در ادامه معرفی ابزارهای مانیتورینگ سیستم های لینوکس امروز میخواهیم پیرامون یکی از ابزارهای مهم اسنیفر پکت با نام tcpdump بحث کنیم و با تعدادی مثال تلاش کنیم تا از کار کردن با ترمینال لذت بیشتری ببرید. به تجربه عرض میکنیم که کار کردن با ترمینال به مراتب از کار کردن با محیط گرافیکی سریع تر و متنوع تر است. قطعا شما عزیزان نیز به مرور زمان با ما هم عقیده خواهید شد.
tcpdump چیست؟
tcpdump یک ابزار فوق العاده قوی و پیشرفته برای تحلیل ترافیک عبوری روی بستر شبکه می باشد. این ابزار قدرتمند قادر به فیلتر و یا شنود کامل ترافیک شبکه شما می باشد که روی اکثر سیستم های لینوکسی وجود دارد. شما همچنین میتوانید خروجی های دریافت شده توسط این ابزار را در یک فایل با فرمت pcap. ذخیره کنید. این پسوند همان پسوند برنامه معروف گرافیکی و متن باز wireshark می باشد که قابلیت خواندن فایل هایی با این فرمت را نیز دارد.
نصب tcpump در لینوکس
همانطور که گفته شد این برنامه به طور پیش فرض در بسیاری از توزیع های لینوکس نصب شده است اما اگر بخواهیم روش نصب آن را بیاوریم باید به صورت زیر عمل کنید:
|
1 2 |
root@arshatech:~# apt-get update root@arshatech:~# apt-get install tcpdump |
|
1 2 |
[root@arshatech ~]# dnf update [root@arshatech ~]# dnf install tcpdump |
|
1 2 |
[root@arshatech ~]# yum update [root@arshatech ~]# yum install tcpdump |
دریافت بسته ها از یک اینترفیس خاص
با وارد کردن دستور، دریافت بسته ها شروع میشود و تا هنگامی که شما آن را متوقف نکنید روند دریافت ادامه دارد. به صورت پیش فرض و با وارد کردن دستور tcpdump روند دریافت بسته ها از همه اینترفیس ها خواهد بود. اما اگر بخواهید بسته های عبوری از یک اینترفیس خاص را دریافت کنید به صورت زیر عمل کنید:
|
1 |
root@arshatech:~# tcpdump -i eth0 |
|
1 2 3 4 5 6 7 8 9 10 |
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 11:14:22.753204 IP 192.168.1.2.57192 > summer.singleweb.org.http: Flags [S], seq 3001458593, win 29200, options [mss 1460,sackOK,TS val 2002284 ecr 0,nop,wscale 7], length 0 11:14:22.753298 IP 192.168.1.2.34342 > 192.168.1.1.domain: 16433+ A? blog.arshatech.com. (36) 11:14:22.802723 IP 192.168.1.1.domain > 192.168.1.2.34342: 16433 1/0/0 A 136.243.59.114 (52) 11:14:22.803149 IP 192.168.1.2.6179 > 192.168.1.1.domain: 40165+ AAAA? blog.arshatech.com. (36) 11:14:22.806105 IP 192.168.1.2.48462 > 192.168.1.1.domain: 34080+ PTR? 114.59.243.136.in-addr.arpa. (45) 11:14:22.851459 IP 192.168.1.1.domain > 192.168.1.2.6179: 40165 0/1/0 (95) 11:14:22.931723 IP summer.singleweb.org.http > 192.168.1.2.57192: Flags [S.], seq 2765178280, ack 3001458594, win 28960, options [mss 1360,sackOK,TS val 427362591 ecr 2002284,nop,wscale 7], length 0 11:14:23.146968 IP 192.168.1.2.57376 > 192.168.1.1.domain: 53265+ PTR? 1.1.168.192.in-addr.arpa. (42) |
نکته: حتما برای دریافت بسته ها باید دسترسی root داشته باشید.
دریافت تعداد مشخصی بسته
شما میتوانید تعداد مشخصی از بسته ها را نیز از طریق tcpdump دریافت کنید و بعد از آن خودکار از برنامه خارج شوید. در این مثال ما از عدد ۵ به معنای دریافت ۵ بسته و سپس خارج شدن خودکار از حالت دریافت بسته ها استفاده میکنیم.
|
1 |
root@arshatech:~# tcpdump -c 5 -i eth0 |
|
1 2 3 4 5 6 7 8 9 10 |
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 11:54:00.786428 IP 192.168.1.2.45784 > bud02s25-in-f4.1e100.net.https: Flags [P.], seq 2161796716:2161796755, ack 202318102, win 4092, options [nop,nop,TS val 2596792 ecr 140238031], length 39 11:54:00.786941 IP 192.168.1.2.45784 > bud02s25-in-f4.1e100.net.https: Flags [P.], seq 39:63, ack 1, win 4092, options [nop,nop,TS val 2596792 ecr 140238031], length 24 11:54:00.786972 IP 192.168.1.2.45784 > bud02s25-in-f4.1e100.net.https: Flags [F.], seq 63, ack 1, win 4092, options [nop,nop,TS val 2596792 ecr 140238031], length 0 11:54:00.863228 IP 192.168.1.2.56934 > 192.168.1.1.domain: 10806+ PTR? 100.16.217.172.in-addr.arpa. (45) 11:54:00.863254 IP 192.168.1.2.56934 > google-public-dns-a.google.com.domain: 10806+ PTR? 100.16.217.172.in-addr.arpa. (45) 5 packets captured 21 packets received by filter 10 packets dropped by kernel |
همانطور که ملاحظه میکنید در انتهای خروجی تعداد بسته های دریافت شده را که ۵ بسته می باشد نوشته است.
نمایش همه اینترفیس های در دسترس
اگر شما میخواهید تمامی اینترفیس های در دسترس خود را برای شنود ترافیک روی آن ها مشاهده کنید به صورت زیر عمل کنید:
|
1 |
root@arshatech:~# tcpdump -D |
|
1 2 3 4 5 6 7 8 |
1.eth0 2.bluetooth0 (Bluetooth adapter number 0) 3.nflog (Linux netfilter log (NFLOG) interface) 4.nfqueue (Linux netfilter queue (NFQUEUE) interface) 5.vmnet1 6.vmnet8 7.any (Pseudo-device that captures on all interfaces) 8.lo [Loopback] |
نمایش بسته های دریافتی در فرمت ASCII
در لینوکس و با استفاده از این دستور شما میتوانید بسته های عبوری را با فرمت ascii نیز دریافت کنید که برای این کار میتوانید از دستور زیر استفاده کنید:
|
1 |
root@arshatech:~# tcpdump -A -i eth0 |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 12:04:41.217097 IP summer.singleweb.org.https > 192.168.1.2.57656: Flags [P.], seq 671643682:671644246, ack 2864917096, win 365, options [nop,nop,TS val 430380920 ecr 2756581], length 564 E..h0.@.4.....;r.......8(.x"..*h...m-...... ...x.*....../..........;2..v.f...bf7........,........ ............J....QdH........41$_.Z1.*<Ks.vu...v....5...].W...av..9.......'8.,....w'....-.e...{..&.........[2l.Sv..}.S..p....g.6KL.i.^n....:4...mi[....f+.......... ....D.C...!..a.H..Wn....ei.!.$a....q........G..........G.?SM@..JC.3&.Y.......X.Y.$QzO<..g.y..}...)%. .....,.K.(.U....6.F,wG ...s....[...o...mO..3....H...F.....x......)O...9./"Ax."..p...5..S....n.g...].8....k|V.uz?zJ;.O..0.B....J..:XlS..W...(..