Tcpdump命令的使用与示例linux下的网络分析Word格式文档下载.docx
《Tcpdump命令的使用与示例linux下的网络分析Word格式文档下载.docx》由会员分享,可在线阅读,更多相关《Tcpdump命令的使用与示例linux下的网络分析Word格式文档下载.docx(9页珍藏版)》请在冰豆网上搜索。
#tarxvfztcpdump-3_4a5.tar.Z
rpm的包可以使用如下命令安装:
#rpm-ivhtcpdump-3_4a5.src.rpm
这样就把tcpdump的源代码解压到/usr/src/redhat/SOURCES目录下.
∙第二步做好编译源程序前的准备活动
在编译源程序之前,最好已经确定库文件libpcap已经安装完毕,这个库文件是tcpdump软件所需的库文件。
同样,你同时还要有一个标准的c语言编译器。
在linux下标准的c语言编译器一般是gcc。
在tcpdump的源程序目录中。
有一个文件是Makefile.in,configure命令就是从Makefile.in文件中自动产生Makefile文件。
在Makefile.in文件中,可以根据系统的配置来修改BINDEST和MANDEST这两个宏定义,缺省值是
BINDEST=@sbindir@
MANDEST=@mandir@
第一个宏值表明安装tcpdump的二进制文件的路径名,第二个表明tcpdump的man帮助页的路径名,你可以修改它们来满足系统的需求。
∙第三步编译源程序
使用源程序目录中的configure脚本,它从系统中读出各种所需的属性。
并且根据Makefile.in文件自动生成Makefile文件,以便编译使用.make命令则根据Makefile文件中的规则编译tcpdump的源程序。
使用makeinstall命令安装编译好的tcpdump的二进制文件。
总结一下就是:
#tarxvfztcpdump-3_4a5.tar.Z
#viMakefile.in
#./configure
#make
#makeinstall
3网络数据采集分析工具TcpDump的使用
普通情况下,直接启动tcpdump将监视第一个网络界面上所有流过的数据包。
#tcpdump
tcpdump:
listeningonfxp0
11:
58:
47.873028bios-ns>
bios-ns:
udp50
47.9743310:
10:
7b:
8:
3a:
56>
1:
80:
c2:
0:
0802.1dui/Clen=43
00000000008000001007cf0809000000
0e800000902b46950980870100140002
000f0000902b4695000800
48.3731340:
e8:
5b:
6d:
85>
Broadcastsape0ui/Clen=97
ffff00600004ffffffffffffffffffff
0452ffffffff0000e85b6d8540080002
06404d41535445525f57454200000000
000000
^C
tcpdump支持相当多的不同参数,如使用-i参数指定tcpdump监听的网络界面,这在计算机具有多个网络界面时非常有用,使用-c参数指定要监听的数据包数量,使用-w参数指定将监听到的数据包写入文件中保存,等等。
然而更复杂的tcpdump参数是用于过滤目的,这是因为网络中流量很大,如果不加分辨将所有的数据包都截留下来,数据量太大,反而不容易发现需要的数据包。
使用这些参数定义的过滤规则可以截留特定的数据包,以缩小目标,才能更好的分析网络中存在的问题。
tcpdump使用参数指定要监视数据包的类型、地址、端口等,根据具体的网络问题,充分利用这些过滤规则就能达到迅速定位故障的目的。
请使用mantcpdump查看这些过滤规则的具体用法。
显然为了安全起见,不用作网络管理用途的计算机上不应该运行这一类的网络分析软件,为了屏蔽它们,可以屏蔽内核中的bpfilter伪设备。
一般情况下网络硬件和TCP/IP堆栈不支持接收或发送与本计算机无关的数据包,为了接收这些数据包,就必须使用网卡的混杂模式,并绕过标准的TCP/IP堆栈才行。
在FreeBSD下,这就需要内核支持伪设备bpfilter。
因此,在内核中取消bpfilter支持,就能屏蔽tcpdump之类的网络分析工具。
并且当网卡被设置为混杂模式时,系统会在控制台和日志文件中留下记录,提醒管理员留意这台系统是否被用作攻击同网络的其他计算机的跳板。
May1516:
27:
20host1/kernel:
fxp0:
promiscuousmodeenabled
虽然网络分析工具能将网络中传送的数据记录下来,但是网络中的数据流量相当大,如何对这些数据进行分析、分类统计、发现并报告错误却是更关键的问题。
网络中的数据包属于不同的协议,而不同协议数据包的格式也不同。
因此对捕获的数据进行解码,将包中的信息尽可能的展示出来,对于协议分析工具来讲更为重要。
昂贵的商业分析工具的优势就在于它们能支持很多种类的应用层协议,而不仅仅只支持tcp、udp等低层协议。
