借助sniffer診斷l(xiāng)inux網(wǎng)絡(luò)故障

借助sniffer診斷Linux網(wǎng)絡(luò)故障嗅探器(sniffer)在網(wǎng)絡(luò)安全領(lǐng)域是一把雙刃劍，一方面常被黑客作為網(wǎng)絡(luò)攻擊工具，從而造成密碼被盜、敏感數(shù)據(jù)被竊等安全事件；另一方面又在協(xié)助網(wǎng)絡(luò)管理員監(jiān)測(cè)網(wǎng)絡(luò)狀況、診斷網(wǎng)絡(luò)故障、排除網(wǎng)絡(luò)隱患等方面有著不可替代的作用。嗅探器是企業(yè)必不可少的網(wǎng)絡(luò)管理工具。本文以Linux平臺(tái)下三個(gè)常用的網(wǎng)絡(luò)嗅探器Tcpdump、Ethereal和EtherApe為例，介紹如何借助sniffer來(lái)診斷網(wǎng)絡(luò)故障，從而保障網(wǎng)絡(luò)高效安全地運(yùn)行。簡(jiǎn)介嗅探器(sniffer)又稱為包嗅探器，是用來(lái)截獲計(jì)算機(jī)網(wǎng)絡(luò)通信數(shù)據(jù)的軟件或硬件。與電路不同，計(jì)算機(jī)網(wǎng)絡(luò)是共享通信通道的，從而意味著每臺(tái)計(jì)算機(jī)都可能接收到發(fā)送給其它計(jì)算機(jī)的信息，捕獲在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)信息通常被稱為監(jiān)聽(sniffing)。嗅探器常常作為一種收集網(wǎng)絡(luò)中特定數(shù)據(jù)的有效方法，是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其它計(jì)算機(jī)數(shù)據(jù)報(bào)文的一種工具。嗅探器工作在網(wǎng)絡(luò)環(huán)境中的底層，可以攔截所有正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，從而成為網(wǎng)絡(luò)安全的一個(gè)巨大威脅。通過(guò)對(duì)網(wǎng)絡(luò)進(jìn)行嗅探，一些惡意用戶能夠很容易地竊取到絕密文檔和敏感數(shù)據(jù)，因此嗅探器經(jīng)常被黑客當(dāng)作網(wǎng)絡(luò)攻擊的一種基本手段。任何工具都有弊有利，嗅探器既可以作為黑客獲得非法數(shù)據(jù)的手段，但同時(shí)對(duì)網(wǎng)絡(luò)管理員來(lái)講又是致關(guān)重要的。通過(guò)嗅探器，管理員可以診斷出網(wǎng)絡(luò)中大量的不可見模糊問(wèn)題。這些問(wèn)題通常會(huì)涉及到多臺(tái)計(jì)算機(jī)之間的異常通信，而且可能會(huì)牽涉到多種通信協(xié)議。借助嗅探器，管理員還可以很方便地確定出哪些通信量屬于某個(gè)特定的網(wǎng)絡(luò)協(xié)議、占主要通信量的主機(jī)是哪臺(tái)、各次通訊的目標(biāo)是哪臺(tái)主機(jī)、報(bào)文發(fā)送占用多少時(shí)間、各主機(jī)間報(bào)文傳遞的間隔時(shí)間等。這些信息為管理員判斷網(wǎng)絡(luò)問(wèn)題及優(yōu)化網(wǎng)絡(luò)性能，提供了十分寶貴的信息。作為一種發(fā)展比較成熟的技術(shù)，嗅探器在協(xié)助監(jiān)測(cè)網(wǎng)絡(luò)數(shù)據(jù)傳輸、排除網(wǎng)絡(luò)故障等方面有著不可替代的作用，倍受網(wǎng)絡(luò)管理員的青睞?？梢酝ㄟ^(guò)分析網(wǎng)絡(luò)流量來(lái)確定網(wǎng)絡(luò)上存在的各種問(wèn)題，如瓶頸效應(yīng)或性能下降；也可以用來(lái)判斷是否有黑客正在攻擊網(wǎng)絡(luò)系統(tǒng)。如果懷疑網(wǎng)絡(luò)正在遭受攻擊，通過(guò)嗅探器截獲的數(shù)據(jù)包可以確定正在攻擊系統(tǒng)的是什么類型的數(shù)據(jù)包，以及它們的源頭，從而可以及時(shí)地做出響應(yīng)，或者對(duì)網(wǎng)絡(luò)進(jìn)行相應(yīng)的調(diào)整，以保證網(wǎng)絡(luò)運(yùn)行的效率和安全。網(wǎng)絡(luò)管理員在檢測(cè)網(wǎng)絡(luò)故障及維護(hù)網(wǎng)絡(luò)正常通信的過(guò)程中，經(jīng)常需要借助嗅探器提供的某些功能。一般的嗅探器都提供以下一些功能：1.自動(dòng)從網(wǎng)絡(luò)中過(guò)濾及轉(zhuǎn)換有用的信息；2.將截獲的數(shù)據(jù)包轉(zhuǎn)換成易于識(shí)別的格式；3.對(duì)網(wǎng)絡(luò)環(huán)境中的通訊失敗進(jìn)行分析；4.探測(cè)網(wǎng)絡(luò)環(huán)境下的通訊瓶頸；5.檢測(cè)是否有黑客正在攻擊網(wǎng)絡(luò)系統(tǒng)，以阻止其入侵；6.記錄網(wǎng)絡(luò)通信過(guò)程。本文介紹如何在Linux平臺(tái)下利用嗅探器來(lái)截獲在網(wǎng)絡(luò)中傳遞的數(shù)據(jù)信息，從而檢測(cè)出是否存在網(wǎng)絡(luò)瓶頸，以及可能存在的網(wǎng)絡(luò)故障。