Linux sunucular üzerinde ağ trafiğini gerçek zamanlı analiz etmenin en etkili yollarından biri tcpdump aracını kullanmaktır. Bu araç, komut satırı üzerinden ağ arayüzünü dinleyerek paketleri ayrıntılı biçimde inceleme imkânı sağlar. Özellikle sistem yöneticileri ve ağ güvenliği uzmanları için vazgeçilmezdir.
Temel Tcpdump Kullanımı
Tcpdump ile başlamak için sisteminizde root yetkilerine sahip olmanız gerekir. Aşağıdaki gibi temel bir komutla aktif trafiği izleyebilirsiniz:
tcpdump -i eth0-i eth0: Dinlenecek ağ arayüzüdür. Sisteminizdeki arayüzeth0yerineens33,enp0s3gibi farklı olabilir.
Belirli Port Üzerindeki Trafiği İzleme
Sadece belirli bir port üzerinden geçen trafiği görmek için şu komut kullanılır:
tcpdump port 443Bu örnek yalnızca HTTPS (443) trafiğini görüntüler. port yerine src port veya dst port parametreleriyle giriş veya çıkış yönlü filtreleme yapılabilir.
IP Filtreleme
Belirli bir IP adresinden gelen ya da o IP’ye giden trafiği izlemek için:
tcpdump host 192.168.1.100Ya da sadece kaynak IP bazlı filtreleme için:
tcpdump src 192.168.1.100Kayıt Altına Alma
Trafiği bir dosyaya kaydetmek ve daha sonra analiz etmek için:
tcpdump -i eth0 -w trafik.pcapKaydedilen .pcap dosyası Wireshark gibi GUI araçlarla açılarak daha görsel analiz yapılabilir.
Detaylı Görünüm ve Paket Sayısı Sınırlama
Karmaşık trafiği daha okunabilir hâle getirmek için:
tcpdump -i eth0 -n -v -c 100-n: DNS çözümlemesi yapmaz, IP gösterir.-v: Detaylı bilgi verir.-c 100: 100 paketten sonra durur.
Örnek Senaryo
Bir web sunucusunda gelen POST isteklerini izlemek için:
tcpdump -i eth0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'Bu komut, veri içeren HTTP isteklerini tespit etmekte kullanılır.