Panduan Pemula TCPDUMP

Tcpdump adalah penganalisa paket jaringan data nirkabel sumber terbuka dan gratis yang bekerja pada antarmuka baris perintah. Ini adalah alat CLI yang paling umum digunakan untuk menganalisis lalu lintas jaringan. Tcpdump memungkinkan pengguna untuk melihat, membaca, atau menangkap lalu lintas jaringan yang ditransmisikan melalui jaringan yang terhubung ke komputer. Ini berguna dalam Administrasi Sistem, Memantau Lalu Lintas Jaringan (untuk masalah atau lainnya).

Awalnya, itu ditulis pada tahun 1988 oleh empat pekerja Network Research Group di Lawrence Berkeley Laboratory di California. Itu diselenggarakan sebelas tahun kemudian oleh Michael Richardson dan Bill Fenner pada tahun 1999, yang menciptakan situs tcpdump. Tcpdump bekerja pada semua sistem operasi mirip Unix. Tcpdump versi windows disebut WinDump dan menggunakan WinPcap, alternatif windows untuk libpcap.

Gunakan snap untuk menginstal tcpdump:

$ sudo snap install tcpdump

Gunakan manajer paket Anda untuk menginstal tcpdump:

$ sudo apt-get install tcpdump (Debian/Ubuntu)
$ sudo dnf install tcpdump (CentOS/RHEL 6&7)
$ sudo yum install tcpdump (Fedora/CentOS/RHEL 8)

Mari kita lihat penggunaan dan keluaran yang berbeda saat kita menjelajahi tcpdump!

UDP

Tcpdump dapat membuang paket UDP juga. Kami akan menggunakan alat netcat (nc) untuk mengirim paket UDP dan kemudian membuangnya.

$ echo -n "tcpdumper" | nc -w 1 -u localhost 1337

Dalam perintah yang diberikan di atas, kami mengirim paket UDP yang terdiri dari string “tcpdumper” ke pelabuhan UDP 1337 melalui localhost. Tcpdump menangkap paket yang dikirim melalui port UDP 1337 dan akan menampilkannya.

Kami sekarang akan membuang paket ini menggunakan tcpdump.

$ sudo tcpdump -i lo udp port 1337 -vvv -X

Perintah ini akan menangkap dan menampilkan data yang diambil dari paket di ASCII serta bentuk hex.

tcpdump: mendengarkan di lo, tipe tautan EN10MB (Ethernet), panjang snapshot 262144 byte
04:39:39.072802 IP (tos 0x0, ttl 64, id 32650, offset 0, flags [DF], proto UDP (17), panjang 37)
localhost.54574 > localhost.1337: [udp cksum buruk 0xfe24 -> 0xeac6!] UDP, panjang 9
0x0000: 4500 0025 7f8a 4000 4011 bd3b 7f00 0001 E… %… @.@… ;…
0x0010: 7f00 0001 d52e 0539 0011 fe24 7463 7064… 9… $tcpd
0x0020: 756d 7065 72 umper

Seperti yang kita lihat, paket dikirim ke port 1337, dan panjangnya adalah 9 sebagai string tcpdumper adalah 9 byte. Kita juga dapat melihat bahwa paket telah ditampilkan dalam format hex.

DHCP

TCPdump juga dapat melakukan investigasi pada paket DHCP melalui jaringan. DHCP menggunakan port UDP no 67 atau 68, jadi kami akan mendefinisikan dan membatasi tcpdump hanya untuk paket DHCP. Asumsikan kita menggunakan antarmuka jaringan wifi.
Perintah yang digunakan di sini adalah:

$ sudo tcpdump -i wlan0 port 67 atau port 68 -e -n -vvv
tcpdump: mendengarkan di wlan0, tipe tautan EN10MB (Ethernet), panjang snapshot 262144 byte
03:52:04.004356 00:11:22:33:44:55 > 00:11:22:33:44:66, ethertype IPv4 (0x0800), panjang 342: (tos 0x0, ttl 64, id 39781, offset 0, flag [DF ], proto UDP (17), panjang 328)
192.168.10.21.68 > 192.168.10.1.67: [udp sum ok] BOOTP/DHCP, Permintaan dari 00:11:22:33:44:55, panjang 300, xid 0xfeab2d67, Bendera [none] (0x0000)
Klien-IP 192.168.10.16
Client-Ethernet-Address 00:11:22:33:44:55
Ekstensi Vendor-rfc1048
Kue Ajaib 0x63825363
DHCP-Message (53), panjang 1: Rilis
Server-ID (54), panjang 4: 192.168.10.1
Nama host (12), panjang 6: "burung beo"
AKHIR (255), panjang 0
PAD (0), panjang 0, terjadi 42

