Merhabalar;
Linux sistemlerde kablolu yada kablosuz ağ arabirimlerine ait TCP bağlantılarının trafiğini izlemek için bazı pratik yöntemler ve araçlar vardır. Bu yazıda tcptrack aracı ile ağ arabiriminizin tcp bağlantılarını ve detaylarını nasıl izleyeceğinize değineceğim. Tcptrack aracı aslında iftop aracına benzer bir araçtır, arasındaki fark iftop aracı ağ trafiğini gösteriyor, tcptrack aracı ise ağ içerisindeki TCP bağlantılarını gösteriyor.
Tcptrack aracını root yetkileriyle aşağıdaki komut yardımıyla sisteminize kurabilirsiniz.
root# sudo apt-get install tcptrack -y
Tcptrack ile tcp bağlantılarını dinlemek istediğiniz ağ kartını -i parametresi ile belirterek anlık olarak dinleyebilirsiniz.
root# tcptrack -i [interface]
Örneğin, kaynağı herhangi biri olan hedefi 80 portuna istek yapan kullanıcıların tcp bağlantılarını görüntülemek isterseniz aşağıdaki komutu kullanabilirsiniz.
root# tcptrack -i eth0 src or dst port 80
Örneğin, dinlediğiniz ağ kartına ait 443 ve 80 portlarına istek yapan kullanıcıların bağlantılarını görmek isterseniz aşağıdaki komutu kullanabilirsiniz.
root# tcptrack -i eth0 "port (443 or 80)"
Bir ağ içerisinde sadece bir kullanıcıya ait tcp bağlantılarını görmek isterseniz, dinlemek istediğiniz ip adresini aşağıdaki gibi yazabilirsiniz.
root# tcptrack -i eth0 src 192.168.0.100
Yukarıdaki örneğimizin tam tersi yani kaynağı herhangi biri olan hedefi 192.168.0.1 ip adresine bağlantı sağlayan ip adreslerini görüntülemek isterseniz aşağıdaki komut kullanılabilir.
root# tcptrack -i eth0 src or dst 192.168.0.1
Tcptrack ile eth0 ağ kartına ait bağlantı durumlarını gözlemlerken anlık olarak durdurup incelemek isterseniz ( paused ) p tuşuna basabilirsiniz. Şunuda unutmayın speed hızları devam edicektir, sadece bağlantı durumları duracaktır, trafiğin yeniden devam etmesi için yeniden ( unpasued ) p tuşuna basabilirsiniz.
root# tcptrack -i eth0
Mesela, hedefi 192.168.0.1 ip adresine ( 80, 443, 21, 22, 23 ) portları üzerinden tcp isteğinde bulunan kullanıcıların bağlantı durumlarını gözlemlemek isterseniz aşağıdaki gibi bir komut kullanılabilir, tabi siz port numaralarını istediğiniz gibi değiştirebilir veya birden fazla port numarası yazabilirsiniz. Ayrıca ip adresi ve ağ kartını kendi network yapınıza göre ayarlarmanız gerekiyor.
root# tcptrack -i eth0 "ip dst 192.168.0.1 and port (80 or 443 or 21 or 23)
Tcptrack aracı hakkında daha fazla bilgi için man sayfasına bakabilirsiniz.
root# man tcptrack
NOT: ESTABLISHED, CLOSED, RESET vb. ifadelerin ne anlama geldiğini öğrenmek isterseniz bu siteye göz atabilirsiniz.
Leave a Reply