虽然像Snort这样的工具在筛选通过我们网络的所有内容方面做得非常出色,但有时还是有必要查看原始数据。我们最好的工具是“tcpdump”。使用tcpdump的最基本方法是简单地发出以下命令:tcpdump您可以使用-v选项获取更多详细信息,使用-vv选项获取更多信息。有用的选项假定您已登录到要管理的远程计算机。如果你在没有任何选项的情况下运行“tcpdump”,输出将被来自你的SSH连接的数据包淹没。为了避免这种情况,只需从输出中删除端口22:tcpdumpnotport22特定端口(这对调试网络应用程序很有用),你可以这样做:tcpdumpport143你也可以从网络上的特定主机获取数据:tcpdumphosthal9000如果你的机器有多个网络接口,你也可以指定网络接口监听:tcpdump-ieth1您还可以指定协议:tcpdumpudp您可以在/etc/protocols中找到协议列表。保存输出供以后使用在某些情况下,您可能希望将输出重定向到一个文件,以便以后可以详细研究它或使用另一个程序来解析输出。在以下示例中,您仍然可以在将输出保存到文件的同时观察输出:tcpdump-l|teetcpdump_`date+%Y%m%e-%k.%M`在上面的示例中,我们可以使用日期和时间来标识每个转储。在处理一天中特定时间出现的问题时,这可能会派上用场。tcpdump还可以选择将其输出转储为二进制格式以供以后阅读。要创建二进制文件:tcpdump-wtcpdump_raw_`date+%Y%m%e-%k.%M`稍后,您可以使用tcpdump-rtcpdump_raw_YYYMMDD-H.M告诉tcpdump读取文件。您也可以使用ethereal程序打开原始转储并解释它。tcpdump为我们提供了有关进出网络的所有数据包的信息。将Ethereal与tcpdumpEthereal结合使用Ethereal是一种也可用于捕获网络数据包的工具。安装后,您可以打开您制作的原始转储文件。很容易看出发生了什么。您可以看到源IP和目标IP以及它是什么类型的数据包。这很容易,然后您可以解决您可能遇到的网络问题并分析可疑行为。补充一点轶事,当我在写这节课和解释我自己的转储时,我在个人工作站上看到了一些奇怪的活动。我几乎每隔固定的时间就在世界上不同IP的机器上查询32772端口。我为端口32772运行了一个特定的转储,如下所示:tcpdumpport32772-wdump_32772读取原始输出如您所见,即使从tcpdump读取所谓的“人类可读”输出也可能有点神秘。请看下面的示例,我只是从转储中随机选择了一个数据包:17:26:22.924493IPwww.linux.org.www>test.linux.org.34365:P2845:3739(894)ack1624win9648