DNS

DNS, juga dikenal sebagai Sistem Nama Domain, mengonfirmasi untuk memberi Anda apa yang Anda cari dengan mencocokkan nama Domain dengan alamat domain. Untuk memeriksa komunikasi tingkat DNS perangkat Anda melalui internet, Anda dapat menggunakan tcpdump dengan cara berikut:. DNS menggunakan port UDP 53 untuk komunikasi.

$ sudo tcpdump -i wlan0 port udp 53
tcpdump: mendengarkan di wlan0, tipe tautan EN10MB (Ethernet), panjang snapshot 262144 byte
04:23:48.516616 IP (tos 0x0, ttl 64, id 31445, offset 0, flags [DF], proto UDP (17), panjang 72)
192.168.10.16.45899 > satu.satu.satu.satu.domain: [udp sum ok] 20852+ A? mozilla.cloudflare-dns.com. (44)
04:23:48.551556 IP (tos 0x0, ttl 60, id 56385, offset 0, flags [DF], proto UDP (17), panjang 104)
satu.satu.satu.satu.domain > 192.168.10.16.45899: [udp sum ok] 20852 q: A? mozilla.cloudflare-dns.com. 2/0/0 mozilla.cloudflare-dns.com. [24s] A 104.16.249.249, mozila.cloudflare-dns.com. [24s] A 104.16.248.249 (76)
04:23:48.648477 IP (tos 0x0, ttl 64, id 31446, offset 0, flags [DF], proto UDP (17), panjang 66)
192.168.10.16.34043 > satu.satu.satu.satu.domain: [udp sum ok] 40757+ PTR? 1.1.1.1.di-addr.arpa. (38)
04:23:48.688731 IP (tos 0x0, ttl 60, id 56387, offset 0, flags [DF], proto UDP (17), panjang 95)
satu.satu.satu.satu.domain > 192.168.10.16.34043: [udp sum ok] 40757 q: PTR? 1.1.1.1.di-addr.arpa. 1/0/0 1.1.1.1.di-addr.arpa. [26m53s] PTR satu.satu.satu.satu. (67)

ARP

Address Resolution Protocol digunakan untuk menemukan alamat link-layer, seperti alamat MAC. Ini terkait dengan alamat lapisan internet yang diberikan, biasanya alamat IPv4.

Kami menggunakan tcpdump untuk menangkap dan membaca data yang dibawa dalam paket arp. Perintahnya sesederhana:

$ sudo tcpdump -i wlan0 arp -vvv
tcpdump: mendengarkan di wlan0, tipe tautan EN10MB (Ethernet), panjang snapshot 262144 byte
03:44:12.023668 ARP, Ethernet (len 6), IPv4 (len 4), Permintaan siapa-memiliki 192.168.10.1 beri tahu 192.168.10.2, panjang 28
03:44:17.140259 ARP, Ethernet (len 6), IPv4 (len 4), Permintaan siapa-memiliki 192.168.10.21 beri tahu 192.168.10.1, panjang 28
03:44:17.140276 ARP, Ethernet (len 6), IPv4 (len 4), Balas 192.168.10.21 is-at 00:11:22:33:44:55 (oui Unknown), panjang 28
03:44:42.026393 ARP, Ethernet (len 6), IPv4 (len 4), Permintaan siapa-memiliki 192.168.10.1 beri tahu 192.168.10.2, panjang 28

ICMP

ICMP, juga dikenal sebagai Protokol Pesan Kontrol Internet, adalah protokol pendukung dalam rangkaian protokol Internet. ICMP digunakan sebagai protokol informasi.

