Trường Đại học Công Nghệ Thông Tin

Môn: Quản trị hệ thống mạng

_______________________________________________________________________________

MỤC LỤC

Phần 1: Mở đầu.................................................................................................................. 1
Phần II. Giới thiệu công cụ TCPdump................................................................................2
“Nghe” trong mạng sử dụng Router............................................................................................10

Phần 1: Mở đầu
Ngày nay, việc xây dựng một hệ thống mạng đáp ứng các nhu cầu cơ bản của người dùng
không còn quá khó đối với hầu hết những người quản trị mạng. Xây dựng một hệ thống
đáp ứng được nhu cầu người dùng rất quan trọng tuy nhiên việc duy trì và kiểm soát để hệ
thống hoạt động ổn định cũng quan trọng không kém. Trong quá trình vận hành hệ thống,
không thể tránh khỏi những sự cố, việc phát hiện và kịp thời sửa chữa là vấn đề đầu tiên
được đặt ra cho người quản trị hệ thống mạng.
________________________________________________________________________________
Đề tài: Công cụ tcpdump.

GVHD: Ths.Vũ Trí Dũng
1


Trường Đại học Công Nghệ Thông Tin

Môn: Quản trị hệ thống mạng

_______________________________________________________________________________

2.1. Giới thiệu về công cụ quản lý mạng
Tcpdump được viết vào năm 1987 bởi Van Jacobson, Craig Leres và Steven McCanne làm
việc tại University of California.(1) Tcpdump được tích hợp sẵn trong một số dòng Linux,
nó có vai trò trụ cột trong việc gỡ rối và kiểm tra vấn đề kết nối mạng và bảo mật trong
một hệ thống mạng, nó là công cụ đã được các chuyên gia trên khắp thế giới tín nhiệm về
sự hữu dụng. Tcpdump là một công cụ dòng lệnh không có các họa tiết đẹp mắt so với các
công phân tích lưu lượng khác như Ettercap và Wireshark, tuy nhiên vì tính đơn giản và
hiệu quả nên nó được sử dụng rộng rãi.
2.2. Các chức năng của tcpdump
Tcpdump cung cấp khả năng phân tích các hành vi trong mạng, hiệu suất và các ứng dụng
tạo ra hoặc nhận được trong mạng. Nó cũng có thể được sử dụng để phân tích các cơ sở hạ
tầng mạng bằng cách xác định liệu tất cả các kết nối và nút mạng.
Nó cũng có thể sử dụng để lấy các thông tin liên lạc của một người hoặc máy tính trong
mạng bằng cách bắt và đọc các gói tin được gởi qua các giao thức không được mã hóa như:
Telnet, HTTP… có thể sử dụng tcpdump để xem ID đăng nhập, mật khẩu, các URL và nội
dung của các trang web đang xem, hay bất kỳ thông tin khác không được mã hóa.
Trước khi đi vào các chức năng cụ thể của tcpdump chúng ta sẽ tìm hiểu về cấu trúc câu
lệnh và cách thức vận hành của tcpdump.
 Cú pháp của tcpdump

________________________________________________________________________________
Đề tài: Công cụ tcpdump.

GVHD: Ths.Vũ Trí Dũng
3


Trường Đại học Công Nghệ Thông Tin

Môn: Quản trị hệ thống mạng


_______________________________________________________________________________

•

-c N: Ký tự N ở đây là số, tùy chọn này thông báo cho tcpdump biết để
thoát sau gói N.

•

-C: Kiểm tra kích thước của file trước khi ghi file.

•

-d : Dump các gói dưới dạng chuẩn.

•

-dd: Dump các gói dưới dạng code giống giống 1 chương trình C.

•

-ddd: Dump các gói dưới dạng code như các số thập phân.

•

-D : Cho biết tổng số giao diện mạng.

•



•

-l: Chọn lọc đầu ra.

•

-L: In danh sách các kiểu dữ liệu liên kết.

•

-m: Load module SMI MIB.

•

-n: Phân giải địa chỉ thành tên miền.

•

-N: Không in tiền tố của tên miền.

•

-O: Không tối ưu hóa các gói bắt được.

•

-p: Không đặt giao diện mạng dưới chế độ promiscuous.