在Linux平臺(tái)下可用的嗅探器非常多，各自的功能和長(zhǎng)處也不盡相同，本文主要以Tcpdump、Ethereal和EtherApe三種嗅探器為例，講述如何利用各自的優(yōu)點(diǎn)來(lái)對(duì)Linux網(wǎng)絡(luò)的性能和故障進(jìn)行系統(tǒng)的分析和檢測(cè)?！鬞cpdumpTcpdump是一個(gè)命令行方式的網(wǎng)絡(luò)流量監(jiān)測(cè)工具。它誕生的時(shí)間較早，是許多圖形化嗅探器的雛形。◆EtherealEthereal是一個(gè)圖形化的網(wǎng)絡(luò)流量監(jiān)測(cè)工具，比命令行方式的Tcpdump友好很多，可以實(shí)時(shí)地觀看捕獲過(guò)程。◆EtherApeEtherApe也是一個(gè)圖形化的網(wǎng)絡(luò)流量監(jiān)測(cè)工具。與Ethereal不同，EtherApe可以通過(guò)對(duì)主機(jī)間的連接進(jìn)行檢測(cè)，圖形化地顯示網(wǎng)絡(luò)活動(dòng)，因而能更加直觀地顯示出整個(gè)網(wǎng)絡(luò)所處的狀態(tài)。sniffer工作原理在基于TCP/IP協(xié)議的局域網(wǎng)中，當(dāng)數(shù)據(jù)由應(yīng)用層自上而下傳遞時(shí)，首先在網(wǎng)絡(luò)層形成IP數(shù)據(jù)包，然后再向下到達(dá)數(shù)據(jù)鏈路層，由數(shù)據(jù)鏈路層將IP數(shù)據(jù)包分割為數(shù)據(jù)幀，加上以太網(wǎng)包頭后向下發(fā)送到物理媒體上。以太網(wǎng)包頭中包含著本地主機(jī)和目標(biāo)主機(jī)的MAC地址，位于鏈路層的數(shù)據(jù)幀是依靠48位的MAC地址而非IP地址來(lái)尋址的，網(wǎng)絡(luò)接口卡的驅(qū)動(dòng)程序不會(huì)關(guān)心IP數(shù)據(jù)包的目的IP地址。它所需要的僅僅是數(shù)據(jù)包中的MAC地址。當(dāng)局域網(wǎng)內(nèi)的主機(jī)都通過(guò)集線器(HUB)等方式連接時(shí)，一般采用的是共享式的連接。這種共享式的連接有一個(gè)很明顯的特點(diǎn)：發(fā)送數(shù)據(jù)時(shí)物理上采用的是廣播方式。當(dāng)一臺(tái)主機(jī)向另一臺(tái)主機(jī)發(fā)送數(shù)據(jù)時(shí)，共享式的HUB會(huì)將接收到的所有數(shù)據(jù)向HUB上的每個(gè)端口轉(zhuǎn)發(fā)。也就是說(shuō)，當(dāng)主機(jī)根據(jù)MAC地址發(fā)送數(shù)據(jù)包時(shí)，盡管發(fā)送端主機(jī)告知目標(biāo)主機(jī)的地址，但并不意味著一個(gè)網(wǎng)絡(luò)內(nèi)的其它主機(jī)不能監(jiān)聽到發(fā)送端和接收端之間傳遞的數(shù)據(jù)。因此從理論上說(shuō)，當(dāng)采用共享式連接時(shí)，位于同一網(wǎng)段的每臺(tái)主機(jī)都可以截獲在網(wǎng)絡(luò)中傳輸?shù)乃袛?shù)據(jù)。正常情況下，局域網(wǎng)內(nèi)同一網(wǎng)段的所有網(wǎng)卡雖然都具有訪問(wèn)在物理媒體上傳輸?shù)乃袛?shù)據(jù)的能力，但通常一個(gè)網(wǎng)卡只響應(yīng)以下兩種數(shù)據(jù)幀：◆數(shù)據(jù)幀的目標(biāo)MAC地址與網(wǎng)卡自身的MAC地址一致；◆數(shù)據(jù)幀的目標(biāo)MAC地址為廣播地址。只有當(dāng)接收到上面兩種類型的數(shù)據(jù)幀時(shí)，網(wǎng)卡才會(huì)通過(guò)CPU產(chǎn)生一個(gè)硬件中斷，然后再由操作系統(tǒng)負(fù)責(zé)處理該中斷，對(duì)幀中所包含的數(shù)據(jù)做進(jìn)一步處理。也就是說(shuō)，雖然網(wǎng)絡(luò)上所有主機(jī)都可以“監(jiān)聽”到所有的數(shù)據(jù)，但對(duì)不屬于自己的報(bào)文不予響應(yīng)，只是簡(jiǎn)單地忽略掉這些數(shù)據(jù)。但是，如果網(wǎng)絡(luò)中的某臺(tái)主機(jī)不愿意忽略掉不屬于自己的數(shù)據(jù)幀，只需將網(wǎng)卡設(shè)置為混雜(Promiscuous)模式，對(duì)接收到的每一個(gè)幀都產(chǎn)生一個(gè)硬件中斷，以提醒操作系統(tǒng)處理經(jīng)過(guò)該網(wǎng)卡的每一個(gè)數(shù)據(jù)包，這樣網(wǎng)卡就可以捕獲網(wǎng)絡(luò)上所有的數(shù)據(jù)了。如果一臺(tái)主機(jī)的網(wǎng)卡被配置為混雜模式，那么該主機(jī)及其相關(guān)的軟件就構(gòu)成了一個(gè)嗅探器。嗅探器工作在網(wǎng)絡(luò)環(huán)境中的底層，它會(huì)攔截所有正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，通過(guò)借助相應(yīng)的軟件進(jìn)行處理。