Kwalifikacja: INF.06 - Montaż i eksploatacja szerokopasmowych sieci kablowych pozabudynkowych
Komenda tcpdump stosowana w systemach z rodziny UNIX umożliwia
Odpowiedzi
Informacja zwrotna
Prawidłowa odpowiedź to analiza ruchu w sieci, bo dokładnie do tego służy tcpdump. Jest to klasyczne narzędzie linii poleceń w systemach z rodziny UNIX/Linux, wykorzystywane do przechwytywania i wyświetlania pakietów sieciowych „przelatujących” przez interfejsy sieciowe. W praktyce tcpdump działa w oparciu o bibliotekę libpcap, która udostępnia niskopoziomowy dostęp do ramek i pakietów. Dzięki temu możesz podejrzeć nagłówki protokołów takich jak Ethernet, IP, TCP, UDP, ICMP, a nawet analizować konkretne porty, adresy IP czy flagi w pakietach TCP. Moim zdaniem to jedno z podstawowych narzędzi administratora sieci i bezpieczeństwa – coś jak stetoskop dla lekarza. Tcpdump pozwala np. sprawdzić, czy ruch dociera do serwera, czy dochodzi do retransmisji, czy występują podejrzane połączenia na nietypowe porty. Typowy przykład z życia: masz usługę na porcie 80, która „nie działa”. Za pomocą tcpdump możesz od razu zobaczyć, czy w ogóle przychodzą pakiety SYN na ten port i jak serwer odpowiada. Innym praktycznym zastosowaniem jest filtrowanie ruchu według wyrażeń BPF (Berkeley Packet Filter), np. przechwytywanie tylko ruchu DNS lub tylko połączeń z konkretnym hostem. To jest zgodne z dobrymi praktykami diagnostyki sieci: najpierw obserwacja ruchu, potem zmiany konfiguracji. Warto też wiedzieć, że tcpdump może zapisywać ruch do pliku w formacie pcap, który potem da się otworzyć w Wiresharku czy innym analizatorze. W środowiskach produkcyjnych często używa się tcpdump w trybie bez interakcji, np. jako element skryptów diagnostycznych. Narzędzie nie służy do zmieniania konfiguracji sieci, tylko do pasywnej obserwacji. I to jest klucz: tcpdump jest snifferem/analitykiem, a nie menedżerem konfiguracji TCP/IP czy routingu.