سلسلة تعلم tcpdump: الجزء الأول
الكاتب: بشار | يوم: 23 مارس, 2010 | التعليقات: 6 | القراءات: - عدد المشاهدات 11٬417
قبل البدء في تعلم tcpdump سأتطرق قليلاً للحديث عن ال sniffers.
sniffers أو إذا أردتم الترجمة الحرفية الشّوام من شَمَّ. وسبب تسميتها بهذا الاسم هو كونها تقوم بجمع كافة المعلومات التي يتم ارسالها عبر الشبكة. مدراء الشبكة أو الأنظمة أو أمن المعلومات يحتاجون لمعرفة ما يجري بالضبط في شبكتهم سواء المعلومات الداخلة أو المعلومات الخارجة ويتم ذلك أولاً بمعرفة الحركة الاعتيادية داخل الشبكة من خلال دارسة packets أو الحزم مثل tcp, udp. icmp وغيرها ومن ثمّ (وهذا هو ثانياً) ملاحظة إذا كان هناك شيء ما غريب داخل هذه الحزم ودراسته من خلال مقارنته بالحزم العادية.
ملاحظة: ينصح بمعرفة بروتوكولات الشّبكة لتحقيق استفادة أكبر من هذه السّلسلة
أحد الأدوات المشهورة المستخدمة ك sniffer هي tcpdump وهي تأتي مع غالبية أنظمة اللينكس والأداة المشابهة لها في ويندوز هي Windump.
التعامل مع tcpdump
لو كتبت في سطر الأوامر
#tcpdump
فستبدأ الأداة بإضهار ما يجري داخل الشبكة.
TCPdump: listening on eth0
0 packets received by filter
0 packets dropped by kernel
هذا النتيجة هكذا لأنني قمت بإيقاف عمل الأداة فوراً.
السطر الأول يظهر لنا أن tcpdump تستمع على محول الشبكة eth0
السطر الثاني ما تم استلامه باستخدام الفلاتر
الثالث ما قامت الكرنل باسقاطه
في أغلب الاحيان نريد أن نحدد محول الشبكة الذي نريد استخدامه في استطلاع حزم البيانات في الشبكة. للقيام بهذا الأمر نستخدم الأمر التالي:
baheth#tcpdump -D 1.eth0 2.any (Pseudo-device that captures on all interfaces) 3.lo
tcpdump يظهر الحزم بتنسيقين الأول ASCII والثاني hex. الأول نصي والثاني سادسي عشري.
لاظهار الحزم بتنسيق hex نستخدم الامر التالي
baheth#tcpdump -x 17:34:35.361995 IP baheth.domain > mysite .41255: 36973 NXDomain 0/1/0 (116) 0x0000: 4500 0090 d262 4000 ff11 246a c0a8 01fe 0x0010: c0a8 0141 0035 a127 007c b9d9 906d 8183 0x0020: 0001 0000 0001 0000 0231 3602 3335 0331 0x0030: 3539 0236 3607 696e 2d61 6464 7204 6172 0x0040: 7061 0000 0c00 01c0 0f00 0600 0100 002a 0x0050: 3000
لإظهارها بشكل نصي:
baheth#tcpdump -A 17:36:37.690046 IP baheth.domain mysite.48755: 50955 1/1/1 172 E.....@...........A.5.s.................1.1.5.10.in-addr.arpa......1.1.5
لإظهار البيانات بالتنسيقين معاً نستخدم الأمر التالي:
baheth#tcpdump -X
إذا كنت تتسأل عن هذه الرموز التي تلحق بالامر tcpdump فتابع معي شرحها:
-x طباعة الحزم بتنسيق hex
-A طباعة الحزم بتنسيق ASCII
-X طباعة الحزم بتنسيقي Hex و ASCII
-v اظهار المخرجات بشكل مفصّل
-vv إظهار المخرجات بشكل مفصّل أكثر وإذا أردت تفصيل أكثر وأكثر استخدم -vvv
-n استخدام ارقام عوضاً عن أسماء وذلك للحواسيب والمنافذ مثل بدلاً من security4arabs.com يظهر الأمر 10.5.1.10 وهكذا
-w تخزين الحزم المستطلعة في ملف
-r قراءة البيانات المخزنة في ملف.
هذه مقدمة سريعة في هذا الامر الهام لكل عامل في مجال شبكات الحاسوب. إن شاء الله في درس قادم سنتعرف على خصائص أكثر لهذه الأداة.
بشار ماجستير نظم معلومات. مهندس أنظمة يمتلك خبرة في إدارة أنظمة ويندوز ولينكس. باحث ومختصص في مجال أنظمة المعلومات، معالجة الحوادث الأمنيّة، تحليل الإختراقات الأمنيّة، وفحصوصات الاختراق. حاصل على العديد من الشهادات الأمنيّة. عضو في مجلس استشاريّي معهد سانز لأمن المعلومات.
التعليقات:
اترك تعليقاً | عدد التعليقات: (6)
بارك الله فيك اخي بشار ونرجو منك اكمال الاجزاء الباقية في اقرب وقت
شكرا جدا على الموضوع القيم
و رجاء الاستمرار في الاجزاء الاخرى حتى النهاية
و التمرس في استخدامه
و برجاء تلخيص كل جزء باهم النقاط و الاهداف المراد استخدام البرنامج فيه
و لك مني كل الاحترام و التقدير
اخوك حازم الباز
[…] في الدرس السابق تحدّثنا عن tcpdump بشكل عام، ماهو؟ وبعض معاملاته واستخدامته. في هذا الدرس سنقوم إن شاء الله بتغطية هذا البرنامج بشكل تفصيلي أكثر. […]
شكرا جزيلا على الدرس و فى انتظار بقية الدروس
ولكن لى اقتراح لما لا تتوفر نسخة pdf من الدروس كى نحفظها كمرجع لنا
و جزاكم الله كل خير
شكرا جزيلا على الدرس و فى انتظار بقية الدروس
هناك الكثير من الادوات مبنية على هذي الاداة في لنكس
لكن تبقى المشكلة في الكم الهائل للبايان التي تضهره 🙁