嗅探器可以實(shí)時(shí)分析這些數(shù)據(jù)的內(nèi)容，進(jìn)而可以幫助網(wǎng)絡(luò)管理員分析整個(gè)網(wǎng)絡(luò)的狀態(tài)、性能或故障。正因如此，在檢測(cè)網(wǎng)絡(luò)故障時(shí)，嗅探器對(duì)管理員來(lái)說(shuō)是一種不可或缺的強(qiáng)力工具。用Tcpdump過(guò)濾數(shù)據(jù)包對(duì)于網(wǎng)絡(luò)管理人員來(lái)說(shuō)，使用嗅探器可以隨時(shí)掌握網(wǎng)絡(luò)的實(shí)際情況，在網(wǎng)絡(luò)性能急劇下降的時(shí)候，可以通過(guò)嗅探器來(lái)分析原因，找出造成網(wǎng)絡(luò)阻塞的根源。Tcpdump就是Linux平臺(tái)下一個(gè)以命令行方式運(yùn)行的網(wǎng)絡(luò)流量監(jiān)測(cè)工具。它能截獲網(wǎng)卡上收到的數(shù)據(jù)包，并能夠協(xié)助網(wǎng)絡(luò)管理員對(duì)其中的內(nèi)容進(jìn)行相應(yīng)的分析。嗅探器能夠截獲指定接口或所有接口的數(shù)據(jù)包，這取決于如何對(duì)嗅探器進(jìn)行配置。缺省情況下嗅探器一般會(huì)顯示所有從網(wǎng)絡(luò)上截獲的數(shù)據(jù)包，但通常會(huì)因?yàn)閿?shù)據(jù)量過(guò)大而使網(wǎng)絡(luò)管理員理不清頭緒。因此，嗅探器一般都提供有相應(yīng)的機(jī)制來(lái)對(duì)截獲的數(shù)據(jù)包進(jìn)行過(guò)濾，從而只顯示符合特定要求的數(shù)據(jù)包。Tcpdump提供了一整套完善的規(guī)則來(lái)對(duì)截獲的數(shù)據(jù)包進(jìn)行過(guò)濾，由于大多數(shù)圖形化的嗅探器都使用類似的過(guò)濾機(jī)制，因此對(duì)Linux網(wǎng)絡(luò)管理員來(lái)說(shuō)，了解如何使用Tcpdump來(lái)捕獲感興趣的數(shù)據(jù)包是一項(xiàng)必須掌握的基本功。Tcpdump的安裝在一些Linux發(fā)行版中，Tcpdump通常作為標(biāo)準(zhǔn)的軟件包被默認(rèn)安裝，執(zhí)行“tcpdump”命令可以確定是否已經(jīng)安裝了Tcpdump。如果系統(tǒng)中還沒(méi)有安裝Tcpdump，可以去“://”下載最新的Tcpdump源碼包。下面以Tcpdum為例，講述如何安裝Tcpdump，此處使用的操作系統(tǒng)是RedHat8.0。首先下載最新的源碼包，并將其解壓縮，命令如下：朋#cp刷tcpdu威mp-音軟.tar.認(rèn)gz/u源sr/lo獨(dú)cal/s明rc/抄#cd久/usr/圍local膠/src/能#tar晚xzvf陶tcpd歌ump-崇午.tar.肺gz在編譯Tcpdump之前，應(yīng)先確定pcap庫(kù)(libpcap)已經(jīng)安裝完畢。這個(gè)庫(kù)是編譯Tcpdump時(shí)所必需的。如果該庫(kù)已經(jīng)安裝，就可以執(zhí)行下面的命令來(lái)編譯并安裝Tcpdump：伴#cd紹tcpdu棗mp-略賄#./c秘onfig嚇ure蛛#mak疫e吹#mak摔eins德tallTcpdump的命令行選項(xiàng)Tcpdump是一個(gè)命令行方式的網(wǎng)絡(luò)嗅探器。它通過(guò)使用命令選項(xiàng)來(lái)過(guò)濾網(wǎng)卡截獲的數(shù)據(jù)包，如果不進(jìn)行過(guò)濾，過(guò)多數(shù)量的包會(huì)使網(wǎng)絡(luò)管理員很難理清頭緒。Tcpdump的命令格式如下：tcpdump[-adeflnNOpqRStuvxX][-c數(shù)量][-C文件尺寸][-F文件名][-i網(wǎng)絡(luò)接口][-m文件名][-r文件名][-s長(zhǎng)度][-T類型][-w文件名][-Ealgo:secret][表達(dá)式]表1Tcpdump常用命令行選項(xiàng)泡-a御將網(wǎng)絡(luò)地址孔和廣播地址千轉(zhuǎn)變成容易蜂識(shí)別的名字帶-d藥將已截獲的穴數(shù)據(jù)包的代淋碼以人容易伶理解的格式蘋輸出；逐-dd珍將已截獲的鄙數(shù)據(jù)包的代胳碼以C程序波的格式輸出屯；牽-ddd絮將已截獲的密數(shù)據(jù)包的代傅碼以十進(jìn)制向格式輸出；禾-e席輸出數(shù)據(jù)鏈北路層的頭部己信息；嘉-f躬將inte蜜rnet地暮址以數(shù)字形康式輸出；屆-l晌將標(biāo)準(zhǔn)輸出瓣變?yōu)樾芯彌_第方式；析-n竄不將網(wǎng)絡(luò)地舅址轉(zhuǎn)換成易哭識(shí)別的主機(jī)膏名，只以數(shù)掙字形式列出棗主機(jī)地址(殃如IP地址腥)，這樣可膨以避免DN欣S查詢；材-t戴不輸出時(shí)間癢戳；癢-v給輸出較詳細(xì)便的信息，例匆如IP包中跑的TTL和茅服務(wù)類型信由息；暫-vv激輸出詳盡的覆報(bào)文信息；米-c歐在捕獲指定柴個(gè)數(shù)的數(shù)據(jù)惱包后退出；喘-F證從指定的文剩件中讀取過(guò)內(nèi)濾規(guī)則，忽跨略命令行中比指定的其它咱過(guò)濾規(guī)則；復(fù)-i哲指定監(jiān)聽的柳網(wǎng)絡(luò)接口；票-r豆從指定的文機(jī)件中讀取數(shù)罰據(jù)包(該文暮件一般通過(guò)驅(qū)-w選項(xiàng)產(chǎn)映生)；炎-w徐將截獲的數(shù)沉據(jù)包直接寫鵲入指定的文妄件中，不對(duì)懼其進(jìn)行分析慶和輸出；候-T吉將截獲的數(shù)協(xié)據(jù)包直接解務(wù)釋為指定類漁型的報(bào)文，管目前支持的啦類型有cn爆fp、rp肺c、rtp祖、snmp仁、vat和侮wb。