Address Resolution Protocol (ARP)
Adalah protokol untuk pemetaan alamat Internet Protocol (IP
address) ke alamat mesin fisik yang diakui di jaringan lokal. Misalnya, di IP
Versi 4, tingkat yang paling umum dari IP yang digunakan saat ini, dengan
panjang alamat adalah 32 bit. Dalam sebuah jaringan Ethernet area lokal,
panjang alamat untuk perangkat yang terpasang adalah 48 bit. (Alamat mesin
fisik juga dikenal sebagai Media Access Control atau MAC address.) sebuah
table, biasanya disebut cache ARP, yang digunakan untuk menjaga korelasi antara
masing-masing alamat MAC dan alamat IP yang sesuai. ARP memberikan aturan
protokol untuk membuat korelasi ini dan menyediakan konversi alamat di kedua
arah.
Format Datagram ARP Request/reply
Directory Table ARP cache
/proc/sys/net/ipv4/neigh
Option Pada Command ARP
-v, --verbose
Digunakan untuk memberitahu pengguna apa yang sedang terjadi
dengan menjadi verbose.
-n, --numeric
Digunakan untuk
menunjukkan alamat numerik bukannya mencoba untuk menentukan host, port
atau pengguna nama simbolik.
-H type, --hw-type type, -t type
Digunakan Ketika pengaturan atau membaca cache ARP,
parameter opsional ini menceritakan arp yang kelas entri itu harus memeriksa.
Nilai default dari parameter ini adalah eter (yaitu kode hardware 0x01 untuk
IEEE 802.3 10Mbps Ethernet). Nilai-nilai lain mungkin termasuk teknologi
jaringan seperti ARCnet (ARCNET), Pronet (Pronet), AX.25 (ax25) dan NET / ROM
(NetRom).
-a [hostname], --display [hostname]
Digunakan untuk menunjukkan entri host tertentu. Jika
parameter nama host tidak digunakan, semua entri akan ditampilkan. Entri akan
ditampilkan di alternatif (BSD) gaya.
-d hostname, --delete hostname
Digunakan untuk menghapus semua entri untuk host tertentu.
Ini dapat digunakan jika host ditunjukkan dibawa turun, misalnya.
-D, --use-device
Digunakan alamat hardware interface ifa ini.
-e
Menunjukkan entri dalam default (Linux) gaya.
-i If, --device If
Pilih sebuah antarmuka. Ketika membuang cache ARP hanya
entri yang cocok dengan antarmuka yang ditentukan akan dicetak. Ketika
menetapkan entri ARP permanen atau temporer interface ini akan terkait dengan
entri; jika opsi ini tidak digunakan, kernel akan menebak berdasarkan tabel
routing. Untuk entri pub antarmuka yang ditentukan adalah antarmuka yang ARP
permintaan akan dijawab.
CATATAN: Ini harus menjadi berbeda dari antarmuka mana
datagram IP akan dialihkan.
-s hostname hw_addr, --set hostname
Manual membuat sebuah entri pemetaan alamat ARP untuk
hostname host dengan alamat hardware diatur ke hw_addr kelas, tetapi bagi
kebanyakan kelas satu dapat berasumsi bahwa presentasi yang biasa dapat
digunakan. Untuk kelas Ethernet, ini adalah 6 byte dalam heksadesimal, yang
dipisahkan oleh titik dua. Ketika menambahkan entri proksi arp (yang mereka
dengan menerbitkan bendera mengatur netmask dapat ditentukan untuk arp proxy
untuk seluruh subnet. Ini adalah praktek yang tidak baik, tetapi didukung oleh
kernel yang lebih tua karena dapat berguna. Jika bendera suhu tidak entri yang
disediakan akan tetap disimpan ke dalam cache ARP.
CATATAN: Pada kernel 2.2.0 itu tidak mungkin lagi untuk
mengatur entri ARP untuk seluruh subnet. Linux bukan tidak automagic proksi arp
ketika rute ada dan itu forwarding. Lihat arp (7) untuk rincian.
-f filename, --file filename
Mirip dengan opsi -s, hanya saja kali ini info alamat
diambil dari file nama file diatur. Nama file data yang sangat sering / etc /
ethers, tapi ini tidak resmi. Jika tidak ada nama file yang ditentukan / etc /
ethers digunakan sebagai default.
