linux网络析工具.docVIP

随着Internet的迅猛发展，网络已无处不在，但是，它可能随时受到来自各方的攻击。了解哪些人正在访问资源、哪些人正在享受服务、哪些人正在发送大量垃圾等，对网络管理员来说是非常必要的。利用Linux中较常见的网络分析工具Tcpdump、Nmap和Netstat，可以使网络管理工作更加轻松。 Tcpdump主要是截获通过本机网络接口的数据，用以分析。Nmap是强大的端口扫描工具，可扫描任何主机或网络。Netstat可用来检查本机当前提供的服务及状态。这三者各有所长，结合起来，就可以比较透彻地了解网络状况。 TcpdumpTcpdump能够截获当前所有通过本机网卡的数据包。它拥有灵活的过滤机制，可以确保得到想要的数据。由于Tcpdump只能收集通过本机的数据，因此它的应用受到了一些限制，大多应用在网关或服务器自我检测上。例如，在作为网关的主机上，想知道本地网络中IP地址为的主机现在与外界通信的情况，就可以使用如下命令： tcpdump -i eth0 src host 在默认情况下，Tcpdump会将数据输出到屏幕。如果数据量太大，可能根本看不清具体的内容，这时我们可以把它重定向到文件再进行分析。如果眼神不错，就可以清楚地了解这位仁兄刚才的一举一动： 访问了新浪网主页20:05:32.473388 .1872 .http:S 1372301404:1372301404(0) win 64240 mss 1460,nop,nop,sackOK (DF)……进行了netbios广播进行名字查询20:05:33.823388 .netbios-dgm 55.netbios-dgm: NBT UDP PACKET(138)……到新华网POP3服务器收信20:05:41.953388 .1878 .pop3: S1374956462:1374956462(0) win 64240 mss 1460,nop,nop,sackOK (DF)……到深圳963收信20:05:45.633388 .1881 .pop3:P 34:40(6) ack 146 win 64095 (DF)……例如，上面这条信息表明了在20:05:45的时候，通过1881源端口连接到963电子邮局的POP3端口。对于普通的网络分析，这些信息已经足够了。这就是Tcpdump的基本功能，其它高级功能都是在这一基础上的细化和增强。 例如，我只想知道当前正在访问哪些Web站点，可以用下面这条命令： tcpdump -i eth0 src host and dst port 80该命令的目的是截获所有由eth0进入、源地址(src)为的主机(host)，并且(and)目标(dst)端口(port)为80的数据包。得到的数据如下： 20:05:32.473388 .1872 .http: S 1372301404:1372301404(0) win 64240 mss 1460,nop,nop,sackOK (DF)……20:06:33.42344 .1873 .http: S 1374301404:1374301404(0) win 64245 mss 1460,nop,nop,sackOK (DF)……20:07:31.343248 .1874 .http: S 1377301404:1377301404(0) win 64241 mss 1460,nop,nop,sackOK (DF)……显然，通过and或者not这些逻辑组合，就可以得到特定的数据。Tcpdump还可以监听不同的数据类型（如TCP、UDP），以用不同的网络范围（如Host主机、Net网络），甚至用Ether直接指定物理地址。 用Tcpdump在网络中获取信息如此清晰，是不是有一种一览无余的感觉。正是因为Tcpdump功能过于强大，连个人隐私和敏感数据的保护都成了问题，所以通常只有root用户能够使用这一工具。 NmapNmap设计的初衷是系统管理员可以方便地了解自己的网络运行情况，例如有多少台主机在运行、分别提供什么样的服务。因此，它扫描的速度非常快，尤其适合大型网络。在对网络进行扫描时，Nmap主要利用ICMP echo探测主机是否开启。凡是了解TCP/IP协议的都知道，对于一个TCP端口，无论是否使用防火墙进行过滤，该主机都会对该端口发出的请求做出一定响应。所以即使配置了严格的防火墙规则，nmap照样可以找到这些主机。例如，在一台IP地址为的Linux主机上执行下列命令： echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_