Анализ трафика при помощи tcpdump
Материал из DiPHOST.Ru wiki system
Adnull (Обсуждение | вклад) (Новая страница: «<title>Анализ трафика<title>») |
Adnull (Обсуждение | вклад) |
||
(4 промежуточные версии не показаны) | |||
Строка 1: | Строка 1: | ||
- | < | + | <meta name="keywords" content="tcpdump, анализ трафика"></meta> |
+ | <meta name="description" content="Анализ трафика при помощи tcpdump"></meta> | ||
+ | <meta name="title" content="Анализ трафика при помощи tcpdump"></meta> | ||
+ | |||
+ | Иногда возникает необходимость проанализировать сетевой трафик, чтобы, к примеру, определить источник обрывов соединений или возникающих при работе с удаленным сервером сетевых проблем. | ||
+ | |||
+ | Сдампить сетевой трафик можно при помощи программы tcpdump. Данная программа присутствует на всех UNIX-платформах. Для ОС Windows она также существует, но уже в виде платной программы. Правда, доступна и trial ( с ограниченным сроком работы ) версия. | ||
+ | |||
+ | == Анализ сетевого трафика в ОС семейства Windows == | ||
+ | |||
+ | {{info|Программа при работе требует прав администратора, так что перед работой с ней следует осуществить вход в систему с администраторскими правами.}} | ||
+ | |||
+ | |||
+ | '''1.''' Загрузим дистрибутив программы со страницы http://www.microolap.com/products/network/tcpdump/download/ | ||
+ | |||
+ | '''2.''' Перейдем в каталог с распакованным архивом и запустим программу cmd. Далее будем запускать tcpdump уже из окна программы cmd для наглядности. | ||
+ | |||
+ | '''3.''' Для начала следует выбрать, трафик с какого сетевого интерфейса мы будем анализировать. Для этого выполним команду | ||
+ | |||
+ | tcpdump.exe -D | ||
+ | |||
+ | Мы увидим подобный вывод программы: | ||
+ | |||
+ | 1.\Device\PssdkLoopback (PSSDK Loopback Ethernet Emulation Adapter) | ||
+ | 2.\Device\NdisWanBh (WAN Miniport (Network Monitor)) | ||
+ | 3.\Device\{4DB7ABE2-2B1E-47E7-AA26-E24DFA511EE9} (Realtek PCIe GBE Family Controller) | ||
+ | 4.\Device\{25DC37C7-B6B0-41F2-B54B-20AAC2961C7C} (Адаптер D-Link DFE-520TX PCI Fast Ethernet) | ||
+ | |||
+ | В нашем случае анализировать будем интерфейс представленный сетевой картой D-Link DFE-520TX | ||
+ | |||
+ | '''4.''' запустим анализатор трафика командой | ||
+ | |||
+ | tcpdump.exe -i \Device\{25DC37C7-B6B0-41F2-B54B-20AAC2961C7C} | ||
+ | |||
+ | Далее вы увидите всю сетевую активность на интерфейсе \Device\{25DC37C7-B6B0-41F2-B54B-20AAC2961C7C} в таком виде. | ||
+ | |||
+ | 14:00:44.436523 IP hostname.49526 > bs.yandex.ru.80: Flags [.], ack 799, win 16368, length 0 | ||
+ | 14:00:44.437500 IP dir-320.53 > hostname.59453: 25957 1/2/0 A 195.218.200.162 (94) | ||
+ | 14:00:44.437500 IP dir-320.53 > hostname.56044: 56218 4/4/5 A 213.180.204.25,[|domain] | ||
+ | 14:00:44.438476 IP dir-320.53 > hostname.62680: 25927 6/4/5 CNAME[|domain] | ||
+ | 14:00:44.438476 IP hostname.58078 > dir-320.53: 27420+ A? passport.yandex.ru. (36) | ||
+ | 14:00:44.440429 IP hostname.58425 > dir-320.53: 64884+ A? nahodki.yandex.ru. (35) | ||
+ | 14:00:44.440429 IP dir-320.53 > hostname.58078: 27420 4/4/5 A 87.250.250.24,[|domain] | ||
+ | 14:00:44.442382 IP dir-320.53 > hostname.58425: 64884 5/4/5 A 213.180.204.69,[|domain] | ||
+ | |||
+ | '''5.''' Сохраняем трафик в файл | ||
+ | |||
+ | Очень удобно сохранять сетевой трафик в файл для последующего анализа. Сохранить трафик в файл можно такой командой | ||
+ | |||
+ | tcpdump.exe -i \Device\{25DC37C7-B6B0-41F2-B54B-20AAC2961C7C} -w <имя файла> | ||
+ | |||
+ | В дальнейшем, можно просматривать этот файл командой | ||
+ | |||
+ | tcpdump.exe -r <имя файла> | ||
+ | |||
+ | [[Category:HowTo]] |
Текущая версия на 11:07, 5 марта 2011
Иногда возникает необходимость проанализировать сетевой трафик, чтобы, к примеру, определить источник обрывов соединений или возникающих при работе с удаленным сервером сетевых проблем.
