LSPE05-防火墻疑難問題分析方法

1、防火墻疑難問題分析方法防火墻疑難問題分析方法自我介紹（自我介紹（Who are you?）課程目標(biāo)（課程目標(biāo)（Why）通過本課程，您將學(xué)會(huì) 如何XXXXX 如何XXXXX課程內(nèi)容（課程內(nèi)容（What）產(chǎn)品功能及原理（突出重點(diǎn)，簡），對寫方案作規(guī)劃有幫助安裝調(diào)試培訓(xùn)（隨帶說明，簡），對實(shí)施有幫助疑難分析問題方法（重點(diǎn)），對售后，樹立專業(yè)形象有幫助安全策略設(shè)計(jì)（說明原則，簡）產(chǎn)品選型評測方法和術(shù)語（重點(diǎn)），如何應(yīng)對評測常用網(wǎng)絡(luò)工具使用（提供工具包，簡單演示），如何分析問題案例操作（簡）2.5版本的演示推廣（重點(diǎn)）培訓(xùn)方式（培訓(xùn)方式（How）講解和幻燈片演示案例演示課堂討論動(dòng)手實(shí)驗(yàn)結(jié)課考試產(chǎn)品功能及

2、原理產(chǎn)品功能及原理基本功能防火墻的種類關(guān)鍵問題：在選擇之前，必須思考的一些問題傳統(tǒng)邊界防火墻的主要應(yīng)用環(huán)境分布式防火墻 安裝培訓(xùn)調(diào)試 疑難問題分析方法 安全策略設(shè)計(jì) 產(chǎn)品選型評測 常用網(wǎng)絡(luò)工具使用 案例操作 2.5版本的演示和推廣基本功能基本功能過濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)管理進(jìn)出網(wǎng)絡(luò)的訪問行為封堵需要禁止的業(yè)務(wù)記錄通過防火墻的信息內(nèi)容和活動(dòng)對網(wǎng)絡(luò)攻擊進(jìn)行檢測和報(bào)警防火墻的種類防火墻的種類路由器：簡單的路由器是一種便宜的安全防護(hù)模式封包過濾狀態(tài)檢測應(yīng)用層代理關(guān)鍵問題關(guān)鍵問題防火墻必須允許或拒絕的網(wǎng)絡(luò)協(xié)定或應(yīng)用層網(wǎng)絡(luò)傳輸防火墻在控制網(wǎng)絡(luò)傳輸?shù)臅r(shí)候是否需要做身份認(rèn)證如何建立規(guī)則是否可以隱藏網(wǎng)絡(luò)地址是否有一個(gè)

3、以上的網(wǎng)址，能夠保護(hù)網(wǎng)絡(luò)上數(shù)個(gè)web和email服務(wù)器不受攻擊是否可以過濾java和activex如何保證防火墻自身的安全能不能夠在不影響安全性的情況下處理所有的網(wǎng)絡(luò)傳輸活動(dòng)應(yīng)該提供事件記錄和告警，并且審計(jì)網(wǎng)絡(luò)活動(dòng)記錄是否簡單易用是否提供內(nèi)容過濾可擴(kuò)展性是否很好，能不能滿足將來的需求關(guān)鍵問題（續(xù)）關(guān)鍵問題（續(xù)）是否能實(shí)現(xiàn)遠(yuǎn)程管理和集中管理能不能和其他產(chǎn)品互通，互動(dòng)傳統(tǒng)邊界防火墻的應(yīng)用環(huán)境傳統(tǒng)邊界防火墻的應(yīng)用環(huán)境控制來自互聯(lián)網(wǎng)對內(nèi)網(wǎng)的訪問控制來自第三方局域網(wǎng)對內(nèi)網(wǎng)的訪問控制局域網(wǎng)內(nèi)部不同部門網(wǎng)絡(luò)之間的訪問控制對服務(wù)器中心網(wǎng)絡(luò)訪問控制來自互聯(lián)網(wǎng)對內(nèi)部的訪問控制來自互聯(lián)網(wǎng)對內(nèi)部的訪問 邊界路由器控制

