Tcpdump Kullanımı

Eyl 06, 2013

Tcpdump, Linux işletim sistemine sahip bilgisayarlarda komut satırında çalışan bir paket analizcisi programıdır. Kullanıcıya bağlı bulunduğu bir ağ üzerinden iletilen veya alınan TCP/IP paketlerini veya diğer paketleri yakalama ve gözlemleme olanağı sunar. BSD lisansı altında dağıtılan Tcpdump ücretsiz bir yazılımdır. Tcpdump, paket yakalamak için “libpcap” kütüphanesini kullanır. Tcpdump'ın Windows için olanı WinDump olarak adlandırılır ve libpcap’in Windows'a port edilmiş hali olan WinPcap kullanır. Bazı dağıtımlarda kurulmuş olarak var olan tcpdump programını komut satırında aşağıdaki komut yardımıyla bilgisayarımıza kurabiliriz.

# yum install tcpdump

 Tcpdump Parametreleri
 tcpdump                       
 Ağ trafiğini analiz eder.
 tcpdump -D
 Ağ üzerinde dinlenebilecek bütün arayüzleri listeler.  
 tcpdump -i "arayüzün adı"
 Belirtilen arayüzün dinlenmesini sağlar.
 tcpdump -v
 Paketin protokol içeriğini de gösteren detaylı bir analiz yapar. 
 tcpdump -vv
 Paketin NFS ve SMB içeriğini de gösteren detaylı bir analiz yapar.
 tcpdump -vvv  
 Paketin Telnet içeriğini de gösteren detaylı bir analiz yapar.                   
 tcpdump -q
 Sadece temel bilgilerini içeren bir analiz yapar.
 tcpdump –c  "sayı"
 Belirtilen sayıda paket içeriğini listeler.                
 tcpdump -n                 
 Analizi yaparken transfer yapılan adresin IP adresi ve port numarasını yazdırır.
tcpdump -n dst "IP adresi"                 
 Belirtilen  IP adresine giden paketleri listeler.
 tcpdump -n src  "IP adresi"              
 Belirtilen IP adresinden gelen paketleri listeler.
 tcpdump -n  "IP adresi"               
 Belirtilen IP adresinden gelen ya da giden bütün paketleri listeler.
 tcpdump -n dst net  "ağ adresi"              

 Belirtilen ağ adresine giden paketleri listeler.

 tcpdump -n src net  "ağ adresi"            
 Belirtilen ağ adresinden gelen paketleri listeler.
 tcpdump -n net   "ağ adresi"            
 Belirtilen ağ adresinden gelen ya da giden paketleri listeler.
 tcpdump –n port  "port numarası"  Hedef veya kaynak portu belirtilen port olan paketleri listeler.                
 tcpdump –n dst port  "port numarası"              
 Hedef portu belirtilen port olan paketleri listeler.
 tcpdump –n src port  "port numarası"  Kaynak portu belirtilen port olan paketleri listeler.
 tcpdump –v icmp              
 ICMP paketlerini listeler.
 tcpdump –v arp  ARP paketlerini listeler.   
 tcpdump –p      
 Tcpdump ile yalnızca dinleme yapılan arabirime gelen paketleri yakalamak için seçici olmayan moddan çıkılması için kullanılır.
 tcpdump –e                            
 Yakalanan paketlerin ikinci katman bilgilerini yani mac adreslerini elde etmek için kullanılır.
 tcpdump –w  “dosya ismi”  Listelenen paketleri bir dosya halinde kaydeder. Bu kaydettiğimiz dosyayı ‘Wireshark’ gibi programlarla da açarak inceleyebiliriz.
 tcpdump –r   “dosya ismi”   
 Dosya halinde olan bir paket listesini açar.

Komut çıktısı örnekleri:

  • Tcpdump parametresiz olarak çalıştırıldığında en küçük numaralı ağ arabirimini dinlemeye başlar. "–i" parametresi kullanılarak dinleme yapması istenilen arabirim belirtilir. Ayrıca "-c 1" paremetresiyle bir paket listelenir.
     
  •  "-n net " parametresiyle istenilen bir ağ dinlenir. Bunun için parametreye istenilen ağ adresi ve alt ağ maskesi belirteci eklenir.
     
  •  "-n port" parametresiyle belirtilen portu kullanan paketler listelenir. Bu örnekte 22. portu kullanan 1 paket listelenmiştir.
      
  • Tcpdump ile yakalanan paketler bir dosyaya kaydedilip daha sonra farklı paket yakalama araçlarıyla da analiz edilir. Bunun için –w parametresinden sonra kaydedilecek dosya adı yazılır. Kaydedilen dosyalar –r parametresi kullanılarak tcpdump ile okunur.
     
  • Bu örnekte detaylı bir paket listelemesi yapılmıştır ve açıklamaları aşağıda belirtilmiştir.
     
 Başlık Alanları (Header Fields) ve Açıklamaları
 23:50:08.539572  Zaman damgası
 tos  Hizmet türü
 ttl  Yaşam süresi
 id  id numarası
 offset  Veri parçalama türü
 flags [DF]
 Bayrak kontrolü
 proto  Protokol türü
 length  Kuyruk uzunluğu
 192.168.214.130  Kaynak IP adresi
 22  Kaynak portu
 192.168.214.1  Hedef IP adresi
 18058  Hedef portu
 [P]  Tcp bayrağı
 cksum  Hata kontrol mekanizması
 1638817042  TCP başlangıç seri numarası
 1638817174  Bir sonraki byte için beklenen sıra numarası
 ack 3570983258  Onaylanma numarası
 win
 Pencere (windows) boyut büyüklüğü