمال کیسے کریں، اور اس کے استعمال کے بہت سے مثال دیئے جائیں گے.
یہ بھی دیکھیں: Ubuntu، Debian، Ubuntu سرور میں انٹرنیٹ کنکشن قائم کرنے کے لئے سبق
تنصیب
لینکس پر مبنی آپریٹنگ سسٹم کے زیادہ تر ڈویلپرز میں پہلے نصب شدہ افراد کی فہرست میں Tcpdump افادیت شامل ہے، لیکن اگر کسی وجہ سے یہ آپ کی تقسیم میں نہیں ہے تو آپ ہمیشہ اسے ڈاؤن لوڈ کرسکتے ہیں اور اسے انسٹال کرسکتے ہیں. "ٹرمینل". اگر آپ کا ڈیبین ڈیبیان پر مبنی ہے، اور یہ Ubuntu، لینکس ٹکسال، کیلی لینکس اور پسند ہے، آپ کو یہ کمانڈ چلانے کی ضرورت ہے:
sudo apt tcpdump انسٹال
جب آپ کو انسٹال کرنا ایک پاسورڈ درج کرنے کی ضرورت ہے. براہ کرم نوٹ کریں کہ جب ٹائپنگ نہیں کیا جاتا ہے، تو تنصیب کی توثیق کرنے کے لئے بھی، آپ کو کردار درج کرنا ضروری ہے "ڈی" اور دبائیں درج کریں.
اگر آپ کے پاس Red Hat، Fedora یا CentOS ہے، تو تنصیب کمانڈ اس طرح نظر آئے گا:
سڈو یم tcpdump انسٹال
افادیت نصب کرنے کے بعد، آپ اسے فوری طور پر استعمال کرسکتے ہیں. بعد میں اس متن پر بحث کی جائے گی.
یہ بھی دیکھیں: Ubuntu سرور کے لئے پی ایچ پی تنصیب گائیڈ
مطابقت رکھتا ہے
کسی دوسرے کمانڈر کی طرح، tcpdump اس کے اپنے نحوق ہے. اسے جاننے کے، آپ کو تمام لازمی پیرامیٹرز مقرر کر سکتے ہیں جو کمانڈ کو انجام دینے کے دوران اکاؤنٹ میں لے جائیں گے. نحو یہ ہے:
tcpdump کے اختیارات - ایک انٹرفیس فلٹرز
حکم کا استعمال کرتے وقت، آپ کو ٹریک کرنے کے لئے انٹرفیس کی وضاحت کرنا ضروری ہے. فلٹر اور اختیارات لازمی متغیر نہیں ہیں، لیکن وہ مزید لچکدار ترتیب دینے کی اجازت دیتے ہیں.
اختیارات
اگرچہ یہ اختیار کی وضاحت کرنے کی ضرورت نہیں ہے، اس کے باوجود دستیاب افراد کی فہرست بھی ضروری ہے. ٹیبل اپنی پوری فہرست کو ظاہر نہیں کرتا، لیکن صرف سب سے زیادہ مقبول، لیکن وہ زیادہ سے زیادہ کاموں کو حل کرنے کے لئے کافی سے زیادہ ہیں.