表1給出了一些常用的Tcpdump命令行選項(xiàng)，使用這些選項(xiàng)可以過(guò)濾出真正感興趣的數(shù)據(jù)包。使用Tcpdump的命令行選項(xiàng)可以很方便地過(guò)濾出需要的數(shù)據(jù)包。例如，要過(guò)濾掉所有除ARP請(qǐng)求和應(yīng)答的通信數(shù)據(jù)，可以輸入“tcpdumparp”命令。該命令只對(duì)ARP的請(qǐng)求和應(yīng)答信息進(jìn)行截獲，在Tcpdump的輸出信息中，請(qǐng)求是“arpwho-has”這樣的條目，而應(yīng)答則是“arpreply”這樣的條目，如圖1所示。圖1ARP過(guò)濾如果要做更多的處理，比如從指定的網(wǎng)絡(luò)接口截獲5個(gè)ARP數(shù)據(jù)包，并且不將網(wǎng)絡(luò)地址轉(zhuǎn)換成主機(jī)名，則可以用命令“tcpdumparp-ieth0-c5-n”。Tcpdump的過(guò)濾表達(dá)式Tcpdump的過(guò)濾表達(dá)式是一個(gè)正則表達(dá)式，Tcpdump利用其作為過(guò)濾數(shù)據(jù)包的條件。如果一個(gè)數(shù)據(jù)包滿足表達(dá)式的條件，則這個(gè)數(shù)據(jù)據(jù)包將會(huì)被捕獲；如果不指定表達(dá)式，則在網(wǎng)絡(luò)上任何兩臺(tái)主機(jī)間的所有數(shù)據(jù)包都將被截獲。過(guò)濾表達(dá)式的作用就是使Tcpdump只輸出網(wǎng)絡(luò)管理員所需要的數(shù)據(jù)，如一個(gè)指定的網(wǎng)絡(luò)接口和特定主機(jī)間的IP數(shù)據(jù)包。Tcpdump的過(guò)濾表達(dá)式中一般有如下幾種類型的關(guān)鍵字：◆類型關(guān)鍵字這類關(guān)鍵字用于指定主機(jī)、網(wǎng)絡(luò)或端口，包括host、net和port三個(gè)關(guān)鍵字。例如，可以用“host7”來(lái)標(biāo)明監(jiān)聽的主機(jī)；用“net”來(lái)標(biāo)明監(jiān)聽的網(wǎng)絡(luò)；用“port23”來(lái)標(biāo)明監(jiān)聽的端口。如果沒(méi)有在表達(dá)式中指明類型，則缺省的類型為host?！舴较蜿P(guān)鍵字這類關(guān)鍵字用于指定截獲的方向，包括dst、src、dstorsrc、dstandsrc四個(gè)關(guān)鍵字。例如，可以用src7來(lái)指明截獲的數(shù)據(jù)包中的源主機(jī)地址；用“dstnet”來(lái)指明截獲的數(shù)據(jù)包中的目標(biāo)網(wǎng)絡(luò)地址。如果沒(méi)有在表達(dá)式中指明方向，則缺省的方向?yàn)椤癲storsrc”，即兩個(gè)方向的數(shù)據(jù)包都將被捕獲。對(duì)于數(shù)據(jù)鏈路層協(xié)議(如SLIP和PPP)，使用inbound和outbound來(lái)定義方向?！魠f(xié)議關(guān)鍵字這類關(guān)鍵字用于指定要截獲的數(shù)據(jù)包所屬的協(xié)議，包括ether、fddi、tr、ip、ip6、arp、rarp、decnet、tcp和udp等關(guān)鍵字。關(guān)鍵字fddi指明在FDDI(分布式光纖數(shù)據(jù)接口網(wǎng)絡(luò))上的特定網(wǎng)絡(luò)協(xié)議。實(shí)際上它是ether的別名。fddi和ether具有類似的源地址和目標(biāo)地址，所以可以將fddi協(xié)議包當(dāng)作ether的包進(jìn)行分析和處理。其它幾個(gè)關(guān)鍵字只是指定了所要截獲的協(xié)議數(shù)據(jù)包。如果沒(méi)有在表達(dá)式中指明協(xié)議，則Tcpdump會(huì)截獲所有協(xié)議的數(shù)據(jù)包。除了上述三種類型的關(guān)鍵字外，Tcpdump的過(guò)濾表達(dá)式中還可以指定的一些重要關(guān)鍵字包括gateway、broadcast、multicast、less、greater。這些關(guān)鍵字對(duì)于監(jiān)聽網(wǎng)絡(luò)中的廣播和多播很有幫助。關(guān)于這些關(guān)鍵字的更多信息和用法請(qǐng)參考Tcpdump的man手冊(cè)。在Tcpdump的過(guò)濾表達(dá)式中，各類關(guān)鍵字之間還可以通過(guò)布爾運(yùn)算符來(lái)構(gòu)成組合表達(dá)式，以滿足實(shí)際運(yùn)用時(shí)的需要。