@G .......Q.3..Z:v...}...")Q.E...4$.nStK...e"2.....?i...f.i8.\..........p...oK..X..@. ....Y..@l.-...<>?<oJv..... 12:04:41.217171 IP 192.168.1.2.57656 > summer.singleweb.org.https: Flags [.], ack 564, win 453, options [nop,nop,TS val 2756900 ecr 430380920], length 0 E..4..@.@.........;r.8....*h(.zV....Q...... .*.$...x 12:04:41.218822 IP 192.168.1.2.46822 > google-public-dns-a.google.com.domain: 58876+ PTR? 2.1.168.192.in-addr.arpa. (42) E..F..@.@..............5.2.;.............2.1.168.192.in-addr.arpa..... 12:04:41.434001 IP 192.168.1.2.58149 > summer.singleweb.org.http: Flags [S], seq 1577238924, win 29200, options [mss 1460,sackOK,TS val 2756954 ecr 0,nop,wscale 7], length 0 E..<..@.@.........;r.%.P^.........r.;W......... .*.Z........ 12:04:41.434026 IP 192.168.1.2.52192 > google-public-dns-a.google.com.domain: 25583+ A? blog.arshatech.com. (36) E..@..@.@..............5.,P.c............blog arshatech.com..... 12:04:41.434055 IP 192.168.1.2.34144 > google-public-dns-a.google.com.domain: 58052+ AAAA? blog.arshatech.com. (36) E..@..@.@............`.5.,.c.............blog arshatech.com..... 12:04:41.617311 IP summer.singleweb.org.http > 192.168.1.2.58149: Flags [S.], seq 487492694, ack 1577238925, win 28960, options [mss 1360,sackOK,TS val 430381318 ecr 2756954,nop,wscale 7], length 0 E..<..@.4.....;r.....P.%...V^.....q `......P... .....*.Z.... |
نمایش بسته های دریافتی به دو فرمت ASCII و HEX
برای دریافت بسته ها به فرمت ascii و hex میتوانید از دستور زیر استفاده کنید:
|
1 |
root@arshatech:~# tcpdump -XX -i eth0 |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 12:12:50.153245 IP 192.168.1.2.58224 > summer.singleweb.org.http: Flags [S], seq 2090305708, win 29200, options [mss 1460,sackOK,TS val 2879134 ecr 0,nop,wscale 7], length 0 0x0000: c8be 1920 a330 f46d 04bc 3ebd 0800 4500 .....0.m..>...E. 0x0010: 003c 6632 4000 4006 4e7a c0a8 0102 88f3 .<f2@.@.Nz...... 0x0020: 3b72 e370 0050 7c97 88ac 0000 0000 a002 ;r.p.P|......... 0x0030: 7210 7811 0000 0204 05b4 0402 080a 002b r.x............+ 0x0040: ee9e 0000 0000 0103 0307 .......... 12:12:50.153279 IP 192.168.1.2.25393 > 192.168.1.1.domain: 20128+ A? blog.arshatech.com. (36) 0x0000: c8be 1920 a330 f46d 04bc 3ebd 0800 4500 .....0.m..>...E. 0x0010: 0040 ab17 4000 4011 0c42 c0a8 0102 c0a8 .@..@.@..B...... 0x0020: 0101 6331 0035 002c 1d38 4ea0 0100 0001 ..c1.5.,.8N..... 0x0030: 0000 0000 0000 0462 6c6f 6709 6172 7368 .......blog.arsh 0x0040: 6174 6563 6803 636f 6d00 0001 0001 atech.com..... 12:12:50.153300 IP 192.168.1.2.25393 > google-public-dns-a.google.com.domain: 20128+ A? blog.arshatech.com. (36) 0x0000: c8be 1920 a330 f46d 04bc 3ebd 0800 4500 .....0.m..>...E. 0x0010: 0040 9e9d 4000 4011 ca55 c0a8 0102 0808 .@..@.@..U...... 0x0020: 0808 6331 0035 002c ced1 4ea0 0100 0001 ..c1.5.,..N..... 0x0030: 0000 0000 0000 0462 6c6f 6709 6172 7368 .......blog.arsh 0x0040: 6174 6563 6803 636f 6d00 0001 0001 atech.com..... |