Software Sniffer tcpdump
Sebuah sniffer paket, alat yang menangkap lalu lintas
jaringan, biasanya digunakan untuk analisis lalu lintas dan observasi untuk
menentukan masalah dalam jaringan atau mengkonfirmasi upaya hacking melawan
komputer atau jaringan sistem Anda. Dengan paket sniffer, Anda dapat
menggunakan data yang dikumpulkan untuk mengidentifikasi apa jenis paket yang
memukul sistem dan dari mana mereka berasal.
tcpdump [ -AbdDefhHIJKlLnNOpqStuUvxX# ]
[ -B buffer_size ]
Mengatur ukuran buffer size sistem operasi dalam satuan KiB
(1024 bytes )
[ -c count ]
Digunakan untuk menangkap nomor paket yang spesifik
[ -C file_size ] [ -G rotate_seconds ] [ -F file ]
Sebelum menulis paket baku untuk savefile , periksa apakah
file yang sedang lebih besar dari file_size dan , jika demikian , menutup
savefile saat ini dan membuka yang baru. Savefiles setelah savefile pertama
akan memiliki nama tertentu dengan bendera -w , dengan angka setelah , mulai
dari 1 dan terus ke atas . Satuan file_size jutaan byte ( 1.000.000 bytes ,
bukan 1.048.576 bytes ) .
[ -i interface ]
Mendengarkan pada antarmuka . Jika tidak ditentukan ,
tcpdump mencari daftar antarmuka sistem untuk bernomor terendah , dikonfigurasi
up antarmuka ( tidak termasuk loopback ) , yang dapat berubah menjadi ,
misalnya , `` eth0 ' ' . Pada sistem Linux dengan 2,2 atau lambat kernel ,
argumen antarmuka ` ` setiap ' ' dapat digunakan untuk menangkap paket-paket
dari semua antarmuka . Catatan yang menangkap pada `` setiap ' ' perangkat
tidak akan dilakukan dalam mode promiscuous.
Jika Flag -D didukung , jumlah antarmuka seperti yang dicetak oleh
bendera itu dapat digunakan sebagai argumen antarmuka .
[ -j tstamp_type ]
Mengatur jenis cap waktu untuk menangkap ke tstamp_type .
Nama-nama yang akan digunakan untuk waktu jenis cap yang diberikan dalam pcap -
tstamp ( 7 ) ; tidak semua jenis yang tercantum di sana tentu akan berlaku
untuk setiap antarmuka yang diberikan .
[ -m module ]
Memuat SMI MIB definisi modul dari modul berkas . Pilihan
ini dapat digunakan beberapa kali untuk memuat beberapa modul MIB ke tcpdump .
[ -M secret ]
Gunakan rahasia sebagai rahasia bersama untuk memvalidasi
mencerna ditemukan di segmen TCP dengan opsi TCP - MD5 ( RFC 2385 ) , jika ada
.
[ --number ]
Mencetak jumlah paket opsional pada awal baris .
[ -Q in|out|inout ]
Pilih mengirim / menerima arahan arahan yang paket harus
ditangkap . Nilai yang mungkin adalah ` dalam ' , ` keluar ' dan ` inout ' .
Tidak tersedia pada semua platform .
[ -r file ]
Baca paket dari file ( yang diciptakan dengan opsi -w atau
dengan alat lain yang menulis pcap atau file pcap - ng ) . Input standar
digunakan jika file adalah ` ` - ' ' .
[ -V file ]
Membaca daftar nama file dari file . Input standar digunakan
jika file adalah ` ` - ' ' .
[ -s snaplen ]
Snarf byte snaplen data dari masing-masing paket daripada
default 262.144 bytes . Paket terpotong karena snapshot terbatas ditunjukkan
dalam output dengan ` ` [ | proto ] ' ' , di mana proto adalah nama dari
tingkat protokol di mana pemotongan terjadi . Perhatikan bahwa mengambil
snapshot lebih besar baik meningkatkan jumlah waktu yang dibutuhkan untuk
memproses paket dan , efektif , menurunkan jumlah paket buffering. Hal ini
dapat menyebabkan paket yang akan hilang . Anda harus membatasi snaplen ke
nomor terkecil yang akan menangkap informasi protokol Anda tertarik .
Pengaturan snaplen ke 0 set ke default 262.144 , untuk kompatibilitas mundur
dengan versi terbaru dari tcpdump .