Untuk melihat semua paket ICMP pada sebuah antarmuka, kita dapat menggunakan perintah ini:

$ sudo tcpdump icmp -vvv
tcpdump: mendengarkan di wlan0, tipe tautan EN10MB (Ethernet), panjang snapshot 262144 byte
04:26:42.123902 IP (tos 0x0, ttl 64, id 14831, offset 0, flags [DF], proto ICMP (1), panjang 84)
192.168.10.16 > 192.168.10.1: permintaan gema ICMP, id 47363, seq 1, panjang 64
04:26:42.128429 IP (tos 0x0, ttl 64, id 32915, offset 0, flags [none], proto ICMP (1), panjang 84)
192.168.10.1 > 192.168.10.16: balasan gema ICMP, id 47363, seq 1, panjang 64
04:26:43.125599 IP (tos 0x0, ttl 64, id 14888, offset 0, flags [DF], proto ICMP (1), panjang 84)
192.168.10.16 > 192.168.10.1: permintaan gema ICMP, id 47363, seq 2, panjang 64
04:26:43.128055 IP (tos 0x0, ttl 64, id 32916, offset 0, flags [none], proto ICMP (1), panjang 84)
192.168.10.1 > 192.168.10.16: balasan gema ICMP, id 47363, seq 2, panjang 64

NTP

NTP adalah protokol jaringan yang dirancang khusus untuk menyinkronkan waktu pada jaringan mesin. Untuk menangkap lalu lintas di ntp:

$ sudo tcpdump dst port 123
04:31:05.547856 IP (tos 0x0, ttl 64, id 34474, offset 0, flags [DF], proto UDP (17), panjang 76)
192.168.10.16.ntp > waktu-b-wwv.nisan.pemerintah.ntp: [udp sum ok] NTPv4, Klien, panjang 48
Indikator lompatan: jam tidak sinkron (192), Stratum 0 (tidak ditentukan), polling 3 (8s), presisi -6
Penundaan Root: 1.000000, Dispersi akar: 1.000000, Referensi-ID: (tidak ditentukan)
Referensi Stempel Waktu: 0.000000000
Stempel Waktu Pembuat: 0.000000000
Terima Stempel Waktu: 0.000000000
Kirim Stempel Waktu: 3825358265.547764155 (2021-03-21T23:31:05Z)
Originator - Terima Stempel Waktu: 0.000000000
Penggagas - Mengirim Stempel Waktu: 3825358265.547764155 (2021-03-21T23:31:05Z)
04:31:05.841696 IP (tos 0x0, ttl 56, id 234, offset 0, flags [none], proto UDP (17), panjang 76)
waktu-b-wwv.nisan.pemerintah.ntp > 192.168.10.16.ntp: [udp sum ok] NTPv3, Server, panjang 48
Indikator lompatan: (0), Stratum 1 (referensi utama), polling 13 (8192s), presisi -29
Penundaan Root: 0.000244, Dispersi akar: 0.000488, Referensi-ID: NIST
Referensi Timestamp: 3825358208.000000000 (2021-03-21T23:30:08Z)
Stempel Waktu Pembuat: 3825358265.547764155 (2021-03-21T23:31:05Z)
Terima Stempel Waktu: 3825358275.028660181 (2021-03-21T23:31:15Z)
Kirim Stempel Waktu: 3825358275.028661296 (2021-03-21T23:31:15Z)
Penggagas - Terima Stempel Waktu: +9.480896026
Originator - Mengirim Stempel Waktu: +9.480897141

SMTP

SMTP atau Simple Mail Transfer Protocol terutama digunakan untuk email. Tcpdump dapat menggunakan ini untuk mengekstrak informasi email yang berguna. Misalnya, untuk mengekstrak penerima/pengirim email:

$ sudo tcpdump -n -l port 25 | grep -i 'MAIL DARI\|RCPT KE'

IPv6

IPv6 adalah "generasi berikutnya" dari IP, menyediakan berbagai alamat IP. IPv6 membantu mencapai kesehatan Internet jangka panjang.

Untuk menangkap lalu lintas IPv6, gunakan filter ip6 yang menentukan protokol TCP dan UDP menggunakan proto 6 dan proto-17.

