利用TCPDump检测网络数据.pdfVIP

实战指南 服 务 N e t w o r k C o m p u t e r S e c u r i t y 利用TCPDump检测网络数据 北京印刷学院 彭文波 摘 要 对于网络管理人员来说 使用嗅探器可以随时掌握网络的实际情况 在网络性能急剧下降的时候 可以通 过sniffer工具来分析原因 找出造成网络阻塞的来源 对于网络程序员来说 可以通过sniffer工具来调试程序 找出发 生问题的原因 关键词 TCPDump网络数据 sniffer工具 日志分析 用过Windows平台上的sniffer工具的朋友都知道 在共享 虽小 五脏俱全 在此已经包含了许多的重要信息 了解这 式的局域网中 采用sniffer工具简直可以对网络中的所有流量 些信息 对于我们了解网络入侵的 蛛丝马迹 具有十分重要 一览无余 因此 对于网络管理人员来说 使用嗅探器可以随 的意义 下面 我们取一个比较典型的日志实例进行详细而深 时掌握网络的实际情况 在网络性能急剧下降的时候 可以通 入的分析 这是TCPDump所监视的一个流过的数据包 以下 过sniffer工具来分析原因 找出造成网络阻塞的来源 对于网 所代表的意思是 时间 接口 数据流方向 源地址 源端 络程序员来说 可以通过sniffer工具来调试程序 找出发生问 口 目标地址 目标端口 标志集 序列号 数据包中的字 题的原因 站在另外一个角度 对于需要了解某个网络信息的 节 窗口大小 选项 不支持数据包分解 日志记录如下 攻击者来说 嗅探器还可能成为他的一个攻击法宝 1153 一 TCPDump与日志分析 1460,nop,nop,sackOK(DF) 第一个是115349.869667其中 115349是发现 数据包的时间 .869667是ID号 它的作用是为了更加准确的 对于Linux的网络安全爱好者来说 TCPDump这是一个 记录数据 这样可以将时间记录很精确的表示出来 如果将来 免费的网络分析工具 它还提供了源代码并公开了接口 具备 需要查证 只需提供查找关键字 就可以很容易将某个时间段 很强的可扩展性 在Linux下TCPDump的安装十分简单 通过 的事件确定下来 rpm命令可以直接安装 rpm包是将软件编译后打包成二进制 第二个是eth0这是一个被监控的接口 eth0 表 的格式 不需要修改任何东西 安装时 以超级用户登录 参 示从网络接口eth0接受该数据包 eth0 表示从网络接口 考命令如下 #rpm -ivh TCPDump.rpm这样 TCPDump 设备发送数据包 在Linux操作系统中 一般为eth开头 如果 就可以顺利地安装到Linux系统中 不过 现在较高版本的 在其他的操作系统 名称可能会产生一定变化 如Solaris中一 Linux操作系统都自带了这个工具 普通情况下 不带参数执 般为hme开头 即 #TCPDump截获