ورقة الغش لأوامر tcpdump

جدول المحتويات

استخدام المفتاح وبنية الأمر tcpdump
جدول ورقة الغش لأوامر tcpdump
خيارات أمر tcpdump
أمثلة على استخدام الأمر tcpdump
استخدام tcpdump لاستكشاف أخطاء الشبكة وإصلاحها
ملخص

لينكس tcpdump Command هو مُحلل حزم شبكة قوي يُستخدم لمراقبة حركة مرور الشبكة واستكشاف أخطائها وإصلاحها. يتيح للمستخدمين التقاط وعرض الحزم التي تنتقل عبر واجهة الشبكة، مما يوفر رؤى قيّمة حول نشاط الشبكة. وهو أداة شائعة الاستخدام لتشخيص الشبكة، وتحليل الأمان، وتحليل حركة المرور.

الاستخدام الرئيسي وبنية الجملة `tcpdump` أمر #

استخدم tcpdump يتبع الأمر بنية نحوية أساسية:

tcpdump [OPTIONS] [EXPRESSION]

OPTIONS تعديل سلوك tcpdump، مثل -i لتحديد الواجهة أو -w لكتابة الإخراج إلى ملف.
التعبير يُرشِّح الحزم المُلتقَطة بناءً على معايير مثل عنوان IP المصدر/الوجهة، أو المنفذ، أو البروتوكول. في حال إهماله، يُلتَقط جميع الحزم.

`tcpdump` جدول الغش في الأوامر #

أمر	الوصف
`tcpdump -i eth0`	التقاط الحزم على واجهة الشبكة eth0
`tcpdump -i eth0 port 80`	التقاط حركة مرور HTTP (المنفذ 80) على واجهة eth0
`tcpdump -w capture.pcap`	كتابة الحزم الملتقطة إلى ملف (capture.pcap)
`tcpdump -r capture.pcap`	قراءة وعرض الحزم من ملف تم التقاطه مسبقًا
`tcpdump -n`	عرض عناوين IP والمنافذ دون حل أسماء المضيفين أو أسماء الخدمة
`tcpdump -c 100`	التقاط 100 حزمة فقط ثم التوقف
`tcpdump -v`	توفير إخراج مفصل، مع عرض المزيد من تفاصيل الحزمة
`tcpdump -X`	عرض محتويات الحزمة بالتنسيق السداسي عشري والتنسيق ASCII

استخدم `tcpdump` خيارات القيادة #

-i:تحديد الواجهة #

لالتقاط الحزم على واجهة شبكة محددة، استخدم -i الخيار متبوعًا باسم الواجهة (على سبيل المثال، eth0، wlan0):

tcpdump -i eth0

يقوم هذا الأمر بالتقاط جميع الحزم الموجودة على eth0 واجهة.

-w:كتابة الإخراج إلى الملف #

لحفظ الحزم الملتقطة في ملف لتحليلها لاحقًا، استخدم -w الخيار:

tcpdump -w capture.pcap

يؤدي هذا إلى كتابة جميع الحزم الملتقطة إلى ملف يسمى capture.pcap.

-r:قراءة الحزم من الملف #

لقراءة الحزم من ملف تم التقاطه مسبقًا، استخدم -r الخيار:

tcpdump -r capture.pcap

يقوم هذا الأمر بقراءة وعرض الحزم المخزنة في capture.pcap ملف.

-n:إظهار الناتج الرقمي #

استخدم -n الخيار يمنع tcpdump من إجراء حل DNS لعناوين IP وأسماء الخدمات، وعرض العناوين الخام بدلاً من ذلك:

tcpdump -n

يعد هذا مفيدًا عندما تريد رؤية عناوين IP والمنافذ الخام دون حلها إلى أسماء المضيفين.

-c:التقاط عدد محدد من الحزم #

لالتقاط عدد محدد فقط من الحزم ثم التوقف، استخدم -c الخيار:

tcpdump -c 100

يقوم هذا بالتقاط 100 حزمة فقط، وبعدها سيتوقف عن الالتقاط تلقائيًا.

-v: إخراج مفصل #

استخدم -v يوفر الخيار معلومات أكثر تفصيلاً عن الحزمة، بما في ذلك الحقول الإضافية مثل TTL وحجم النافذة والخيارات:

tcpdump -v

يعد هذا مفيدًا عندما تحتاج إلى معلومات أكثر تفصيلاً حول كل حزمة.

-X:إظهار إخراج Hex وASCII #

استخدم -X يعرض الخيار محتويات كل حزمة بالتنسيقين السداسي عشري والـASCII:

tcpdump -X

يمكن أن يكون هذا مفيدًا لفحص البيانات الدقيقة داخل كل حزمة.