| اختیار | تعریف |
|---|---|
| اے | آپ ASCII فارمیٹ میں پیکجوں کو ترتیب دینے کی اجازت دیتا ہے |
| ایل | ایک سکرال تقریب جوڑتا ہے. |
| اے | داخل کرنے کے بعد آپ کو نیٹ ورک انٹرفیس کی وضاحت کرنے کی ضرورت ہے جو نگرانی کی جائے گی. تمام انٹرفیسوں کو ٹریک کرنے کیلئے، اختیار کے بعد لفظ "کسی" کو ٹائپ کریں. |
| -c | مخصوص پیکجوں کی جانچ پڑتال کے بعد ٹریکنگ کے عمل کو مکمل کرتا ہے. |
| -و | توثیق کی رپورٹ کے ساتھ ٹیکسٹ فائل تیار کرتا ہے. |
| اے | اعداد و شمار کے پیکٹ کے انٹرنیٹ کنکشن کی سطح کو ظاہر کرتا ہے. |
| - ایل | صرف ان پروٹوکول کو دکھاتا ہے جو مخصوص نیٹ ورک انٹرفیس کی طرف سے حمایت کی جاتی ہے. |
| سی | اگر کسی کا سائز کسی مخصوص پیکیج سے زیادہ بڑا ہے تو ایک پیکج لکھنے کے لۓ ایک اور فائل بناتا ہے. |
| آر | پڑھنے کے لئے ایک فائل کھولتا ہے جو اس کے ساتھ پیدا ہوا تھا. |
| -ج | ٹائم اسٹیمپ فارمیٹس ریکارڈنگ پیکجوں کے لئے استعمال کیا جائے گا. |
| جی | آپ کو دستیاب دستیاب فارمیٹس ٹائم اسٹیمپ دیکھنے کی اجازت دیتا ہے |
| جی جی | لاگ ان کے ساتھ ایک فائل بنانے کے لئے استعمال کیا جاتا ہے. یہ اختیار ایک عارضی قدر کی ضرورت ہوتی ہے، جس کے بعد ایک نئی لاگ ان کی جائے گی |
| -v، -vv، -vvv | اختیار میں حروف کی تعداد پر منحصر ہے، کمانڈ کی پیداوار زیادہ تفصیلی ہو جائے گا (حروف کی تعداد میں اضافہ براہ راست تناسب ہے) |
| - ایف | آؤٹ پٹ آئی پی ایڈریس کا ڈومین نام ظاہر کرتا ہے |
| - ایف | آپ کو نیٹ ورک انٹرفیس سے نہیں، لیکن مخصوص فائل سے معلومات کو پڑھنے کی اجازت دیتا ہے |
| ڈی ڈی | استعمال کیا جا سکتا ہے تمام نیٹ ورک انٹرفیس کا مظاہرہ. |
| این | ڈومین ناموں کے ڈسپلے کو خارج کردیں |
| -Z | صارف کی وضاحت کرتا ہے جس کے تحت تمام فائلوں کو پیدا کیا جائے گا. |
| -K | جانچ پڑتال کا تجزیہ چھوڑ دیں |
| - ق | مختصر معلومات کا مظاہرہ |
| - ایچ | 802.11 کے ہیڈر کا پتہ لگاتا ہے |
| - I | مانیٹر موڈ میں قبضہ کرنے والے پیکٹوں پر استعمال کیا جاتا ہے. |
اختیارات کی جانچ پڑتال کے بعد، ہم ذیل میں براہ راست ان کے ایپلی کیشنز میں تبدیل ہوتے ہیں. اس دوران، فلٹر پر غور کیا جائے گا.
فلٹرز
جیسا کہ آرٹیکل کی ابتدا میں ذکر کیا گیا ہے، آپ tcpdump مطابقت پذیری میں فلٹر شامل کر سکتے ہیں. اب ان میں سے سب سے زیادہ مقبول سمجھا جائے گا:
| فلٹر | تعریف |
|---|---|
| میزبانی | میزبان کے نام کی وضاحت کرتا ہے. |
| نیٹ | IP subnet اور نیٹ ورک کی وضاحت کرتا ہے |
| آئی پی | پروٹوکول ایڈریس کی وضاحت کرتا ہے |
| ایس ایس ایس | مخصوص پتہ سے بھیج دیا گیا پیکٹوں کو دکھاتا ہے |
| dst | مخصوص پتہ کی طرف سے موصول ہونے والے پیکٹوں کو دکھاتا ہے. |
| آر پی، udp، tcp | پروٹوکول میں سے ایک کی طرف سے فلٹرنگ |
| بندرگاہ | مخصوص بندرگاہ سے متعلق معلومات دکھاتا ہے. |
| اور، یا | ایک حکم میں ایک سے زیادہ فلٹر جمع کرنے کے لئے استعمال کیا جاتا ہے. |
| کم، زیادہ | آؤٹ پٹ پیکجوں کو مخصوص سائز سے چھوٹا یا بڑا |
سب سے اوپر فلٹر ایک دوسرے کے ساتھ مل کر جا سکتے ہیں، لہذا ایک کمانڈ جاری کرنے میں آپ صرف وہی معلومات دیکھیں گے جو آپ دیکھنا چاہتے ہیں. زیادہ تفصیل سے اوپر فلٹرز کے استعمال میں سمجھنے کے لئے، یہ مثال دینے کے قابل ہے.
