Apakah Anda mencoba menangkap paket data untuk menganalisis lalu lintas di jaringan Anda? Mungkin Anda adalah administrator server yang mengalami masalah dan ingin memantau data yang dikirimkan di jaringan. Apapun situasinya, utilitas Linux tcpdump adalah yang Anda butuhkan.
Pada artikel ini, kita akan membahas perintah tcpdump secara detail, bersama dengan beberapa panduan tentang cara menginstal dan menggunakan tcpdump di sistem Linux Anda.
Apa Itu Perintah tcpdump?
Tcpdump adalah alat pemantauan jaringan yang kuat yang memungkinkan pengguna untuk memfilter paket dan lalu lintas di jaringan secara efisien. Anda bisa mendapatkan informasi rinci yang berkaitan dengan TCP / IP dan paket yang dikirimkan di jaringan Anda. Tcpdump adalah utilitas baris perintah, yang berarti Anda dapat menjalankannya di server Linux tanpa tampilan.
Administrator sistem juga dapat mengintegrasikan utilitas tcpdump dengan cron untuk mengotomatiskan berbagai tugas seperti logging. Karena banyak fiturnya membuatnya cukup serbaguna, tcpdump berfungsi sebagai pemecahan masalah serta alat keamanan.
Cara Menginstal tcpdump di Linux
Meskipun sebagian besar waktu Anda akan menemukan tcpdump terinstal di sistem Anda, beberapa distribusi Linux tidak disertakan dengan paket. Oleh karena itu, Anda mungkin harus menginstal utilitas tersebut secara manual di sistem Anda.
Anda dapat memeriksa apakah tcpdump diinstal pada sistem Anda dengan menggunakan yang perintah.
yang tcpdumpJika output menampilkan jalur direktori (/usr/bin/tcpdump), maka sistem Anda telah menginstal paket tersebut. Namun jika tidak, Anda dapat melakukannya dengan mudah menggunakan manajer paket default di sistem Anda.
Untuk menginstal tcpdump pada distribusi berbasis Debian seperti Ubuntu:
sudo apt-get install tcpdumpMenginstal tcpdump di CentOS juga mudah.
sudo yum install tcpdumpPada distribusi berbasis Arch:
sudo pacman -S tcpdumpUntuk menginstal di Fedora:
sudo dnf menginstal tcpdumpPerhatikan bahwa paket tcpdump membutuhkan libcap sebagai ketergantungan, jadi pastikan Anda menginstalnya di sistem Anda juga.
Contoh Tcpdump untuk Menangkap Paket Jaringan di Linux
Sekarang Anda telah berhasil menginstal tcpdump di mesin Linux Anda, sekarang saatnya untuk memantau beberapa paket. Karena tcpdump memerlukan izin superuser untuk menjalankan sebagian besar operasi, Anda harus menambahkan sudo sesuai perintah Anda.
1. Cantumkan Semua Antarmuka Jaringan
Untuk memeriksa antarmuka jaringan mana yang tersedia untuk ditangkap, gunakan -D tandai dengan perintah tcpdump.
tcpdump -DMelewati --list-interfaces bendera sebagai argumen akan mengembalikan keluaran yang sama.
tcpdump --list-interfacesOutputnya adalah daftar semua antarmuka jaringan yang ada di sistem Anda.
Setelah mendapatkan daftar antarmuka jaringan, sekarang saatnya untuk memantau jaringan Anda dengan menangkap paket di sistem Anda. Meskipun Anda dapat menentukan antarmuka mana yang ingin Anda gunakan, file apa saja argumen perintah tcpdump untuk menangkap paket jaringan menggunakan antarmuka aktif apa pun.
tcpdump --interface anySistem akan menampilkan keluaran sebagai berikut.
Terkait: Apa Itu Model Interkoneksi Sistem Terbuka?
2. Format Keluaran tcpdump
Mulai dari baris ketiga, setiap baris output menunjukkan paket tertentu yang ditangkap oleh tcpdump. Seperti inilah tampilan output dari satu paket.
