TCPDUMP là gì?
TCPDUMP là một tiên ích dòng lệnh mạnh mẽ và đa năng cho phép bạn nắm bắt và phân tích lưu lượng mạng đi qua hệ thống của bạn theo thời gian thực. Công cụ này sẵn có trên nhiều hệ điều hành giống Unix bao gồm Linux và MacOS.
TCPDUMP thường được dùng để khắc phục các sự cố mạng, là công cụ bảo mật mạnh mẽ. Nó có thể chạy trên các máy chủ hoặc thiết bị từ xa mà không có GUI để thu thập dữ liệu, cũng có thể được khởi chạy ở chế độ nền hoặc dưới dạng tác vụ theo lịch trình bằng các công cụ như cron.
Nhờ những lợi thế mạnh mẽ, TCPdump trở thành tiêu chuẩn thực tế để bắt lưu lượng mạng được các quản trị viên, chuyên gia bảo mật và nhà phát triển lựa chọn sử dụng.
Cách thức hoạt động của TCPDUMP
Lệnh TCPDump được sử dụng để thu thập và phân tích lưu lượng mạng. Công cụ này hoạt động bằng cách chặn các gói tin đi qua giao diện mạng và cung cấp thông tin chi tiết về hành vi mạng. Cụ thể:
Bắt gói tin: TCPDUMP có thể bắt và ghi lại tất cả các gói tin truyền qua giao diện mạng của máy tính theo thời gian thực.
Lọc gói tin: Cung cấp cú pháp linh hoạt và mạnh mẽ để lọc các gói tin dựa trên nhiều tiêu chí khác nhau như địa chỉ IP nguồn, số cổng, loại giao thức,…
Phân tích giao thức: TCPDUMP có thể giải mã và hiển thị chi tiết các giao thức phổ biến, để khắc phục các sự cố và bảo mật.
Lưu trữ và phân tích ngoại tuyến: Người dùng có thể ghi lại lưu lượng mạng và file PCAP để phân tích bằng TCPDUMP hoặc các công cụ khác tương tự khi ngoại tuyến.
Ưu điểm – hạn chế của công cụ TCPDUMP
Ưu điểm của TCPDUMP
- Là công cụ dòng lệnh được phát triển để thu thập và phân tích lưu lượng mạng trên bất kỳ hệ thống nào của người dùng
- Công cụ hữu ích để khắc phục các sự cố mạng và là công cụ bảo mật
- Là công cụ có khả năng thích ứng và có ảnh hưởng trong nhiều trường hợp sử dụng
- Hữu ích trong môi trường máy chủ từ xa hoặc các thiết bị không có GUI
- Cho phép thu thập dữ liệu để phân tích ngoại tuyến, mang đến sự linh hoạt
- Có thể được thực thi ở chế độ nền hoặc được lên lịch như một tác vụ sử dụng các công cụ như cron, cung cấp khả năng tự động hóa cho các tác vụ giám sát mạng.
- Dễ cài đặt và sử dụng trên các hệ thống như Unix/Linux
- TCPDUMP tiêu tốn ít tài nguyên hệ thống hơn so với các công cụ bắt gói tin đồ họa khác
Hạn chế của TCPDUMP
- Là giao diện dòng lệnh nên sẽ khó sử dụng với người mới
- Khả năng phân tích sau khi bắt gói bị hạn chế
- Không tối ưu khi sử dụng trên Windows mặc dù có thể cài đặt trên Windows thông qua WinDump
- Không có giao diện đồ họa trực quan làm cho việc phân tích các gói tin khó khăn hơn.
Hướng dẫn cài đặt và sử dụng lệnh TCPDUMP
Cách cài đặt TCPDUMP trên Linux
Trên hầu hết các bản phân phối của Linux, có thể bạn đã cài đặt Tcpdump thông qua trình quản lý gói.
- Với Ubuntu/Debian, ta dùng lệnh sau:
sudo apt update
sudo apt install tcpdump
- Với CentOS 7, ta dùng lệnh sau:
sudo yum install tcpdump
- Với CentOS 8+ hoặc Fedora, ta dùng lệnh:
sudo dnf install tcpdump
Để kiểm tra xem tcpdump được cài đặt thành công hay chưa, bạn có thể kiểm tra phiên bản hiện tại với lệnh sau:
tcpdump --version
Cách sử dụng TCPDUMP cùng ví dụ đi kèm
Một số lệnh cơ bản để bạn sử dụng TCPDUMP:
- Bắt gói tin từ giao diện mạng
sudo tcpdump -i eth0
- Lưu dữ liệu gói tin vào file PCAP
sudo tcpdump -i eth0 -w capture.pcap
- Đọc và hiển thị các gói tin đã chụp từ một file
sudo tcpdump -r capture.pcap
Khi muốn dừng quá trình bắt gói tin, bạn nhấn tổ hợp Ctrl + C.
Lời kết
Trên đây, LANIT đã chia sẻ chi tiết về TCPDUMP – một công cụ mạnh mẽ và hữu ích để phân tích lưu lượng mạng, khắc phục các sự cố mạng cũng như bảo mật mạng được nhiều nhà phát triển, quản trị viên sử dụng trên hệ thống Linux. Ngoài ra, nếu bạn còn thắc mắc nào hoặc cần hỗ trợ khi thuê VPS trên hệ thống Linux, liên hệ ngay LANIT để được tư vấn chi tiết nhất nhé!