LINUX LAB

CentOS tcpdump KOMUTU

Dikkat: Bu yazıda geçen komutlar hem Linux tabanlı Centos hem de Linux tabanlı  Red Hat (RHEL) işletim sisteminde geçerlidir.

tcpdump’in Açılımı Nedir? tcpdump Ne Anlama Gelmektedir?

tcp ‘nn açılımı “Transmission Control Protocol” yani “Geçiş Kontrol Protokolü” dür. “Dump” kelimesi ise “yığmak, indirmek, dökmek”  gibi anlamlara gelmektedir. Sonuç olarak tcpdump komutu tcp paketlerini ortaya sermek gibi bir anlama gelmektedir.

tcpdump Nedir Ne İşe Yarar?

Bu komut ile ağ üzerinden geçen trafik analiz edilir.

tcpdump Parametreleri Nelerdir?

  • -n : IP’yi isme çevirir. (DNS sorgusu)
  • -nn : Port numaralarını isme çevirir
  • -s : Paket boyutudur. Defaul değeri yani varsayılan değeri 96 byte’dır. Sıfır (0) olarak kullanılırsa maksimum değerle yani 65535 byte olur.
  • -i : Paketlerin yakalanacağı interface ismidir. “any” kelimesi tüm arabirimleri ifade etmektedir.
  • -e : MAC adreslerini göstermektedir.
  • -w : Paketleri verilen dosya adıyla saklar.
  • -r : Saklanan dosyayı okumak için kullanılır.
  • -v : Detaylı log’lama yapar.
  • -c : Kaç adet paket yakalanacağını belirtmektedir.

tcpdump Filtreleri Nelerdir?

tcpdump komutu yalın halde kullanılırsa karmakarışık bir sürü bilgi sürekli olarak ekranda akacaktır. Dolaysıyla inceleme de sıkıntı yaşayabiliriz. Bundan dolayı şu ip’den gelen veya şu ip’ye giden, şu protokole ait olan, şu porttan gelen… v.s şeklinde filtreleme ile çıktı almak işimizi kolaylaştıracaktır. Filtreler aşağıda verilmiştir;

Not: tcpdump filtreleri “and” veya “or” kelimeleri ile birlikte kullanılabilir. Bu şekilde birden fazla filtre kullanılabilmektedir.

  • host <IP> : kaynak veya hedef IP
  • dst host <IP> : (destination) hedef IP
  • src host <IP> : (source) kaynak IP
  • port <port> : kaynak veya hedef port
  • dst port <port> : (destination) hedef port
  • src port <port> : (source) kaynak port
  • net <ağ/mask> : kaynak veya hedef ağ adresi
  • dst net <ağ/mask> : (destination) hedef ağ adresi
  • src net <ağ/mask> : (source) kaynak ağ adresi
  • tcp : TCP paketlerini süzer.
  • udp : UDP paketleri süzer.
  • icmp : icmp paketleri süzer.

tcpdump Komutu CentOS’da Nasıl Kullanılmaktadır?

tcpdump komutu yukarıdaki parametreler veya filtreler ile birlikte kullanılmaktadır.

“tcpdump: no suitable device found” Hatası Çözümü: Root Olma

Aşağıdaki örnekte “tcpdump” komutu yalın halde kullanılmıştır. Fakat burada “tcpdump: no suitable device found” hatası alınmıştır. Görüldüğü üzere çözüm adına “root” girişi yapılmıştır. Böylece komut çalışmıştır. Çıktıya göre eth0 arabirimi dinlenmeye başlanmıştır.

inux centos red hat rhel tcpdump: no suitable device found hatasi cozuldu
“tcpdump: no suitable device found” Hatası Çözümü

“.pcap” (Packet Capture) Dosyası Nasıl Açılır?

Widows’ta;

  • Wireshark programı ile açılır.

CentOS’ta “-ttttnr” parametresi ile aşağıdaki şekliyle açılabilir.

  • tcpdump –ttttnr [dosya_adi.pcap]

tcpdump Örnek Uygulama:

Örneğimizde VMware Workstation programımızda Windows XP ve CentOS olmak üzere 2 adet işletim sistemi vardır. Windows’tan CentOS’a bir icmp trafiği başlatacağız yani ping atacağız.

inux centos red hat rhel tcpdump ornek
“tcpdump Örneği”

192.168.93.129 IP’li Windows’dan 192.168.93.143 IP’li CentOS’a ping başlattık.

inux centos red hat rhel tcpdump ornek
“tcpdump Örneği”

Örnek uygulamada CentOS’ta;

  • touch /home/nizam/Desktop/log_ornek.pcap

Masaüstünde log_log isimli boş bir .pcap (packet capture) dosyası oluşturulmuştur.

  • tcpdump –w /home/nizam/Desktop/log_ornek.pcap src host 192.168.93.129 and icmp

192.168.93.129 IP adresinden gelen icmp paketleri süzülmüş ve alınan çıktı masaüstündeki log_ornek.pcap dosyasına yazdırılmıştır. Bir süre sonra “ctrl+c” ile durdurulmuştur.

  • tcpdump –ttttnr /home/nizam/Desktop/log_ornek.pcap

Pcap dosyasının içeriğine bakılmıştır.

inux centos red hat rhel tcpdump uygulama ornek
“CentOS tcpdump Örnek”

Örnek olması açısından oluşturulan bu “log_ornek.pcap” dosyası aşağıda Windows 7’ye atılmış ve Wireshark programı ile açılmıştır.

Wireshark ile .pcap dosyasini acmak
“Wireshark İle .pcap Dosyasını Açmak”

Sonuç olarak Linux tabanlı CentOS veya Red Hat (RHEL) işletim sisteminde tcpdump ile yakalanan paketler “[isim].pcap” packet capture dosyası şeklinde oluşturulursa Windows’ta Wireshark programı ile de açılıp incelenebilir.

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir