Linux como un servidor de red, especialmente como enrutadores y puertas de enlace, la recogida de datos y análisis es esencial. Por lo tanto, hoy analizaremos la potente herramienta de análisis y recopilación de datos de red en Linux: TcpDump.
Como su nombre lo sugiere, TcpDump puede interceptar completamente el "encabezado" de los paquetes transmitidos a través de la red para su análisis. Es compatible con el filtrado de capas de red, protocolos, hosts, redes o puertos, y proporciona declaraciones lógicas como y, o no, para ayudarle a eliminar información inútil.
Al igual que otro software en el estado de terminal de Linux, TcpDump también se basa en los parámetros para funcionar, este artículo se combinará con ejemplos para ilustrar.
Filtrado de datos
TcpDump sin ningún parámetro buscará todas las interfaces de red en el sistema y mostrará todos los datos que intercepta. Estos datos no son necesariamente todo lo que necesitamos, y hay demasiados datos. No propicio para el análisis. Por lo tanto, primero debemos pensar qué datos se necesitan. TcpDump proporciona los siguientes parámetros para que seleccionemos los datos:
-b selecciona el protocolo en la capa de enlace de datos, incluidos ip, arp, rarp, ipx. En capas
Por ejemplo: tcpdump -b arp solo mostrará el arp, es decir, la información del protocolo de traducción de direcciones, en la red.
-i selecciona la interfaz de red filtrada. Si se trata de un enrutador con al menos dos interfaces de red, esta opción le permite filtrar solo los datos pasados en la interfaz especificada. Por ejemplo:
tcpdump -i eth0 solo muestra todos los encabezados en la interfaz eth0.
Las opciones src, dst, port, host, net, ether y gateway incluyen opciones adicionales como src, dst, port, host, net y ehost. Se utilizan para distinguir el origen y el destino del paquete. El host src 192.168.0.1 especifica que la dirección IP del host de origen es 192.168.0.1, y el dst net 192.168.0.0/24 especifica que el destino es la red 192.168.0.0. Por analogía, el host está relacionado con su host designado, ya sea origen o destino, net está relacionado con su red designada, ether no está seguido por la dirección IP sino la dirección física, y la puerta de enlace se usa para el host de la puerta de enlace. Puede ser un poco complicado, vea el siguiente ejemplo:
tcpdump src host 192.168.0.1 y dst net 192.168.0.0/24
El host de origen es 192.168.0.1 y la red de destino es El encabezado de 192.168.0.0.
tcpdump ether src 00: 50: 04: BA: 9B y dst ......
Filtra la dirección física del host de origen como encabezado XXX (¿por qué no hay ningún host o red detrás de ether src? dirección física, por supuesto No puede haber red 喽).
Tcpdump src host 192.168.0.1 y dst port not telnet
El host de origen de filtro 192.168.0.1 y el puerto de destino no es el encabezado telnet.
ip icmp arp rarp y tcp, udp, icmp y otras opciones deben colocarse en la ubicación del primer parámetro, que se utiliza para filtrar el tipo de datagrama. Por ejemplo:
tcpdump ip src ...
Filtrar solo datos: encabezados IP en la capa de enlace.
tcpdump udp y src host 192.168.0.1
Filtra solo todos los encabezados udp del host de origen 192.168.0.1.
Visualización de datos /Salida de entrada
TcpDump proporciona suficientes parámetros para que podamos elegir cómo procesar los datos resultantes, como se muestra a continuación:
-l puede redirigir los datos .
Los datos obtenidos por tcpdump -l> tcpcap.txt se almacenan en el archivo tcpcap.txt.
-n no convierte las direcciones IP en nombres de host.
Si no usa este elemento, cuando hay un nombre de host de un host en el sistema, TcpDump convertirá la dirección IP a la pantalla de nombre de host, como esta: eth0 -nn Sin conversión de nombre de puerto. El mensaje anterior se convierte en -eth0 -N no imprime el nombre de dominio predeterminado. o esta información -N es: eth0 -O no optimiza el código coincidente. -t No imprime las marcas de tiempo de UNIX, es decir, no muestra la hora. -tt Imprime el tiempo original sin formato. -v Salida detallada, que es más que un tipo de servicio y TTL normal. Ok, tanto, ¿crees que TcpDump es una buena herramienta? También tiene un buen espacio limitado multifunción que no se puede introducir uno por uno, leer más "ayuda" tendrá una gran ganancia, esto puede considerarse como un acceso directo al mundo de Linux.
En la actualidad, existe una vulnerabilidad muy grave de Bash en Internet que permite a los piratas
De repente se encontró que el sitio web no se puede abrir, la base de datos muestra que el enlace no
Hoy en día, Apple Mac OS y Microsoft Windows son compatibles con la tecnología multitáctil, la comun
En primer lugar, gracias a los fanáticos y simpatizantes de la comunidad por su atención a Linux Dee
Red Hat lanza Linux desktop compitiendo con Novell durante el año
Ejecutar comandos DOS en un entorno Linux El sistema Linux
Una visión general de las implicaciones de analizar el kernel de Linux
VMware vCenter Converter Standalone convierte la solución de problemas de Linux
Nombre de archivo de Linux confuso tutorial básico de conversión
Error de compilación del kernel de Linux error fatal: linux /config.h: No existe tal archivo o
Modifique la codificación predeterminada de mysql5.5.25 en CenterOS 64 bit
Instalar paquete de archivos rpm bajo Linux
Método de denominación de Linux para discos duros y particiones en detalle
Supervisar los registros del sitio web en la línea de comandos de Linux
Después de usar u depth para instalar win10, ¿qué debo hacer? La versión
¿Qué debo hacer si WinXP detiene el servicio?
Win2003 para crear un RAID completo Raiders
¿Cómo utilizar la función de búsqueda de Win8?
El error 16389 de Win7 no puede crear una nueva biblioteca cómo hacerlo
Win8 última versión beta irá a la revisión de desarrollo de Windows
Reproducción de video Storm Especificación QuickTime MP4
Win10 vista previa versión 10558 "teléfono" detalles: función de grabación de llamada de soporte