Анализ трафика при помощи tcpdump
Материал из DiPHOST.Ru wiki system
Adnull (Обсуждение | вклад) |
Adnull (Обсуждение | вклад) |
||
Строка 53: | Строка 53: | ||
tcpdump.exe -r <имя файла> | tcpdump.exe -r <имя файла> | ||
+ | |||
+ | [[Category:HowTo]] |
Версия 11:05, 5 марта 2011
Иногда возникает необходимость проанализировать сетевой трафик, чтобы, к примеру, определить источник обрывов соединений или возникающих при работе с удаленным сервером сетевых проблем.
Сдампить сетевой трафик можно при помощи программы tcpdump. Данная программа присутствует на всех UNIX-платформах. Для ОС Windows она также существует, но уже в виде платной программы. Правда, доступна и trial ( с ограниченным сроком работы ) версия.
Анализ сетевого трафика в ОС семейства Windows
ПРИМИТЕ К СВЕДЕНИЮ: Программа при работе требует прав администратора, так что перед работой с ней следует осуществить вход в систему с администраторскими правами. |
1. Загрузим дистрибутив программы со страницы http://www.microolap.com/products/network/tcpdump/download/
2. Перейдем в каталог с распакованным архивом и запустим программу cmd. Далее будем запускать tcpdump уже из окна программы cmd для наглядности.
"3." Для начала следует выбрать, трафик с какого сетевого интерфейса мы будем анализировать. Для этого выполним команду
tcpdump.exe -D
Мы увидим подобный вывод программы:
1.\Device\PssdkLoopback (PSSDK Loopback Ethernet Emulation Adapter) 2.\Device\NdisWanBh (WAN Miniport (Network Monitor)) 3.\Device\{4DB7ABE2-2B1E-47E7-AA26-E24DFA511EE9} (Realtek PCIe GBE Family Controller) 4.\Device\{25DC37C7-B6B0-41F2-B54B-20AAC2961C7C} (Адаптер D-Link DFE-520TX PCI Fast Ethernet)
В нашем случае анализировать будем интерфейс представленный сетевой картой D-Link DFE-520TX
4. запустим анализатор трафика командой
tcpdump.exe -i \Device\{25DC37C7-B6B0-41F2-B54B-20AAC2961C7C}
Далее вы увидите всю сетевую активность на интерфейсе \Device\{25DC37C7-B6B0-41F2-B54B-20AAC2961C7C} в таком виде.
14:00:44.436523 IP hostname.49526 > bs.yandex.ru.80: Flags [.], ack 799, win 16368, length 0 14:00:44.437500 IP dir-320.53 > hostname.59453: 25957 1/2/0 A 195.218.200.162 (94) 14:00:44.437500 IP dir-320.53 > hostname.56044: 56218 4/4/5 A 213.180.204.25,[|domain] 14:00:44.438476 IP dir-320.53 > hostname.62680: 25927 6/4/5 CNAME[|domain] 14:00:44.438476 IP hostname.58078 > dir-320.53: 27420+ A? passport.yandex.ru. (36) 14:00:44.440429 IP hostname.58425 > dir-320.53: 64884+ A? nahodki.yandex.ru. (35) 14:00:44.440429 IP dir-320.53 > hostname.58078: 27420 4/4/5 A 87.250.250.24,[|domain] 14:00:44.442382 IP dir-320.53 > hostname.58425: 64884 5/4/5 A 213.180.204.69,[|domain]
5. Сохраняем трафик в файл
Очень удобно сохранять сетевой трафик в файл для последующего анализа. Сохранить трафик в файл можно такой командой
tcpdump.exe -i \Device\{25DC37C7-B6B0-41F2-B54B-20AAC2961C7C} -w <имя файла>
В дальнейшем, можно просматривать этот файл командой
tcpdump.exe -r <имя файла>