Tcpdump, komut satırından çalışan genel bir paket analiz aracıdır. Kullanıcı bilgisayarına bağlı bulunduğu bir ağ üzerinden iletilen veya alınan TCP/IP paketlerini veya diğer paketleri kaydetme, inceleme ve filtreleme imkânı sunmaktadır.
Tcpdump, Linux sistemlerinde kurulu olarak gelen bir araçtır. Diğer işletim sistemlerine genellikle yüklü olarak gelmez.
Linux işletim sisteminizde tcpdump kurulu değil ise;
centOS işletim Sistemi için;
# yum install tcpdump
Debian ve Ubuntu İşletim Sistemleri için;
# apt install tcpdump
komutları yardımıyla tcpdump kurulumunu gerçekleştirebilirsiniz.
# tcpdump -h ile kullanılabilecek parametreleri görebilirsiniz.
| Tcpdump Parametreleri | |
| tcpdump | Ağ trafiğini analiz eder. |
| tcpdump -D | Ağ üzerinde dinlenebilecek bütün arayüzleri listeler. |
| tcpdump -i “arayüzün adı” | Belirtilen arayüzün dinlenmesini sağlar. |
| tcpdump -v | Paketin protokol içeriğini de gösteren detaylı bir analiz yapar. |
| tcpdump -vv | Paketin NFS ve SMB içeriğini de gösteren detaylı bir analiz yapar. |
| tcpdump -vvv | Paketin Telnet içeriğini de gösteren detaylı bir analiz yapar. |
| tcpdump -q | Sadece temel bilgilerini içeren bir analiz yapar. |
| tcpdump –c “sayı” | Belirtilen sayıda paket içeriğini listeler. |
| tcpdump -n | Analizi yaparken transfer yapılan adresin IP adresi ve port numarasını yazdırır. |
| tcpdump -n dst “IP adresi” | Belirtilen IP adresine giden paketleri listeler. |
| tcpdump -n src “IP adresi” | Belirtilen IP adresinden gelen paketleri listeler. |
| tcpdump -n “IP adresi” | Belirtilen IP adresinden gelen ya da giden bütün paketleri listeler. |
| tcpdump -n dst net “ağ adresi” | Belirtilen ağ adresine giden paketleri listeler. |
| tcpdump -n src net “ağ adresi” | Belirtilen ağ adresinden gelen paketleri listeler. |
| tcpdump -n net “ağ adresi” | Belirtilen ağ adresinden gelen ya da giden paketleri listeler. |
| tcpdump –n port “port numarası” | Hedef veya kaynak portu belirtilen port olan paketleri listeler. |
| tcpdump –n dst port “port numarası” | Hedef portu belirtilen port olan paketleri listeler. |
| tcpdump –n src port “port numarası” | Kaynak portu belirtilen port olan paketleri listeler. |
| tcpdump –v icmp | ICMP paketlerini listeler. |
| tcpdump –v arp | ARP paketlerini listeler. |
| tcpdump –p | Tcpdump ile yalnızca dinleme yapılan arabirime gelen paketleri yakalamak için seçici olmayan moddan çıkılması için kullanılır. |
| tcpdump –e | Yakalanan paketlerin ikinci katman bilgilerini yani mac adreslerini elde etmek için kullanılır. |
| tcpdump –w “dosya ismi” | Listelenen paketleri bir dosya halinde kaydeder. Bu kaydettiğimiz dosyayı ‘Wireshark’ gibi programlarla da açarak inceleyebiliriz. |
| tcpdump –r “dosya ismi” | Dosya halinde olan bir paket listesini açar. |
tcpdump örnek kullanımı;
# tcpdump -D ile dinlenebilecek bütün arayüzleri listeleyebilirsiniz.
# tcpdump -i ens160 ile ens160 interface’ini dinleyelim.
# tcpdump -i ens160 host <HOST_BILGISI && IP_ADRESI> ile belirli bir host filtresi uygulabilir host bilgisine ait trafiği dinleyebiliriz.
# tcpdump -i ens160 tcp ile belirli protokolleri (TCP,UDP,ICMP vb.) dinleyebiliriz.
# tcpdump -i eth0 src <IP_ADRESI> belirli bir kaynak IP adresine ait trafiği dinlemek için.
# tcpdump -i eth0 dst <IP_ADRESI> belirli bir hedef IP adresine ait trafiği dinlemek için.
tcpdump Filtreleri
IP adresi veya aralığı filtreleme
Belirli bir IP adresi veya ağı filtrelemek için ‘host’, ‘src’, ‘dst’ ve ‘net’ filtreleri kullanılır.
Port Filtreleme; Belirli bir portu filtrelemek için ‘port’, ‘src port’, ‘dst port’ filtreleri kullanılır.
Protokol Filtreleme
Belirli bir protokolü filtrelemek için doğrudan protokol adı kullanılır (örn. ‘tcp’, ‘udp’, ‘icmp’).
Paket Boyutu Filtreleme
Belirli bir boyuttaki paketleri filtrelemek için ‘less’, ‘greater’ ve ‘len’ filtreleri kullanılır.
Belirli Paketlerin Yakalanması
Özellikle belirli paket türlerini yakalamak için TCPDump filtre ifadeleri kullanılır. Örneğin, SYN bayrağına sahip tüm TCP paketlerini yakalamak için aşağıdaki filtre kullanılabilir.
Faydalı Olması Dileğiyle…