|
Tarmoq paketlari analizatorlari. Tarmoq analizatorlari
|
| bet | 2/14 | | Sana | 20.12.2023 | | Hajmi | 0,89 Mb. | | #125079 |
Bog'liq 6-Tarmoq paketlari analizatorlari Asoslar
Tarmoq trafigini yig'ishning asosiy vositasi hisoblanadi
Bu deyarli barcha Unix-ga o'xshash operatsion tizimlarga o'rnatiladigan ochiq kodli dastur. Tcpdump - bu juda murakkab filtrlash tiliga ega bo'lgan ajoyib ma'lumotlarni yig'ish dasturi. Tahlil qilish uchun oddiy ma'lumotlar to'plamiga ega bo'lish uchun ma'lumotlarni to'plashda qanday filtrlashni bilish muhimdir. Tarmoq qurilmasidan barcha ma'lumotlarni, hatto o'rtacha band bo'lgan tarmoqda ham, tahlil qilish juda qiyin bo'lgan juda ko'p ma'lumotlarni yaratishi mumkin.
Ba'zi kamdan-kam hollarda, kerakli narsani topish uchun olingan tcpdump ma'lumotlarini to'g'ridan-to'g'ri ekranga chop etish kifoya qiladi. Misol uchun, ushbu maqolani yozish paytida men trafikni to'pladim va mening mashinam men bilmagan IP-manzilga trafik yuborayotganini payqadim. Ma'lum bo'lishicha, mening mashinam google IP manziliga 172.217.11.142 ma'lumot yuborgan. Menda hech qanday Google mahsuloti bo'lmagani uchun va menda Gmail ochiq bo'lmagani uchun nima uchun bu sodir bo'layotganini bilmasdim. Men tizimimni tekshirdim va quyidagilarni topdim:
[~] $ ps -ef | grep google foydalanuvchisi 1985 1881 0 10:16? 00:00:00 / opt / google / chrome / chrome --type = xizmat
Ma’lum bo‘lishicha, Chrome ishlamay qolganda ham u xizmat sifatida ishlayveradi. Paket tahlilisiz buni sezmagan bo'lardim. Men yana bir nechta ma'lumotlar paketlarini ushlab oldim, lekin bu safar men tcpdump-ga ma'lumotlarni faylga yozish vazifasini berdim, keyin uni Wireshark-da ochdim (bu haqda keyinroq). Bu yozuvlar:
Tcpdump tizim boshqaruvchilarining sevimli vositasidir, chunki u buyruq qatori yordam dasturidir. tcpdump dasturini ishga tushirish uchun grafik interfeys talab qilinmaydi. Ishlab chiqarish serverlari uchun grafik interfeys juda zararli, chunki u tizim resurslarini sarflaydi, shuning uchun buyruq qatori dasturlariga afzallik beriladi. Ko'pgina zamonaviy yordamchi dasturlar singari, tcpdump juda boy va murakkab tilga ega bo'lib, uni o'zlashtirish biroz vaqt talab etadi. Eng asosiy buyruqlardan bir nechtasi ma'lumotlarni yig'ish uchun tarmoq interfeysini tanlash va ushbu ma'lumotlarni boshqa joyga tahlil qilish uchun eksport qilish uchun faylga yozishni o'z ichiga oladi. Buning uchun -i va -w kalitlari ishlatiladi.
# tcpdump -i eth0 -w tcpdump_packets tcpdump: eth0 da tinglash, havola turi EN10MB (Ethernet), yozib olish hajmi 262144 bayt ^ C51 paketlar yozib olindi
Ushbu buyruq olingan ma'lumotlar bilan fayl yaratadi:
tcpdump_packets fayli tcpdump_packets: tcpdump yozib olish fayli (little-endian) - 2.4 versiyasi (Ethernet, yozib olish uzunligi 262144)
Ushbu fayllar uchun standart pcap formatidir. Bu matn emas, shuning uchun uni faqat ushbu formatni tushunadigan dasturlar tahlil qilishi mumkin.
|
| |
