虽然像Snort这样的工具可以很好地筛选通过我们网络的所有内容,但有时还是有必要查看原始数据。我们最好的工具是“tcpdump”。使用tcpdump的最基本方法是简单地发出以下命令:tcpdump您可以使用-v选项获取更多详细信息,使用-vv选项获取更多信息。有用的选项假定您已登录到要管理的远程计算机。如果你在没有任何选项的情况下运行“tcpdump”,输出将被来自你的SSH连接的数据包淹没。为了避免这种情况,只需从输出中删除端口22:tcpdumpnotport22您可以使用许多不同的端口来执行此操作:tcpdumpnotport143andnotport25andnotport22如果您想做相反的事情,即只监视某个端口(这对于调试网络应用程序非常有用),您可以执行以下操作:tcpdumpport143您还可以从网络上的特定主机获取数据:tcpdumphosthal9000如果您的机器有多个网络接口,您还可以指定要监听哪个网络接口:tcpdump-ieth1您还可以指定协议:tcpdumpudp您可以在/etc/protocols中找到协议列表。保存输出供以后使用在某些情况下,您可能希望将输出重定向到一个文件,以便以后可以详细研究它或使用另一个程序来解析输出。在以下示例中,您仍然可以在将输出保存到文件的同时观察输出:tcpdump-l|teetcpdump_`date+%Y%m%e-%k.%M`在上面的示例中,我们可以使用日期和时间来标识每个转储。在处理一天中特定时间出现的问题时,这可能会派上用场。tcpdump还可以选择将其输出转储为二进制格式以供以后阅读。要创建二进制文件:tcpdump-wtcpdump_raw_`date+%Y%m%e-%k.%M`之后,您可以告诉tcpdump使用tcpdump-rtcpdump_raw_YYYMMDD-H.M读取文件您也可以使用ethereal程序打开raw转储它并解释它。tcpdump为我们提供了有关进出网络的所有数据包的信息。将Ethereal与tcpdumpEthereal结合使用Ethereal是一种也可用于捕获网络数据包的工具。安装后,您可以打开您制作的原始转储文件。很容易看出发生了什么。您可以看到源IP和目标IP以及它是什么类型的数据包。这很容易,然后您可以解决您可能遇到的网络问题并分析可疑行为。补充一点轶事,当我在写这节课和解释我自己的转储时,我在个人工作站上看到了一些奇怪的活动。我几乎每隔固定的时间就在世界上不同IP的机器上查询32772端口。我为端口32772运行了一个特定的转储,如下所示:tcpdumpport32772-wdump_32772读取原始输出如您所见,即使从tcpdump读取所谓的“人类可读”输出也可能有点神秘。请看下面的示例,我只是从转储中随机选择了一个数据包:17:26:22.924493IPwww.linux.org.www>test.linux.org.34365:P2845:3739(894)ack1624win9648