4、來自互聯(lián)網(wǎng)對內(nèi)部的訪問控制來自互聯(lián)網(wǎng)對內(nèi)部的訪問無邊界路由器控制來自第三方局域網(wǎng)對內(nèi)網(wǎng)的訪問控制來自第三方局域網(wǎng)對內(nèi)網(wǎng)的訪問需要DMZ區(qū)控制來自第三方局域網(wǎng)對內(nèi)網(wǎng)的訪問控制來自第三方局域網(wǎng)對內(nèi)網(wǎng)的訪問不需要DMZ區(qū)控制內(nèi)部網(wǎng)絡(luò)不同部門之間的訪問控制內(nèi)部網(wǎng)絡(luò)不同部門之間的訪問控制對服務(wù)器中心的網(wǎng)絡(luò)訪問控制對服務(wù)器中心的網(wǎng)絡(luò)訪問為每個(gè)服務(wù)器單獨(dú)配置一個(gè)防火墻控制對服務(wù)器中心的網(wǎng)絡(luò)訪問控制對服務(wù)器中心的網(wǎng)絡(luò)訪問采用虛擬防火墻的方式這主要是利用三層交換機(jī)的VLAN（虛擬局域網(wǎng)）功能，先為每一臺連接在三層交換機(jī)上的用戶服務(wù)器所連接的網(wǎng)絡(luò)配置成一個(gè)單獨(dú)的VLAN子網(wǎng)，然后通過對高性能防火墻對VLAN子網(wǎng)的

5、配置，就相當(dāng)于將一個(gè)高性能防火墻劃分為多個(gè)虛擬防火墻，效果相當(dāng)于為每個(gè)服務(wù)器單獨(dú)配置一臺防火墻高性能組網(wǎng)方式和未來發(fā)展高性能組網(wǎng)方式和未來發(fā)展分布式防火墻分布式防火墻邊界防火墻的缺陷：傳統(tǒng)的防火墻設(shè)置在網(wǎng)絡(luò)邊界，在內(nèi)部企業(yè)網(wǎng)和外部互聯(lián)網(wǎng)之間構(gòu)成一個(gè)屏障，進(jìn)行網(wǎng)絡(luò)存取控制，稱為邊界防火墻(Perimeter Firewall)，邊界防火墻有如下固有缺欠：1） 結(jié)構(gòu)性限制：企業(yè)網(wǎng)邊界逐步成為一個(gè)邏輯的邊界，物理的邊界日趨模糊，邊界防火墻的應(yīng)用受到了結(jié)構(gòu)性限制。2） 內(nèi)部安全：據(jù)統(tǒng)計(jì)，80%的攻擊和越權(quán)訪問來自與內(nèi)部，邊界防火墻在對付網(wǎng)絡(luò)內(nèi)部威脅時(shí)束手無策。3） 效率和故障：邊界防火墻把檢查機(jī)制集中

6、在網(wǎng)絡(luò)邊界處的單點(diǎn)上，產(chǎn)成了網(wǎng)絡(luò)的瓶頸和單點(diǎn)故障隱患的問題。分布式防火墻分布式防火墻針對傳統(tǒng)邊界防火墻的缺欠，分布式防火墻(Distributed Firewalls)的概念被專家學(xué)者提出來。分布式防火墻是一種新的防火墻體系結(jié)構(gòu)，它包含如下部分：1） 網(wǎng)絡(luò)防火墻(Network Firewall)：用于內(nèi)部網(wǎng)與外部網(wǎng)之間和內(nèi)部網(wǎng)子網(wǎng)之間的防護(hù)2） 主機(jī)防火墻(Host Firewall)：對于網(wǎng)絡(luò)中的服務(wù)器和桌面機(jī)進(jìn)行防護(hù)3） 中心管理(Central Managerment)：總體安全策略的策劃、管理、分發(fā)及日志的匯總分布式防火墻的優(yōu)勢分布式防火墻的優(yōu)勢分布式防火墻代表新一代防火墻技術(shù)的潮流