$ sudo tcpdump -n -i any ip6 -vvv
tcpdump: tipe tautan data LINUX_SLL2
tcpdump: mendengarkan pada semua, tipe tautan LINUX_SLL2 (Linux dimasak v2), panjang snapshot 262144 byte
04:34:31.847359 lo Dalam IP6 (flowlabel 0xc7cb6, hlim 64, next-header UDP (17) panjang muatan: 40) ::1.49395 > ::1.49395: [udp cksum buruk 0x003b -> 0x3587!] UDP, panjang 32
04:34:31.859082 lo Di IP6 (flowlabel 0xc7cb6, hlim 64, next-header UDP (17) panjang muatan: 32)::1.49395 > ::1.49395: [udp cksum buruk 0x0033 -> 0xeaef!] UDP, panjang 24
04:34:31.860361 lo Dalam IP6 (flowlabel 0xc7cb6, hlim 64, next-header UDP (17) panjang muatan: 40)::1.49395 > ::1.49395: [udp cksum buruk 0x003b -> 0x7267!] UDP, panjang 32
04:34:31.871100 lo Dalam IP6 (flowlabel 0xc7cb6, hlim 64, next-header UDP (17) panjang muatan: 944 ::1.49395 > ::1.49395: [udp cksum buruk 0x03c3 -> 0xf890!] UDP, panjang 936
4 paket ditangkap
12 paket diterima oleh filter
0 paket dijatuhkan oleh kernel

'-c 4' menyediakan jumlah paket hingga 4 paket saja. Kita dapat menentukan jumlah paket menjadi n dan menangkap n paket.

HTTP

Hypertext Transfer Protocol digunakan untuk mentransfer data dari server web ke browser untuk melihat halaman web. HTTP menggunakan komunikasi bentuk TCP. Secara khusus, port TCP 80 digunakan.

Untuk mencetak semua paket HTTP IPv4 ke dan dari port 80:

tcpdump: mendengarkan di wlan0, tipe tautan EN10MB (Ethernet), panjang snapshot 262144 byte
03:36:00.602104 IP (tos 0x0, ttl 64, id 722, offset 0, flags [DF], proto TCP (6), panjang 60)
192.168.10.21.33586 > 192.168.10.1.http: Bendera [S], cksum 0xa22b (benar), seq 2736960993, win 64240, opsi [mss 1460,sackOK,TS val 389882294 ecr 0,nop,wscale 10], panjang 0
03:36:00.604830 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto TCP (6), panjang 60)
192.168.10.1.http > 192.168.10.21.33586: Bendera [S.], cksum 0x2dcc (benar), seq 4089727666, ack 2736960994, menang 14480, opsi [mss 1460,sackOK,TS val 30996070 ecr 389882294,nop,wscale 3], panjang 0
03:36:00.604893 IP (tos 0x0, ttl 64, id 723, offset 0, flags [DF], proto TCP (6), panjang 52)
192.168.10.21.33586 > 192.168.10.1.http: Bendera [.], cksum 0x94e2 (benar), seq 1, ack 1, win 63, opsi [nop,nop,TS val 389882297 ecr 30996070], panjang 0
03:36:00.605054 IP (tos 0x0, ttl 64, id 724, offset 0, flags [DF], proto TCP (6), panjang 481)

Permintaan HTTP…

192.168.10.21.33586 > 192.168.10.1.http: Bendera [P.], cksum 0x9e5d (benar), seq 1:430, ack 1, win 63, opsi [nop,nop,TS val 389882297 ecr 30996070], panjang 429: HTTP, panjang: 429
DAPATKAN / HTTP/1.1
Tuan rumah: 192.168.10.1
Agen-Pengguna: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0
Terima: teks/html,aplikasi/xhtml+xml,aplikasi/xml;q=0.9,gambar/webp,*/*;q=0.8
Bahasa Terima: en-US,en;q=0.5
Terima-Encoding: gzip, deflate
DNT: 1
Koneksi: tetap hidup
Kuki: _TESTCOOKIESUPPORT=1; SID=c7ccfa31cfe06065717d24fb544a5cd588760f0cdc5ae2739e746f84c469b5fd
Peningkatan-Permintaan-Tidak Aman: 1

