盡管Snort之類的工具在篩選通過我們的網絡而來的所有內容方面做得非常出色，但有時必須要查看原始數(shù)據(jù)。為此，我們最好的工具是“ tcpdump”。

使用tcpdump的最基本方法是簡單地發(fā)出以下命令：

1. tcpdump 

您可以使用-v選項獲得更多詳細信息，而-vv可以獲取更多信息。

有用的選項

假設您已登錄到要管理的遠程計算機。如果您不帶任何選項運行“ tcpdump”，則輸出將被來自您的SSH連接的數(shù)據(jù)包淹沒。為避免這種情況，只需從輸出中消除端口22：

1. tcpdump not port 22 

您可以使用許多不同的端口來執(zhí)行此操作：

1. tcpdump not port 143 and not port 25 and not port 22 

如果要進行相反的操作，即僅監(jiān)視某個端口（這對于調試網絡應用程序非常有用），則可以執(zhí)行以下操作：

1. tcpdump port 143 

您還可以從網絡上的特定主機獲取數(shù)據(jù)：

1. tcpdump host hal9000 

如果您的計算機具有多個網絡接口，則還可以指定要收聽的網絡接口：

1. tcpdump -i eth1 

您還可以指定協(xié)議：

1. tcpdump udp 

您可以在/ etc / protocols中找到協(xié)議列表。

保存輸出以備后用

在某些情況下，您可能希望將輸出重定向到文件，以便以后可以詳細研究它或使用其他程序來解析輸出。在以下示例中，您仍然可以在將輸出保存到文件時觀看輸出：

1. tcpdump -l | tee tcpdump_`date +%Y%m%e-%k.%M` 

在上面的示例中，我們可以使用日期和時間來標識每個轉儲。在處理一天中特定時間出現(xiàn)的問題時，這可能會派上用場。

tcpdump還可以選擇將其輸出轉儲為二進制格式，以便以后讀取。要創(chuàng)建一個二進制文件：

1. tcpdump -w tcpdump_raw_`date +%Y%m%e-%k.%M` 

稍后，您可以讓tcpdump使用以下命令讀取文件

1. tcpdump -r tcpdump_raw_YYYMMDD-H.M 

您也可以使用ethereal程序打開原始轉儲并解釋它。

tcpdump為我們提供了有關往返于網絡的所有數(shù)據(jù)包的信息。

將Ethereal與tcpdump一起使用Ethereal

Ethereal是一種也可以用來捕獲網絡數(shù)據(jù)包的工具。安裝后，您可以打開您制作的原始轉儲文件。

查看正在發(fā)生的事情變得相當容易。您可以看到源IP和目標IP以及它是什么類型的數(shù)據(jù)包。這很容易，然后即可對您可能遇到的網絡問題進行故障排除并分析可疑行為。只是為了增加一則軼事，當我編寫本課并解釋自己的轉儲時，我在個人工作站上看到了一些奇怪的活動。我?guī)缀趺扛艄潭〞r間就查詢世界上不同IP的機器上的端口32772。我為端口32772運行了一個特定的轉儲，如下所示：

1. tcpdump port 32772 -w dump_32772 

讀取原始輸出

如您所見，即使從tcpdump讀取所謂的“人類可讀”輸出也可能有點神秘。看下面的示例，我只是從轉儲中選出一個隨機數(shù)據(jù)包：

1. 17:26:22.924493 IP www.linux.org.www > test.linux.org.34365: P 2845:3739(894) ack 1624 win 9648 <nop,nop,timestamp 326501459 24374272> 

我們所擁有的是對https://www.linux.org/的Web服務器請求。時間戳記過后，您會在主機名（即端口80）的末尾注意到.www。這將被發(fā)送到發(fā)出請求的主機test.linux.org的端口34365。“ P”代表TCP“ oush”功能。這意味著應該立即發(fā)送數(shù)據(jù)。在2845：3739（894）之后的數(shù)字中，2845標記第一個數(shù)據(jù)包的八位位組的編號。數(shù)字3739是數(shù)據(jù)包發(fā)送的最后一個字節(jié)的數(shù)字加1。數(shù)字894是發(fā)送的數(shù)據(jù)包的長度。表示“ ack 1624”的部分是“ acknowledge”的TCP術語-表示該數(shù)據(jù)包已被接受，下一個預期的數(shù)據(jù)包編號為1624。之后，我們看到“ win 9648”發(fā)送主機正在等待窗口大小為9648個八位位組的數(shù)據(jù)包。這之后是時間戳。

現(xiàn)在，如果您認為難以解釋，則使用-x選項，它將在十六進制輸出中包含數(shù)據(jù)包內容。

1. 18:12:45.149977 IP www.linux.org.www > test.linux.org.34536: . 1:1449(1448)   
2. ack 487 win 6432 <nop,nop,timestamp 329284215 27156244>  
3.         0x0000:  4500 05dc 6a81 4000 4006 493b c0a8 0006  E...j.@.@.I;....  
4.         0x0010:  c0a8 0009 0050 86e8 8fa4 1d47 1c33 e3af  .....P.....G.3..  
5.         0x0020:  8010 1920 b4d9 0000 0101 080a 13a0 7a77  ..............zw  
6.         0x0030:  019e 5f14 4854 5450 2f31 2e31 2032 3030  .._.HTTP/1.1.200  
7.         0x0040:  204f 4b0d 0a44 6174 653a 2054 6875 2c20  .OK..Date:.Thu,.  
8.         0x0050:  3135 

我們可以從輸出中得知這是一個HTTP請求。至于其余的，它不是人類可讀的，但是我們很容易知道這是一個合法的數(shù)據(jù)包。使用這種格式的另一個好處是，即使我們無法完全解釋此數(shù)據(jù)包的狀況，也可以將其發(fā)送給可能的人。最終，這是未經任何過濾通過網絡傳輸?shù)脑紨?shù)據(jù)。