使用“tcpdump”查看原始数据包虽然像Snort这样的工具可以很好地筛选通过我们网络的所有内容,但有时还是有必要查看原始数据。为此,我们最好的工具是“tcpdump”。使用tcpdump的最基本方法是简单地发出命令:您可以使用-v选项获取更详细的信息,使用-vv选项获取更多信息。有用的选项假定您已登录到您管理的远程计算机。通常,您将使用SSH。如果你在没有任何选项的情况下运行“tcpdump”,输出将被来自你的SSH连接的数据包淹没。为避免这种情况,只需从输出中删除端口22:您可以使用许多不同的端口来执行此操作:代码:tcpdumpnotport143andnotport25andnotport22如果您想执行相反的操作,即仅监视某个端口-对调试网络很有用该应用程序很好-你可以执行以下操作:您还可以从网络上的特定主机获取数据:如果您的机器有多个网络接口,您还可以指定要收听哪个:您还可以指定协议:您会找到一个协议列表在/etc/protocols.保存输出以备后用在某些情况下,您可能希望将输出重定向到一个文件,以便以后可以详细研究它或使用另一个程序来解析输出。在下面的示例中,您仍然可以在将输出保存到文件时查看输出:代码:tcpdump-l|teetcpdump_`date+%Y%m%e-%k.%M`在上面的示例中,我们可以使用日期和时间来标识每个转储。在处理一天中特定时间出现的问题时,这会派上用场。tcpdump还可以选择将其输出转储为二进制格式以供以后阅读。创建二进制文件:代码:tcpdump-wtcpdump_raw_`date+%Y%m%e-%k.%M`之后可以使用tcpdump读取文件代码:tcpdump-rtcpdump_raw_YYYMMDD-H.M也可以使用ethereal程序来打开原始存储和解释。我们将在下一节中详细讨论ethereal。要查找的内容tcpdump为我们提供了有关进出网络的所有数据包的信息。但这一切意味着什么?将Ethereal与tcpdump结合使用Ethereal是一种也可用于捕获网络数据包的工具。安装后,您可以打开您制作的原始转储文件。它看起来像这样:这使得查看正在发生的事情变得相当容易。您可以看到源IP和目标IP是什么以及它是什么类型的数据包。然后很容易解决您可能遇到的网络问题并分析可疑行为。顺便说一句,当我编写这个课程并解释我自己的转储时,我在我的个人工作站上看到了一些奇怪的活动。几乎每隔一段时间,我就会在世界上不同IP的机器上查询32772端口。我为端口32772运行了一个特定的转储,如下所示:代码:tcpdumpport32772-wdump_32772我得到的看起来确实很奇怪。即使在谷歌搜索之后,我也找不到任何相关信息,所以我怀疑我可能中了木马。我运行了“rootkithunter”(下一节将详细介绍),但结果什么也没有。最后我一个个关机,原来是一直开着的Skype。虽然这被证明是无害的,但我很高兴tcpdump向我指出了这一点。读取原始输出如您所见,即使从tcpdump读取所谓的“人类可读”输出也可能有点神秘。查看下面的示例,我刚从转储中捞出一个随机数据包:代码:17:26:22.924493IPwww.linux.org.www>test.linux.org.34365:P2845:3739(894)ack1624win9648我们有什么是对www.linux.org的Web服务器请求。在时间戳之后,您会注意到主机名末尾的.www(表示端口80)。这将被发送到请求主机test.linux.org的端口34365。“P”代表TCP“oush”能力。这意味着应该立即发送数据。在后面的数字中,2845:3739(894),2845表示第一个数据包的字节数。数字3739是数据包中发送的最后一个字节的数字加一。数字894是发送的数据包的长度。它说:“ack1624”部分是“确认”的TCP术语——即数据包已被接受,下一个预期数据包编号为1624。之后,我们看到“win9648”发送主机等待一个窗口大小为9648个八位字节的数据包。随后是时间戳。现在,如果您认为这有点难以解释,如果您使用-x选项,它将在十六进制输出中包含数据包内容。这里需要埃及古物学家来解释输出:代码:18:12:45.149977IPwww.linux.org.www>test.linux.org.34536:.1:1449(1448)ack487win6432
