上一篇: 
Linux安全工具-OpenSSH
Linux安全工具-OpenSSH下一篇: 
Linux安全工具-Snort
Linux安全工具-SnortLinux安全工具-Tcpdump
[ 2008/08/05 12:14 | by selboo ]
Tcpdump可能是检查网络通讯原始数据构成最著名的应用程序了,Debian用户可以通过apt-get install tcpdump来获取,Tcpdump文件就是著名的pcap文件,因为pcap是实现包捕获的库。
在这个例子中,我们dump来自源端口53或目标端口53的所有通讯,意味着,所有的DNS通讯,我使用的-n参数,如果你想更详细一点,你可以使用src port 53或者dst port 53,除此之外,tcpdump尝试ip地址到域名的解析,以便于打印出比较友好的名字,那些DNS请求也将在我们的捕获中显示出来:
# tcpdump -n ’port 53’
tcpdump: verbose output suppressed,
use -v or -vv for full protocol
decode
listening on eth0, link-type EN10MB (Ethernet),
capture size 96 bytes
11:19:58.302298 IP 192.168.0.8.1037 >
192.168.128.1.53: 36224+ A?
www.slashdot.org. (34)
11:19:58.360227 IP 192.168.128.1.53 >
192.168.0.8.1037: 36224 1/5/5 A
66.35.250.151 (239)
...
在其他事情中,snort能存储tcpdump格式的捕获数据,你需要用-r <文件名>和-w <文件名>参数来读取和写入存储的文件。
