Đại học Quốc Gia TP Hồ Chí Minh Trường Đại học Công Nghệ Thông Tin Khoa: Mạng máy tính & Truyền thông Môn: Quản trị hệ thống mạng Tìm hiểu TCPdump Nhóm sinh viên thực hiện: Vũ Văn Hiệu Nguyễn Quang Gia Khang Ngô Duy Thống 07520125 07520170 07520338 Giảng viên hướng dẫn: Th.s Vũ Trí Dũng Tìm hiểu TCPdump  Phần  Phần  Phần  Phần  Phần I: Giới thiệu công cụ TCPdump II: Sử dụng TCPdump III: Đánh giá công cụ IV: Tổng kết V: Tài liệu tham khảo Giới thiệu TCPdump  TCPdump gì?  TCPdump công cụ dùng để theo dõi hoạt động hệ thống mạng  Tcpdump viết Van Jacobson, Craig Leres, Steven McCanne giảng viên University of California Giới thiệu Tcpdump  Môi trường làm việc: Trên dòng lệnh  Chế độ: promiscuous mode  Chức năng: Bắt tất các gói tin giao tiếp mạng, qua giúp người quản trị hệ thống nắm tình hình hệ thống  Tên gọi:  Linux: TCPdump  Windows: Windump Sử dụngTCPdump Cú pháp TCPdump: #tcpdump “options” Sử dụngTCPdump Sử dụngTCPdump  Các tùy chọn: Tcpdump cung cấp nhiều tùy chọn, giới thiệu số chúng: -A: In gói theo mã ASCII -c N: Ký tự N số, tùy chọn thông báo cho tcpdump biết để thoát sau gói N -i interface: Capturre gói giao diện mạng Sử dụngTCPdump Các tùy chọn: (tiếp theo) -q: Cung cấp đầu ngắn để dòng đầu ngắn -r filename: Đọc gói từ file cụ thể thay cho giao diện mạng, thường sử dụng sau gói liệu thô ghi vào file với tùy chọn –w -t: Không in thời gian dòng đầu -v: Cung cấp đầu dài Dài với -vv, vào chí -vvv -w filename: Ghi gói liệu thô vào file Sử dụngTCPdump Các biểu thức: Tcpdump hỗ trợ biểu thức dòng lệnh Các biểu thức gồm : primitive (mẫu), thuật ngữ modifier (từ bổ nghĩa) Sử dụngTCPdump Primitive (mẫu):  dst foo: Chỉ định địa hostname nhằm hạn chế gói capture mặt lưu lượng gửi đến  host foo: Chỉ định địa hostname nhằm hạn chế gói capture mặt lưu lượng đến  net foo: Chỉ định mạng đoạn mạng sử dụng ghi CIDR để hạn chế capture gói 10 Sử dụng TCPdump Một vài công dụng TCPdump: Sử dụng tcpdump để đo thời gian phản ứng tỷ lệ gói tin Nó cho biết khả tiếp cận số máy chủ xa Sử dụng tcpdump quan sát kết nối TCP / UDP tạo kết thúc TCP sử dụng chế đặc biệt để thiết lập đóng kết nối , đo thời gian gói liên quan đến chế để biết số kết nối 13 hoạt động Sử dụng TCPdump Kết hợp tùy chọn, primitive modifier này, với số tùy chọn khác được sử dụng để xây dựng lệnh cụ thể nhằm cung cấp đầu xác packets cần lấy Tạo thuận lợi cho việc phân tích gói sau 14 Sử dụng TCPdump Chú ý: Để sử dụng TCPdump cần chạy quyền root 15 Ví dụ  man tcpdump: Tất thông tin TCPdump 16 Ví dụ  tcpdump: chạy tcpdump không tùy chọn Với tùy chọn này, ta bắt packets giao tiếp mạng 17 Ví dụ  Tcpdump -A: In gói dạng mã ascii -A 18 Ví dụ #tcpdump -c 50 dst uit.edu.vn Cho bạn thông tin nhận nguồn lưu lượng nặng gửi đến làm tải máy chủ với hostname “uit.edu.vn”, lấy 50 gói #tcpdump -c 500 -w 'date +"%Y%j%T"'.log Ghi 500 gói vào file có tên time/date hành (ví dụ 2010111915:16:31.log) để chúng lọc sau theo thông tin mà bạn muốn xem Ở date hàm hệ thống 19 Ví dụ  Bằng cách kết hợp tùy chọn, Primitive , Modifiers ta bắt gói tin mong muốn  tcpdump -w test.pcap -i eth1 tcp port 6881 Trong ví dụ ta bắt gói tin TCP giao tiếp eth1 port 6881 ghi vào file có tên “test.pcap” 20 tcpdump -w test.pcap -s 1550 dst 10.168.28.22 and tcp port 22 Ví dụ  tcpdump dst 192.168.1.22 and tcp port 21 Bắt gói có địa đích 192.168.1.22 qua port 21 với giao thức TCP  tcpdump -s 1550 dst 192.168.1.22 and tcp port 22 Thông thường kích thước packets 96 bytes, dùng tùy chọn –s để thay đổi kích thước  tcpdump tcp portrange 20-24 Lắng nghe dãy port 21 tcpdump -w test.pcap -s 1550 dst 10.168.28.22 and tcp port 22 Ví dụ #tcpdump ‘icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply’ To print all ICMP packets that are not echo requests/replies ????? 22 Demo Sniff packets  Video demo Sniff packets with Tcpdump 23 Đánh giá công cụ  Ưu điểm:  Là công cụ nhỏ gọn Được tích hợp sẵn  Là công cụ mạnh, khả tùy biến cao  Chiếm tài nguyên hệ thống  Miễn phí 24 Đánh giá công cụ  Khuyết điểm:  Giao diện dòng lệnh gây khó khăn cho người sử dụng  Có thể bắt gói tin giả mạo 25 Tổng kết  Tcpdump công cụ mạnh hỗ trợ tốt cho người quản trị hệ thống mạng, song để sử dụng hiệu cần có kinh nghiệm thời gian để tiếp xúc  Qua trình tìm hiểu công cụ chúng em có thêm nhiều kiến thức bổ ích phục vụ cho việc học tập làm việc sau 26 Tài liệu tham khảo  Documention (http://tcpdump.org )  TCPDUMP - The Easy Tutorial http://openmaniak.com/tcpdump.php  Monitoring with tcpdump http://www-iepm.slac.stanford.edu/monitoring/passive/tcpdump.html  Sử dụng tcpdump để phân tích lưu lượng http://www.quantrimang.com.vn/baomat/bao-mat/giai-phap-bao-mat/47439_Sudung-tcpdump-de-phan-tich-luu-luong.aspx 27 ... tiếp mạng, qua giúp người quản trị hệ thống nắm tình hình hệ thống  Tên gọi:  Linux: TCPdump  Windows: Windump Sử dụngTCPdump Cú pháp TCPdump: #tcpdump “options” Sử dụngTCPdump Sử dụngTCPdump... packets with Tcpdump 23 Đánh giá công cụ  Ưu điểm:  Là công cụ nhỏ gọn Được tích hợp sẵn  Là công cụ mạnh, khả tùy biến cao  Chiếm tài nguyên hệ thống  Miễn phí 24 Đánh giá công cụ  Khuyết... hiểu TCPdump  Phần  Phần  Phần  Phần  Phần I: Giới thiệu công cụ TCPdump II: Sử dụng TCPdump III: Đánh giá công cụ IV: Tổng kết V: Tài liệu tham khảo Giới thiệu TCPdump  TCPdump gì?  TCPdump