[ -T type ]
Paket Angkatan dipilih oleh "ekspresi" harus ditafsirkan
jenis tertentu. Jenis saat ini dikenal adalah AODV (Ad-hoc On-demand protokol
Distance Vector), ikan mas (Common Alamat redundansi Protocol), cnfp (Cisco
NetFlow protokol), LMP (Link Management Protocol), PGM (Pragmatis Umum
Multicast), pgm_zmtp1 (ZMTP / 1.0 dalam PGM / EPGM), radius (RADIUS), rpc
(Remote Procedure Call), RTP (Aplikasi Real-Time protokol), RTCP (Real-Time
protokol Aplikasi control), snmp (Simple Network Management Protocol), tftp
(Trivial File Transfer Protocol), PPN (Visual Audio Tool), wb (didistribusikan
White Board), zmtp1 (ZeroMQ Pesan Transport Protocol 1.0) dan vxlan (Virtual
eXtensible Local Area Network). Perhatikan bahwa jenis PGM atas mempengaruhi
interpretasi UDP saja, asli PGM selalu diakui sebagai protokol IP 113 terlepas.
UDP-dikemas PGM sering disebut "EPGM" atau "PGM / UDP".
Perhatikan bahwa pgm_zmtp1 yang mengetik di atas mempengaruhi penafsiran baik
asli PGM dan UDP sekaligus. Selama PGM asli decoding data aplikasi dari OData /
paket RDATA akan diterjemahkan sebagai datagram ZeroMQ dengan ZMTP / 1.0 frame.
Selama decoding UDP selain bahwa setiap paket UDP akan diperlakukan sebagai
paket PGM dikemas.
[ -w file ]
Menulis paket raw untuk mengajukan daripada parsing dan
mencetak mereka keluar . Mereka nantinya dapat dicetak dengan opsi-r . Output
standar digunakan jika file adalah ` ` - ' ' .
Output ini akan buffered jika ditulis ke file atau pipa ,
sehingga program membaca dari file atau pipa mungkin tidak melihat paket untuk
jumlah yang sewenang-wenang waktu setelah mereka diterima . Menggunakan bendera
-U menyebabkan paket yang akan ditulis segera setelah mereka diterima .
Jenis MIME application / vnd.tcpdump.pcap telah terdaftar
dengan IANA untuk file pcap . Ekstensi nama file .pcap tampaknya yang paling
umum digunakan bersama dengan .cap dan .dmp . Tcpdump sendiri tidak memeriksa
ekstensi ketika membaca file capture dan tidak menambahkan ekstensi ketika
menulis mereka ( menggunakan angka ajaib di header file bukan ) . Namun, banyak
sistem operasi dan aplikasi akan menggunakan ekstensi jika hadir dan
menambahkan satu ( misalnya .pcap ) dianjurkan .
Lihat pcap -
savefile ( 5 ) untuk penjelasan dari format file .
[ -E spi@ipaddr algo:secret,... ]
Gunakan spi@ipaddr algo : rahasia untuk mendekripsi paket
IPsec ESP yang ditujukan kepada addr dan mengandung Keamanan Indeks Parameter
nilai spi . Kombinasi ini dapat diulang dengan comma atau pemisahan baris .
[ -W]
Digunakan bersama dengan opsi -C , ini akan membatasi jumlah
file yang dibuat ke nomor tertentu , dan mulai Timpa file dari awal , sehingga
menciptakan ' berputar ' penyangga . Selain itu, akan nama file dengan 0s
terkemuka yang cukup untuk mendukung jumlah maksimum file , yang memungkinkan
mereka untuk memilah dengan benar .
Digunakan bersama dengan opsi -G , ini akan membatasi jumlah
berkas dump diputar yang bisa dibuat , keluar dengan statusnya 0 ketika
mencapai batas. Jika digunakan dengan -C juga, perilaku akan menghasilkan file
siklus per timeslice .
[ -y datalinktype ]
Mengatur jenis data link untuk digunakan saat menangkap
paket-paket untuk datalinktype .
[ -z postrotate-command ]
Digunakan bersama dengan -C atau opsi -G , ini akan membuat
tcpdump run " postrotate - perintah file" di mana berkas adalah
savefile ditutup setelah setiap putaran . Misalnya , menentukan -z gzip atau
bzip2 -z akan mengkompres setiap savefile menggunakan gzip atau bzip2 .
