亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

　　TcpDump可以將網(wǎng)絡(luò)中傳送的數(shù)據(jù)包的“頭”完全截獲下來提供分析。它支持針對網(wǎng)絡(luò)層、協(xié)議、主機、網(wǎng)絡(luò)或端口的過濾，并提供and、or、not等邏輯語句來幫助你去掉無用的信息。tcpdump就是一種免費的網(wǎng)絡(luò)分析工具，尤其其提供了源代碼，公開了接口，因此具備很強的可擴展性，對于網(wǎng)絡(luò)維護和入侵者都是非常有用的工具。tcpdump存在于基本的FreeBSD系統(tǒng)中，由于它需要將網(wǎng)絡(luò)界面設(shè)置為混雜模式，普通用戶不能正常執(zhí)行，但具備root權(quán)限的用戶可以直接執(zhí)行它來獲取網(wǎng)絡(luò)上的信息。因此系統(tǒng)中存在網(wǎng)絡(luò)分析工具主要不是對本機安全的威脅，而是對網(wǎng)絡(luò)上的其他計算機的安全存在威脅。

　　我們用盡量簡單的話來定義tcpdump，就是：dump the traffice on anetwork.，根據(jù)使用者的定義對網(wǎng)絡(luò)上的數(shù)據(jù)包進行截獲的包分析工具。作為互聯(lián)網(wǎng)上經(jīng)典的的系統(tǒng)管理員必備工具，tcpdump以其強大的功能，靈活的截取策略，成為每個高級的系統(tǒng)管理員分析網(wǎng)絡(luò)，排查問題等所必備的東西之一。tcpdump提供了源代碼，公開了接口，因此具備很強的可擴展性，對于網(wǎng)絡(luò)維護和入侵者都是非常有用的工具。

　　TcpDump的使用

　　普通情況下，直接啟動tcpdump將監(jiān)視第一個網(wǎng)絡(luò)界面上所有流過的數(shù)據(jù)包。

　　tcpdump支持相當(dāng)多的不同參數(shù)，如使用-i參數(shù)指定tcpdump監(jiān)聽的網(wǎng)絡(luò)界面，這在計算機具有多個網(wǎng)絡(luò)界面時非常有用，使用-c參數(shù)指定要監(jiān)聽的數(shù)據(jù)包數(shù)量，使用-w參數(shù)指定將監(jiān)聽到的數(shù)據(jù)包寫入文件中保存，等等。

　　然而更復(fù)雜的tcpdump參數(shù)是用于過濾目的，這是因為網(wǎng)絡(luò)中流量很大，如果不加分辨將所有的數(shù)據(jù)包都截留下來，數(shù)據(jù)量太大，反而不容易發(fā)現(xiàn)需要的數(shù)據(jù)包。使用這些參數(shù)定義的過濾規(guī)則可以截留特定的數(shù)據(jù)包，以縮小目標(biāo)，才能更好的分析網(wǎng)絡(luò)中存在的問題。tcpdump使用參數(shù)指定要監(jiān)視數(shù)據(jù)包的類型、地址、端口等，根據(jù)具體的網(wǎng)絡(luò)問題，充分利用這些過濾規(guī)則就能達(dá)到迅速定位故障的目的。請使用man tcpdump查看這些過濾規(guī)則的具體用法。

　　如何屏蔽網(wǎng)絡(luò)分析軟件：

　　顯然為了安全起見，不用作網(wǎng)絡(luò)管理用途的計算機上不應(yīng)該運行這一類的網(wǎng)絡(luò)分析軟件，為了屏蔽它們，可以屏蔽內(nèi)核中的bpfilter偽設(shè)備。一般情況下網(wǎng)絡(luò)硬件和TCP/IP堆棧不支持接收或發(fā)送與本計算機無關(guān)的數(shù)據(jù)包，為了接收這些數(shù)據(jù)包，就必須使用網(wǎng)卡的混雜模式，并繞過標(biāo)準(zhǔn)的TCP/IP堆棧才行。在FreeBSD下，這就需要內(nèi)核支持偽設(shè)備bpfilter。因此，在內(nèi)核中取消bpfilter支持，就能屏蔽tcpdump之類的網(wǎng)絡(luò)分析工具。