یہ بھی ملاحظہ کریں: ٹرمینل میں اکثر استعمال کردہ کمانڈل
استعمال کی مثالیں
اکثر استعمال شدہ tcpdump نحو کے اختیارات اب درج کیا جائے گا. ان سب کو درج نہیں کیا جاسکتا ہے، کیونکہ ان کی مختلف حالتیں لامحدود ہوسکتی ہیں.
انٹرفیس کی فہرست دیکھیں
یہ سفارش کی جاتی ہے کہ ہر صارف کو ابتدائی طور پر ان کے تمام نیٹ ورک انٹرفیس کی فہرست کی جانچ پڑتال کی جا سکتی ہے جو پتہ چلا جاسکتا ہے. اوپر کی میز سے ہم جانتے ہیں کہ اس کے لئے آپ کو اختیار کا استعمال کرنا ہوگا ڈی ڈیلہذا ٹرمینل میں مندرجہ ذیل کمانڈ چلاتے ہیں:
سوڈو Tcpdump - ڈی
مثال:
جیسا کہ آپ دیکھ سکتے ہیں، مثال کے طور پر آٹھ انٹرفیس ہیں جو tcpdump کمانڈر کے ذریعے استعمال کیا جا سکتا ہے. آرٹیکل کو مثال کے طور پر فراہم کرے گا ppp0آپ کسی دوسرے کا استعمال کرسکتے ہیں.
عام ٹریفک کی گرفتاری
اگر آپ کو ایک نیٹ ورک انٹرفیس کو ٹریک کرنے کی ضرورت ہے، تو آپ اسے اختیار کے ساتھ کرسکتے ہیں اے. داخل ہونے کے بعد انٹرفیس کا نام درج کرنے کے لئے مت بھولنا. یہاں اس طرح کے کمانڈر کو عمل کرنے کا ایک مثال ہے:
سڈو TCPPump -I Ppp0
براہ کرم نوٹ کریں: آپ کو کمانڈ خود سے پہلے "سوڈو" درج کرنے کی ضرورت ہے، کیونکہ اس کو سپرسائر کے حق کی ضرورت ہوتی ہے.
مثال:
نوٹ: "ٹرمینل" میں داخل دبائیں کے بعد، منسلک پیکٹوں کو مسلسل دکھایا جائے گا. ان کی بہاؤ کو روکنے کے لئے، آپ کو کلیدی مجموعہ Ctrl + C. دبائیں
اگر آپ اضافی اختیارات اور فلٹرز کے بغیر کمانڈ چلاتے ہیں تو، آپ کو مندرجہ ذیل فارمیٹ کو ٹریک کردہ پیکٹوں کی نمائش کے لئے مل جائے گا:
22: 18: 52.5 97573 آئی پی vrrp-topf2.p.mail.ru.https> 10.0.6.67.35482: پرچم [پی.]، سیم 1: 595، اک 1118، 6494 جیت، اختیارات [نوپ، نپ، ٹی ایس ویل 257060077 ecr 697597623]، لمبائی 594
جہاں رنگ کو نمایاں کیا جاتا ہے:
- نیلے - پیکج کی وصولی کا وقت؛
- سنتری - پروٹوکول ورژن؛
- سبز - مرسل کا پتہ؛
- جامنی رنگ - وصول کنندہ کا پتہ؛
- بھوری رنگ - TCP کے بارے میں اضافی معلومات؛
- ریڈ پیکیٹ سائز (بٹس میں دکھایا گیا ہے).
اس نحوط میں ونڈو میں پیداوار کی صلاحیت ہے "ٹرمینل" اضافی اختیارات کے استعمال کے بغیر.