دریافت و ذخیره خروجی در یک فایل
اگر شما میخواهید خروجی های دریافت شده را در یک فایل ذخیره کنید از دستور زیر استفاده کنید:
|
1 |
root@arshatech:~# tcpdump -w output-002.pcap -i eth0 -c 5 |
|
1 2 3 4 |
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 5 packets captured 16 packets received by filter 0 packets dropped by kernel |
خواندن محتویات فایل ذخیره شده
بعد از ذخیره بسته های دریافت شده در یک فایل اگر میخواهید محتویات آن را بخوانید میتوانید به صورت زیر عمل کنید:
|
1 |
root@arshatech:~# tcpdump -r output-002.pcap |
|
1 2 3 4 5 6 |
reading from file output-002.pcap, link-type EN10MB (Ethernet) 12:15:08.303780 ARP, Request who-has 192.168.1.1 tell 192.168.1.2, length 28 12:15:08.304160 ARP, Reply 192.168.1.1 is-at c8:be:19:20:a3:30 (oui Unknown), length 46 12:15:08.379926 IP 192.168.1.2.47056 > 192.168.1.1.domain: 7705+ A? arshatech.com. (31) 12:15:08.380088 IP 192.168.1.2.57656 > summer.singleweb.org.https: Flags [P.], seq 2864922321:2864922476, ack 671654962, win 620, options [nop,nop,TS val 2913691 ecr 430977456], length 155 12:15:08.380108 IP 192.168.1.2.61446 > 192.168.1.1.domain: 51153+ AAAA? arshatech.com. (31) |
دریافت بسته ها با آدرس آی پی
اگر میخواهید ترافیک را از اینترفیس مشخصی دریافت کنید در حالی که آدرس ها (آدرس های هاست، شماره پورت ها و…) به نام تبدیل نشوند و به صورت معمولی دریافت شوند باید به صورت زیر عمل کنید:
|
1 |
root@arshatech:~# tcpdump -n -i eth0 -c 10 |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 12:52:05.933606 IP 192.168.1.2.39090 > 192.168.1.1.53: 35272+ A? productsearch.ubuntu.com. (42) 12:52:05.933692 IP 192.168.1.2.23669 > 192.168.1.1.53: 37185+ AAAA? productsearch.ubuntu.com. (42) 12:52:05.983301 IP 192.168.1.1.53 > 192.168.1.2.39090: 35272 NXDomain 0/1/0 (103) 12:52:05.987899 IP 192.168.1.1.53 > 192.168.1.2.23669: 37185 NXDomain 0/1/0 (103) 12:52:05.988518 IP 192.168.1.2.50855 > 192.168.1.1.53: 33919+ A? productsearch.ubuntu.com. (42) 12:52:05.988595 IP 192.168.1.2.9019 > 192.168.1.1.53: 64181+ AAAA? productsearch.ubuntu.com. (42) 12:52:06.037912 IP 192.168.1.1.53 > 192.168.1.2.50855: 33919 NXDomain 0/1/0 (103) 12:52:06.042917 IP 192.168.1.1.53 > 192.168.1.2.9019: 64181 NXDomain 0/1/0 (103) 12:52:28.014730 IP 192.168.1.2.12400 > 192.168.1.1.53: 43316+ A? arshatech.com. (31) 12:52:28.014774 IP 192.168.1.2.12400 > 8.8.8.8.53: 43316+ A? arshatech.com. (31) 10 packets captured 14 packets received by filter 0 packets dropped by kernel |
دریافت بسته های TCP
اگر میخواهید از میان بسته های موجود فقط بسته های TCP را دریافت کنید از دستور زیر استفاده کنید:
|
1 |
root@arshatech:~# tcpdump -i eth0 -c 5 tcp |