أمثلة على استخدام `tcpdump` أمر #

التقاط الحزم على واجهة محددة #

لالتقاط جميع الحزم على eth0 جهة تعامل:

tcpdump -i eth0

يقوم هذا الأمر بالتقاط وعرض كل حركة مرور الشبكة التي تمر عبر eth0.

التقاط حركة مرور HTTP (المنفذ 80) #

لالتقاط حزم HTTP (عادةً على المنفذ 80) على eth0 جهة تعامل:

tcpdump -i eth0 port 80

يؤدي هذا إلى تصفية حركة المرور لإظهار الحزم الموجهة إلى أو القادمة من المنفذ 80 فقط، والذي يُستخدم عادةً لحركة مرور HTTP.

التقاط حركة المرور وحفظها في ملف #

لحفظ كل حركة المرور الملتقطة في .pcap ملف للتحليل لاحقًا:

tcpdump -w capture.pcap

يؤدي هذا إلى إنشاء ملف capture.pcap يحتوي على الحزم الملتقطة.

قراءة الحزم الملتقطة من ملف #

لقراءة وتحليل الحزم التي تم التقاطها مسبقًا من capture.pcap ملف:

tcpdump -r capture.pcap

يفتح هذا الأمر الملف ويعرض الحزم الملتقطة.

إخراج مفصل لمعلومات الحزمة التفصيلية #

لمشاهدة المزيد من التفاصيل حول كل حزمة تم التقاطها، استخدم -v الخيار:

tcpdump -v

سيؤدي هذا إلى عرض معلومات إضافية، مثل TTL وحجم النافذة والمزيد.

التقاط حركة المرور لفترة محددة #

لالتقاط حركة المرور لمدة محددة أو عدد معين من الحزم، يمكنك تقييد الالتقاط باستخدام -c الخيار:

tcpdump -i eth0 -c 50

يقوم هذا الأمر بالتقاط 50 حزمة على eth0 الواجهة ثم تتوقف تلقائيا.

التقاط وعرض البيانات السداسية عشرية وASCII #

لعرض محتويات الحزم بالتنسيقين السداسي عشري والـASCII:

tcpdump -X

سيؤدي هذا إلى عرض كل من التمثيل السداسي عشري والمكافئ بصيغة ASCII لبيانات كل حزمة.

باستخدام `tcpdump` لاستكشاف أخطاء الشبكة وإصلاحها #

استخدم tcpdump يُعدّ هذا الأمر مفيدًا بشكل خاص لتشخيص مشاكل الشبكة. إليك بعض الأمثلة العملية:

تحديد مشكلات فقدان الحزمة أو زمن الوصول #

من خلال التقاط حزم الشبكة وتحليلها، يمكنك اكتشاف فقدان الحزم أو مشاكل زمن الوصول. على سبيل المثال، يمكنك التقاط حزم ICMP لمراقبة أوقات ذهابها وإيابها:

tcpdump -i eth0 icmp

يقوم هذا بتصفية حزم ICMP، والتي تُستخدم عادةً لاستكشاف أخطاء الاتصال بالشبكة وإصلاحها (على سبيل المثال، ping).

تحليل حركة المرور بين مضيفين #

لالتقاط حركة المرور بين مضيفين محددين، يمكنك استخدام host منقي:

tcpdump -i eth0 host 192.168.1.10

يلتقط هذا كل حركة المرور التي تنطوي على 192.168.1.10 على eth0 واجهة.

مراقبة طلبات DNS #

لالتقاط استعلامات DNS، قم بالتصفية لحركة مرور UDP على المنفذ 53:

tcpdump -i eth0 port 53

يقوم هذا الأمر بالتقاط استعلامات DNS واستجاباتها على eth0 واجهة.

ملخص #

باختصار، لينكس tcpdump يُعد Command أداةً متعددة الاستخدامات وقوية لتحليل الشبكات واستكشاف أخطائها وإصلاحها. قدرته على التقاط حزم الشبكة وتصفيتها تجعله لا غنى عنه للمسؤولين وخبراء الأمن. سواءً كنت تلتقط جميع البيانات على واجهة، أو تحلل بروتوكولات أو منافذ محددة، أو تحفظ البيانات لفحصها لاحقًا، tcpdump يوفر حلاً قويًا ومرنًا للعمل مع حركة المرور على الشبكة.

باستخدام tcpdump يتيح لك بشكل فعال تشخيص المشكلات وتحسين تكوينات الشبكة وتحسين الأمان من خلال مراقبة سلوك الشبكة في الوقت الفعلي.