Aranızda tcpdump nedir diye sorsalar bilmeyeneniz yoktur her halde, kısaca bahsetmek gerekirse makinenize gelen trafiği izlemenizi sağlayan başarılı bir tool diyebiliriz.
tcpdump ı kurmak için
yum -y install tcpdump.x86_64 komutu ile kurabiliriz.
en basit kullanımı :
tcpdump
tcpdump ile dinlenebilecek interfacesleri listesini,
tcpdump -D
bildiğim en detayı hali ile bir satır yazarak onu açıklıyayım size,
tcpdump -nn -i eth0 -s0 -X dst host 1.1.1.1 and src host 1.1.1.2 and port 25 -v -w /tmp/x.log -c 20
-nn : ip nin ve portun çözümlemesini yapma diyorum. yani ip içini xxx.statik.ttnet.net.tr yazmasın ip yazsın ve smtp yazmak yerine 25 yazsın diyorum. Yağun paket akışı olan sunucularda bunu kullanmazsanız paket akışı çok yavaş olabiliyor.
-i : interface seçiyoruz, biz burda interface olarak eth0 ı seçtik.
-s0 : default olarak paketin ilk 24 byte görüntülenir ancak -s0 ile paketin içeriğinin tamamını gösterir.
-X : -s0 ile elede edilen veriyi ekrana basar.
dst host : hedef host ip si
src host : kaynak host
and,or, not : 3 operatör var, ve veya değil operatörleri bilmeyen yoktur sanırım, bilmeyen var ise araştırabilir, yada örneklere bakarak anlayabilir.
port : belirtilen portu dinler.
port not 25 : 25. port dışındakiler.
-v : ttl ve id bilgilerini verir.
-w çıktıyı kaydetmek için.
-c 20 : 20 paketi göster sadece
Örnekler:
sadece 80 e gelen paketleri göster,
tcpdump port 80
sadece 1.1.1.1 den 80 e gelen istekleri göster,
tcpdump src host 1.1.1.1 and port 80
1.1.1.1 den gelen paketleri listele ama 80 e gelenleri listeleme
tcpdump src host 1.1.1.1 and port not 80
konu ile ilgili olarak aşağıdaki adresleri de inceleyebilirsiniz.
http://www.bga.com.tr/calismalar/tcpdump1.pdf
http://openmaniak.com/tcpdump.php
Faydalı olabilmesi temennisi ile…