Perhatikan bahwa tcpdump akan menjalankan perintah secara
paralel untuk menangkap , menggunakan prioritas terendah sehingga ini tidak
mengganggu proses capture .
Dan jika anda ingin
menggunakan perintah itu sendiri mengambil bendera atau argumen yang berbeda ,
Anda selalu dapat menulis script shell yang akan membawa nama savefile sebagai
satu-satunya argumen , membuat bendera & argumen pengaturan dan menjalankan
perintah yang Anda inginkan .
[ -Z user ]
Jika tcpdump berjalan sebagai root, setelah membuka
perangkat capture atau masukan savefile , tapi sebelum membuka setiap savefiles
untuk output , mengubah ID pengguna untuk pengguna dan ID kelompok untuk
kelompok utama pengguna. Perilaku ini
juga dapat diaktifkan secara default pada waktu kompilasi .
[ --time-stamp-precision=tstamp_precision ]
Ketika menangkap , mengatur waktu cap presisi untuk
menangkap untuk tstamp_precision . Perhatikan bahwa ketersediaan waktu perangko
presisi tinggi ( nanodetik ) dan akurasi mereka yang sebenarnya platform dan
hardware dependent . Juga mencatat bahwa ketika menulis menangkap dibuat dengan
akurasi nanodetik untuk savefile sebuah , perangko waktu ditulis dengan
resolusi nanodetik , dan file yang ditulis dengan angka ajaib yang berbeda ,
untuk menunjukkan bahwa perangko waktu berada di detik dan nanodetik ; tidak
semua program yang membaca savefiles pcap akan dapat membaca mereka menangkap .
[ --immediate-mode ]
Menangkap di " modus langsung " . Dalam mode ini ,
paket yang dikirim ke tcpdump segera setelah mereka tiba , bukannya buffer
untuk efisiensi . Ini adalah default saat mencetak paket daripada menyimpan
paket ke sebuah `` savefile ' ' jika paket sedang dicetak ke terminal daripada
ke file atau pipa .
[ --version ]
Cetak tcpdump dan versi libpcap string dan keluar .
[ expression ]
memilih yang paket akan dibuang . Jika tidak ada ekspresi
yang diberikan , semua paket di internet akan dibuang . Jika tidak , hanya
paket yang ekspresi ` benar ' akan dibuang .
Cara Menggunakan Software Wireshark
Menangkap Paket Data
Jalankan dan klik nama dari sebuah interface pada Interface
List untuk mulai menangkap paket data pada interface tersebut. Contohnya, jika
Anda ingin menangkap paket data dari jaringan nirkabel, klik interface nirkabel
Anda.
Segera setelah Anda mengklik nama interface, Anda akan
melihat paket data mulai muncul pada jendela Wireshark. Program ini menangkap
tiap paket data yang dikirim ke atau dari sistem Anda. Jika Anda menangkap
paket data dari interface nirkabel, dan mengaktifkan promiscuous mode pada opsi
capture, Anda juga akan melihat paket lainnya yang ada pada jaringan.
Klik tombol stop capture yang ada pada bagian sudut kiri
atas jendela jika Anda ingin berhenti menangkap paket data.
Memfilter Paket Data
Jika Anda ingin menginspeksi hal tertentu, seperti traffic
sebuah yang dikirim sebuah program ketika menelpon rumah, Wireshark dapat
menutup semua aplikasi lainnya yang menggunakan jaringan sehingga Anda bisa
menentukan traffic tertentu itu. Tetapi jika Anda cenderung memiliki jumlah
data yang besar untuk diinspeksi, disini Anda bisa menggunakan filter untuk
memilah-milah paket data.
Cara yang paling dasar untuk menggunakan filter adalah
dengan cara mengetikkannya pada kotak filter yang ada pada bagian paling atas
jendela Wireshark. Contohnya, ketikkan dns jika Anda hanya ingin melihat paket
DNS. Ketika Anda mulai mengetik, Wireshark akan membantu Anda dengan fitur
autocomplete. Anda juga bisa mengklik menu Analize dan memilih Display
Filtersuntuk membuat sebuah filter baru.
Memfilter Paket Data Berdasarkan Source atau Destination IP
Pada kolom display filter masukkan ip source atau
destination yang akan ditampilkan, contoh :
ip.src == 172.16.204.28
Berarti wireshark hanya akan menampilkan paket dengan IP Source
172.16.204.28
Ip.des == 172.16.204.24
Tidak ada komentar:
Posting Komentar