Dan tanggapan juga ditangkap

192.168.10.1.http > 192.168.10.21.33586: Bendera [P.], cksum 0x84f8 (benar), seq 1:523, ack 430, win 1944, opsi [nop,nop,TS val 30996179 ecr 389882297], panjang 522: HTTP, panjang: 522
HTTP/1.1 200 Oke
Server: server web ZTE 1.0 ZTE corp 2015.
Terima-Rentang: byte
Koneksi: tutup
X-Frame-Options: SAMAORIGIN
Kontrol Cache: tanpa cache, tanpa penyimpanan
Konten-Panjang: 138098
Set-Cookie: _TESTCOOKIESUPPORT=1; JALUR=/; Hanya Http
Tipe-Konten: teks/html; rangkaian karakter = utf-8
X-Content-Type-Options: nosniff
Kebijakan-Keamanan-Konten: nenek moyang bingkai 'sendiri' 'unsafe-inline' 'unsafe-eval';img-src 'self' data:;
X-XSS-Perlindungan: 1; modus = blok
Set-Cookie: SID=;kedaluwarsa=Kamis, 01-Jan-1970 00:00:00 GMT;path=/; Hanya Http

TCP

Untuk menangkap paket TCP saja, perintah ini akan melakukan semua yang baik:

$ sudo tcpdump -i wlan0 tcp
tcpdump: mendengarkan di wlan0, tipe tautan EN10MB (Ethernet), panjang snapshot 262144 byte
04:35:48.892037 IP (tos 0x0, ttl 60, id 23987, offset 0, flags [none], proto TCP (6), panjang 104)
tl-in-f189.1e100.bersih.https > 192.168.10.16.50272: Bendera [P.], cksum 0xc924 (benar), seq 1377740065:1377740117, ack 1546363399, win 300, opsi [nop,nop,TS val 13149401 ecr 3051434098], panjang 52
04:35:48.892080 IP (tos 0x0, ttl 64, id 20577, offset 0, flags [DF], proto TCP (6), panjang 52)
192.168.10.16.50272 > tl-in-f189.1e100.bersih.https: Bendera [.], cksum 0xf898 (benar), seq 1, ack 52, win 63, opsi [nop,nop,TS val 3051461952 ecr 13149401], panjang 0
04:35:50.199754 IP (tos 0x0, ttl 64, id 20578, offset 0, flags [DF], proto TCP (6), panjang 88)
192.168.10.16.50272 > tl-in-f189.1e100.bersih.https: Bendera [P.], cksum 0x2531 (benar), seq 1:37, ack 52, win 63, opsi [nop,nop,TS val 3051463260 ecr 13149401], panjang 36
04:35:50.199809 IP (tos 0x0, ttl 64, id 7014, offset 0, flags [DF], proto TCP (6), panjang 88)
192.168.10.16.50434 > hkg12s18-in-f14.1e100.bersih.https: Bendera [P.], cksum 0xb21e (benar), seq 328391782:328391818, ack 3599854191, win 63, opsi [nop,nop,TS val 3656137742 ecr 2564108387], panjang 36
4 paket ditangkap
4 paket diterima oleh filter
0 paket dijatuhkan oleh kernel

Biasanya penangkapan paket TCP menghasilkan banyak lalu lintas; Anda dapat menentukan secara detail kebutuhan Anda dengan menambahkan filter ke tangkapan, seperti:

Pelabuhan
Menentukan port yang akan dipantau

$ sudo tcpdump -i wlan0 port tcp 2222

Sumber IP
Untuk melihat paket dari sumber tertentu

$ sudo tcpdump -i wlan0 tcp src 192.168.10.2

IP tujuan
Untuk melihat paket ke tujuan tertentu

$ sudo tcpdump -i wlan0 tcp dst 192.168.10.2

Menyimpan pengambilan paket ke dalam file

Untuk menyimpan capture paket untuk melakukan analisis nanti, kita dapat menggunakan opsi -w dari tcpdump yang membutuhkan parameter nama file. File-file ini disimpan dalam format file pcap (pengambilan paket), yang dapat digunakan untuk menyimpan atau mengirim tangkapan paket.

Sebagai contoh:

$ sudo tcpdump -w /ditangkap.pcap

Kita dapat menambahkan filter jika kita ingin menangkap paket TCP, UDP, atau ICMP, dll.

