Анализ трафика при помощи tcpdump

Материал из DiPHOST.Ru wiki system

Версия от 11:07, 5 марта 2011; Adnull (Обсуждение | вклад)
(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)
Перейти к: навигация, поиск

Иногда возникает необходимость проанализировать сетевой трафик, чтобы, к примеру, определить источник обрывов соединений или возникающих при работе с удаленным сервером сетевых проблем.

Сдампить сетевой трафик можно при помощи программы tcpdump. Данная программа присутствует на всех UNIX-платформах. Для ОС Windows она также существует, но уже в виде платной программы. Правда, доступна и trial ( с ограниченным сроком работы ) версия.

Анализ сетевого трафика в ОС семейства Windows

File:Info blue.png ПРИМИТЕ К СВЕДЕНИЮ:
Программа при работе требует прав администратора, так что перед работой с ней следует осуществить вход в систему с администраторскими правами.


1. Загрузим дистрибутив программы со страницы http://www.microolap.com/products/network/tcpdump/download/

2. Перейдем в каталог с распакованным архивом и запустим программу cmd. Далее будем запускать tcpdump уже из окна программы cmd для наглядности.

3. Для начала следует выбрать, трафик с какого сетевого интерфейса мы будем анализировать. Для этого выполним команду

tcpdump.exe -D

Мы увидим подобный вывод программы:

1.\Device\PssdkLoopback (PSSDK Loopback Ethernet Emulation Adapter)
2.\Device\NdisWanBh (WAN Miniport (Network Monitor))
3.\Device\{4DB7ABE2-2B1E-47E7-AA26-E24DFA511EE9} (Realtek PCIe GBE Family Controller)
4.\Device\{25DC37C7-B6B0-41F2-B54B-20AAC2961C7C} (Адаптер D-Link DFE-520TX PCI Fast Ethernet)

В нашем случае анализировать будем интерфейс представленный сетевой картой D-Link DFE-520TX

4. запустим анализатор трафика командой

tcpdump.exe -i \Device\{25DC37C7-B6B0-41F2-B54B-20AAC2961C7C}

Далее вы увидите всю сетевую активность на интерфейсе \Device\{25DC37C7-B6B0-41F2-B54B-20AAC2961C7C} в таком виде.

14:00:44.436523 IP hostname.49526 > bs.yandex.ru.80: Flags [.], ack 799, win 16368, length 0
14:00:44.437500 IP dir-320.53 > hostname.59453: 25957 1/2/0 A 195.218.200.162 (94)
14:00:44.437500 IP dir-320.53 > hostname.56044: 56218 4/4/5 A 213.180.204.25,[|domain]
14:00:44.438476 IP dir-320.53 > hostname.62680: 25927 6/4/5 CNAME[|domain]
14:00:44.438476 IP hostname.58078 > dir-320.53: 27420+ A? passport.yandex.ru. (36)
14:00:44.440429 IP hostname.58425 > dir-320.53: 64884+ A? nahodki.yandex.ru. (35)
14:00:44.440429 IP dir-320.53 > hostname.58078: 27420 4/4/5 A 87.250.250.24,[|domain]
14:00:44.442382 IP dir-320.53 > hostname.58425: 64884 5/4/5 A 213.180.204.69,[|domain]

5. Сохраняем трафик в файл

Очень удобно сохранять сетевой трафик в файл для последующего анализа. Сохранить трафик в файл можно такой командой

 tcpdump.exe -i \Device\{25DC37C7-B6B0-41F2-B54B-20AAC2961C7C} -w <имя файла>

В дальнейшем, можно просматривать этот файл командой

tcpdump.exe -r <имя файла>
Источник — «https://wiki.diphost.ru/TrafficAnalyze»

Категория:

Личные инструменты
© 2006 — ООО «Дремучий лес»
Служба техподдержки: support@diphost.ru
Тексты этого сайта являются полностью оригинальными
или оригинальными компиляциями ООО «Дремучий Лес».
Распространяются по лицензии WTFPL
Отзывы о хостинге diphost.ru Отзывы на hostobzor.ru