当前位置：首页 » 软件开发

开发技术指南» 文章正文

    引言： 解析Linux网络分析的三大利器作者：杨鹏本文选自：《开放系统世界》——赛迪网2002年10月16日随着Internet的迅猛发展，网络已无处不在，但是，它可能随时受到来自各方的攻击。

 

 

解析Linux网络分析的三大利器

解析linux网络分析的三大利器 【程序编程相关:Linux环境下的高级隐藏技术】

【推荐阅读:分析Windows和Linux动态库】

作者:杨鹏    本文选自:«开放系统世界»——赛迪网  2002年10月16日   【扩展信息:Linux操作系统发展简史】

 

随着internet的迅猛发展,网络已无处不在,但是,它可能随时受到来自各方的攻击.了解哪些人正在访问资源.哪些人正在享受服务.哪些人正在发送大量垃圾等,对网络管理员来说是非常必要的.利用linux中较常见的网络分析工具tcpdump.nmap与netstat,可以使网络管理工作更加轻松. 

tcpdump主要是截获通过本机网络接口的数据,用以分析.nmap是强大的端口扫描工具,可扫描任何主机或网络.netstat可用来检查本机当前提供的服务及状态.这三者各有所长,结合起来,就可以比较透彻地了解网络状况. 

tcpdump

tcpdump能够截获当前所有通过本机网卡的数据包.它拥有灵活的过滤机制,可以确保得到想要的数据.由于tcpdump只能收集通过本机的数据,因此它的应用受到了一些限制,大多应用在网关或服务器自我检测上.例如,在作为网关的主机上,想知道本地网络中ip地址为192.168.0.5的主机现在与外界通信的情况,就可以使用如下命令: 

tcpdump -i eth0 src host 192.168.0.5

 

在默认情况下,tcpdump会将数据输出到屏幕.如果数据量太大,可能根本看不清具体的内容,这时我们可以把它重定向到文件再进行分析.如果眼神不错,就可以清楚地了解这位仁兄刚才的一举一动: 

访问了新浪网主页

20:05:32.473388 192.168.0.5.1872 > www.sina.com.http:

s 1372301404:1372301404(0) win 64240 <mss 

1460,nop,nop,sackok> (df)

……

进行了netbios广播进行名字查询

20:05:33.823388 192.168.0.5.netbios-dgm > 

192.168.0.255.netbios-dgm: nbt udp packet(13

……

到新华网pop3服务器收信

20:05:41.953388 192.168.0.5.1878 > pop.xinhuanet.com.pop3: s

1374956462:1374956462(0) win 64240 <mss 1460,nop,nop,sackok> (df)

……

到深圳963收信

20:05:45.633388 192.168.0.5.1881 > szptt154.szptt.net.cn.pop3:

p 34:40(6) ack 146 win 64095 (df)

……

 

例如,上面这条信息表明了在20:05:45的时候,192.168.0.5通过1881源端口连接到963电子邮局的pop3端口.对于普通的网络分析,这些信息已经足够了.这就是tcpdump的基本功能,其它高级功能都是在这一基础上的细化与增强. 

例如,我只想知道192.168.0.5当前正在访问哪些web站点,可以用下面这条命令: 

tcpdump -i eth0 src host 192.168.0.5 and dst port 80

 

该命令的目的是截获所有由eth0进入.源地址(src)为192.168.0.5的主机(host),并且(and)目标(dst)端口(port)为80的数据包.得到的数据如下: 

20:05:32.473388 192.168.0.5.1872 > www.sina.com.http: 

    s 1372301404:1372301404(0) win 64240 <mss 1460,nop,nop,sackok> (df)

……

...   下一页

» 本期热门文章：

· 热门栏目：

» 相关精选文章

» 其它相关：