Phenquestions
"tcpdump" adalah penganalisis paket dan digunakan untuk mendiagnosis dan menganalisis masalah jaringan. Ini menangkap lalu lintas jaringan yang melalui perangkat Anda dan memeriksanya. Alat "tcpdump" adalah alat yang ampuh untuk memecahkan masalah jaringan. Muncul dengan banyak opsi, yang menjadikannya utilitas baris perintah serbaguna untuk memperbaiki masalah jaringan.
Posting ini adalah panduan terperinci tentang utilitas "tcpdump" yang mencakup instalasi, fitur umum, dan penggunaan dengan opsi berbeda. Mari kita mulai dengan instalasi:
Cara menginstal "tcpdump":
Di banyak distribusi, "tcpdump" keluar dari kotak, dan untuk memeriksanya, gunakan:
$yang tcpdump
Jika tidak ditemukan di distribusi Anda, maka instal menggunakan:
$sudo untuk menginstal tcpdumpPerintah di atas akan digunakan untuk distribusi berbasis Debian seperti Ubuntu dan LinuxMint. Untuk "Redhat" dan "CentOS", gunakan:
$sudo dnf menginstal tcpdumpCara menangkap paket dengan tcpdump:
Berbagai antarmuka dapat digunakan untuk menangkap paket. Untuk mendapatkan daftar antarmuka, gunakan:
$sudo tcpdump -D
Atau cukup gunakan "any" dengan perintah "tcpdump" untuk mendapatkan paket dari antarmuka aktif active. Untuk memulai pengambilan paket gunakan:
$sudo tcpdump --interface any
Perintah di atas melacak paket dari semua antarmuka aktif. Paket-paket tersebut akan terus direbut sampai mendapat interupsi dari pengguna (ctrl-c).
Kita juga dapat membatasi jumlah paket yang akan ditangkap menggunakan flag “-c” yang menandakan “count .” Untuk menangkap 3 paket, gunakan:
$sudo tcpdump -i any -c3
Perintah di atas berguna untuk memfilter paket tertentu. Selain itu, pemecahan masalah konektivitas hanya memerlukan beberapa paket awal untuk diambil.
"tcpdump” perintah menangkap paket dengan IP dan nama port secara default tetapi untuk membersihkan, kekacauan dan membuat output lebih mudah dipahami; nama dapat dinonaktifkan menggunakan “-tidak” dan “-nn” untuk opsi port:
$sudo tcpdump -i any -c3 -nn
Seperti yang ditunjukkan pada output di atas, nama IP dan port telah dihapus.
Cara memahami informasi tentang paket yang ditangkap:
Untuk mempelajari tentang berbagai bidang paket yang diambil, mari kita ambil contoh paket TCP:
Sebuah paket dapat memiliki berbagai bidang, tetapi yang umum ditampilkan di atas. Bidang pertama, “09:48:18.960683,”mewakili waktu ketika paket diterima. Berikutnya adalah alamat IP; IP pertama [216.58.209.130] adalah IP sumber dan IP kedua [10.0.2.15.55812] adalah IP tujuan. Maka Anda akan mendapatkan bendera [P.]; daftar bendera khas diberikan di bawah ini:
| Bendera | Tipe | Deskripsi |
| “.” | ACK | Menandakan pengakuan |
| S | SYN | Tandai untuk memulai koneksi |
| F | SIRIP | Tandai untuk koneksi tertutup |
| P | DORONG | Menunjukkan dorongan data dari pengirim |
| R | RST | Koneksi diatur ulang |
Dan selanjutnya muncul nomor urut “barisan 185:255”. Klien dan server sama-sama menggunakan nomor urut 32-bit untuk memelihara dan memantau data.
"ack” adalah bendera; jika 1, itu berarti nomor pengakuan valid, dan penerima mengharapkan byte berikutnya.
Nomor jendela menunjukkan ukuran buffer. “menang 65535” berarti jumlah data yang dapat disangga.
Dan pada akhirnya datang panjang [70] dari paket dalam byte yang merupakan perbedaan dari “185:255”.
Memfilter paket untuk memperbaiki masalah jaringan:
Alat "tcpdump" menangkap ratusan paket, dan kebanyakan dari mereka tidak terlalu penting yang membuatnya jauh lebih rumit untuk mendapatkan informasi yang diinginkan untuk pemecahan masalah. Dalam hal ini, penyaringan akan memainkan perannya. Misalnya, saat memecahkan masalah jika Anda tidak tertarik pada jenis lalu lintas tertentu, Anda dapat memfilternya menggunakan "tcpdump", yang dilengkapi dengan paket pemfilteran menurut alamat IP, port, dan protokol.
Cara menangkap paket menggunakan nama host dengan perintah tcpdump:
Untuk mendapatkan paket dari host tertentu saja, gunakan:
$sudo tcpdump -i any -c4 Host 10.0.2.15
Jika Anda hanya ingin mendapatkan lalu lintas satu arah, gunakan “src” dan “dst” pilihan di tempat “tuan rumah.”
Cara menangkap paket menggunakan nomor port dengan perintah tcpdump:
Untuk memfilter paket dengan nomor port, gunakan:
$sudo tcpdump -i any -c3 -nn port 443
"443" adalah nomor port HTTPS.
Cara menangkap paket menggunakan protokol dengan perintah tcpdump:
Dengan perintah “tcpdump”, Anda dapat memfilter paket menurut protokol apa pun seperti udp, icmp, arp, dll. Cukup ketik nama protokol:
$sudo tcpdump -i any -c6 udp
Perintah di atas hanya akan menangkap paket yang termasuk dalam protokol "udp".
Cara menggabungkan opsi pemfilteran menggunakan operator logika:
Opsi pemfilteran yang berbeda dapat digabungkan menggunakan operator logika seperti “dan/atau”:
$sudo tcpdump -i any -c6 -nn host 10.0.2.15 dan port 443
Cara menyimpan data yang diambil:
Data yang diambil dapat disimpan ke file untuk dipantau nanti, dan untuk itu opsi "-w" akan digunakan, dan "w" berarti "tulis":
$sudo tcpdump -i any -c5 -w packetData.pcap
Ekstensi file akan menjadi “.pcap,” yang merupakan singkatan dari “pengambilan paket.” Setelah pengambilan selesai, file akan disimpan di drive lokal Anda. File ini tidak dapat dibuka atau dibaca menggunakan program editor teks apa pun. Untuk membacanya, gunakan tombol “-r” tandai dengan “tcpdump”:
$tcpdump -r paketData.pcap
Kesimpulan:
"tcpdump" adalah alat yang berharga dan fleksibel untuk menangkap dan menganalisis lalu lintas jaringan untuk memecahkan masalah jaringan. Titik perhatian panduan ini adalah untuk mempelajari penggunaan dasar dan lanjutan dari utilitas baris perintah "tcpdump". Tetapi jika Anda merasa sulit, maka ada program berbasis GUI yang tidak terlalu rumit yang disebut "Wireshark," yang melakukan pekerjaan yang hampir sama tetapi dengan berbagai fitur tambahan.
