+设为首页 +添加到收藏夹
解析linux网络分析的三大利器 [转贴]
【程序编程相关:内核模块编程的第一次尝试】 【推荐阅读:这些操作系统哪些是你见过的(五)?】 【扩展信息:解决了输入法默认与快速切换问题!】随着internet的迅猛发展,网络已无处不在,但是,它可能随时受到来自各方的攻击.了解哪些人正在访问资源.哪些人正在享受服务.哪些人正在发送大量垃圾等,对网络管理员来说是非常必要的.利用linux中较常见的网络分析工具tcpdump.nmap与netstat,可以使网络管理工作更加轻松.
tcpdump主要是截获通过本机网络接口的数据,用以分析.nmap是强大的端口扫描工具,可扫描任何主机或网络.netstat可用来检查本机当前提供的服务及状态.这三者各有所长,结合起来,就可以比较透彻地了解网络状况. tcpdump tcpdump能够截获当前所有通过本机网卡的数据包.它拥有灵活的过滤机制,可以确保得到想要的数据.由于tcpdump只能收集通过本机的数据,因此它的应用受到了一些限制,大多应用在网关或服务器自我检测上.例如,在作为网关的主机上,想知道本地网络中ip地址为192.168.0.5的主机现在与外界通信的情况,就可以使用如下命令: tcpdump -i eth0 src host 192.168.0.5 在默认情况下,tcpdump会将数据输出到屏幕.如果数据量太大,可能根本看不清具体的内容,这时我们可以把它重定向到文件再进行分析.如果眼神不错,就可以清楚地了解这位仁兄刚才的一举一动: 访问了新浪网主页 20:05:32.473388 192.168.0.5.1872 > www.sina.com.http: s 1372301404:1372301404(0) win 64240 <mss 1460,nop,nop,sackok> (df) …… 进行了netbios广播进行名字查询 20:05:33.823388 192.168.0.5.netbios-dgm > 192.168.0.255.netbios-dgm: nbt udp packet(138) …… 到新华网pop3服务器收信 20:05:41.953388 192.168.0.5.1878 > pop.xinhuanet.com.pop3: s 1374956462:1374956462(0) win 64240 <mss 1460,nop,nop,sackok> (df) …… 到深圳963收信 20:05:45.633388 192.168.0.5.1881 > szptt154.szptt.net.cn.pop3: p 34:40(6) ack 146 win 64095 (df) …… 例如,上面这条信息表明了在20:05:45的时候,192.168.0.5通过1881源端口连接到963电子邮局的pop3端口.... 下一页