Daha önce Ubuntu üzerine tcpdump kurulumunu anlatmıştım. Şimdi de bu tcpdump nedir, ne değildir, hangi parametreler ile çalışır ufak ufak anlatmaya çalışacağım. Hem belki meraklılara bir faydam olur hem de kendim tekrar etmiş olurum en süperlisinden.
Öncelikle tcpdump, Linux/UNIX sistemlerde de-facto paket yakalama ve analiz aracıdır. Bizim makinemize gelen paketleri görebiliriz. Sadece bakarak ayırt etmesi zordur. Kendisine gelen broadcast trafiğini gösterir.
Nmap ile açık portlara bakarken, bir bilgisayara dışarıdan hangi paketler geliyor diye tcpdump’ı kullanırız.
=> Bir makineden, o makineye servis veren başka bir makineye bağlanılamıyor diyelim. Sizin çalıştırdığınız bir servise dışarıdan ulaşılamadığını söylenecek. Aynı şirketten biri ya da sattığınız biri olabilir.
-Kendimiz ssh ile bağlandık, çalışıyor. Sonra karşı taraf o makineye ulaşabiliyor mu diye takip ederek devam ederiz. Bu durumda bir servise kullanıcı bağlanamıyorsa, LOGlara bakayım diyemeyiz, çünkü adı üstünde LOG bağlandıktan sonra oluşan sonuçlardır. Ozaman paket seviyesinde gönderilenleri incelememiz gerekir. Bunu da TCPDUMP kullanarak yapabiliriz.
# tcpdump Bütün ethernet kartlarımıza, bütün IP’lerden gelen, hangi protokolden ve hangi porttan gelirse gelsin, tüm paketleri bu komut ile dinleriz.
# tcpdump -i wlan0 istediğimiz arabirimi dinlemek istiyorsak.
# tcpdump -D Sistemimizde bulunan ve tcpdump tarafından dinlenebilecek arabirimlerin listesini verir.
-n : DNS isimlerinin(hostname) çözümlenmesini istemiyorsak,
-nn : Hem dns isimlerinin hem de portların çözümlenmesi yapılmayacaksa (telnet yerine 23 yazar.),
-t : Paketin hangi zaman aralığında yakalandığını göstermez.
-E : IPSec’i çözümleyip, key olursa gösterir.
# tcpdump -w dosya_ismi : Paketleri kayıt eder. (Ama okunamayacak şekilde)
# tcpdump -r dosya_ismi : Kayıt ettiğimiz dosyayı okunabilir hale getirir.
-c : Yakalanacak paket sayısını belirlemeyi sağlar.
# tcpdump -i eth0 -c5 : eth0’dan gelen 5 paketi gösterir.
-s : Yakalanacak paket boyutunu belirlemeyi sağlar.
# tcpdump -s 1500
-v : Detaylı LOGlama yapar. (TTL ve ID değerleri ile ilgili bilgi edinilir.)
-p : Promise moddan çıkılmasını sağlar. (Promise mod, ethernet kartımızın kendisine fiziken ulaşmış, paketlerin hedef IP adresi kendisi olmasa dahi paketleri alır .)
# tcpdump host 10.0.0.21 : Belirlediğimiz bir hosta ait paketin izlenmesi istenirse. (makine_adi da olur.)
# tcpdump dst host 10.0.0.21 : Hedef host belirtilir.
# tcpdump src host 10.0.0.21 : Kaynak host belirtilir.
# tcpdump src host 10.1.0.59 and dst host 10.1.0.1 : Aynı anda belirtebiliriz.
# tcpdump port 23 : Belirlediğimiz portu dinler.
# tcpdump dst port 23 : Hedef port belirtiriz.
# tcpdump src port 23 : Kaynak portu belirtiriz.
# tcpdump icmp,tcp,udp : Protokollere göre paketleri dinler.
# tcpdump portrange 21-23 : Port aralığına göre tarama yapar.
# tcpdump less 32 : 32 bytetan daha küçük olan paketleri dinler.
# tcpdump greater 64 : 64 bytetan daha büyük paketleri dinler.
Yukarıdaki sitelerde daha ayrıntılı bilgiye erişebilirsiniz. Umarım faydalı olur.
Kolay gelsin. 🙂