您现在的位置:首页 --> 查看专题: tcpdump
tcpdump提供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的 FreeBSD系统中,由于它需要将网络接口设置为混杂模式,普通用户不能正常执行,但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁,而是对网络上的其他计算机的安全存在威胁。
第六招,仍然会讲解tcpdump的过滤表达式,这次思路很简单,就是直接举例子,其实就是man tcpdump中的例子,很直观,很受用。
前四招都是围绕tcpdump的选项来介绍的,从这招起,我们会把目光转向更加常用的“过滤表达式”内容。 通过这几招的学习,你将具备“心无旁骛,潜心专注”的武功。 可以给tcpdump传送“过滤表达式”来起到网络包过滤的作用,而且可以支持传入单个或多个过滤表达式,从这一点来说tcpdump还是很大肚能容的。 当你传入的过滤表达式含有shell通配符时,别忘使用单引号把表达式括起来,以防shell自作主张的把含有通配符的表达式先进行了解释和通配。
本文会是“选项内容”的最后一期讲解,主要会讲讲-w和-r两个选项。tcpdump的选项很多,多达50个,其他我没有涉及的选项,还是要大家自己通过man tcpdump的方式来学习了。实在研究不懂的,可以找我探讨:) == 做过网络流量分析的同学,或许都有一个共同的需求,那就是“流量保存”和“流量回放”,这就恰好对应了今天要讲解的-w选项和-r选项。 “流量保存”就是把抓到的网络包能存储到磁盘上,保存下来,为后续使用。 “流量回放”就是把历史上的某一时间段的流量,重新模拟回放出来,用于流量分析。
上篇文章说过,tcpdump会分成“选项”、“过滤表达式”和“输出信息”三部分讲解。 截止到目前,我们一直在围绕tcpdump的选项部分进行讲解,已经介绍过的选项包括-i选项、-nn选项、-c选项、-X选项、-e选项、-l选项。 今天仍然不例外,我们继续有关选项的内容。
通俗的说,tcpdump是一个抓包工具,用于抓取互联网上传输的数据包。 形象的说,tcpdump就好比是国家海关,驻扎在出入境的咽喉要道,凡是要入境和出境的集装箱,海关人员总要打开箱子,看看里面都装了点啥。 学术的说,tcpdump是一种嗅探器(sniffer),利用以太网的特性,通过将网卡适配器(NIC)置于混杂模式(promiscuous)来获取传输在网络中的信息包。
tcpdump -XvvennSs 0 -i eth0 tcp[20:2]=0x4745 or tcp[20:2]=0x4854 0x4745 为"GET"前两个字母"GE"0x4854 为"HTTP"前两个字母"HT"
软件简介:tcpdump是一款很强大、很有用的网络侦听软件,但是对于ssl加密的数据包就无能为力了;ssldump则是一款可以侦听ssl加密的数据包的软件。
[ 共10篇文章 ][ 第1页/共1页 ][ 1 ]
近3天十大热文
-
[679] Go Reflect 性能 -
[24] 正态分布的前世今生(一)
-
[15] Cuckoo Filter:设计与实现
-
[15] rsync同步的艺术
-
[13] 关于RDS只读实例延迟分析
-
[13] Linux Used内存到底哪里去了?
-
[13] 深入浅出选择类排序算法(简单选择排序,堆排序
-
[12] 什么是DNS劫持和DNS污染?
-
[11] Android用户界面设计:表格布局
-
[11] vim入门,进阶与折腾
赞助商广告