布爾運(yùn)算符包括取非運(yùn)算符(not或!)、與運(yùn)算符(and或&&)、或運(yùn)算符(or或||)，使用布爾運(yùn)算符可以將表達(dá)式組合起來(lái)構(gòu)成強(qiáng)大的組合條件，從而能夠?qū)cpdump的過(guò)濾器做進(jìn)一步細(xì)化。下面給出幾個(gè)使用Tcpdump過(guò)濾數(shù)據(jù)包的例子，嗅探器提供的過(guò)濾表達(dá)式對(duì)于管理員監(jiān)測(cè)網(wǎng)絡(luò)運(yùn)行狀況非常重要：1.如果想要截獲主機(jī)“7”所有收到和發(fā)出的數(shù)據(jù)包，可以使用如下命令：還#tcp黃dump蠅host異9.185膝.10.5擺72.如果想要截獲在主機(jī)“7”和主機(jī)“8”或“9”之間傳遞的數(shù)據(jù)包，可以使用如下命令：附#tcp粉dump興host臭9.185饑.10.5嬸7and艦\熊>\(自9.185粥.10.5岸8or朝9.185淡.10.5槐9\)需要注意的是，在使用布爾運(yùn)算符構(gòu)成組合表達(dá)式時(shí)，有時(shí)需要使用括號(hào)來(lái)表達(dá)復(fù)雜的邏輯關(guān)系。如果要在命令行中使用括號(hào)，一定要用轉(zhuǎn)義字符(“\”)對(duì)括號(hào)進(jìn)行轉(zhuǎn)義，否則命令行解釋器將給出語(yǔ)法錯(cuò)誤的提示。3.如果想要截獲主機(jī)“7”和除主機(jī)“8”外所有其它主機(jī)之間通信的IP數(shù)據(jù)包，可以使用如下命令：揪#tcp雷dump磚ipho訊st9.滲185.1插0.57渾and!利9.18油5.10.設(shè)584.如果想要截獲主機(jī)“7”接收或發(fā)出的FTP(端口號(hào)為21)數(shù)據(jù)包，可以使用如下命令：告#tcp形dump肚tcpp卵ort2敗1hos棍t9.1進(jìn)85.10猜.575.如果懷疑系統(tǒng)正受到拒絕服務(wù)(DoS)攻擊，網(wǎng)絡(luò)管理員可以通過(guò)截獲發(fā)往本機(jī)的所有ICMP包，來(lái)確定目前是否有大量的ping指令流向服務(wù)器，此時(shí)就可以使用下面的命令：閣#tcp炸dump極icmp熊-n-i辦eth0Tcpdump的輸出結(jié)果在對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)包進(jìn)行過(guò)濾后，Tcpdump的輸出結(jié)果中包含網(wǎng)絡(luò)管理員關(guān)心的網(wǎng)絡(luò)狀態(tài)信息。由于Tcpdump只是一個(gè)命令行方式的嗅探器，因而其輸出結(jié)果不是很直觀，下面以幾種典型的輸出信息為例，介紹如何對(duì)Tcpdump的輸出結(jié)果進(jìn)行分析。1.數(shù)據(jù)鏈路層頭信息使用“tcpdump-ehosttiger”命令截獲主機(jī)“tiger”所有發(fā)出和收到的數(shù)據(jù)包，并在輸出結(jié)果中包含數(shù)據(jù)鏈路層的頭部信息?！皌iger”是一臺(tái)裝有Linux的主機(jī)，其MAC地址是00:D0:59:BF:DA:06；“mag”是一臺(tái)裝有SCOUnix的工作站，其MAC地址是08:90:B0:2F:AF:46，上述命令的輸出結(jié)果如下：施20:15堅(jiān):20.7變35429紛eth0嚷權(quán)<08:譜90:b0網(wǎng):悔2f唱:af:4拼600:僚d0:59湯:bf:d旗a:06漠ip60珠:mag穩(wěn).3657員9>畏tige栗r.ftp慢0獻(xiàn):0(0)辨ack醬25565其win腥8970華(DF)在輸出的信息中，“20:15:20”為截獲數(shù)據(jù)包的時(shí)間，“735429”是毫秒數(shù)，“eth0<”表示從網(wǎng)絡(luò)接口eth0接收該數(shù)據(jù)包(若為“eth0>”，則表示從網(wǎng)絡(luò)接口eth0發(fā)送數(shù)據(jù)包)?！?8:90:b0:2f:af:46”是主機(jī)mag的MAC地址，指明發(fā)送該數(shù)據(jù)包的源主機(jī)為“mag”，“00:d0:59:bf:da:06”是主機(jī)tiger的MAC地址，指明該數(shù)據(jù)包發(fā)送的目標(biāo)主機(jī)為“tiger”。“ip”表明該數(shù)據(jù)包是IP數(shù)據(jù)包，“60”是數(shù)據(jù)包的長(zhǎng)度，“mag.36579>tiger.ftp”表明該數(shù)據(jù)包是從主機(jī)“mag”的36579端口發(fā)往主機(jī)“tiger”的FTP(21)端口?！癮ck25565”表示對(duì)序列號(hào)為25565的包進(jìn)行確認(rèn)，“win8970”則指明發(fā)送窗口的大小為8760。