Сети у меня всегда были на троечку. Я если честно, нихуя в них не понимал. Маршруты, вланы, сегментация и прочие непонятные слова звучали для меня как что-то на Африканском, мумбо-юмбовском языке. Но было это как раз-таки до того момента, как я не начал интересоваться ими. Углубившись в эту паутину, оказалось, что ничего сложного там нет, но настроить сетевую взаимосвязанность – это одно, а вот обнаружить аномалию или просто посмотреть, что в данный момент происходит в сети – немного другое. Особенно, если это касается информационной безопасности.
Сегодня попробуем разобраться как работает tcpdump и приведём несколько стандартных примеров её работы.
Установка до безобразия проста
apt install tcpdump
По ключу --help будет справка, которую обычно никто не смотрит =)
Для примера возьмём входящий интерфейс enp1s0
tcpdump -i enp1s0 – повалится абсолютно всё, что проходит через указанный интерфейс.
tcpdump -i enp1s0 port 22 – будет отображаться только трафик ssh
Едем дальше. Нам нужно захватить 443 порт для идентификации тех, кто в данный момент посещает наш сайт, но так как мы подключены к хосту по ssh, то будет очень много шума с 22-го порта. Поэтому попросим tcpdump показать нам всё, что происходит на 443 порту, но не показывать 22-ой порт
tcpdump -i enp1s0 port 443 and not port ssh