Сдампить сетевой трафик можно при помощи программы tcpdump. Данная программа присутствует на всех UNIX-платформах. Для ОС Windows она также существует, но уже в виде платной программы. Правда, доступна и trial ( с ограниченным сроком работы ) версия.
Анализ сетевого трафика в ОС семейства Windows
ПРИМИТЕ К СВЕДЕНИЮ: Программа при работе требует прав администратора, так что перед работой с ней следует осуществить вход в систему с администраторскими правами. |
1. Загрузим дистрибутив программы со страницы http://www.microolap.com/products/network/tcpdump/download/
2. Перейдем в каталог с распакованным архивом и запустим программу cmd. Далее будем запускать tcpdump уже из окна программы cmd для наглядности.
3. Для начала следует выбрать, трафик с какого сетевого интерфейса мы будем анализировать. Для этого выполним команду
tcpdump.exe -D
Мы увидим подобный вывод программы:
1.\Device\PssdkLoopback (PSSDK Loopback Ethernet Emulation Adapter) 2.\Device\NdisWanBh (WAN Miniport (Network Monitor)) 3.\Device\{4DB7ABE2-2B1E-47E7-AA26-E24DFA511EE9} (Realtek PCIe GBE Family Controller) 4.\Device\{25DC37C7-B6B0-41F2-B54B-20AAC2961C7C} (Адаптер D-Link DFE-520TX PCI Fast Ethernet)
В нашем случае анализировать будем интерфейс представленный сетевой картой D-Link DFE-520TX
4. запустим анализатор трафика командой
tcpdump.exe -i \Device\{25DC37C7-B6B0-41F2-B54B-20AAC2961C7C}
Далее вы увидите всю сетевую активность на интерфейсе \Device\{25DC37C7-B6B0-41F2-B54B-20AAC2961C7C} в таком виде.
14:00:44.436523 IP hostname.49526 > bs.yandex.ru.80: Flags [.], ack 799, win 16368, length 0 14:00:44.437500 IP dir-320.53 > hostname.59453: 25957 1/2/0 A 195.218.200.162 (94) 14:00:44.437500 IP dir-320.53 > hostname.56044: 56218 4/4/5 A 213.180.204.25,[|domain] 14:00:44.438476 IP dir-320.53 > hostname.62680: 25927 6/4/5 CNAME[|domain] 14:00:44.438476 IP hostname.58078 > dir-320.53: 27420+ A? passport.yandex.ru. (36) 14:00:44.440429 IP hostname.58425 > dir-320.53: 64884+ A? nahodki.yandex.ru. (35) 14:00:44.440429 IP dir-320.53 > hostname.58078: 27420 4/4/5 A 87.250.250.24,[|domain] 14:00:44.442382 IP dir-320.53 > hostname.58425: 64884 5/4/5 A 213.180.204.69,[|domain]
5. Сохраняем трафик в файл
Очень удобно сохранять сетевой трафик в файл для последующего анализа. Сохранить трафик в файл можно такой командой
tcpdump.exe -i \Device\{25DC37C7-B6B0-41F2-B54B-20AAC2961C7C} -w <имя файла>
В дальнейшем, можно просматривать этот файл командой
tcpdump.exe -r <имя файла>