巧妙的使用 tcpdump 查看原始数据包
开发 前端
虽然像 Snort 这样的工具在筛选通过我们网络的所有内容方面做得非常出色,但有时需要查看原始数据。为此,我们最好的工具是“tcpdump”。

使用 'tcpdump' 查看原始数据包

虽然像 Snort 这样的工具在筛选通过我们网络的所有内容方面做得非常出色,但有时需要查看原始数据。为此,我们最好的工具是“tcpdump”。

使用 tcpdump 最基本的方法是简单地发出命令:

  • 您可以使用 -v 选项获得更多详细信息,使用 -vv 可以获得更多信息。

有用的选项

假设您已登录到您管理的远程计算机。通常,您将使用 SSH。如果您在没有任何选项的情况下运行“tcpdump”,则输出将被来自您的 SSH 连接的数据包淹没。为避免这种情况,只需从输出中删除端口 22:

您可以使用许多不同的端口来执行此操作:

代码:

  1. tcpdump not port 143 and not port 25 and not port 22 

如果你想做相反的事情,即只监视某个端口——这对调试网络应用程序很有好处——你可以执行以下操作:

您还可以从网络上的特定主机获取数据:

如果您的机器有多个网络接口,您还可以指定要收听的一个:

您还可以指定协议:

  • 您将在 /etc/protocols 中找到协议列表。

为以后保存输出

在某些情况下,您可能希望将输出重定向到一个文件,以便以后可以详细研究它或使用其他程序来解析输出。在以下示例中,您仍然可以在将输出保存到文件时查看输出:

代码:

  1. tcpdump -l | tee tcpdump_`date +%Y%m%e-%k.%M` 

在上面的示例中,我们可以使用日期和时间来识别每个转储。在处理一天中某些时间出现的问题时,这可能会派上用场。

tcpdump 还可以选择将其输出转储为二进制格式,以便以后读取。创建二进制文件:

代码:

  1. tcpdump -w tcpdump_raw_`date +%Y%m%e-%k.%M` 

稍后,您可以使用 tcpdump 读取文件

代码:

  1. tcpdump -r tcpdump_raw_YYYMMDD-H.M 

您还可以使用 ethereal 程序打开原始转储并对其进行解释。我们将在下一节中更多地讨论空灵。

要查找的内容

tcpdump 为我们提供了有关进出我们网络的所有数据包的信息。但这一切意味着什么?

将 Ethereal 与 tcpdump 结合使用 Ethereal

是一个也可用于捕获网络数据包的工具。安装后,您可以打开您制作的原始转储文件。它看起来像这样:

这使得查看正在发生的事情变得相当容易。您可以看到源 IP 和目标 IP 是什么以及它是什么类型的数据包。然后很容易解决您可能遇到的网络问题并分析可疑行为。顺便说一句,当我在写这节课并解释我自己的转储时,我在我的个人工作站上看到了一些奇怪的活动。几乎每隔一段时间,我就会在世界上不同 IP 的机器上查询端口 32772。我为端口 32772 运行了一个特定的转储,如下所示:

代码:

  1. tcpdump port 32772 -w dump_32772 

我得到的确实看起来很奇怪。即使在谷歌搜索之后,我也找不到任何相关信息,所以我怀疑我可能有木马。我运行了“rootkit hunter”(下一节将详细介绍),但结果却一无所获。最后,一一关机,原来是我一直打开的Skype。尽管这被证明是无害的,但我很高兴我有 tcpdump 向我指出这一点。

读取原始输出

如您所见,即使从 tcpdump 读取所谓的“人类可读”输出也可能有点神秘。看看下面的例子,一个我刚刚从转储中捞出的随机数据包:

代码:

  1. 17:26:22.924493 IP www.linux.org.www > test.linux.org.34365: P 2845:3739(894) ack 1624 win 9648  

我们拥有的是对www.linux.org的网络服务器请求. 在时间戳之后,您会注意到主机名末尾的 .www(表示端口 80)。这将被发送到请求主机 test.linux.org 的端口 34365。'P' 代表 TCP “oush” 功能。这意味着应该立即发送数据。在后面的数字中,2845:3739(894),2845 标记了第一个数据包的八位字节数。数字 3739 是数据包发送的最后一个字节的编号加 1。数字 894 是发送的数据包的长度。上面写着:“ack 1624”的部分是“acknowledge”的 TCP 术语——即数据包已被接受,接下来预期的数据包号是 1624。之后,我们看到“win 9648”发送主机等待窗口大小为 9648 个八位字节的数据包。这后面是时间戳。

现在,如果您认为这有点难以解释,如果您使用 -x 选项,它将在十六进制输出中包含数据包内容。在这里,您需要埃及学家来解释输出:

代码:

 

  1. 18:12:45.149977 IP www.linux.org.www > test.linux.org.34536: . 1:1449(1448)  
  2. ack 487 win 6432 <nop,nop,timestamp 329284215 27156244> 
  3.         0x0000:  4500 05dc 6a81 4000 4006 493b c0a8 0006  E...j.@.@.I;.... 
  4.         0x0010:  c0a8 0009 0050 86e8 8fa4 1d47 1c33 e3af  .....P.....G.3.. 
  5.         0x0020:  8010 1920 b4d9 0000 0101 080a 13a0 7a77  ..............zw 
  6.         0x0030:  019e 5f14 4854 5450 2f31 2e31 2032 3030  .._.HTTP/1.1.200 
  7.         0x0040:  204f 4b0d 0a44 6174 653a 2054 6875 2c20  .OK..Date:.Thu,. 
  8.         0x0050:  3135 

我们可以从输出中收集到,这是一个 HTTP 请求。至于其余的,它不是人类可读的,但我们很容易知道这是一个合法的数据包。使用这种格式的另一个好处是,即使我们不能准确地解释这个数据包发生了什么,我们也可以将它发送给可能能够理解的人。最后,这是未经任何过滤就通过网络传输的原始数据。

责任编辑:未丽燕 来源: 今日头条

同话题下的热门内容

YouTube-DL 官网托管平台被三大唱片公司起诉Podman与Docker有什么不同?腾讯研发动画组件,以后动画制作用PAGRedis 使用 List 实现消息队列的利与弊面试突击:为什么HashMap会产生死循环? 2022 Web 前端面试题及答案之JavaScript 篇Three.js 的 3D 粒子动画:群星送福细说Java中的空指针异常

编辑推荐

太厉害了,终于有人能把TCP/IP协议讲的明明白白了!Javascript如何监听页面刷新和关闭事件利用Pytorch进行CNN详细剖析面试 | 必须要会的50个React面试题一份全面的React、Angular和Vue.js比较指南
我收藏的内容
点赞
收藏

51CTO技术栈视频号