-V کے ساتھ ٹریفک پر قبضہ
جیسا کہ میز سے جانا جاتا ہے، اختیار -v معلومات کی رقم میں اضافہ کرنے کی اجازت دیتا ہے. ہمیں ایک مثال پر غور کریں. اسی انٹرفیس کی جانچ پڑتال کریں:
سوڈو Tcpdump -VI Ppp0
مثال:
یہاں آپ دیکھ سکتے ہیں کہ پیداوار میں درج ذیل لائن درج کی گئی ہے:
آئی پی (ٹکس 0x0، ٹی ٹی ایل 58، آئی ڈی 30675، آفسیٹ 0، پرچم [ڈی ایف]، پراٹو ٹی سی سی (6)، لمبائی 52
جہاں رنگ کو نمایاں کیا جاتا ہے:
- سنتری - پروٹوکول ورژن؛
- نیلے - پروٹوکول کی زندگی؛
- سبز - فیلڈ ہیڈر کی لمبائی؛
- ٹی سی پی پیکج کے جامنی رنگ کا ورژن؛
- سرخ - پیکٹ کا سائز.
اس کے علاوہ کمانڈ مطابقت پذیری میں آپ اختیار کرسکتے ہیں -vv یا -vvv، جو اسکرین پر ظاہر کردہ معلومات کی مقدار میں مزید اضافہ کرے گا.
دائرہ اختیار
اختیارات میز نے علیحدہ فائل میں تمام پیداوار کے اعداد و شمار کو بچانے کے امکان کا ذکر کیا تاکہ وہ بعد میں دیکھیں. اس کا اختیار ذمہ دار ہے. -و. یہ استعمال کرنے کے لئے بہت آسان ہے، صرف کمانڈ میں درج کریں اور توسیع کے ساتھ مستقبل کے فائل کا نام درج کریں ".پیپیپ". تمام مثال پر غور کریں:
سڈوکو Tcpdump -I Ppp0 -W file.pcap
مثال:
براہ کرم نوٹ کریں: جب ایک فائل میں لاگ ان لکھیں، تو "ٹرمینل" اسکرین پر کوئی متن ظاہر نہیں ہوتا.
جب آپ ریکارڈ آؤٹ پٹ دیکھنا چاہتے ہیں، تو آپ کو اختیار کا استعمال کرنا ہوگا آرپہلے درج شدہ فائل کے نام کے بعد. یہ دیگر اختیارات اور فلٹرز کے بغیر لاگو کیا جاتا ہے:
sudo tcpdump -r file.pcap
مثال:
ان دونوں اختیارات آپ کو بعد میں تجزیہ کے لۓ بڑے پیمانے پر متن کو بچانے کی ضرورت ہے.
IP فلٹرنگ
فلٹر کی میز سے ہم جانتے ہیں کہ dst آپ کنسول اسکرین پر صرف ان پیکجوں کو ظاہر کرنے کی اجازت دیتا ہے جو کمانڈ مطابقت پذیری میں مخصوص ایڈریس کی طرف سے موصول ہوئی تھیں. اس طرح، آپ کے کمپیوٹر کی طرف سے موصول کردہ پیکٹ کو دیکھنے کے لئے بہت آسان ہے. ایسا کرنے کے لئے، ٹیم آپ کے IP ایڈریس کی وضاحت کرنے کی ضرورت ہے.
سوڈو TCPPump -I Ppp0 آئی پی ڈاٹ 10.0.6.67
مثال:
جیسا کہ آپ دیکھ سکتے ہیں، اس کے علاوہ dst، ٹیم میں، ہم نے بھی فلٹر درج کیا آئی پی. دوسرے الفاظ میں، ہم نے کمپیوٹر کو بتایا کہ پیکٹوں کو منتخب کرتے وقت، وہ اپنے IP ایڈریس پر توجہ نہیں دیتے، اور دوسرے پیرامیٹروں پر نہیں.
آئی پی کی طرف سے، آپ پیکٹوں کو فلٹر اور بھیج سکتے ہیں. مثال کے طور پر ہم اپنے آئی پی پھر دوبارہ دیتے ہیں. یہی ہے، ہم اب اس بات کا سراغ لگائیں گے کہ ہمارے کمپیوٹر سے دوسرے پتے پر کون سی پیکٹ بھیجے جائیں گے. ایسا کرنے کے لئے، مندرجہ ذیل کمانڈ چلائیں:
سوڈو Tcpdump -iPpp0 ip src 10.0.6.67
مثال:
جیسا کہ آپ دیکھ سکتے ہیں، ہم نے کمانڈ نحو میں فلٹر تبدیل کر دیا. dst پر ایس ایس ایساس وجہ سے آئی پی کی طرف سے بھیجنے والے مشین کو تلاش کرنے کے لئے مشین کہہ رہا ہے.