•

•

-T: Bỏ qua các gói tin được chỉ định

•

-t: Không in nhãn thời gian trên mỗi dòng đầu ra.

•

-tt: In một nhãn thời gian không được định dạng trên mỗi dòng đầu ra.

•

-ttt: Thêm một khoảng trống giữa các dòng đầu ra.

•

-tttt: In nhãn thời gian được đặt mặc định theo ngày trên mỗi dòng.

•

-ttttt: In nhãn thời gian được đặt mặc định theo ngày trên dòng hiện tại
và dòng đầu tiên trên đầu ra.

•

-u: In NFS chưa được xử lý.

•


-z: Kết hợp với –C hoặc –G để chạy các lệnh khác của hệ thống.

B. Các biểu thức(4)
 primitive (mẫu), các thuật ngữ.
________________________________________________________________________________
Đề tài: Công cụ tcpdump.

GVHD: Ths.Vũ Trí Dũng
6


Trường Đại học Công Nghệ Thông Tin

Môn: Quản trị hệ thống mạng

_______________________________________________________________________________

o dst foo (*): Chỉ định một địa chỉ hoặc một hostname nhằm hạn chế các gói
được capture về mặt lưu lượng gửi đến.
o host foo: Chỉ định một địa chỉ hoặc một hostname nhằm hạn chế các gói đã
được capture về mặt lưu lượng đến và đi.
o net foo: Chỉ định một mạng hoặc một đoạn mạng sử dụng ghi chú CIDR để
hạn chế sự capture gói.
o proto foo: Chỉ định một giao thức nhằm hạn chế các gói đã được capturre
về mặt lưu lượng mạng đang sử dụng giao thức đó.
o

src foo: Chỉ định một địa chỉ hoặc một hostname nhằm hạn chế các gói
được capture đối với lưu lượng được gửi bởi một host.

Trong đó:
[1]
[2]
[3]
[4]
[5]
[6]
[7]

TimeStamp
SourceMac
DestinationMac
Network Protocol
IP Packet Length
Source IP
Source Port

[8]
[9]
[10]
[11]
[12]
[13]
[14]

Destination IP
Destination Port
TCP Flags
TCP Sequence Number
TCP Last Sequence Number

từ tất cả các máy đang kết nối với hub đó, của sổ tầm nhìn không bị hạn chế khi mà máy
nghe được kết nối với một mạng hub.
 “Nghe” trong mạng Switched
Một môi trường switched là kiểu mạng phổ biến mà chúng ta làm việc. Switch cung cấp
một phương thức hiệu quả để vận chuyển dữ liệu thông qua broadcast, unicast, multicast.
Switch cho phép kết nối song công (full-duplex), có nghĩa là máy trạm có thể truyền và
nhận dữ liệu đồng thời từ switch. Khi cắm một máy nghe vào một cổng của switch, chúng
ta chỉ có thể nhìn thấy các broadcast traffic và những gói tin gửi và nhận của máy tính đang
sử dụng. Trong trường hợp này chúng ta có 3 cách để bắt được các gói tin từ một thiết bị
mục tiêu trong mạng switch đó là:
o Port Mirroring:
Port mirroring hay còn gọi là port spanning có thể là cách đơn giản nhất để
bắt các lưu lượng từ thiết bị mục tiêu trên mạng switch. Khi ánh xạ cổng,
chúng ta sẽ có toàn bộ lưu lượng đi qua các cổng được copy sang port
Mirroring.
o Hubbing Out:
Một cách đơn giản khác để bắt các lưu lượng của thiết bị mục tiêu trong
một mạng switch là hubbing out. Hubbing out là kỹ thuật mà trong đó đặt
________________________________________________________________________________
Đề tài: Công cụ tcpdump.

