Khắc phục sự cố mạng trong Linux

Trong bài viết này, chúng tôi sẽ giải thích cách khắc phục sự cố mạng trong Linux bằng lệnh tcpdump.

tcpdump là một trình phân tích gói dòng lệnh linh hoạt, mạnh mẽ; và libpcap, một thư viện C / C ++ di động để nắm bắt lưu lượng mạng. Một công cụ mạnh mẽ và linh hoạt bao gồm nhiều tùy chọn và bộ lọc, tcpdump có thể được sử dụng trong nhiều trường hợp. Vì đây là một công cụ dòng lệnh, lý tưởng nhất là chạy trong các máy chủ hoặc thiết bị từ xa không có GUI để thu thập dữ liệu có thể được phân tích sau này. Nó cũng có thể được khởi chạy trong nền hoặc như một công việc đã lên lịch sử dụng các công cụ như cron.

Hãy bắt đầu với quá trình cài đặt.

1. Cài đặt tcpdump

Nếu tcpdump chưa được cài đặt trên hệ thống của bạn, bạn có thể cài đặt nó bằng lệnh sau:

Đối với hệ thống dựa trên CentOS hoặc Red Hat Enterprise Linux:

# dnf install tcpdump -y

Đối với hệ thống dựa trên Ubuntu:

# apt-get install tcpdump -y

2. Xác minh cài đặt

Để xác minh cài đặt, hãy sử dụng lệnh sau:

# which tcpdump

Đầu ra:

/usr/sbin/tcpdump

Chụp các gói tin bằng tcpdump

Trước khi bắt các gói, hãy kiểm tra giao diện mạng bằng các lệnh sau:

# tcpdump -D

Nó sẽ hiển thị tất cả các giao diện mạng có sẵn.

Bây giờ, hãy bắt đầu nắm bắt một số gói bằng các lệnh sau:

# tcpdump --interface any

Tcpdump tiếp tục bắt các gói tin cho đến khi nhận được tín hiệu ngắt. Bạn có thể làm gián đoạn quá trình chụp bằng cách nhấn Ctrl + C. Để giới hạn số lượng gói được bắt và dừng tcpdump, hãy sử dụng tùy chọn -c (để đếm):

# tcpdump -i any -c 10

Tắt độ phân giải tên

Khắc phục sự cố mạng, việc sử dụng địa chỉ IP và số cổng thường dễ dàng hơn; vô hiệu hóa độ phân giải tên bằng cách sử dụng tùy chọn -n và độ phân giải cổng với -nn:

# tcpdump -i any -c5 -nn

Như trên lệnh bắt đầu ra sẽ hiển thị địa chỉ IP và số cổng.

Lọc gói tin

Một trong những tính năng mạnh mẽ nhất của tcpdump là khả năng lọc các gói đã được capture bằng nhiều thông số khác nhau, chẳng hạn như địa chỉ IP nguồn và đích, cổng, giao thức, v.v. Hãy xem một số thông số phổ biến nhất.

Để chỉ nắm bắt các gói ICMP, hãy sử dụng các lệnh sau:

# tcpdump -i any -c10 icmp

Giới hạn chụp chỉ các gói liên quan đến một máy chủ cụ thể bằng cách sử dụng bộ lọc máy chủ:

# tcpdump -i any -c5 -nn host 192.168.0.12

Lệnh trên sẽ bắt và chỉ hiển thị các gói đến và đi từ máy chủ 192.168.0.12.

Để lọc các gói dựa trên dịch vụ hoặc cổng mong muốn, hãy sử dụng bộ lọc cổng. Ví dụ: nắm bắt các gói liên quan đến dịch vụ web (HTTP) bằng cách sử dụng lệnh sau:

# tcpdump -i any -c10 -nn port 80

Để lọc các gói dựa trên địa chỉ IP nguồn hoặc đích hoặc tên máy chủ. Ví dụ: để nắm bắt các gói từ máy chủ 192.168.0.12:

# tcpdump -i any -c10 -nn src 192.168.0.12

Lưu ảnh chụp thành một tệp

Để lưu các gói vào một tệp thay vì hiển thị chúng trên màn hình, hãy sử dụng tùy chọn -w (để ghi):

# tcpdump -i any -c10 -nn -w webserver.pcap port 80

Ví dụ, lệnh trên sẽ cho phép chụp các gói tin ở chế độ hàng loạt qua đêm và xác minh kết quả vào buổi sáng. Nó cũng hữu ích khi có quá nhiều gói tin cần phân tích vì quá trình bắt theo thời gian thực có thể diễn ra quá nhanh.

Các lệnh ví dụ khác

Để in gói bắt đầu và gói kết thúc (gói SYN và FIN) của mỗi cuộc hội thoại TCP có liên quan đến máy chủ lưu trữ không cục bộ.

# tcpdump 'tcp[tcpflags] & (tcp-syn|tcp-fin) != 0 and not src and dst net localnet'

Để in các gói TCP với cờ RST và ACK đều được thiết lập. (tức là chỉ chọn cờ RST và ACK trong trường cờ và nếu kết quả là "RST và ACK đều được đặt ', hãy khớp)

# tcpdump 'tcp[tcpflags] & (tcp-rst|tcp-ack) == (tcp-rst|tcp-ack)'

Để in tất cả các gói HTTP IPv4 đến và đi từ cổng 80, tức là chỉ in các gói có chứa dữ liệu, không phải, ví dụ, gói SYN và FIN và gói chỉ ACK. (IPv6 được để lại như một bài tập cho người đọc.)

# tcpdump 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<2)) -="" ((tcp[12]&0xf0)="">>2)) != 0)'

Để in các gói IP dài hơn 576 byte được gửi qua cổng snup:

# tcpdump 'gateway snup and ip[2:2] > 576'

Để in gói tin quảng bá IP hoặc gói đa hướng không được gửi qua kênh truyền phát Ethernet hoặc gói đa hướng:

# tcpdump 'ether[0] & 1 = 0 and ip[16] >= 224'

Để in tất cả các gói ICMP không phải là yêu cầu / trả lời phản hồi (tức là không phải gói ping):

# tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'

Kiểm tra trang người đàn ông bằng cách sử dụng lệnh sau:

# man tcpdump

Trong bài viết này, chúng tôi đã giới thiệu cho các bạn cách khắc phục sự cố mạng trong Linux bằng lệnh tcpump.

Nhận một máy chủ chuyên dụng dòng E5 kép hiệu suất cao và VPS KVM giá rẻ.