从上面tcpdump的输出可以看出,tcpdump对截获的数据并没有进行彻底解码,数据包内的大部分内容是使用十六进制的形式直接打印输出的。
显然这不利于分析网络故障,通常的解决办法是先使用带-w参数的tcpdump截获数据并保存到文件中,然后再使用其他程序进行解码分析。
当然也应该定义过滤规则,以避免捕获的数据包填满整个硬盘。
FreeBSD提供的一个有效的解码程序为tcpshow,它可以通过PackagesCollection来安装。
#pkg_add/cdrom/packages/security/tcpshow*
#tcpdump-c3-wtcpdump.out
#tcpshow<
tcpdump.out
---------------------------------------------------------------------------
Packet1
TIME:
12:
00:
59.984829
LINK:
7B:
08:
3A:
56->
01:
C2:
00type=0026
<
***Nodecodesupportforencapsulatedprotocol***>
Packet2
01:
01.074513(1.089684)
A0:
C9:
AB:
3C:
DF->
FF:
FF:
FFtype=ARP
ARP:
htype=Ethernetptype=IPhlen=6plen=4op=request
sender-MAC-addr=00:
DFsender-IP-address=202.102.245.3
target-MAC-addr=00:
00target-IP-address=202.102.245.3
Packet3
01.985023(0.910510)
tcpshow能以不同方式对数据包进行解码,并以不同的方式显示解码数据,使用者可以根据其手册来选择最合适的参数对截获的数据包进行分析。
从上面的例子中可以看出,tcpshow支持的协议也并不丰富,对于它不支持的协议就无法进行解码。
除了tcpdump之外,FreeBSD的PackagesCollecion中还提供了Ethereal和Sniffit两个网络分析工具,以及其他一些基于网络分析方式的安全工具。
其中Ethereal运行在XWindow下,具有不错的图形界面,Sniffit使用字符窗口形式,同样也易于操作。
然而由于tcpdump对过滤规则的支持能力更强大,因此系统管理员仍然更喜欢使用它。
对于有经验的网络管理员,使用这些网络分析工具不但能用来了解网络到底是如何运行的,故障出现在何处,还能进行有效的统计工作,如那种协议产生的通信量占主要地位,那个主机最繁忙,网络瓶颈位于何处等等问题。
因此网络分析工具是用于网络管理的宝贵系统工具。
为了防止数据被滥用的网络分析工具截获,关键还是要在网络的物理结构上解决。
常用的方法是使用交换机或网桥将信任网络和不信任网络分隔开,可以防止外部网段窃听内部数据传输,但仍然不能解决内部网络与外部网络相互通信时的数据安全问题。
如果没有足够的经费将网络上的共享集线器升级为以太网交换机,可以使用FreeBSD系统执行网桥任务。
这需要使用optionBRIDGE编译选项重新定制内核,此后使用bridge命令启动网桥功能。
tcpdump采用命令行方式,它的命令格式为:
tcpdump[-adeflnNOpqStvx][-c数量][-F文件名]
[-i网络接口][-r文件名][-ssnaplen]
[-T类型][-w文件名][表达式]
(2).tcpdump的表达式介绍
表达式是一个正则表达式,tcpdump利用它作为过滤报文的条件,如果一个报文满足表达式的条件,则这个报文将会被捕获。
如果没有给出任何条件,则网络上所有的信息包将会被截获。
在表达式中一般如下几种类型的关键字。
第一种是关于类型的关键字,主要包括host,net,port,例如host210.27.48.2,指明210.27.48.2是一台主机,net202.0.0.0指明202.0.0.0是一个网络地址,port23指明端口号是23。
如果没有指定类型,缺省的类型是host.
第二种是确定传输方向的关键字,主要包括src,dst,dstorsrc,dstandsrc,这些关键字指明了传输的方向。
举例说明,src210.27.48.2,指明ip包中源地址是210.27.48.2,dstnet202.0.0.0指明目的网络地址是202.0.0.0。
如果没有指明方向关键字,则缺省是srcordst关键字。
第三种是协议的关键字,主要包括fddi,ip,arp,rarp,tcp,udp等类型。
Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定的网络协议,实际上它是"
ether"
的别名,fddi和ether具有类似的源地址和目的地址,所以可以将fddi协议包当作ether的包进行处理和分析。
其他的几个关键字就是指明了监听的包的协议内容。
如果没有指定任何协议,则tcpdump将会监听所有协议的信息包。
除了这三种类型的关键字之外,其他重要的关键字如下:
gateway,broadcast,less,greater,还有三种逻辑运算,取非运算是'
not'
'
!