　　有操作就會有痕跡：

　　并且當(dāng)網(wǎng)卡被設(shè)置為混雜模式時，系統(tǒng)會在控制臺和日志文件中留下記錄，提醒管理員留意這臺系統(tǒng)是否被用作攻擊同網(wǎng)絡(luò)的其他計算機的跳板。

　　May 15 16：27：20 host1 /kernel： fxp0： promiscuous mode enabled

　　雖然網(wǎng)絡(luò)分析工具能將網(wǎng)絡(luò)中傳送的數(shù)據(jù)記錄下來，但是網(wǎng)絡(luò)中的數(shù)據(jù)流量相當(dāng)大，如何對這些數(shù)據(jù)進行分析、分類統(tǒng)計、發(fā)現(xiàn)并報告錯誤卻是更關(guān)鍵的問題。網(wǎng)絡(luò)中的數(shù)據(jù)包屬于不同的協(xié)議，而不同協(xié)議數(shù)據(jù)包的格式也不同。因此對捕獲的數(shù)據(jù)進行解碼，將包中的信息盡可能的展示出來，對于協(xié)議分析工具來講更為重要。昂貴的商業(yè)分析工具的優(yōu)勢就在于它們能支持很多種類的應(yīng)用層協(xié)議，而不僅僅只支持tcp、udp等低層協(xié)議。

　　從上面tcpdump的輸出可以看出，tcpdump對截獲的數(shù)據(jù)并沒有進行徹底解碼，數(shù)據(jù)包內(nèi)的大部分內(nèi)容是使用十六進制的形式直接打印輸出的。顯然這不利于分析網(wǎng)絡(luò)故障，通常的解決辦法是先使用帶-w參數(shù)的tcpdump 截獲數(shù)據(jù)并保存到文件中，然后再使用其他程序進行解碼分析。當(dāng)然也應(yīng)該定義過濾規(guī)則，以避免捕獲的數(shù)據(jù)包填滿整個硬盤。

　　除了tcpdump之外，F(xiàn)reeBSD的PackagesCollecion中還提供了Ethereal和Sniffit兩個網(wǎng)絡(luò)分析工具，以及其他一些基于網(wǎng)絡(luò)分析方式的安全工具。其中Ethereal運行在X Window 下，具有不錯的圖形界面，Sniffit使用字符窗口形式，同樣也易于操作。然而由于tcpdump對過濾規(guī)則的支持能力更強大，因此系統(tǒng)管理員仍然更喜歡使用它。對于有經(jīng)驗的網(wǎng)絡(luò)管理員，使用這些網(wǎng)絡(luò)分析工具不但能用來了解網(wǎng)絡(luò)到底是如何運行的，故障出現(xiàn)在何處，還能進行有效的統(tǒng)計工作，如那種協(xié)議產(chǎn)生的通信量占主要地位，那個主機最繁忙，網(wǎng)絡(luò)瓶頸位于何處等等問題。因此網(wǎng)絡(luò)分析工具是用于網(wǎng)絡(luò)管理的寶貴系統(tǒng)工具。為了防止數(shù)據(jù)被濫用的網(wǎng)絡(luò)分析工具截獲，關(guān)鍵還是要在網(wǎng)絡(luò)的物理結(jié)構(gòu)上解決。常用的方法是使用交換機或網(wǎng)橋?qū)⑿湃尉W(wǎng)絡(luò)和不信任網(wǎng)絡(luò)分隔開，可以防止外部網(wǎng)段竊聽內(nèi)部數(shù)據(jù)傳輸，但仍然不能解決內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)相互通信時的數(shù)據(jù)安全問題。如果沒有足夠的經(jīng)費將網(wǎng)絡(luò)上的共享集線器升級為以太網(wǎng)交換機，可以使用FreeBSD系統(tǒng)執(zhí)行網(wǎng)橋任務(wù)。這需要使用option BRIDGE編譯選項重新定制內(nèi)核，此后使用bridge命令啟動網(wǎng)橋功能。（項目）

   文章來源：http://9399369.blog.51cto.com/9389369/1597668