HOST فلٹرنگ
ٹیم میں آئی پی کے ساتھ تعدد کی طرف سے، ہم ایک فلٹر کی وضاحت کرسکتے ہیں میزبانیدلچسپی کے میزبان کے ساتھ پیکٹ باہر گھاس. یہ، مطابقت پذیری میں، وصول کنندہ / وصول کنندہ کے IP ایڈریس کے بجائے آپ کو اس کے میزبان کی وضاحت کرنے کی ضرورت ہوگی. ایسا لگتا ہے:
سوڈو Tcpdump -i Ppp0 DST میزبان google-public-dns-a.google.com
مثال:
تصویر پر آپ اس میں دیکھ سکتے ہیں "ٹرمینل" ہمارے آئی پی سے google.com میزبان صرف بھیجے جانے والے صرف پیکٹیں دکھائے جاتے ہیں. جیسا کہ آپ دیکھ سکتے ہیں، گوگل میزبان کی بجائے، آپ کسی دوسرے کو درج کرسکتے ہیں.
IP فلٹرنگ کے طور پر، نحو یہ ہے: dst کی طرف سے تبدیل کیا جا سکتا ہے ایس ایس ایسآپ کے کمپیوٹر پر بھیجے گئے پیکٹ کو دیکھنے کے لئے:
سوڈو Tcpdump -i ppp0 src میزبان google-public-dns-a.google.com
نوٹ: میزبان فلٹر ڈیسٹ یا ایس سی ایس کے بعد ہونا ضروری ہے، دوسری صورت میں کمانڈ ایک خرابی پیدا کرے گی. IP فلٹرنگ کے معاملے میں، اس کے برعکس، ڈی ایس او اور ایس سی آئی آئی فل فلٹر کے سامنے ہیں.
فلٹر اور اور یا
اگر آپ کو ایک کمانڈ میں ایک ہی وقت میں کئی فلٹر استعمال کرنے کی ضرورت ہے، تو آپ فلٹر کو لاگو کرنے کی ضرورت ہے. اور یا یا (کیس پر منحصر ہے). مطابقت پذیری میں فلٹر کی وضاحت کرتے ہوئے اور ان آپریٹرز کے ساتھ ان کو الگ کرکے، آپ انہیں "بنا" کرتے ہیں. ایک مثال میں، ایسا لگتا ہے:
سوڈو Tcpdump -iPpp0 آئی پی ڈاٹ 95.47.144.254 یا آئی پی ایس آر 95.47.144.254
مثال:
کمانڈ نحو سے آپ دیکھ سکتے ہیں کہ ہم ظاہر کرنا چاہتے ہیں "ٹرمینل" تمام پیکٹیں جو ایڈریس 95.47.144.254 اور ایک ہی ایڈریس کی طرف سے موصول پیکٹوں کو بھیجا گیا تھا. آپ اس اظہار میں کچھ متغیر بھی بدل سکتے ہیں. مثال کے طور پر، آئی پی کے بجائے، HOST کی وضاحت کریں یا براہ راست اپنے پتے کو تبدیل کردیں.
فلٹر بندرگاہ اور portrange
فلٹر بندرگاہ جب آپ کو مخصوص پورٹ کے ساتھ پیکٹوں کے بارے میں معلومات حاصل کرنے کی ضرورت ہوتی ہے تو اس کے لئے بہترین ہے. لہذا، اگر آپ کو صرف جوابات یا ڈی این ایس سوالات دیکھنے کی ضرورت ہے، تو آپ کو پورٹ 53 کو متعین کرنے کی ضرورت ہے:
سوڈو TCPPump -VVI PP0 بندرگاہ 53
مثال:
اگر آپ http پیکجوں کو دیکھنا چاہتے ہیں، تو آپ کو پورٹ 80 درج کرنا ہوگا:
سوڈو Tcpdump -VVI PP0 پورٹ 80
مثال:
دوسری چیزوں کے علاوہ، بندرگاہوں کی فوری طور پر رینج کو تلاش کرنا ممکن ہے. ایسا کرنے کے لئے، فلٹر کو لاگو کریں portrange:
سوڈو TCPPump پورٹریٹ 50-80
جیسا کہ آپ دیکھ سکتے ہیں، فلٹر کے ساتھ مل کر portrange اضافی اختیارات کی وضاحت کرنے کے لئے ضروری نہیں ہے. صرف رینج مقرر کریں.