|
1 2 3 4 5 6 7 8 9 10 |
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 12:55:19.191557 IP 192.168.1.2.58294 > summer.singleweb.org.http: Flags [S], seq 2469021758, win 29200, options [mss 1460,sackOK,TS val 3516393 ecr 0,nop,wscale 7], length 0 12:55:19.371463 IP summer.singleweb.org.http > 192.168.1.2.58294: Flags [S.], seq 2996342350, ack 2469021759, win 28960, options [mss 1360,sackOK,TS val 433419116 ecr 3516393,nop,wscale 7], length 0 12:55:19.371552 IP 192.168.1.2.58294 > summer.singleweb.org.http: Flags [.], ack 1, win 229, options [nop,nop,TS val 3516438 ecr 433419116], length 0 12:55:19.372036 IP 192.168.1.2.58294 > summer.singleweb.org.http: Flags [.], seq 1:1349, ack 1, win 229, options [nop,nop,TS val 3516439 ecr 433419116], length 1348: HTTP: POST /wp-admin/admin-ajax.php HTTP/1.1 12:55:19.372212 IP 192.168.1.2.58294 > summer.singleweb.org.http: Flags [P.], seq 1349:1540, ack 1, win 229, options [nop,nop,TS val 3516439 ecr 433419116], length 191: HTTP 5 packets captured 5 packets received by filter 0 packets dropped by kernel |
دریافت بسته ها روی پورت خاص
اگر شما میخواهید بسته هایی را دریافت کنید که روی پورت خاصی در حال انتقال هستند باید حالت شنود را روی پورت مد نظر خود تنظیم کنید:
|
1 |
root@arshatech:~# tcpdump -i eth0 port 22 |
|
1 2 3 4 5 6 7 8 9 10 11 |
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 12:58:08.203358 IP 192.168.1.2.50998 > 1.2.3.4.ssh: Flags [S], seq 771854105, win 29200, options [mss 1460,sackOK,TS val 3558646 ecr 0,nop,wscale 7], length 0 12:58:08.250894 IP 1.2.3.4.ssh > 192.168.1.2.50998: Flags [S.], seq 3362040838, ack 771854106, win 1380, options [mss 1360,nop,nop,TS val 44047243 ecr 3558646,nop,wscale 7], length 0 12:58:08.250983 IP 192.168.1.2.50998 > 1.2.3.4.ssh: Flags [.], ack 1, win 229, options [nop,nop,TS val 3558658 ecr 44047243], length 0 12:58:08.252408 IP 192.168.1.2.50998 > 1.2.3.4.ssh: Flags [P.], seq 1:45, ack 1, win 229, options [nop,nop,TS val 3558659 ecr 44047243], length 44 12:58:08.297615 IP 1.2.3.4.ssh > 192.168.1.2.50998: Flags [.], ack 45, win 227, options [nop,nop,TS val 44047291 ecr 3558659], length 0 12:58:08.320466 IP 1.2.3.4.ssh > 192.168.1.2.50998: Flags [P.], seq 1:22, ack 45, win 227, options [nop,nop,TS val 44047313 ecr 3558659], length 21 12:58:08.320593 IP 192.168.1.2.50998 > 1.2.3.4.ssh: Flags [.], ack 22, win 229, options [nop,nop,TS val 3558676 ecr 44047313], length 0 12:58:08.322859 IP 192.168.1.2.50998 > 1.2.3.4.ssh: Flags [.], seq 45:1393, ack 22, win 229, options [nop,nop,TS val 3558676 ecr 44047313], length 1348 12:58:08.322892 IP 192.168.1.2.50998 > 1.2.3.4.ssh: Flags [P.], seq 1393:2013, ack 22, win 229, options [nop,nop,TS val 3558676 ecr 44047313], length 620 |