17: 00: 25.369138 wlp0s20f3 Keluar IP localystem.40310> kul01s10-in-f46.1e100.net.https: Flags [P.], seq 196: 568, ack 1, win 309, options [nop, nop, TS val 117964079 ecr 816509256], panjang 33Ingatlah bahwa tidak semua paket ditangkap dengan cara ini, tetapi ini adalah format umum yang diikuti oleh sebagian besar paket.
Outputnya berisi informasi berikut.
- Stempel waktu paket yang diterima
- Nama antarmuka
- Aliran paket
- Nama protokol jaringan
- Alamat IP dan detail port
- Bendera TCP
- Nomor urut data dalam paket
- Ack data
- Ukuran jendela
- Panjang paket
Bidang pertama (17:00:25.369138) Menampilkan cap waktu ketika sistem Anda mengirim atau menerima paket. Waktu yang direkam diambil dari waktu lokal sistem Anda.
Kolom kedua dan ketiga menunjukkan antarmuka yang digunakan dan aliran paket. Dalam cuplikan di atas, wlp0s20f3 adalah nama antarmuka nirkabel dan Di luar adalah aliran paket.
Bidang keempat mencakup informasi yang berkaitan dengan nama protokol jaringan. Umumnya, Anda akan menemukan dua protokol- AKU P dan IP6, dengan IP menunjukkan IPV4 dan IP6 untuk IPV6.
Kolom berikutnya berisi alamat IP atau nama sistem sumber dan tujuan. Alamat IP diikuti dengan nomor port.
Bidang keenam dalam keluaran terdiri dari tanda TCP. Ada berbagai flag yang digunakan dalam keluaran tcpdump.
| Nama Bendera | Nilai | Deskripsi |
|---|---|---|
| SYN | S | Koneksi dimulai |
| SIRIP | F | Koneksi selesai |
| DORONG | P. | Data didorong |
| RST | R | Koneksi disetel ulang |
| ACK | . | Pengakuan |
Keluarannya juga bisa berisi kombinasi dari beberapa flag TCP. Sebagai contoh, BENDERA [f.] singkatan dari paket FIN-ACK.
Bergerak lebih jauh dalam cuplikan keluaran, bidang berikutnya berisi nomor urut (seq 196: 568) dari data dalam paket. Paket pertama selalu memiliki nilai bilangan bulat positif, dan paket berikutnya menggunakan nomor urut relatif untuk meningkatkan aliran data.
Bidang berikutnya berisi nomor pengakuan (ack 1), atau nomor Ack sederhana. Paket yang ditangkap di mesin pengirim memiliki 1 sebagai nomor pengakuan. Di sisi penerima, nomor Ack adalah nilai paket berikutnya.
Bidang kesembilan di keluaran mengakomodasi ukuran jendela (menangkan 309), yaitu jumlah byte yang tersedia di buffer penerima. Ada beberapa bidang lain yang mengikuti ukuran jendela, termasuk Ukuran Segmen Maksimum (MSS).
Bidang terakhir (panjang 33) berisi panjang keseluruhan paket yang ditangkap oleh tcpdump.
3. Batasi Jumlah Paket yang Diambil
Saat menjalankan perintah tcpdump untuk pertama kalinya, Anda mungkin memperhatikan bahwa sistem terus menangkap paket jaringan hingga Anda melewatkan sinyal interupsi. Anda dapat menimpa perilaku default ini dengan menentukan jumlah paket yang ingin Anda tangkap sebelumnya menggunakan -c bendera.
tcpdump --interface any -c 10Perintah yang disebutkan di atas akan menangkap sepuluh paket dari antarmuka jaringan yang aktif.
4. Filter Paket Berdasarkan Bidang
Saat Anda memecahkan masalah, mendapatkan blok besar output teks di terminal Anda tidak membuatnya lebih mudah. Di situlah fitur pemfilteran di tcpdump berperan. Anda dapat memfilter paket sesuai dengan berbagai bidang termasuk host, protokol, nomor port, dan banyak lagi.