Membaca pengambilan paket dari file

Sayangnya, Anda tidak dapat membaca file yang disimpan melalui perintah umum 'baca file' seperti cat, dll. Outputnya hanyalah omong kosong, dan sulit untuk mengetahui apa yang ada di dalam file. '-r' digunakan untuk membaca paket yang disimpan dalam .file pcap, disimpan sebelumnya oleh '-w' atau perangkat lunak lain yang menyimpan pcaps:

$ sudo tcpdump -r /keluaran.pcap

Ini mencetak data yang dikumpulkan dari paket yang diambil pada layar terminal dalam format yang dapat dibaca.

lembar contekan tcpdump

Tcpdump dapat digunakan dengan perintah Linux lainnya seperti grep, sed, dll., untuk mengekstrak informasi yang berguna. Berikut adalah beberapa kombinasi dan kata kunci yang berguna yang digabungkan yang digunakan dengan tcpdump untuk mendapatkan informasi berharga valuable.

Ekstrak Agen Pengguna HTTP:

$ sudo tcpdump -n | grep "Agen-Pengguna:"

URL yang diminta melalui HTTP dapat dipantau menggunakan tcpdump seperti:

$ sudo tcpdump -v -n | egrep -i "POST / |GET / |Host:"

Anda juga bisa Ekstrak Kata Sandi HTTP di Permintaan POST

$ sudo tcpdump -nn -l | egrep -i "POST /|pwd=|passwd=|password=|Host:"

Cookie sisi server atau klien dapat diekstraksi menggunakan:

$ sudo tcpdump -n | egrep -i 'Set-Cookie|Host:|Cookie:'

Tangkap permintaan dan respons DNS dengan menggunakan:

$ sudo tcpdump -i wlp58s0 -s0 port 53

Cetak semua kata sandi teks biasa:

$ sudo tcpdump port http atau port ftp atau port smtp atau port imap atau port pop3 atau port telnet -l -A | egrep -i -B5 'pass=|pwd=|log=|login=|user=|user |username=|pw=|passw=|passwd=|passwd=|pass:|user:|username:|passwd:| masuk:|lulus '

Filter Tcpdump umum

• -SEBUAH Menampilkan paket dalam Format ASCII.
• -c Jumlah paket yang akan diambil.
• -menghitung Cetak jumlah paket hanya saat membaca file yang diambil.
• -e Cetak alamat MAC dan header tingkat tautanlevel.
• -h atau -bantuan Mencetak versi dan informasi penggunaan.
• -Versi: kapan Tampilkan informasi versi saja.
• -saya Tentukan antarmuka jaringan yang akan ditangkap.
• -K Cegah upaya untuk memverifikasi checksum dari paket apa pun. Menambah kecepatan.
• -saya Tentukan Modul yang akan digunakan.
• -tidak Jangan mengonversi alamat (i.e., alamat host, nomor port, dll.) untuk nama.
• -jumlah Cetak nomor paket opsional di awal setiap baris.
• -p Melarang antarmuka masuk ke mode promiscuous.
• -Q Pilih arah untuk paket yang akan diambil. Kirim atau terima.
• -q Keluaran Tenang/Cepat. Mencetak Lebih sedikit informasi. Output lebih pendek.
• -r Digunakan untuk membaca paket dari pcap .
• -untuk Jangan mencetak stempel waktu pada setiap baris dump.
• -v Mencetak lebih banyak informasi mengenai keluaran.
• -w Tulis paket mentah ke file.
• -x Mencetak keluaran ASCII.
• -X Mencetak ASCII dengan hex.
• -daftar-antarmuka Menunjukkan semua antarmuka jaringan yang tersedia di mana paket dapat ditangkap oleh tcpdump.

Penghentian

Tcpdump telah menjadi alat yang sangat banyak digunakan dalam penelitian dan aplikasi Keamanan/Jaringan. Satu-satunya kelemahan tcpdump memiliki 'Tanpa GUI,' tetapi terlalu bagus untuk dijauhkan dari tangga lagu teratas. Seperti yang ditulis Daniel Miessler, “Protocol Analyzer seperti Wireshark sangat bagus, tetapi jika Anda ingin benar-benar menguasai packet-fu, Anda harus menjadi satu dengan tcpdump terlebih dahulu.”