与运算是'
and'
'
&
'
;
或运算是'
or'
'
││'
;
这些关键字可以组合起来构成强大的组合条件来满足人们的需要,下面举几个例子来说明。
A想要截获所有210.27.48.1的主机收到的和发出的所有的数据包:
#tcpdumphost210.27.48.1
B想要截获主机210.27.48.1和主机210.27.48.2或210.27.48.3的通信,使用命令:
(在命令行中适用 括号时,一定要
#tcpdumphost210.27.48.1and\(210.27.48.2or210.27.48.3\)
C如果想要获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包,使用命令:
#tcpdumpiphost210.27.48.1and!
210.27.48.2
D如果想要获取主机210.27.48.1接收或发出的telnet包,使用如下命令:
#tcpdumptcpport23host210.27.48.1
(3).tcpdump的输出结果介绍
下面我们介绍几种典型的tcpdump命令的输出信息
A,数据链路层头信息
使用命令
#tcpdump--ehostice
ice是一台装有linux的主机,她的MAC地址是0:
90:
27:
58:
AF:
1A
H219是一台装有SOLARIC的SUN工作站,它的MAC地址是8:
0:
20:
79:
5B:
46;
上一条命令的输出结果如下所示:
21:
50:
12.847509eth0<
8:
20:
79:
460:
90:
af:
1aip60:
h219.33357>
ice.telne
t0:
0(0)ack22535win8760(DF)
分析:
21:
50:
12是显示的时间,847509是ID号,eth0<
表示从网络接口eth0接受该数据包,eth0>
表示从网络接口设备发送数据包,8:
46是主机H219的MAC地址,它表明是从源地址H219发来的数据包.0:
1a是主机ICE的MAC地址,表示该数据包的目的地址是ICE.ip是表明该数据包是IP数据包,60是数据包的长度,h219.33357>
ice.telnet表明该数据包是从主机H219的33357端口发往主机ICE的TELNET(23)端口.ack22535表明对序列号是222535的包进行响应.win8760表明发送窗口的大小是8760.
B,ARP包的TCPDUMP输出信息
#tcpdumparp
得到的输出结果是:
22:
32:
42.802509eth0>
arpwho-hasroutetellice(0:
1a)
42.802902eth0<
arpreplyrouteis-at0:
66(0:
分析:
22:
42是时间戳,802509是ID号,eth0>
表明从主机发出该数据包,arp表明是ARP请求包,who-hasroutetellice表明是主机ICE请求主机ROUTE的MAC地址。
0:
1a是主机ICE的MAC地址。
C,TCP包的输出信息
用TCPDUMP捕获的TCP包的一般输出信息是:
src>
dst:
flagsdata-seqnoackwindowurgentoptions
表明从源地址到目的地址,flags是TCP包中的标志信息,S是SYN标志,F(FIN),P(PUSH),R(RST)"
."
(没有标记);
data-seqno是数据包中的数据的顺序号,ack是下次期望的顺序号,window是接收缓存的窗口大小,urgent表明数据包中是否有紧急指针.Options是选项.
D,UDP包的输出信息
用TCPDUMP捕获的UDP包的一般输出信息是:
route.port1>
ice.port2:
udplenth
UDP十分简单,上面的输出行表明从主机ROUTE的port1端口发出的一个UDP数据包到主机ICE的port2端口,类型是UDP,包的长度是lenth
(1).tcpdump的选项介绍
-a 将网络地址和广播地址转变成名字;
-d 将匹配信息包的代码以人们能够理解的汇编格式给出;
-dd 将匹配信息包的代码以c语言程序段的格式给出;
-ddd 将匹配信息包的代码以十进制的形式给出;
-e 在输出行打印出数据链路层的头部信息;
-f 将外部的Internet地址以数字的形式打印出来;
-l 使标准输出变为缓冲行形式;
-n 不把网络地址转换成名字;
-t 在输出的每一行不打印时间戳;
-v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
-vv 输出详细的报文信息;
-c 在收到指定的包的数目后,tcpdump就会停止;
-F 从指定的文件中读取表达式,忽略其它的表达式;
-i 指定监听的网络接口;
-r 从指定的文件中读取包(这些包一般通过-w选项产生);
-w 直接将包写入文件中,并不分析和打印出来;
-T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc(远程过程调用)和snmp(简单网络管理协议;
)
升级会员 