دریافت بسته ها از IP مبدا خاص
شما میتوانید برای دریافت بسته ها تعریف کنید که ترافیک مبدا در صورتی که از IP خاصی باشد ترافیک دریافت شود:
|
1 |
root@arshatech:~# tcpdump -i eth0 src 192.168.1.2 |
|
1 2 3 4 5 6 7 8 9 10 |
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 13:01:18.367341 IP 192.168.1.2.25900 > 192.168.1.1.domain: 17756+ A? arshatech.com. (31) 13:01:18.367374 IP 192.168.1.2.57819 > summer.singleweb.org.https: Flags [P.], seq 380230218:380230373, ack 3856325214, win 747, options [nop,nop,TS val 3606187 ecr 433747969], length 155 13:01:18.367405 IP 192.168.1.2.57819 > summer.singleweb.org.https: Flags [P.], seq 155:275, ack 1, win 747, options [nop,nop,TS val 3606187 ecr 433747969], length 120 13:01:18.368915 IP 192.168.1.2.12050 > 192.168.1.1.domain: 638+ PTR? 1.1.168.192.in-addr.arpa. (42) 13:01:18.423912 IP 192.168.1.2.29345 > 192.168.1.1.domain: 9189+ AAAA? arshatech.com. (31) 13:01:18.430194 IP 192.168.1.2.63108 > 192.168.1.1.domain: 4069+ PTR? 2.1.168.192.in-addr.arpa. (42) 13:01:18.478507 IP 192.168.1.2.20631 > 192.168.1.1.domain: 27407+ PTR? 114.59.243.136.in-addr.arpa. (45) 13:01:18.785241 IP 192.168.1.2.57819 > summer.singleweb.org.https: Flags [.], ack 565, win 756, options [nop,nop,TS val 3606292 ecr 433778535], length 0 |
دریافت بسته ها از IP مقصد خاص
شما میتوانید برای دریافت بسته ها تعریف کنید که ترافیک مقصد در صورتی که از IP خاصی باشد ترافیک دریافت شود:
|
1 |
root@arshatech:~# tcpdump -i eth0 dst 1.2.3.4 |
|
1 2 3 4 5 6 7 8 9 |
cpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 13:02:51.344585 IP 192.168.1.2.58323 > server.arshatech.com.http: Flags [S], seq 2138673104, win 29200, options [mss 1460,sackOK,TS val 3629432 ecr 0,nop,wscale 7], length 0 13:02:51.429235 IP 192.168.1.2.57819 > server.arshatech.com.https: Flags [P.], seq 380231043:380231198, ack 3856326906, win 774, options [nop,nop,TS val 3629453 ecr 433840542], length 155 13:02:51.429302 IP 192.168.1.2.57819 > server.arshatech.com.https: Flags [P.], seq 155:275, ack 1, win 774, options [nop,nop,TS val 3629453 ecr 433840542], length 120 13:02:51.525897 IP 192.168.1.2.58323 > server.arshatech.com.http: Flags [.], ack 3825135021, win 229, options [nop,nop,TS val 3629477 ecr 433871277], length 0 13:02:51.526158 IP 192.168.1.2.58323 > server.arshatech.com.http: Flags [.], seq 0:1348, ack 1, win 229, options [nop,nop,TS val 3629477 ecr 433871277], length 1348: HTTP: POST /wp-admin/admin-ajax.php HTTP/1.1 13:02:51.526172 IP 192.168.1.2.58323 > server.arshatech.com.http: Flags [P.], seq 1348:1538, ack 1, win 229, options [nop,nop,TS val 3629477 ecr 433871277], length 190: HTTP 13:02:51.814084 IP 192.168.1.2.57819 > server.arshatech.com.https: Flags [.], ack 565, win 783, options [nop,nop,TS val 3629549 ecr 433871565], length 0 |