7、，它可以在網(wǎng)絡(luò)的任何交界和節(jié)點(diǎn)處設(shè)置屏障，從而形成了一個(gè)多層次、多協(xié)議，內(nèi)外皆防的全方位安全體系： 1）系統(tǒng)的安全性：增加了針對主機(jī)的入侵檢測和防護(hù)功能，加強(qiáng)了對來自內(nèi)部攻擊防范，可以實(shí)施全方位的安全策略2） 系統(tǒng)性能的保證：消除了結(jié)構(gòu)性瓶頸問題，提高了系統(tǒng)性能3） 系統(tǒng)的擴(kuò)展性：隨系統(tǒng)擴(kuò)充提供了安全防護(hù)無限擴(kuò)充的能力分布式防火墻的拓?fù)浞植际椒阑饓Φ耐負(fù)浠竟δ芎驮戆惭b培訓(xùn)調(diào)試疑難問題分析方法安全策略設(shè)計(jì)產(chǎn)品選型評測常用網(wǎng)絡(luò)工具使用案例操作2.5版本的演示和推廣安裝培訓(xùn)調(diào)試安裝培訓(xùn)調(diào)試弄清楚用戶的網(wǎng)絡(luò)環(huán)境弄清楚用戶的應(yīng)用需求弄清楚用戶未來的發(fā)展需求弄清楚用戶對防火墻要求的側(cè)重點(diǎn)告訴用戶安全的

8、概念，安全是一個(gè)體系。告訴用戶防火墻的基本原理告訴用戶其自身網(wǎng)絡(luò)環(huán)境的特點(diǎn)以及安全建議告訴用戶如何配置網(wǎng)御防火墻告訴用戶出現(xiàn)疑問和問題如何獲得幫助基本功能和原理安裝培訓(xùn)調(diào)試疑難問題分析方法安全策略設(shè)計(jì)產(chǎn)品選型評測常用網(wǎng)絡(luò)工具使用案例操作2.5版本的演示和推廣疑難問題的分析方法疑難問題的分析方法問題的查找問題的定位：如何快速斷定是網(wǎng)絡(luò)問題、配置問題、產(chǎn)品問題問題的分析案例分析問題的查找問題的查找看手冊相關(guān)部分，是否配置問題網(wǎng)絡(luò)拓?fù)渚唧w應(yīng)用問題？是否做了NAT,反向NAT,應(yīng)用是否為動(dòng)態(tài)協(xié)商穩(wěn)定性問題，表現(xiàn)頻度配置問題配置問題注意事項(xiàng)a.目前防火墻不支持混合模式，即透明和路由模式的混合b.純路由模

9、式，目前尚不能支持HA、ADSL接入支持功能 c.如果啟用了nat，默認(rèn)的 nat映射是映射到主防火墻ipd.自適應(yīng)模式和路由模式切換后一定要重新啟動(dòng)e.是不是vlan環(huán)境，vlan環(huán)境需要啟用802.1qf.vlan環(huán)境，是否防火墻接口接在交換機(jī)的trunk口上g.子網(wǎng)掩碼是否正確網(wǎng)絡(luò)環(huán)境的問題網(wǎng)絡(luò)環(huán)境的問題是否回環(huán)？是否旁路？是否路由的問題是否物理介質(zhì)的問題，包括網(wǎng)線等是否接口協(xié)商模式的問題是否vlan環(huán)境具體應(yīng)用的問題具體應(yīng)用的問題是否搞清楚應(yīng)用的通訊機(jī)制(協(xié)議，端口，地址類型)是否動(dòng)態(tài)協(xié)議應(yīng)用訪問客戶端和服務(wù)端是否都做了nat，對于ftp,qq之類的應(yīng)用需要特殊考慮穩(wěn)定性問題穩(wěn)定性問題

10、是否啟用syn flood是否啟用入侵檢測是否集群是否熱備是否啟用郵件代理對比開始和出現(xiàn)問題時(shí)的內(nèi)存狀況對比開始和出現(xiàn)問題時(shí)的Cpu狀況對比開始和出現(xiàn)問題時(shí)的網(wǎng)絡(luò)流量對比開始和出現(xiàn)問題時(shí)的arp表的狀態(tài)問題的定位問題的定位在用戶環(huán)境不放防火墻正常，正確配置防火墻后，放到網(wǎng)絡(luò)環(huán)境后應(yīng)用和網(wǎng)絡(luò)不正常不能斷定是防火墻產(chǎn)品問題，因?yàn)榉湃敕阑饓?huì)造成網(wǎng)絡(luò)拓?fù)涞母淖兤渌鼜S家的防火墻放到網(wǎng)絡(luò)中沒有問題，我們的防火墻放到網(wǎng)絡(luò)中出現(xiàn)問題，這并不代表我們防火墻出現(xiàn)了問題。原因：a.防火墻的實(shí)現(xiàn)原理不一樣b.防火墻在用戶環(huán)境使用的技術(shù)不一樣（如：狀態(tài)包過濾）c.跟用戶做好解釋工作，通過我們這次問題的表現(xiàn)，幫助用戶整