پروٹوکول فلٹرنگ
آپ صرف ایسے ٹریفک کو بھی دکھا سکتے ہیں جو کسی بھی پروٹوکول سے ملتا ہے. ایسا کرنے کے لئے، اس پروٹوکول کا نام فلٹر کے طور پر استعمال کریں. ہمیں ایک مثال نظر آتے ہیں udp:
سوڈو Tcpdump -vvv-PP0 udp
مثال:
جیسا کہ آپ تصویر میں دیکھ سکتے ہیں، کمانڈ میں عمل کرنے کے بعد "ٹرمینل" صرف پروٹوکول کے ساتھ صرف پیکٹ دکھائے گئے ہیں udp. اس کے مطابق، آپ دوسروں کی طرف سے فلٹر کر سکتے ہیں، مثال کے طور پر، آر پی:
سوڈو Tcpdump -vvv-PP0 آر پی
یا ٹی سی پی:
سوڈو ٹی سی پی ڈیمپ --vvv-ppp0 tcp
فلٹر نیٹ
آپریٹر نیٹ ان کے نیٹ ورک کے نام پر مبنی پیکٹوں کو فلٹر میں مدد ملتی ہے. آرام کے طور پر استعمال کرنا آسان ہے - آپ کو مطابقت پذیری میں خاصیت کی وضاحت کرنے کی ضرورت ہے نیٹ، پھر نیٹ ورک کے ایڈریس درج کریں. یہاں ایک ایسے حکم کا ایک مثال ہے:
سوڈو TCPPump -I Ppp0 نیٹ 192.168.1.1
مثال:
پیکیج سائز کی طرف سے فلٹر
ہم نے دو دلچسپ دلچسپ فلٹر نہیں سمجھے ہیں: کم اور زیادہ. فلٹرز سے فلٹرز سے، ہم جانتے ہیں کہ وہ مزید اعداد و شمار پیکیٹ آؤٹ کرنے کے لئے خدمت کرتے ہیں (کم) یا کم (زیادہ) خصوصیت داخل ہونے کے بعد بیان کردہ سائز.
فرض کریں کہ ہم صرف پیکٹوں کی نگرانی کرنا چاہتے ہیں جو 50 بٹس سے زائد نہیں ہیں، پھر حکم اس طرح نظر آئے گا:
سوڈو TCPPump -I PP0 کم 50
مثال:
اب میں ڈسپلے کرتا ہوں "ٹرمینل" 50 بٹس سے بڑے پیکٹ
سوڈو Tcpdump -I PP0 زیادہ 50
مثال:
جیسا کہ آپ دیکھ سکتے ہیں، وہ برابر طور پر استعمال ہوتے ہیں، فلٹر کے نام میں صرف فرق ہی ہے.
نتیجہ
آرٹیکل کے اختتام پر ہم یہ نتیجہ نکال سکتے ہیں کہ ٹیم tcpdump - یہ ایک اچھا آلے ہے جس کے ساتھ آپ انٹرنیٹ پر منتقل کسی ڈیٹا پیکٹ کو ٹریک کرسکتے ہیں. لیکن اس کے لئے یہ صرف کمانڈ میں داخل کرنے کے لئے کافی نہیں ہے "ٹرمینل". مطلوب نتیجہ حاصل کرنے کے لۓ صرف اس صورت میں حاصل کیا جاسکتا ہے کہ آپ ہر قسم کے اختیارات اور فلٹر استعمال کرتے ہیں، اور ساتھ ساتھ ان کے مجموعے.