فعال کردن حالت verbose
اگر شما نیاز به دریافت اطلاعات بیشتری در خروجی دارید میتوانید حالت verbose را فعال کنید. با وارد کردن سوئیچ v- خروجی بیشتر و در صورت وارد کردن vv- خروجی کامل را دریافت میکنید:
|
1 |
root@arshatech:~# tcpdump -i eth0 -v |
|
1 2 3 4 5 6 7 8 9 10 11 |
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 13:09:16.141152 IP (tos 0x0, ttl 255, id 23563, offset 0, flags [DF], proto UDP (17), length 153) 192.168.1.1.domain > 192.168.1.2.55635: 36640 1/1/0 www.theroot.com. CNAME theroot.com. (125) 13:09:16.143293 IP (tos 0x0, ttl 64, id 28115, offset 0, flags [DF], proto UDP (17), length 70) 192.168.1.2.57168 > 192.168.1.1.domain: 55130+ PTR? 2.1.168.192.in-addr.arpa. (42) 13:09:16.191047 IP (tos 0x0, ttl 255, id 23566, offset 0, flags [DF], proto UDP (17), length 147) 192.168.1.1.domain > 192.168.1.2.57168: 55130 NXDomain 0/1/0 (119) 13:09:16.191909 IP (tos 0x0, ttl 64, id 28128, offset 0, flags [DF], proto UDP (17), length 70) 192.168.1.2.12616 > 192.168.1.1.domain: 20833+ PTR? 1.1.168.192.in-addr.arpa. (42) 13:09:16.241456 IP (tos 0x0, ttl 53, id 0, offset 0, flags [DF], proto UDP (17), length 139) d.resolvers.level3.net.domain > 192.168.1.2.26738: 38161 5/0/0 www.theroot.com. CNAME theroot.com., theroot.com. A 151.101.2.166, theroot.com. A 151.101.66.166, theroot.com. A 151.101.130.166, theroot.com. A 151.101.194.166 (111) |
همچنین خواهیم داشت:
|
1 |
root@arshatech:~# tcpdump -i eth0 -vv |
|
1 2 3 4 5 6 7 8 9 10 11 |
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes 13:11:11.307631 IP (tos 0x0, ttl 255, id 23749, offset 0, flags [none], proto UDP (17), length 324) 192.168.1.1.1900 > 239.255.255.250.1900: [udp sum ok] UDP, length 296 13:11:11.309412 IP (tos 0x0, ttl 64, id 44150, offset 0, flags [DF], proto UDP (17), length 74) 192.168.1.2.29826 > 192.168.1.1.domain: [udp sum ok] 45558+ PTR? 250.255.255.239.in-addr.arpa. (46) 13:11:11.357672 IP (tos 0x0, ttl 255, id 23752, offset 0, flags [DF], proto UDP (17), length 131) 192.168.1.1.domain > 192.168.1.2.29826: [udp sum ok] 45558 NXDomain q: PTR? 250.255.255.239.in-addr.arpa. 0/1/0 ns: 239.in-addr.arpa. SOA sns.dns.icann.org. noc.dns.icann.org. 2018050809 7200 3600 604800 3600 (103) 13:11:11.358505 IP (tos 0x0, ttl 64, id 44161, offset 0, flags [DF], proto UDP (17), length 70) 192.168.1.2.63571 > 192.168.1.1.domain: [udp sum ok] 33821+ PTR? 1.1.168.192.in-addr.arpa. (42) 13:11:11.409854 IP (tos 0x0, ttl 255, id 23755, offset 0, flags [DF], proto UDP (17), length 147) 192.168.1.1.domain > 192.168.1.2.63571: [udp sum ok] 33821 NXDomain q: PTR? 1.1.168.192.in-addr.arpa. 0/1/0 ns: 168.192.in-addr.arpa. SOA prisoner.iana.org. hostmaster.root-servers.org. 1 604800 60 604800 604800 (119) |
