資源描述:
《Tcpdump命令的使用》由會(huì)員上傳分享,免費(fèi)在線(xiàn)閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫(kù)���。
1�、linux下的網(wǎng)絡(luò)分析Tcpdump命令的使用發(fā)布時(shí)間:2006.08.2401:16????來(lái)源:54master.com????作者:malj網(wǎng)絡(luò)數(shù)據(jù)采集分析工具TcpDump的簡(jiǎn)介顧名思義�����,TcpDump可以將網(wǎng)絡(luò)中傳送的數(shù)據(jù)包的“頭”完全截獲下來(lái)提供分析�����。它支持針對(duì)網(wǎng)絡(luò)層��、協(xié)議���、主機(jī)����、網(wǎng)絡(luò)或端口的過(guò)濾�,并提供and、or�、not等邏輯語(yǔ)句來(lái)幫助你去掉無(wú)用的信息。tcpdump就是一種免費(fèi)的網(wǎng)絡(luò)分析工具��,尤其其提供了源代碼,公開(kāi)了接口����,因此具備很強(qiáng)的可擴(kuò)展性�,對(duì)于網(wǎng)絡(luò)維護(hù)和入侵者都是非常有用的工具。tcpdum
2��、p存在于基本的FreeBSD系統(tǒng)中�,由于它需要將網(wǎng)絡(luò)界面設(shè)置為混雜模式,普通用戶(hù)不能正常執(zhí)行���,但具備root權(quán)限的用戶(hù)可以直接執(zhí)行它來(lái)獲取網(wǎng)絡(luò)上的信息�。因此系統(tǒng)中存在網(wǎng)絡(luò)分析工具主要不是對(duì)本機(jī)安全的威脅�����,而是對(duì)網(wǎng)絡(luò)上的其他計(jì)算機(jī)的安全存在威脅��。我們用盡量簡(jiǎn)單的話(huà)來(lái)定義tcpdump��,就是:dumpthetrafficeonanetwork.���,根據(jù)使用者的定義對(duì)網(wǎng)絡(luò)上的數(shù)據(jù)包進(jìn)行截獲的包分析工具�。作為互聯(lián)網(wǎng)上經(jīng)典的的系統(tǒng)管理員必備工具,tcpdump以其強(qiáng)大的功能��,靈活的截取策略����,成為每個(gè)高級(jí)的系統(tǒng)管理員分析網(wǎng)絡(luò),排查
3���、問(wèn)題等所必備的東西之一���。tcpdump提供了源代碼,公開(kāi)了接口��,因此具備很強(qiáng)的可擴(kuò)展性�,對(duì)于網(wǎng)絡(luò)維護(hù)和入侵者都是非常有用的工具。tcpdump存在于基本的FreeBSD系統(tǒng)中��,由于它需要將網(wǎng)絡(luò)界面設(shè)置為混雜模式����,普通用戶(hù)不能正常執(zhí)行,但具備root權(quán)限的用戶(hù)可以直接執(zhí)行它來(lái)獲取網(wǎng)絡(luò)上的信息�����。因此系統(tǒng)中存在網(wǎng)絡(luò)分析工具主要不是對(duì)本機(jī)安全的威脅,而是對(duì)網(wǎng)絡(luò)上的其他計(jì)算機(jī)的安全存在威脅�。網(wǎng)絡(luò)數(shù)據(jù)采集分析工具TcpDump的安裝在linux下tcpdump的安裝十分簡(jiǎn)單,一般由兩種安裝方式�����。一種是以rpm包的形式來(lái)進(jìn)行安裝���。
4、另外一種是以源程序的形式安裝���。rpm包的形式安裝:這種形式的安裝是最簡(jiǎn)單的安裝方法�,rpm包是將軟件編譯后打包成二進(jìn)制的格式�����,通過(guò)rpm命令可以直接安裝��,不需要修改任何東西�。以超級(jí)用戶(hù)登錄,使用命令如下:#rpm-ivhtcpdump-3_4a5.rpm這樣tcpdump就順利地安裝到你的linux系統(tǒng)中��。怎么樣��,很簡(jiǎn)單吧。源程序的安裝:既然rpm包的安裝很簡(jiǎn)單,為什么還要采用比較復(fù)雜的源程序安裝呢?其實(shí)��,linux一個(gè)最大的誘人之處就是在她上面有很多軟件是提供源程序的��,人們可以修改源程序來(lái)滿(mǎn)足自己的特殊的需要��。所以
5�����、我特別建議朋友們都采取這種源程序的安裝方法�。第一步取得源程序在源程序的安裝方式中,我們首先要取得tcpdump的源程序分發(fā)包���,這種分發(fā)包有兩種形式����,一種是tar壓縮包(tcpdump-3_4a5.tar.Z),另一種是rpm的分發(fā)包(tcpdump-3_4a5.src.rpm)���。這兩種形式的內(nèi)容都是一樣的�,不同的僅僅是壓縮的方式.tar的壓縮包可以使用如下命令解開(kāi):#tarxvfztcpdump-3_4a5.tar.Zrpm的包可以使用如下命令安裝:#rpm-ivhtcpdump-3_4a5.src.rpm這樣就把t
6����、cpdump的源代碼解壓到/usr/src/redhat/SOURCES目錄下.第二步做好編譯源程序前的準(zhǔn)備活動(dòng)在編譯源程序之前����,最好已經(jīng)確定庫(kù)文件libpcap已經(jīng)安裝完畢���,這個(gè)庫(kù)文件是tcpdump軟件所需的庫(kù)文件�。同樣�,你同時(shí)還要有一個(gè)標(biāo)準(zhǔn)的c語(yǔ)言編譯器。在linux下標(biāo)準(zhǔn)的c語(yǔ)言編譯器一般是gcc��。在tcpdump的源程序目錄中�����。有一個(gè)文件是Makefile.in���,configure命令就是從Makefile.in文件中自動(dòng)產(chǎn)生Makefile文件。在Makefile.in文件中�����,可以根據(jù)系統(tǒng)的配置來(lái)修改BI
7�、NDEST和MANDEST這兩個(gè)宏定義,缺省值是BINDEST=@sbindir@MANDEST=@mandir@第一個(gè)宏值表明安裝tcpdump的二進(jìn)制文件的路徑名���,第二個(gè)表明tcpdump的man幫助頁(yè)的路徑名,你可以修改它們來(lái)滿(mǎn)足系統(tǒng)的需求�。第三步編譯源程序使用源程序目錄中的configure腳本,它從系統(tǒng)中讀出各種所需的屬性����。并且根據(jù)Makefile.in文件自動(dòng)生成Makefile文件,以便編譯使用.make命令則根據(jù)Makefile文件中的規(guī)則編譯tcpdump的源程序�����。使用makeinstall命令安裝
8���、編譯好的tcpdump的二進(jìn)制文件�����??偨Y(jié)一下就是:#tarxvfztcpdump-3_4a5.tar.Z#viMakefile.in#./configure#make#makeinstall網(wǎng)絡(luò)數(shù)據(jù)采集分析工具TcpDump的使用普通情況下����,直接啟動(dòng)tcpdump將監(jiān)視第一個(gè)網(wǎng)絡(luò)界面上所有流過(guò)的數(shù)據(jù)包。#tcpdumptcpdump:liste
