Giám sát lưu lượng mạng với tcpdump trên Linux -

Cú pháp cơ bản của tcpdump

• Options: tham số điều khiển cách tcpdump thu thập gói tin.

• Filters: định nghĩa loại lưu lượng cần quan sát hoặc ghi lại. Nếu không có filter, tcpdump sẽ bắt toàn bộ lưu lượng trên interface.

• -i ens33: chọn interface để lắng nghe (nếu bỏ qua, tcpdump chọn interface đầu tiên).

• -X: hiển thị payload dưới dạng hex và ASCII.

• -nn: hiển thị IP/port ở dạng số (không resolve DNS).

• -s 0: bắt toàn bộ payload (snap length).

• host 192.168.222.1: chỉ bắt gói tin đi/đến host này.

Lọc nâng cao

• Bắt lưu lượng FTP (port 21):

• Loại bỏ SSH traffic (port 22):

Lưu dữ liệu capture

• Xuất ra file text:

• Lưu dưới dạng PCAP để phân tích bằng Wireshark hoặc Snort:

• Đọc lại file PCAP:

Lưu ý khi bắt gói tin trong môi trường production

• Filter càng lỏng → lưu lượng bắt càng nhiều → ảnh hưởng hiệu năng host, nhưng có thêm dữ liệu để phân tích sau.

• Xuất trực tiếp ra màn hình (STDOUT) tiêu tốn tài nguyên nhiều hơn. Thay vào đó, nên ghi ra file PCAP rồi phân tích lại.

• Khi dừng tcpdump, hãy kiểm tra thống kê cuối cùng: nếu có nhiều gói bị drop, nên áp dụng filter chặt hơn hoặc tăng tài nguyên cho tiến trình.