诸城做网站,做防水保温怎么建网站,wordpress 图片位置,宾阳网站建设使用“tcpdump”查看原始数据包 尽管像 Snort 这样的工具可以出色地筛选通过我们网络的所有内容#xff0c;但有时需要查看原始数据。为此#xff0c;我们最好的工具是“tcpdump”。
使用 tcpdump 的最基本方法是简单地发出以下命令#xff1a;
tcpdump
使用 -v 选项可以…使用“tcpdump”查看原始数据包 尽管像 Snort 这样的工具可以出色地筛选通过我们网络的所有内容但有时需要查看原始数据。为此我们最好的工具是“tcpdump”。
使用 tcpdump 的最基本方法是简单地发出以下命令
tcpdump
使用 -v 选项可以获得更详细的信息使用 -vv 选项可以获得更多的信息。 有用的选项
假设您已登录到您管理的远程计算机。通常您会使用 SSH。如果您运行“tcpdump”时不带任何选项则输出将充斥着来自 SSH 连接的数据包。要避免这种情况只需从输出中删除端口 22
tcpdump not port 22
您可以使用多个不同的端口来实现此目的
tcpdump not port 143 and not port 25 and not port 22
如果您想要执行相反的操作即仅监视某个端口这有利于调试网络应用程序您可以执行以下操作
tcpdump port 143
您还可以从网络上的特定主机获取数据
tcpdump host hal9000
如果你的机器有多个网络接口你也可以指定你想要监听的网络接口
tcpdump -i eth1
您还可以指定协议
tcpdump udp
您可以在 /etc/protocols 中找到协议列表。 保存输出以供以后使用
在某些情况下您可能希望将输出重定向到文件以便以后详细研究它或使用其他程序来解析输出。在下面的示例中您仍然可以在将输出保存到文件的同时查看输出
tcpdump -l | tee tcpdump_date %Y%m%e-%k.%M
在上面的例子中我们可以通过日期和时间来识别每个转储。这在处理一天中某些时间出现的问题时可能会派上用场。tcpdump
还有一个选项可以将其输出转储为二进制格式以便以后读取。要创建二进制文件
tcpdump -w tcpdump_raw_date %Y%m%e-%k.%M
稍后你可以让 tcpdump 读取该文件
tcpdump -r tcpdump_raw_YYYMMDD-H.M
您还可以使用程序 ethereal 打开原始转储并对其进行解释。我们将在下一节中详细讨论 ethereal。 需要注意的事项
tcpdump 为我们提供了有关往返于我们网络的所有数据包的信息。但这一切意味着什么 将 Ethereal 与 tcpdump 结合使用
Ethereal 是一种也可用于捕获网络数据包的工具。安装后您可以打开您制作的原始转储文件。它看起来像这样
这样就更容易看到发生了什么。您可以看到源 IP 和目标 IP 是什么以及数据包的类型。然后您可以轻松排除可能遇到的网络问题并分析可疑行为。再补充一个轶事当我在写这节课并解释我自己的转储时我看到我的个人工作站上有一些奇怪的活动。我几乎定期查询世界各地不同 IP 的机器上的端口 32772。我为端口 32772 运行了一个特定的转储如下所示
tcpdump port 32772 -w dump_32772
我得到的结果确实很奇怪。即使在 Google 搜索之后我也没有找到任何相关信息所以我怀疑我可能感染了木马。我运行了“rootkit hunter”下一节将详细介绍但什么也没找到。最后通过逐个关闭我发现是 Skype我一直都打开它。尽管这最终被证明是无害的但我很高兴有 tcpdump 向我指出了这一点。
阅读原始输出
正如您所见即使阅读 tcpdump 中所谓的“人类可读”输出也有点难以理解。请看以下示例这是我刚从转储中抓取的一个随机数据包
17:26:22.924493 IP www.linux.org.www test.linux.org.34365: P 2845:3739(894) ack 1624 win 9648 nop,nop,timestamp 326501459 24374272
我们有一个对www.linux.org 的网络服务器请求。在时间戳之后您会注意到主机名末尾有 .www表示端口 80。此信息将发送到请求主机 test.linux.org 的端口 34365。“P”代表 TCP“oush”功能。这意味着数据应立即发送。后面的数字 2845:3739(894) 中2845 标记第一个数据包的八位字节数。数字 3739 是数据包发送的最后一个字节数加 1。数字 894 是发送的数据包的长度。其中“ack 1624”是 TCP 术语“确认”——即数据包已被接受下一个预期的数据包编号是 1624。之后我们看到“win 9648”表示发送主机正在等待窗口大小为 9648 个八位字节的数据包。接下来是时间戳。
现在如果您认为这有点难以解释如果您使用 -x 选项它将以十六进制输出包含数据包内容。这里您需要一位埃及古物学家来解释输出
18:12:45.149977 IP www.linux.org.www test.linux.org.34536: . 1:1449(1448)
ack 487 win 6432 nop,nop,timestamp 329284215 271562440x0000: 4500 05dc 6a81 4000 4006 493b c0a8 0006 E...j...I;....0x0010: c0a8 0009 0050 86e8 8fa4 1d47 1c33 e3af .....P.....G.3..0x0020: 8010 1920 b4d9 0000 0101 080a 13a0 7a77 ..............zw0x0030: 019e 5f14 4854 5450 2f31 2e31 2032 3030 .._.HTTP/1.1.2000x0040: 204f 4b0d 0a44 6174 653a 2054 6875 2c20 .OK..Date:.Thu,.0x0050: 3135
我们可以从输出中得知这是一个 HTTP 请求。至于其余部分它不是人类可读的但我们放心因为我们知道这是一个合法的数据包。使用这种格式的另一个优点是即使我们无法准确解释这个数据包发生了什么我们也可以将其发送给可能能够解释的人。最终这是未经任何过滤就通过网络传输的原始数据。
