Memecahkan Masalah Jaringan di Linux

Pada artikel ini, kami akan menjelaskan cara memecahkan masalah jaringan di Linux menggunakan perintah tcpdump.

tcpdump adalah penganalisis paket baris perintah yang fleksibel dan kuat; dan libpcap, pustaka C/C++ portabel untuk penangkapan lalu lintas jaringan. Sebuah alat yang kuat dan serbaguna yang mencakup banyak pilihan dan filter, tcpdump dapat digunakan dalam berbagai kasus. Karena ini adalah alat baris perintah, sangat ideal untuk dijalankan di server atau perangkat jarak jauh yang tidak memiliki GUI, untuk mengumpulkan data yang dapat dianalisis nanti. Itu juga dapat diluncurkan di latar belakang atau sebagai pekerjaan terjadwal menggunakan alat seperti cron.

Mari kita mulai dengan proses instalasi.

1. Instal tcpdump

Jika tcpdump belum terinstal di sistem Anda, Anda dapat menginstalnya menggunakan perintah berikut:

Untuk sistem berbasis CentOS atau Red Hat Enterprise Linux:

# dnf install tcpdump -y

Untuk sistem berbasis Ubuntu:

# apt-get install tcpdump -y

2. Verifikasi instalasi

Untuk memverifikasi instalasi, gunakan perintah berikut:

# which tcpdump

Keluaran:

/usr/sbin/tcpdump

Tangkap paket dengan tcpdump

Sebelum mengambil paket, periksa antarmuka jaringan menggunakan perintah berikut:

# tcpdump -D

Ini akan menampilkan semua antarmuka jaringan yang tersedia.

Sekarang, mari kita mulai menangkap beberapa paket menggunakan perintah berikut:

# tcpdump --interface any

Tcpdump terus menangkap paket sampai menerima sinyal interupsi. Anda dapat menginterupsi pengambilan dengan menekan Ctrl+C. Untuk membatasi jumlah paket yang diambil dan menghentikan tcpdump, gunakan opsi -c (untuk hitungan):

# tcpdump -i any -c 10

Nonaktifkan resolusi nama

Memecahkan masalah jaringan, seringkali lebih mudah menggunakan alamat IP dan nomor port; nonaktifkan resolusi nama dengan menggunakan opsi -n dan resolusi port dengan -nn:

# tcpdump -i any -c5 -nn

Seperti perintah di atas akan menangkap output sekarang menampilkan alamat IP dan nomor port.

Memfilter paket

Salah satu fitur tcpdump yang paling kuat adalah kemampuannya untuk memfilter paket yang diambil menggunakan berbagai parameter, seperti alamat IP sumber dan tujuan, port, protokol, dll. Mari kita lihat beberapa yang paling umum.

Untuk menangkap hanya paket ICMP, gunakan perintah berikut:

# tcpdump -i any -c10 icmp

Batasi pengambilan hanya untuk paket yang terkait dengan host tertentu dengan menggunakan filter host:

# tcpdump -i any -c5 -nn host 192.168.0.12

Perintah di atas hanya akan menangkap dan menampilkan paket ke dan dari host 192.168.0.12.

Untuk memfilter paket berdasarkan layanan atau port yang diinginkan, gunakan filter port. Misalnya, ambil paket yang terkait dengan layanan web (HTTP) dengan menggunakan perintah ini:

# tcpdump -i any -c10 -nn port 80

Untuk memfilter paket berdasarkan alamat IP sumber atau tujuan atau nama host. Misalnya, untuk menangkap paket dari host 192.168.0.12:

# tcpdump -i any -c10 -nn src 192.168.0.12

Simpan tangkapan ke dalam file

Untuk menyimpan paket ke file alih-alih menampilkannya di layar, gunakan opsi -w (untuk menulis):

# tcpdump -i any -c10 -nn -w webserver.pcap port 80

Perintah di atas akan memungkinkan untuk menangkap paket dalam mode batch semalam, misalnya, dan memverifikasi hasilnya di pagi hari. Ini juga membantu ketika ada terlalu banyak paket untuk dianalisis karena penangkapan real-time dapat terjadi terlalu cepat.

Lebih banyak contoh perintah

Untuk mencetak paket awal dan akhir (paket SYN dan FIN) dari setiap percakapan TCP yang melibatkan host non-lokal.

# tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net localnet'

Untuk mencetak paket TCP dengan flag RST dan ACK keduanya ditetapkan. (yaitu pilih hanya bendera RST dan ACK di bidang bendera, dan jika hasilnya adalah "RST dan ACK keduanya set', cocokkan)

# tcpdump 'tcp[tcpflags] & (tcp-rst|tcp-ack) == (tcp-rst|tcp-ack)'

Untuk mencetak semua paket HTTP IPv4 ke dan dari port 80, yaitu hanya mencetak paket yang berisi data, bukan, misalnya, paket SYN dan FIN dan paket ACK saja. (IPv6 dibiarkan sebagai latihan untuk pembaca.)

# tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<2)) -="" ((tcp[12]&0xf0)="">>2)) != 0)'

Untuk mencetak paket IP yang lebih panjang dari 576 byte yang dikirim melalui gateway snup:

# tcpdump 'gateway snup and ip[2:2] > 576'

Untuk mencetak paket siaran IP atau multicast yang tidak dikirim melalui siaran Ethernet atau multicast:

# tcpdump 'ether[0] & 1 = 0 and ip[16] >= 224'

Untuk mencetak semua paket ICMP yang bukan permintaan/balasan gema (yaitu, bukan paket ping):

# tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'

Periksa halaman manual menggunakan perintah berikut:

# man tcpdump

Pada artikel ini, kita telah melihat cara memecahkan masalah jaringan di Linux menggunakan perintah tcpump.

Dapatkan server khusus seri E5 ganda berkinerja tinggi dan VPS KVM murah.