2.ARP包的輸出信息若使用“tcpdumparp-c2”命令截獲ARP數(shù)據(jù)包，得到的輸出結(jié)果可能是：唱20:42坑:22.7惠13502禮eth0捉盆>arp的who-劫hasm兵agte稠llti請(qǐng)ger馳(00:d嫩0:59:找bf:da根:06)就20:42玻:22.7柴13907角eth0普茂<arp漢repl尋ymag病is-a可t08:策90:b0幼:立2f墾:af:4繪6擱(00:遮d0:59遲:bf:d澆a:06)在輸出的信息中，“20:42:22”為截獲數(shù)據(jù)包的時(shí)間；“713502”和“713907”為毫秒數(shù)；“eth0>”表明從主機(jī)發(fā)出該數(shù)據(jù)包；“eth0<”表明從主機(jī)接收該數(shù)據(jù)包?！癮rp”表明該數(shù)據(jù)包是ARP請(qǐng)求，“who-hasmagtelltiger”表明是主機(jī)“tiger”請(qǐng)求主機(jī)“mag”的MAC地址，“00:d0:59:bf:da:06”是主機(jī)“tiger”的MAC地址?！皉eplymagis-at”表明主機(jī)“mag”響應(yīng)“tiger”的ARP請(qǐng)求，“08:90:b0:2f:af:46”是主機(jī)“mag”的MAC地址。3.TCP包的輸出信息用Tcpdump截獲的TCP包的一般輸出格式如下：貫src>欺dst:終flag繭sdat絕a-seq身unoa界ckwi梨ndow奴urgen柏topt賢ions點(diǎn)“src凝>dst靈:”標(biāo)明從帥源地址到目個(gè)的地址；f紅lags是張TCP包中恰的標(biāo)志信息孝，包括S(嚷SYN)標(biāo)朵志、F(F慎IN)標(biāo)志漲、P(PU寧SH)標(biāo)志摔、R(RS液T)標(biāo)志和韻“.”(沒(méi)謙有標(biāo)志)；妖data-暖sequn澡o是數(shù)據(jù)包辯中的數(shù)據(jù)序虜列號(hào)；ac皺k是下次期叛望的數(shù)據(jù)序算列號(hào)；wi乖ndow是擺接收緩存的依窗口大小；敗urgen完t標(biāo)明數(shù)據(jù)寶包中是否有愛緊急指針；押optio雷ns是可能兵的選項(xiàng)值。撒辛4.UD焰P包的輸出酬信息織用Tcpd靈ump截獲穩(wěn)的UDP包毅的一般輸出慌格式如下：盆近src.p晚ort1玉>dst圾.port增2:ud聰plen憲th鑄UDP中包輛含的信息很嫂簡(jiǎn)單。上面坊的輸出結(jié)果鋪表明從主機(jī)旋“src”更的“por謊t韻1”姿端口發(fā)出的毯一個(gè)UDP笑數(shù)據(jù)包被送睬到主機(jī)“d璃st”的“言port喉2”豎端口，數(shù)據(jù)賴包的類型是差UDP，其跳長(zhǎng)度為“l(fā)煙enth”紗。慶通過(guò)上面的繞介紹可以知神道，Tcp經(jīng)dump是盯一個(gè)命令行雹方式的嗅探洽器。它可以說(shuō)根據(jù)需要顯仆示出經(jīng)過(guò)一覺(jué)個(gè)網(wǎng)絡(luò)接口格的所有數(shù)據(jù)廣包，供網(wǎng)絡(luò)愚管理員對(duì)網(wǎng)捧絡(luò)進(jìn)行檢測(cè)豈。但由于采墾用的是命令野行方式，對(duì)衰這些數(shù)據(jù)包鳥的分析可能萄會(huì)比較困難夫。利用Tc畜pdump淋提供的表達(dá)抖式過(guò)濾一些刪截獲的數(shù)據(jù)采包，可以從毅截獲的大量顆數(shù)據(jù)包中提論取出有用的滿信息，從而懲能夠有針對(duì)抵性地對(duì)網(wǎng)絡(luò)盜進(jìn)行監(jiān)測(cè)。驗(yàn)命由于所有網(wǎng)蠢絡(luò)嗅探器的插原理都大體獨(dú)相似，因而版Tcpdu茅mp的基本挖知識(shí)可以應(yīng)榜用于幾乎所血有的嗅探器險(xiǎn)。Tcpd慌ump是基蟲于命令行方窮式的嗅探器里，其輸出結(jié)斜果比較難于容分析，因此綢很多網(wǎng)絡(luò)管奔理員都使用奸圖形化的嗅肢探器來(lái)檢測(cè)蹈網(wǎng)絡(luò)故障，絨并處理可能綁存在的安全抹問(wèn)題。下次撒將介紹兩個(gè)秘圖形化的網(wǎng)纖絡(luò)嗅探器—澡Ether耐eal和E巡hterA瓜pe。同T居cpdum伏p相比，使行用這兩個(gè)嗅賺探器的分析歇過(guò)程要簡(jiǎn)單壇許多。騰上次介紹了再嗅探器的基績(jī)本原理，以算及如何用T慮cpdum融p來(lái)截獲網(wǎng)刊絡(luò)上的數(shù)據(jù)竹包。但Tc配pdump猾只是一個(gè)命臣令行方式下符的網(wǎng)絡(luò)嗅探銳器，雖然功游能強(qiáng)大，可懇分析起數(shù)據(jù)梳包來(lái)卻不是稈很方便。好礦在Linu宰x下還有一慶些具有良好擾GUI界面決的嗅探器可讀以借助。E跪there息al和Et撲herAp嘗e就是其中殃的佼佼者。寧有了Tcp友dump的它基礎(chǔ)，再使盡用這兩個(gè)嗅把探器就感覺(jué)遮很輕松。吼用Ethe濕real分碑析協(xié)議數(shù)據(jù)叫包圣遠(yuǎn)Ether臂eal是一削個(gè)圖形用戶肯接口（GU遠(yuǎn)I）的網(wǎng)絡(luò)癥嗅探器，能磚夠完成與T錢cpdum燥p相同的功板能，但操作誦界面要友好提很多。Eh檔terea窩l和Tcp譯dump都儉依賴于pc光ap庫(kù)（l僻ibpca拿p），因此夕兩者在許多鏟方面非常相妄似（如都使為用相同的過(guò)途濾規(guī)則和關(guān)慢鍵字）。