قبل البدء في تعلم tcpdump سأتطرق قليلاً للحديث عن ال sniffers.
sniffers أو إذا أردتم الترجمة الحرفية الشّوام من شَمَّ. وسبب تسميتها بهذا الاسم هو كونها تقوم بجمع كافة المعلومات التي يتم ارساله عبر الشبكة. مدراء الشبكات يحتاج لمعرفة ما يجري بالضبط في شبكتهم سواء المعلومات الداخلة أو المعلومات الخارجة ويتم ذلك أولاً بمعرفة الحركة الاعتيادية داخل الشبكة من خلال دارسة packets أو الحزم مثل tcp, udp. icmp وغيرها ومن ثمّ (وهذا هو ثانياً) ملاحظة إذا كان هناك شيء ما غريب داخل هذه الحزم ودراسته من خلال مقارنته بالحزم العادية.
أحد الأدوات المشهورة المستخدمة ك sniffer هي tcpdump وهي تأتي مع غالبية أنظمة اللينكس والأداة المشابهة لها في ويندوز هي Windump.
التعامل مع tcpdump
لو كتبت في سطر الأوامر
#tcpdump
فستبدأ الأداة بإضهار ما يجري داخل الشبكة.
TCPdump: listening on eth0
0 packets received by filter
0 packets dropped by kernel
هذا النتيجة هكذا لأنني قمت بإيقاف عمل الأداة فوراً.
السطر الأول يظهر لنا أن tcpdump تستمع على محول الشبكة eth0
السطر الثاني ما تم استلامه باستخدام الفلاتر
الثالث ما قامت الكرنل باسقاطه
في أغلب الاحيان نريد أن نحدد محول الشبكة الذي نريد استخدامه في استطلاع حزم البيانات في الشبكة. للقيام بهذا الأمر نستخدم الأمر التالي:
baheth#tcpdump -D
1.eth0
2.any (Pseudo-device that captures on all interfaces)
3.lo
tcpdump يظهر الحزم بتنسيقين الأول ASCII والثاني hex. الأول نصي والثاني سادسي عشري.
لاظهار الحزم بتنسيق hex نستخدم الامر التالي
baheth#tcpdump -x
17:34:35.361995 IP baheth.domain > mysite
.41255: 36973 NXDomain 0/1/0 (116)
0x0000: 4500 0090 d262 4000 ff11 246a c0a8 01fe
0x0010: c0a8 0141 0035 a127 007c b9d9 906d 8183
0x0020: 0001 0000 0001 0000 0231 3602 3335 0331
0x0030: 3539 0236 3607 696e 2d61 6464 7204 6172
0x0040: 7061 0000 0c00 01c0 0f00 0600 0100 002a
0x0050: 3000
لإظهارها بشكل نصي:
baheth#tcpdump -A
17:36:37.690046 IP baheth.domain > mysite.48755: 50955* 1/1/1 (172)
E…..@…$……..A.5.s……………..1.1.5.10.in-addr.arpa……1.1.5
لإظهار البيانات بالتنسيقين معاً نستخدم الأمر التالي:
baheth#tcpdump -X
إذا كنت تتسأل عن هذه الرموز التي تلحق بالامر tcpdump فتابع معي يا رعاك الله شرحها:
-x طباعة الحزم بتنسيق hex
-A طباعة الحزم بتنسيق ASCII
-X طباعة الحزم بتنسيقي Hex و ASCII
-v اظهار المخرجات بشكل مفصّل
-vv إظهار المخرجات بشكل مفصّل أكثر وإذا أردت تفصيل أكثر وأكثر استخدم -vvv
-n استخدام ارقام عوضاً عن أسماء وذلك للحواسيب والمنافذ مثل بدلاً من mtafran.com يظهر الأمر 10.5.1.10 وهكذا
-w تخزين الحزم المستطلعة في ملف
-r قراءة البيانات المخزنة في ملف.
هذه مقدمة سريعة في هذا الامر الهام لكل عامل في مجال شبكات الحاسوب. إن شاء الله في درس قادم سنتعرف على خصائص أكثر لهذه الأداة.
سبحانك الله لا إله إلا أنت نستغفرك ونتوب إليك.
لا تنسوني من دعائكم
مدونة ثرية أخي باحث،
من جد مواضيعها قيمة جداً،
يعطيك ألف عافية..
* هناك مشكلة في الـ rss
أرجوا تعديلها لنستمتع بمتابعة مدونتك.. : )
االله يعافيك ويكرمك أخي عبد الرحمن شرفت المدونة.
بارك الله فيك على تنبيهي لمشكلة ال rss وجاري العمل على حلّها إن شاء الله.
تنبيه: تعلم tcpdump الجزء الثاني
بارك الله فيك موضوع حلو و خفيف
إن شاء الله سأزورك مرة أخرى بتمعن و الجزء الثاني أيضا و لكن حبيت أدخل أشوف مدونتك في الزيارة الأولى
إلى الأمام
بارك الله فيك أخي king-sabri سررت بزيارتك، وإن شاء الله تكون لك عودة.