11、理一下網(wǎng)絡(luò)環(huán)境，把可能存在網(wǎng)絡(luò)的隱患發(fā)現(xiàn)出來，同時(shí)對我們也是一個(gè)促進(jìn)。當(dāng)應(yīng)用出現(xiàn)問題的時(shí)候最應(yīng)該分析數(shù)據(jù)流的通訊狀況，如果丟包需要分析包丟在什么地方，抓包分析最好在三個(gè)地方進(jìn)行：問題的定位（續(xù)）問題的定位（續(xù)）A.客戶端B.防火墻C.服務(wù)器端問題的定位（續(xù)）問題的定位（續(xù)）對比分析沒有出現(xiàn)問題和出現(xiàn)問題時(shí)的數(shù)據(jù)流的通訊情況對比分析不同操作系統(tǒng)，應(yīng)用，服務(wù)器等各個(gè)方面情況的數(shù)據(jù)包的情況縮短應(yīng)用通訊所跨的設(shè)備，快速定位問題所體現(xiàn)的具體物理位置案例分析案例分析案例一：旁路分析案例案例分析（續(xù)）案例分析（續(xù)）-案例一分析過程案例一分析過程問題：問題：用戶從省局不能訪問國家總局的www服務(wù)，ftp服務(wù)（

12、所有規(guī)則都放開），但是能ping通國家總局的服務(wù)器地址。把防火墻去掉以后一切正常。 問題確認(rèn)：在現(xiàn)場分析，接上防火墻的情況下，從省局的客戶機(jī)(8)能ping通國家總局的www服務(wù)器(61)，但是不能正常訪問www服務(wù)。 案例一分析過程案例一分析過程首先觀察現(xiàn)象：a. 接上防火墻的情況下，從省局的客戶機(jī)(8)能ping通國家總局的www服務(wù)器(61)，b. 但是不能正常訪問www服務(wù)。C 如果把pc直接接在防火墻上，能訪問國家總局的www服務(wù)器。 案例一分析過程案例一分析過程a. 當(dāng)從省局的客戶機(jī)(90.16.16.

13、28)ping通國家總局的www服務(wù)器(61)時(shí)，在防火墻抓包，沒有抓到icmp echo reply回應(yīng)包，但能抓到請求包。但是在客戶機(jī)(8)上得到了回應(yīng)包，這說明回應(yīng)包已經(jīng)回來，但是沒有走防火墻。b. 向用戶確認(rèn)時(shí)候有第二條回路，用戶認(rèn)為沒有。所以繼續(xù)分析。c. 當(dāng)從省局的客戶機(jī)(8)http國家總局的www服務(wù)器(61)時(shí),從防火墻上得到http的syn請求包。但是沒有得到從服務(wù)器上的ack包回應(yīng)。d. 從省局的客戶機(jī)(8)上抓包分析，得到了從服務(wù)器上的ack回應(yīng)包。e. 在防火墻上觀察狀

14、態(tài)表，沒有Established狀態(tài)，只有syn狀態(tài)。f 結(jié)合如果把pc直接接在防火墻能正常訪問。 案例一分析結(jié)論：案例一分析結(jié)論：一定有第二回路沒有經(jīng)過防火墻。 案例一分析的解決方案案例一分析的解決方案解決方案： 經(jīng)過現(xiàn)場分析，發(fā)現(xiàn)省局訪問國家總局的數(shù)據(jù)要通過兩個(gè)路由器（54和53）,其中我們的防火墻接在54和內(nèi)網(wǎng)的主交換機(jī)之間，而53直接和內(nèi)網(wǎng)的主交換機(jī)相接。這樣造成去國家總局的包經(jīng)過防火墻，而回來的包不經(jīng)過網(wǎng)御防火墻。把53和內(nèi)網(wǎng)的主交換機(jī)的網(wǎng)線接到防火墻上，一切正常。 案例一分析解決拓?fù)?/p>