E日there超al和其它齊圖形化的網(wǎng)寶絡(luò)嗅探器都裝使用相同的山界面模式，呆如果能熟練成地使用Et籮herea待l，那么其畏它圖形用戶圈界面的嗅探抱器基本都可脂以操作。盾Ether漿eal的安落裝浩在姿://ww餡w.eth額ereal邁網(wǎng)躺站上可以下炕載到最新的斬Ether帥eal源碼竄包。下面以民Ether志eal仇鏟為例，講述殃如何安裝E闖there通al，此處愧使用的操作貞系統(tǒng)是Re冊(cè)dHat脹8.0。旅攤首先下載最療新的源碼包旋，并將其解船壓縮：木#cp疾ether淚eal-誰(shuí)萬(wàn).tar.專bz2/慕usr/l騎ocal/追src/謙#cd韻/usr/朱local萌/src/綁#bzi第p2-d婆ethe配real-挎海.tar.壽bz2拌#tar對(duì)xvf記ether近eal-旨刑.tar華同Tcpd爺ump一樣籠，在編譯E援there神al之前應(yīng)等先確定已經(jīng)體安裝pca眾p庫(kù)（li客bpcap緒），這是編愉譯Ethe舉real時(shí)瘡所必需的。雹如果該庫(kù)已挺經(jīng)安裝，就率可以執(zhí)行下貴面的命令來(lái)拳編譯并安裝石Ether素eal：勒#cd老ether免eal-掉徐#./c仆onfig節(jié)ure景#mak希e取#mak勤eins朵tall膠設(shè)置Eth塘ereal冬的過(guò)濾規(guī)則呢榜當(dāng)編譯并安叼裝好Eth殿ereal炸后，就可以躍執(zhí)行“et租herea罩l”命令來(lái)個(gè)啟動(dòng)Eth閱ereal貞。在用Et本herea豐l截獲數(shù)據(jù)殃包之前，應(yīng)香該為其設(shè)置靈相應(yīng)的過(guò)濾孫規(guī)則，可以晉只捕獲感興泰趣的數(shù)據(jù)包撓。Ethe畏real使遵用與Tcp辱dump相扶似的過(guò)濾規(guī)猴則，并且可限以很方便地嗚存儲(chǔ)已經(jīng)設(shè)數(shù)置好的過(guò)濾誕規(guī)則。要為序Ether稈eal配置跟過(guò)濾規(guī)則，谷首先單擊“規(guī)Edit”喝選單，然后財(cái)選擇“Ca膠pture礙Filt衛(wèi)ers..漢.”菜單項(xiàng)粉，打開“E沉ditC派aptur臺(tái)eFil救terL臨ist”對(duì)促話框（如圖炊1所示）。蔬因?yàn)榇藭r(shí)還垮沒(méi)有添加任序何過(guò)濾規(guī)則未，因而該對(duì)胞話框右側(cè)的地列表框是空宗的?；饒D1Et鄉(xiāng)herea露l過(guò)濾器配梅置對(duì)話框浮在Ethe降real中增添加過(guò)濾器環(huán)時(shí)，需要為持該過(guò)濾器指床定名字及規(guī)孫則。例如，簽要在主機(jī)1瘦橋97.16的2和www錢.sohu陶間揚(yáng)創(chuàng)建過(guò)濾器酸，可以在“慈Filte突rnam悶e”編輯框惱內(nèi)輸入過(guò)濾龜器名字“s鴿ohu”，鹿在“Fil收ters識(shí)tring茅”編輯框內(nèi)績(jī)輸入過(guò)濾規(guī)苗則“hos談t10.奏1.197恨.162約andw筑ww.so素hu.co類m”，然后鈔單擊“Ne畜w”按鈕即左可，如圖2肉所示。油圖2為E扒there括al添加一幼個(gè)過(guò)濾器漿在Ethe盞real中梅使用的過(guò)濾獻(xiàn)規(guī)則和Tc爬pdump杯幾乎完全一辮致，這是因化為兩者都基佳于pcap更庫(kù)的緣故。廉Ether億eal能夠滔同時(shí)維護(hù)很嶺多個(gè)過(guò)濾器筒。網(wǎng)絡(luò)管理像員可以根據(jù)南實(shí)際需要選巾用不同的過(guò)灣濾器，這在襲很多情況下綢是非常有用客的。例如，駱一個(gè)過(guò)濾器廚可能用于截腦獲兩個(gè)主機(jī)哪間的數(shù)據(jù)包徹，而另一個(gè)良則可能用于虛截獲ICM攪P包來(lái)診斷瞇網(wǎng)絡(luò)故障。冤喊當(dāng)所有需要皆的過(guò)濾器都暮創(chuàng)建好后，氣單擊“Sa鍛ve”按鈕都保存創(chuàng)建的莫過(guò)濾器，然亭后單擊“C使lose”掉按鈕來(lái)關(guān)閉賭“Edit憑Capt跨ureF是ilter痛List錢”對(duì)話框。甲要將過(guò)濾器揪應(yīng)用于嗅探頃過(guò)程，需要馬在截獲數(shù)據(jù)拍包之前或之方后指定過(guò)濾哄器。要為嗅屋探過(guò)程指定賊過(guò)濾器，并候開始截獲數(shù)幫據(jù)包，可以墨單擊“Ca摸pture呢”選單，選鴿擇“Sta名rt...氧”選單項(xiàng)，喜打開“Ca咽pture夠Opti劈ons”對(duì)意話框，單擊悅該對(duì)話框中幅的“Fil不ter:”偉按鈕，然后宿選擇要使用兩的過(guò)濾器，乎如圖3所示殺。青圖3為E涉there利al指定過(guò)萬(wàn)濾器榨注意在“C澇aptur鍋eOpt首ions”止對(duì)話框中，設(shè)“Upda別teli褲stof姜pack后etsi耕nrea爪ltim寨e”復(fù)選框夸被選中了。秋這樣可以使齡每個(gè)數(shù)據(jù)包嗓在被截獲時(shí)喊就實(shí)時(shí)顯示疊出來(lái)，而不隙是在嗅探過(guò)姐程結(jié)束之后嬌才顯示所有團(tuán)截獲的數(shù)據(jù)撓包。