Tcpdump, Linux işletim sistemlerinde, komut satırında paket analizi yapan bir programdır. F5 BIG-IP, CentOS işletim sistemi üzerinde çalışır. Problem anında sorunun belirlenmesi için paket analizi yapmaya ihtiyaç duyulduğunda, uygun parametre ve filtrelerle paket yakalamak önemlidir.
tcpdump Parametreleri
| -D | Kullanılabilir interface'leri listeler. tcpdump -D |
| -i | Belirtilen interface'e göre filtreler. tcpdump -i any |
| -n | Hostname için isim çözmeyi kapatır. tcpdump -ni any |
| -nn | Hostname ve port için isim çözmeyi kapatır. tcpdump -ni any |
| -X | Çıktıyı ASCII ve hex içerecek şekilde gösterir. tcpdump -X -nni any |
| -c | Belirtilen değer kadar paket yakalar. tcpdump -nni any -c 1000 |
| -C | MegaByte cinsinden belirtilen değer kadar paket yakalar. tcpdump -nni any -C 50 |
| -w | Packet capture'u belirtilen dosyaya yazar. tcpdump -nni any -c 1000 -w /var/tmp/netsys.pcap |
| -W | Belirtilen değer kadar packet capture dosyası oluşturur. tcpdump -nni any -W 5 -C 50 -w /var/tmp/netsys.pcap |
| -s0 | Full data paket yakalar. tcpdump -nni any -s0 -W 5 -C 50 -w /var/tmp/netsys.pcap |
| -v | Yakalanan paket sayısını gösterir. tcpdump -nni any -w /var/tmp/netsys.pcap -v |
| -e | Paketlerde MAC adreslerini gösterir. tcpdump -e -nni any |
tcpdump Filtreleri
| host | Belirtilen IP adresinden gelen/giden paketleri yakalar. tcpdump -nni any host 10.11.12.13 |
| src host | Belirtilen port numarasından gelen paketleri yakalar. tcpdump -nni any src port 15015 |
| dst host | Belirtilen IP adresine giden paketleri yakalar. tcpdump -nni any dst host 10.11.12.13 |
| port | Belirtilen port numarasından gelen/giden paketleri yakalar. tcpdump -nni any port 443 |
| src port | Belirtilen port numarasından gelen paketleri yakalar. tcpdump -nni any src port 15015 |
| dst port | Belirtilen port numarasına giden paketleri yakalar. tcpdump -nni any dst port 8080 |
| net | Belirtilen network'ten gelen/giden paketleri yakalar. tcpdump -nni any net 192.168.34.0/24 |
| src net | Belirtilen network'e gelen paketleri yakalar. tcpdump -nni any src port 10.10.10.128/25 |
| dst net | Belirtilen network'ten giden paketleri yakalar. tcpdump -nni any dst host 172.16.12.0/16 |
| icmp | ICMP paketlerini yakalar. tcpdump -nni any icmp |
| arp | ARP paketlerini yakalar. tcpdump -nni any arp |
tcpdump Operatörleri
| and | Filtrelemeleri birleştirerek paket yakalar. tcpdump -nni any host 10.11.12.13 and port 8080 |
| or | Filtrelemelerden herhangi birisine göre paket yakalar. tcpdump -nni any host 192.168.1.101 or host 192.168.1.102 or host 192.168.1.103 |
| not | Belirtilen filrteleme dışındaki paketleri yakalar. tcpdump -nni any not net 10.0.0.0/8 |
F5 Spesifik tcpdump Parametreleri
| :n | Low detay TMM bilgilerini içerir: - Ingress - Slot - TMM - Type - VIP - Port - Trunk tcpdump -nni 0.0:n -s0 -w /var/tmp/lowcapture.pcap |
| :nn | Medium detay TMM bilgilerini içerir: - Flow ID - Peer ID - RST Cause - Connflow Flags - Flow Type - HA Unit - Ingress Slot - Ingress Port - Priority tcpdump -nni 0.0:nn -s0 -w /var/tmp/mediumcapture.pcap |
| :nnn | High detay TMM bilgilerini içerir: - Peer IP Protocol - Peer VLAN - Peer Remote Address - Peer Local Address - Peer Remote Port - Peer Local Port tcpdump -nni 0.0:nnn -s0 -w /var/tmp/highcapture.pcap |
| :p | Client-side ve server-side pakat yakalar (uçtan uça) tcpdump -nni 0.0:nnnp -s0 host 10.11.12.13 -w /var/tmp/capture.pcap |
| --f5 ssl | SSL paketlerini decrypt için secret ve random bilgilerini içerir: - Secret length - Early Traffic Secret - Client Handshake Traffic Secret - Server Handshake Traffic Secret - Client Application Traffic Secret - Server Application Traffic Secret - Client Random - Server Random tcpdump -s0 -nni 0.0:nnnp --f5 ssl host 192.168.1.34 and port 443 -vw /var/tmp/netsys-decrypt.pcap Not: tcpdump.sslprovider değişkeninin açık olması gerekir. tmsh modify sys db tcpdump.sslprovider value enable |
F5 Certified! Solutions Expert, Security
F5 Certified! Solutions Expert, Cloud
F5 DevCentral MVP 2021-2022-2023
This Post Has 0 Comments