15、案例一分析解決拓?fù)浒咐治觯ɡm(xù)）案例分析（續(xù)）案例二：動(dòng)態(tài)應(yīng)用分析案例視頻服務(wù)器1721601:6666路由器防火墻A內(nèi)網(wǎng)：/24外網(wǎng)：0防火墻B內(nèi)網(wǎng)：/24外網(wǎng)：0視頻終端A3:5555視頻終端C3:5555視頻終端B4:5555視頻終端D4:5555案例二講解案例二講解防火墻上做NAT，視頻終端訪問視頻服務(wù)器，在視頻服務(wù)器上注冊，同時(shí)注冊各自的ip地址和端口，在服務(wù)器上注冊的地址和端口為防火墻上做NAT后的ip地址和端口。然后視頻終端A和視頻終

16、端C通訊的時(shí)候。視頻終端會(huì)向防火墻上的外網(wǎng)地址發(fā)送UDP數(shù)據(jù)包。案例二存在的問題案例二存在的問題(1) 視頻終端A，B在視頻服務(wù)器(監(jiān)聽端口6666，接受UDP包)上注冊。視頻終端A看到視頻終端C的地址和端口為防火墻的外網(wǎng)地址（0），和NAT后的高端端口（如60618），這樣就會(huì)導(dǎo)致視頻終端C收不到視頻包。 案例二的解決方案案例二的解決方案(1) 這樣的方案，如果僅僅靠防火墻解決是絕對不能解決的。應(yīng)該是由應(yīng)用解決，如數(shù)據(jù)包走服務(wù)器傳送。目前的科技部的視頻是找廠家自己開發(fā)的。支持這種方式，但是因?yàn)槟菢臃?wù)器的負(fù)擔(dān)會(huì)很重。當(dāng)有上千個(gè)用戶時(shí)導(dǎo)致服務(wù)器不能承受。 （2）視頻廠家為了

17、支持這種方式，每個(gè)視頻終端每隔40秒鐘發(fā)送udp包到防火墻B，如果視頻終端從5555端口發(fā)送到服務(wù)器6666端口的包，以及發(fā)送到防火墻B的NAT端口（如60618）的包，在防火墻A上做NAT所使用的端口都一樣（如都是62000），這樣在防火墻上就可以建立起來從視頻終端A到防火墻B的狀態(tài)，當(dāng)視頻終端C向防火墻A的外網(wǎng)地址的NAT端口發(fā)送udp包的時(shí)候，整個(gè)狀態(tài)就建立起來了。但是這樣的條件是：防火墻對UDP包做NAT的時(shí)候，如果來源的包是來自同一機(jī)器的同一端口，在防火墻上產(chǎn)生的NAT端口也要相同。但是我們的防火墻是產(chǎn)生兩個(gè)不同的端口。所以如果要支持這種方式，只有針對他們廠家的這種應(yīng)用做定制開發(fā)才有

18、可能。 案例分析（續(xù)）案例分析（續(xù)）案例三：高可用性環(huán)境分析產(chǎn)品選型評測產(chǎn)品選型評測功能測試兼容性測試性能測試產(chǎn)品選型評測之功能測試產(chǎn)品選型評測之功能測試分級管理集中管理管理通訊加密包過濾測試Nat測試反向nat測試雙向nat測試動(dòng)態(tài)協(xié)議測試:H323,ORACLE,FTP等Ip和mac幫定帶寬管理802.1q協(xié)議的支持代理測試日志服務(wù)器測試產(chǎn)品選型評測之功能測試產(chǎn)品選型評測之功能測試路由策略用戶認(rèn)證信息過濾集群測試熱備測試產(chǎn)品選型評測之兼容性測試產(chǎn)品選型評測之兼容性測試橋模式下純透明橋下路由路由模式橋和路由混合透明高可用路由高可用三明治產(chǎn)品選型之性能測試產(chǎn)品選型之性能測試吞吐量：測試防火墻在

19、沒有丟包情況下的最大傳送數(shù)據(jù)的能力，以防火墻不丟失數(shù)據(jù)包為前提。 丟包率：指防火墻系統(tǒng)在穩(wěn)定負(fù)載情況下的應(yīng)該轉(zhuǎn)發(fā)而未能轉(zhuǎn)發(fā)的報(bào)文的百分比，產(chǎn)生原因主要是由于資源缺乏。 延遲：對于存儲(chǔ)轉(zhuǎn)發(fā)設(shè)備，延時(shí)參數(shù)表示輸入端最后一位比特進(jìn)入后和輸出端第一位比特離開之間的間隔；對于直通轉(zhuǎn)發(fā)的設(shè)備，延時(shí)參數(shù)表示輸入端第一位比特進(jìn)入后和輸出端第一位比特離開的間隔。 背靠背：從空閑狀態(tài)開始同以達(dá)到傳輸介質(zhì)最小合法間隔極限的傳輸速率發(fā)送相當(dāng)數(shù)量的固定長度的幀，當(dāng)出現(xiàn)第一個(gè)幀丟失時(shí)，發(fā)送的幀數(shù)，主要是測試設(shè)備的緩沖能力。 并發(fā)連接數(shù)：測試防火墻的最大并發(fā)連接個(gè)數(shù)。 產(chǎn)品選型之安全性測試產(chǎn)品選型之安全性測試SYN FLO

20、OD測試 PING FLOOD測試PING SWEEP測試 Smurf測試 Land攻擊Teardrop攻擊 產(chǎn)品選型產(chǎn)品選型針對我們自己的產(chǎn)品，后續(xù)會(huì)整理針對我們自身產(chǎn)品的產(chǎn)品選型方案，常用網(wǎng)絡(luò)工具使用說明常用網(wǎng)絡(luò)工具使用說明TcpdumpEthereal參數(shù)：常用網(wǎng)絡(luò)工具使用說明之實(shí)例說明常用網(wǎng)絡(luò)工具使用說明之實(shí)例說明-tcpdumptcpdump -adeflnNOpqStvx -c 數(shù)量 -F 文件名 -i 網(wǎng)絡(luò)接口 -r 文件名 -s snaplen -T 類型 -w 文件名 表達(dá)式 Tcpdump 選項(xiàng)介紹選項(xiàng)介紹(1)-a 將網(wǎng)絡(luò)地址和廣播地址轉(zhuǎn)變成名字； -d 將匹配信息包的代

21、碼以人們能夠理解的匯編格式給出； -dd 將匹配信息包的代碼以c語言程序段的格式給出； -ddd 將匹配信息包的代碼以十進(jìn)制的形式給出； -e 在輸出行打印出數(shù)據(jù)鏈路層的頭部信息； -f 將外部的Internet地址以數(shù)字的形式打印出來； -l 使標(biāo)準(zhǔn)輸出變?yōu)榫彌_行形式； -n 不把網(wǎng)絡(luò)地址轉(zhuǎn)換成名字； -t 在輸出的每一行不打印時(shí)間戳； Tcpdump 選項(xiàng)介紹（選項(xiàng)介紹（2）-v 輸出一個(gè)稍微詳細(xì)的信息，例如在ip包中可以包括ttl和服務(wù)類型的信息； -vv 輸出詳細(xì)的報(bào)文信息； -c 在收到指定的包的數(shù)目后，tcpdump就會(huì)停止； -F 從指定的文件中讀取表達(dá)式,忽略其它的表達(dá)式； -

22、i 指定監(jiān)聽的網(wǎng)絡(luò)接口； -r 從指定的文件中讀取包(這些包一般通過-w選項(xiàng)產(chǎn)生)； -w 直接將包寫入文件中，并不分析和打印出來； -T 將監(jiān)聽到的包直接解釋為指定的類型的報(bào)文，常見的類型有rpc （遠(yuǎn)程過程 調(diào)用）和snmp（簡單網(wǎng)絡(luò)管理協(xié)議；） Tcpdump 的表達(dá)式介紹的表達(dá)式介紹(1)表達(dá)式是一個(gè)正則表達(dá)式，tcpdump利用它作為過濾報(bào)文的條件，如果一個(gè)報(bào)文滿足表 達(dá)式的條件，則這個(gè)報(bào)文將會(huì)被捕獲。如果沒有給出任何條件，則網(wǎng)絡(luò)上所有的信息包將會(huì) 被截獲。 在表達(dá)式中一般如下幾種類型的關(guān)鍵字，一種是關(guān)于類型的關(guān)鍵字，主要包括host， net，port, 例如 host 210.2