待在選擇了所穩(wěn)需要的過(guò)濾竹器后，單擊生“OK”按靠鈕，整個(gè)嗅績(jī)探過(guò)程就開罷始了。Et銳herea冊(cè)l可以實(shí)時(shí)拔顯示截獲的乘數(shù)據(jù)包，因扁此能夠幫助泳網(wǎng)絡(luò)管理員唯及時(shí)了解網(wǎng)隔絡(luò)的運(yùn)行狀妖況，從而使贊其對(duì)網(wǎng)絡(luò)性坦能和流量能猴有一個(gè)比較酒準(zhǔn)確的把握駐。不用Ethe君real分系析數(shù)據(jù)包繁津Ether宏eal和其乏它的圖形化懂嗅探器使用倡基本類似的久界面，整個(gè)總窗口被分成陣三個(gè)部分：抓最上面為數(shù)勵(lì)據(jù)包列表，錯(cuò)用來(lái)顯示截促獲的每個(gè)數(shù)芳據(jù)包的總結(jié)華性信息；中肯間為協(xié)議樹集，用來(lái)顯示躁選定的數(shù)據(jù)可包所屬的協(xié)還議信息；最波下邊是以十響六進(jìn)制形式泡表示的數(shù)據(jù)創(chuàng)包內(nèi)容，用屬來(lái)顯示數(shù)據(jù)跟包在物理層鴉上傳輸時(shí)的掛最終形式。史礦使用Eth悄ereal獸可以很方便鎖地對(duì)截獲的海數(shù)據(jù)包進(jìn)行表分析，包括托該數(shù)據(jù)包的民源地址、目隸的地址、所鋪屬協(xié)議等。合圖4是在E盈there天al中對(duì)一太個(gè)奧數(shù)據(jù)包進(jìn)行錫分析時(shí)的情萄形。闖在圖3最上拴邊的數(shù)據(jù)包隨列表中，顯靜示了被截獲顫的數(shù)據(jù)包的仔基本信息。博從圖中可以寧看出，當(dāng)前膀選中數(shù)據(jù)包阻的源地址是寬10.1.炒197.1覽62，目的揉地址為61確.135.頑150.6陡5，該數(shù)據(jù)塊包所屬的協(xié)見議是超文本刑傳輸協(xié)議(捉)捷。更詳細(xì)的弱信息表明該磁數(shù)據(jù)包中含伸有一個(gè)HT筐TP的GE丘T命令，要富求下載st廁arrtl事og.js廚文件到客戶甘端的Web捐瀏覽器。擋圖4用E傷there聞al分析數(shù)萄據(jù)包內(nèi)容儲(chǔ)圖4中間是均協(xié)議樹，通凱過(guò)協(xié)議樹可煩以得到被截收獲的數(shù)據(jù)包霉的更多信息燕，如主機(jī)的囑MAC地址籮(Ethe囑rnet樂(lè)II)、I森P地址(I所ntern椅etPr版otoco技l)、TC鐵P端口號(hào)(葵Trans趣missi抵onCo刮ntrol雙Prot池ocol)測(cè)，以及HT墳TP協(xié)議的累具體內(nèi)容(彎Hyper禁text多Trnas洲ferP盜rotoc場(chǎng)ol)。通根過(guò)擴(kuò)展協(xié)議歌樹中的相應(yīng)蔑節(jié)點(diǎn)，可以赤得到該數(shù)據(jù)寇包中攜帶的廁更詳盡的信扔息。傾圖4最下邊夫是以十六制變顯示的數(shù)據(jù)刮包的具體內(nèi)暢容，這是被機(jī)截獲的數(shù)據(jù)樹包在物理媒勇體上傳輸時(shí)假的最終形式錢，當(dāng)在協(xié)議疑樹中選中某怕行時(shí)，與其細(xì)對(duì)應(yīng)的十六碼進(jìn)制代碼同循樣會(huì)被選中鞋，這樣就可廊以很方便地春對(duì)各種協(xié)議臺(tái)的數(shù)據(jù)包進(jìn)蹦行分析。徹Ether埋eal提供鐮的圖形化用腎戶界面非常初友好，管理現(xiàn)員可以很方報(bào)便地查看到助每個(gè)數(shù)據(jù)包漆的詳細(xì)信息須，協(xié)議樹及辨其對(duì)應(yīng)的十師六進(jìn)制表示夫?qū)Ψ治雒總€(gè)拒數(shù)據(jù)包的目懷的很有幫助早，綜合使用擔(dān)Ether晶eal和T躬cpdum燭p能夠基本拒滿足網(wǎng)絡(luò)管器理員在Li生nux系統(tǒng)擺上的所有嗅首探要示。焰用Ethe鳳rApe查肯看網(wǎng)絡(luò)流量普攜Ether詳Ape也是孫一個(gè)圖形化新的網(wǎng)絡(luò)嗅探圖器。與Eh這terea疊l不同，E行therA銅pe通過(guò)驗(yàn)向證主機(jī)與主辨機(jī)之間的鏈葡接，圖形化陵地顯示網(wǎng)絡(luò)澆目前所處的毯狀態(tài)。Et威herAp柏e使用不同呀顏色的連線咬來(lái)表示位于夢(mèng)不同主機(jī)之浙間的連接，黑而連線的粗遷細(xì)則表明主狼機(jī)間數(shù)據(jù)流凡量的大小。典這些信息都神是實(shí)時(shí)變化品的，因而能伐夠協(xié)助管理?yè)魡T隨時(shí)了解咸到網(wǎng)絡(luò)中各社部分流量的下變化情況。榴臨Ether武Ape的安政裝鴨Ehter谷Ape支持梳Ether戴net、F量DDI和T執(zhí)oken橡Ring等亂多種網(wǎng)絡(luò)，家能夠?qū)崟r(shí)地捎從網(wǎng)絡(luò)或文親件中讀取網(wǎng)匪絡(luò)流量的變之化情況。此逐外它還可以災(zāi)將網(wǎng)絡(luò)流量轉(zhuǎn)信息保存下果來(lái)，以便在淡之后需要時(shí)垃再顯示出來(lái)鹿。在htt癥重ww.so餓urcef贊orge.腿net/p稼rojec渡ts/et矛herap更e/網(wǎng)站上持可以下載到園最新的Et六he