GVHD: Ths.Vũ Trí Dũng
9


Trường Đại học Công Nghệ Thông Tin

Môn: Quản trị hệ thống mạng

_______________________________________________________________________________

Môn: Quản trị hệ thống mạng

_______________________________________________________________________________

Hình 3: Lệnh #tcpdump -c 50 dst uit.edu.vn

Cho biết các thông tin có thể nhận ra được nguồn của một lưu lượng nặng gửi đến và rất
có thể làm quá tải máy chủ với hostname “uit.edu.vn”, lấy 50 gói đầu tiên.
#tcpdump -c 500 -w 'date +"%Y%j%T"'.log

Hình 4: Lệnh #tcpdump -c 500 -w 'date +"%Y%j%T"'.log

Ghi 500 gói vào một file có tên time/date hiện hành (ví dụ 2010111915:16:31.log). Ở đây
date là hàm hệ thống. Bằng cách kết hợp các tùy chọn, Primitive , Modifiers ta sẽ bắt được
các gói tin như mong muốn.
#tcpdump -w test.pcap -i eth1 tcp port 80
________________________________________________________________________________
Đề tài: Công cụ tcpdump.

GVHD: Ths.Vũ Trí Dũng
11


Trường Đại học Công Nghệ Thông Tin

Môn: Quản trị hệ thống mạng

_______________________________________________________________________________

Hình 5: Lệnh #tcpdump -w test.pcap -i eth1 tcp port 80

Đề tài: Công cụ tcpdump.

GVHD: Ths.Vũ Trí Dũng
13


Trường Đại học Công Nghệ Thông Tin

Môn: Quản trị hệ thống mạng

_______________________________________________________________________________

•

Là một công cụ nhỏ gọn.

•

Là công cụ mạnh, khả năng tùy biến cao.

•

Chiếm ít tài nguyên của hệ thống.

•

Miễn phí.

Tuy không hỗ trợ giao diện đồ họa, xong tcpdump có thể kết hợp với các ngôn ngữ
lập trình để tạo các biểu đồ qua đó tạo thuận lợi cho người quản trị hệ thống có cái


+Thao tác trên dòng lệnh.

+Thân thiện với người dùng.
+Miễn phí.
+Hỗ trợ nhiều giao thức.

+Chưa hỗ trợ một số giao
thức.

+Chạy trên nhiều hệ điều hành.
+Hỗ trợ nhiều giao thức.
+Có khả năng giả dạng các gói tin.

+Giao diện sử dụng gây
khó khăn cho người dùng.

+Miễn phí.

2.3.2. Điểm yếu
•

Không hỗ trợ giao diện đồ họa gây khó khăn cho người sử dụng.

•

Gây khó khăn cho người sử dụng khi phải nhớ số lượng lớn các tùy chọn và
biểu thức.

•

Cách khắc phục các điểm yếu của công cụ:
Để phát huy hết sức mạnh của công cụ này và khắc phục khó khăn về mặt giao diện chúng
ta nên kết hợp với các chương trình hỗ trợ đồ họa hoặc kết hợp với các ngôn ngữ lập trình
để tạo nên những bản đồ phân tích qua đó có được cái nhìn khái quát hơn về tình hình hệ
thống. Thực tế người ta sử dụng tcpdump để bắt các gói tin sau đó dùng các phần mềm có
hỗ trợ đồ họa để phân tích. Điều này làm tăng tính hiệu quả của công việc.
Lưu ý: Để sử dụng được công cụ tcpdump thì người dùng hiện tại phải có quyền cao nhất
trên hệ thống(root) hoặc thuộc nhóm super users

Phần III: Kết luận
Tcpdump là một công cụ mạnh hỗ trợ tốt cho người quản trị hệ thống mạng, phục vụ đắc
lực trong hoạt động theo dõi, giám sát và khắc phục sự cố của các hệ thống, song để sử
dụng hiệu quả công cụ này đòi hỏi người sử dụng phải có được kiến thức và kinh nghiệm.
________________________________________________________________________________
Đề tài: Công cụ tcpdump.

GVHD: Ths.Vũ Trí Dũng
16


Trường Đại học Công Nghệ Thông Tin

Môn: Quản trị hệ thống mạng

_______________________________________________________________________________

Từ quá trình ra đời và tồn tại của công cụ này, ta cũng thấy được rằng đây là một công cụ
rất hay để sử dụng, học tập và nghiên cứu.
Qua quá trình tìm hiểu về công cụ này chúng em đã có thêm nhiều kiến thức bổ ích phục
vụ cho việc học tập và làm việc sau này.