23、7.48.2，指明 是一臺主機(jī)，net 指明 是一個(gè)網(wǎng)絡(luò)地址，port 23 指明端口號是23。如果沒有指定類型，缺省的類型是 host. 第二種是確定傳輸方向的關(guān)鍵字，主要包括src , dst ,dst or src, dst and src , 這些關(guān)鍵字指明了傳輸?shù)姆较?。舉例說明，src ,指明ip包中源地址是210.27. 48.2 , dst net 指明目的網(wǎng)絡(luò)地址是 。如果沒有指明方向關(guān)鍵字，則 缺省是src or dst關(guān)鍵字。 Tcpdump 的表達(dá)式介

24、紹的表達(dá)式介紹(2)第三種是協(xié)議的關(guān)鍵字，主要包括fddi,ip ,arp,rarp,tcp,udp等類型。Fddi指明是在 FDDI(分布式光纖數(shù)據(jù)接口網(wǎng)絡(luò))上的特定的網(wǎng)絡(luò)協(xié)議，實(shí)際上它是“ether”的別名，fddi和e ther具有類似的源地址和目的地址，所以可以將fddi協(xié)議包當(dāng)作ether的包進(jìn)行處理和分析。 其他的幾個(gè)關(guān)鍵字就是指明了監(jiān)聽的包的協(xié)議內(nèi)容。如果沒有指定任何協(xié)議，則tcpdump將會(huì) 監(jiān)聽所有協(xié)議的信息包。除了這三種類型的關(guān)鍵字之外，其他重要的關(guān)鍵字如下：gateway, broadcast,less, greater,還有三種邏輯運(yùn)算，取非運(yùn)算是 not ! , 與運(yùn)

25、算是and,&;或運(yùn)算 是o r ,|； 這些關(guān)鍵字可以組合起來構(gòu)成強(qiáng)大的組合條件來滿足人們的需要，下面舉幾個(gè)例子來 說明。Tcpdump的應(yīng)用實(shí)例的應(yīng)用實(shí)例1)想要截獲所有 的主機(jī)收到的和發(fā)出的所有的數(shù)據(jù)包： #tcpdump host (2) 想要截獲主機(jī) 和主機(jī) 或的通信，使用命令 ：（在命令行中適用括號時(shí)，一定要 #tcpdump host and ( or ) (3) 如果想要獲取主機(jī)210.27.48.

26、1除了和主機(jī)之外所有主機(jī)通信的ip包 ，使用命令： #tcpdump ip host and ! (4)如果想要獲取主機(jī)接收或發(fā)出的telnet包，使用如下命令： #tcpdump tcp port 23 host Tcpdump輸出結(jié)果介紹輸出結(jié)果介紹(1) 數(shù)據(jù)鏈路層頭信息 使用命令#tcpdump -e host ice ice 是一臺裝有l(wèi)inux的主機(jī)，她的MAC地址是0：90：27：58：AF：1A H219是一臺裝有SOLARIC的SUN工作站，它的MAC地址是8：0：20：79：5B：46；上一條 命令的輸出結(jié)果如下所示： 21:50:12.847509 eth0 ice. telnet 0:0(0) ack 22535 win 8760 (DF) 分析：21：50：12是顯示的時(shí)間， 847509是ID號，eth0 表示從網(wǎng)絡(luò)接口設(shè)備發(fā)送數(shù)據(jù)包, 8:0:20:79:5b:46是主機(jī)H219的MAC地址,它 表明是從源地址H219發(fā)來的數(shù)據(jù)包. 0:90:27:58:af:1a是主機(jī)ICE的MAC地址,表示該數(shù)據(jù)包的 目的地址是ICE . ip 是表明該數(shù)據(jù)包是IP數(shù)