رصد پورت های ترافیک در لینوکس با دستور TShark

رصد پورت های ترافیک در لینوکس با دستور TShark

چگونه در لینوکس پورت های ترافیک را رصد کنیم

 

هر مدیر شبکه باید بداند که چگونه به ترافیک پورت های مورد استفاده در سرور گوش دهد. در اینجا یک راه برای انجام آن در لینوکس وجود دارد. (TShark)

خب تصور کنید شما یک سرور لینوکس دارید و در حال کار هستید. اما مشکوک هستید که ممکن است ترافیک نامناسبی وارد شود یا فقط می خواهید بدانید که در این زمان همه ی اتفاقی که در این دستگاه جدید می افتد چیست. چه کار میکنید؟

ابزارهای زیادی برای انجام این کار وجود دارد – در برخی از آنها مدت زمان استفاده و حصول نتیجه بسیار طولانی است. با این حال ، برخی از این دستورات می توانند بسیار پیچیده باشند یا واقعاً آنطور که می خواهید کار نمی کنند.

هنگامی که فقط می خواهید کار را به راحتی ، سریع و قابل اعتماد انجام دهید ، کدام دستور به کمک خواهد آمد؟

یک ابزار خاص وجود دارد که من ترجیح می دهم برای این کار استفاده کنم. ابزار مورد نظر TShark است که یک خط فرمان Wireshark نرم افزار همیشه محبوب است. وقتی در حال کار کردن با یک سرور بدون رابط کاربری هستید، این خط فرمان به کمک شما خواهد آمد.

با استفاده از دستور TShark می توانید به ترافیک ورودی گوش دهید تا پورت های خود را بر روی سرور لینوکس نظارت کنید. در واقع نصب آن و استفاده از آن آسان است.

 

تمام آنچه شما نیاز دارید:

  1. سرور یا دسکتاپ لینوکس
  2. کاربر با سطح دسترسی sudo

 

این تست در اوبونتو سرور ۱۸٫۴۰ نشان داده شده است، اما این ابزار را می توان بر توابع استاندارد توزیع شما نصب کرد.

 

نحوه نصب TShark:

 

نصب TShark ساده است. این دستور همه موارد را نصب میکند.. یک پنجره ترمینال روی سرور خود باز کنید و دستور زیر را اجرا کنید:

sudo apt-get install tshark -y

 

چگونه کارت شبکه خود را پیدا کنید؟

با TShark ، کارت شبکه شما با یک شماره همراه است. اگر فقط یک کارت نصب شده است ، دیگر لازم نیست نگران این موضوع باشید. اما اگر چندین کارت شبکه دارید یا از این سرور برای محتوای بالا استفاده می کنید ، باید بدانید که کدام رابط برای گوش دادن به TShark نیاز است.

برای انجام این کار ، دستور را صادر کنید:

sudo tshark -D

 

خروجی این دستور ، تمام رابط های موجود شما را نشان می دهد (شکل ۱)

همه رابط ها لیست شده اند. (شکل 1)

همه رابط ها لیست شده اند. (شکل ۱)

 

چگونه با TShark ترافیک را رصد کنیم

 

اکنون که لیست کارت شبکه های خود را در اختیار داریم ، می توانیم ترافیک را در زمان واقعی مشاهده کنیم. فرض کنیم می خواهید فقط به کارت شبکه ens5 (ردیف ۶) گوش دهید ، که رابط اصلی روی سرور ما در این مثال است. برای این کار ، دستور را صادر می کنید:

sudo tshark -i 6

یک جریان خروجی بی پایان شروع می شود و لیست هر پورت برای شناسایی هر نوع ترافیک (شکل ۲) ارائه می شود.

فرمان tshark در همه درگاه ها به ترافیک ورودی گوش می دهد. (شکل 2)

فرمان Tshark در همه درگاه ها به ترافیک ورودی گوش می دهد. (شکل ۲)

 

مسلما این خروجی بسیار پیچیده و طولانی می باشد. اگر این کار خیلی زیاد است ، همیشه می توانید TShark را به گوش دادن به درگاه های خاص راهنمایی کنید. به عنوان مثال بگویید که شما مشکوک هستید که ترافیک خاصی با SSH در جریان است (شاید شخصی در تلاش باشد تا سرور شما را از طریق پورت ۲۲ هک کند). TShark می تواند فقط به آن درگاه خاص گوش دهد، دستور ذیل را برای این منظور صادر کنید:

sudo tshark -i 6 -f “tcp port 22”

دستور فوق فقط اطلاعات مربوط به پورت ۲۲ را نشان می دهد (شکل ۳).

با استفاده از TShark فقط ترافیک SSH را رصد نمائید (شکل 3)

با استفاده از TShark فقط ترافیک SSH را رصد نمائید (شکل ۳)

 

اگرچه چیزهای بیشتری برای TShark وجود دارد ، این تنها چیزی است که شما باید بدانید تا بتوانید به گوش دادن به ترافیک پورت در سرور لینوکس خود ادامه دهید. برای کسب اطلاعات بیشتر در مورد TShark فرمان Tshark را بدون سوئیچ اجرا نمائید.

منبع : https://www-techrepublic-com

تهیه شده توسط : حامد اصغری

ارسال دیدگاه

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *