信息安全工程与测评实践报告八.docx

信息安全工程与测评实践报告（八）实验名称Tcpdump的使用姓 名陈天宝班成日期2015年5月29日实验目的：TcpDump是Linux中强大的网络数据采集分析工具之一。具体作用是根据使用者的定义对网络上的数据包进行分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。实验设备：kali linux的Tcpdump工具实验过程：默认启动：tcpdump普通情况下，直接启动tcpdump将监视第一个网络接口上所有流过的数据包。监视指定网络接口的数据包：tcpdump -i eth1如果不指定网卡，默认tcpdump只会监视第一个网络接口，一般是eth0，下面的例子都没有指定网络接口。监视指定主机的数据包：打印所有进入或离开sundown的数据包.tcpdump host sundown也可以指定ip,例如截获所有 的主机收到的和发出的所有的数据包tcpdump host 打印helios与 hot 或者与 ace 之间通信的数据包tcpdump host helios and \( hot or ace \)截获主机 和主机 或的通信tcpdump host and \ ( or \) 打印ace与任何其他主机之间通信的IP 数据包, 但不包括与helios之间的数据包：tcpdumpip host ace and not helios如果想要获取主机除了和主机之外所有主机通信的ip包，使用命令：tcpdumpip host and ! 截获主机hostname发送的所有数据：tcpdump -i eth0 src host hostname监视所有送到主机hostname的数据包：tcpdump -i eth0 dst host hostname监视指定主机和端口的数据包：如果想要获取主机接收或发出的telnet包，使用如下命令tcpdumptcp port 23 and host 对本机的udp 123 端口进行监视 123 为ntp的服务端口tcpdumpudp port 123监视指定网络的数据包：打印本地主机与Berkeley网络上的主机之间的所有通信数据包tcpdump net ucb-ether打印所有通过网关snup的ftp数据包tcpdump gateway snup and打印所有源地址或目标地址是本地主机的IP数据包tcpdumpip and not net localnet实验心得：Tcpdump是一个用于截取网络分组，并输出分组内容的工具。Tcpdump凭借强大的功能和灵活的截取策略，使其成为类UNIX系统下用于网络分析和问题排查的首选工具。Tcpdump提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。Tcpdump存在于基本的Linux系统中，由于它需要将网络界面设置为混杂模式，普通用户不能正常执行，但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁，而是对网络上的其他计算机的安全存在威胁。