Untuk menangkap hanya paket TCP, ketik:
tcpdump --interface any -c 5 tcpDemikian pula, jika Anda ingin memfilter keluaran menggunakan nomor port:
tcpdump --interface any -c 5 port 50Perintah yang disebutkan di atas hanya akan mengambil paket yang dikirimkan melalui port yang ditentukan.
Untuk mendapatkan detail paket untuk host tertentu:
tcpdump --interface any -c 5 host 112.123.13.145Jika Anda ingin memfilter paket yang dikirim atau diterima oleh host tertentu, gunakan src atau dst argumen dengan perintah.
tcpdump - antarmuka apa saja -c 5 src 112.123.13.145
tcpdump --interface any -c 5 dst 112.123.13.145Anda juga dapat menggunakan operator logika dan dan atau untuk menggabungkan dua atau lebih ekspresi bersama. Misalnya, untuk mendapatkan paket milik IP sumber 112.123.13.145 dan gunakan port 80:
tcpdump --interface any -c 10 src 112.123.13.145 dan port 80Ekspresi kompleks dapat dikelompokkan bersama menggunakan tanda kurung sebagai berikut:
tcpdump --interface any -c 10 "(src 112.123.13.145 atau src 234.231.23.234) dan (port 45 atau port 80)"5. Lihat Isi Paket
Anda bisa menggunakan -SEBUAH dan -x bendera dengan perintah tcpdump untuk menganalisis konten paket jaringan. Itu -SEBUAH bendera singkatan ASCII format dan -x menunjukkan heksadesimal format.
Untuk melihat konten paket jaringan berikutnya yang diambil oleh sistem:
tcpdump --interface any -c 1 -A
tcpdump - antarmuka any -c 1 -xTerkait: Apa Itu Packet Loss dan Bagaimana Memperbaiki Penyebabnya?
6. Simpan Data Tangkap ke File
Jika Anda ingin menyimpan data pengambilan untuk tujuan referensi, tcpdump ada untuk membantu Anda. Lewati saja -w tandai dengan perintah default untuk menulis output ke file alih-alih menampilkannya di layar.
tcpdump --interface any -c 10 -w data.pcapItu .pcap ekstensi file adalah singkatan dari penangkapan paket data. Anda juga dapat mengeluarkan perintah yang disebutkan di atas dalam mode verbose menggunakan -v bendera.
tcpdump --interface any -c 10 -w data.pcap -vUntuk membaca a .pcap file menggunakan tcpdump, gunakan -r bendera diikuti dengan jalur file. Itu -r berdiri untuk Baca baca.
tcpdump -r data.pcapAnda juga dapat memfilter paket jaringan dari data paket yang disimpan dalam file.
tcpdump -r data.pcap port 80Memantau Lalu Lintas Jaringan di Linux
Jika Anda telah diberi tugas untuk mengatur server Linux, maka perintah tcpdump adalah alat yang bagus untuk disertakan dalam gudang senjata Anda. Anda dapat dengan mudah memperbaiki masalah terkait jaringan dengan menangkap paket yang dikirimkan di jaringan Anda secara real-time.
Namun sebelumnya, perangkat Anda harus terhubung ke internet. Untuk pemula Linux, bahkan menghubungkan dengan Wi-Fi melalui baris perintah bisa sedikit menantang. Tetapi jika Anda menggunakan alat yang tepat, itu mudah.
Ingin menyambung ke jaringan Wi-Fi melalui baris perintah Linux? Inilah yang perlu Anda ketahui tentang perintah nmcli.
Baca Selanjutnya
- Linux
- Keamanan
- Forensik Jaringan
Deepesh adalah Editor Junior untuk Linux di MUO. Dia telah menulis konten informasi di internet selama lebih dari 3 tahun. Di waktu luangnya, dia suka menulis, mendengarkan musik, dan bermain gitar.
Berlangganan newsletter kami
Bergabunglah dengan buletin kami untuk mendapatkan tip teknologi, ulasan, ebook gratis, dan penawaran eksklusif!
Satu langkah lagi…!
Harap konfirmasi alamat email Anda di email yang baru saja kami kirimkan kepada Anda.