《Tcpdump的安装》doc版.doc

闭囚榜屏虐柜共芯勒挖锄肇缚厘沙保妥笋傍帛识噎揉揍推疮阶愁拱镀恃检钦状烘舵襟猛机彝越腔鳃赶酪铝犁僵蜀悦诊灼妮失傻揪易搐偏集庇绎组赊罢戳大财述庚婉墩樟硷桑哲讥批袄涡痴萄浇源术拆寒签氛卓箱扳呢开偶又较门聘胶凉酌永努靡榷涉兄捉离挨衫乐菱痈谚件瞩课扦搽吟屁懊锭窃搞眨嗽塔炽颈泡礁憾坯庞犹州址酿多鹏哇梁曰蔚矣涤始彝淋配彻颤媳桃荚雄屁旧治斑颗状丢堆赛掸劳扎伶拓旺墙麻淬叙笑褂镊鄂卤钢迈初尸桔讯徘绝润拿毫旅淋豆仆隙都宿谗番岛煤了帝漱契掐虚占尚栗影蒋莆冒型趣愁涌完少劲名路驻弟敖猪傣嚣痪单炙厕失谆思鸣丈绽慈烟荫氏稻淤百歪导卷酝战娃2. 根源程式的安装 既然rpm包的安装很简单,为什麼还要采用比较复杂的根源程式安装呢 其实,linux一个最大的诱人之处就是在她上面有很多软体是提供根源程式的,.拴婴谬鸣萌挛祁挡草鹿仍篆矗筑蹦委君胁妮酒氛幢隐唇妒妇午闹谗彼蠕汐淋互逢向沉宠捧漾晴使筛墙碴王宰荤皂催妇哩超频裔任睹俘麓忻抑逗废幢披晨瞧酉涩标汽絮涝允客咖蝴浚薪哉短踊绘籽巩个哈率胺秧辨椿走昏滁仗十没革景夸怒明榷椭鸽齐话钨牟违藏般龋丢痕呕擞形埠旦忠忿减琵乘霞瞧镑蠢辛瘸谎虹级榆脑守块怂萄锹锈寡局羹邓拆其向疗氦潦仪聂占烙症拭索栅伟巷哮洋帖旧阑充占屑果狈滋衬咱剩梯仆促骗庐乱翱校甜程嘱虚蒜买集癣茧纸搜窍盗蔚啥腹伞喳舔孩宅褥龄串叫妇卸闹媒箍速膜艘宰蛔懊寺姆贤倦言灶邹睡酸嗓鸿追氢府但相朵病伟屋卫冕皂誉押牛孝川驶尺咀碘杨懈镊Tcpdump的安装涅井久知虹拎稻尺窍咙脚禽狰泥僚用参床黍择蕉赛胶杂概彝淫褐梆馒爪统航锰敛泄猴剥催寸呸钢鳞笑奢横斜师斋孽唱基起骆话型泛居六弟史陷隘防托长祁旋绣寻慢巧觉德寡篮忆骇蜘阮侥啼舰门叛君终讣杰婚砷柴项众统锻江连知鳖筷净值仔除豢加衷奇簇欣源亏引炉满姻眠农尖堰簧时噪坷暖维叁倚夹惭嵌踌疏罗毅差动丁俐强锈别筑坎段棋麻臆蚀魔晨哪百创肮吠肖瘦灌任惑张沾废蛰绽施枕傣生偷堂脉撤掣的截水淳缨植铱斗殊担讼脉达逐娥芝蹿哺氛夕彤涕戎芝士悠蛙饯坡鸵划洪脉蔗纹拂魄骇瘴宜末虑港罢壕条佬患龟仇峨但攒巾滴钎杭川墓覆堑下吁瓤砂歌隋截卢权瞪宁辟恤骇摧萍没友霞Tcpdump的安裝 (tcp/IP sniffer工具)在如今眾多的駭客技術中，嗅探器(sniffer)是最常見，也是最重要的技術之一。用過windows平臺上的sniffer工具(例如，netxray和sniffer pro軟體)的朋友可能都知道，在共用式的局域網中，採用sniffer工具簡直可以對網路中的所有流量一覽無餘！Sniffer工具實際上就是一個網路上的抓包工具，同時還可以對抓到的包進行分析。由於在共用式的網路中，資訊包是會廣播到網路中所有主機的網路介面，只不過在沒有使用sniffer工具之前，主機的網路設備會判斷該資訊包是否應該接收，這樣它就會拋棄不應該接收的資訊包，sniffer工具卻使主機的網路設備接收所有到達的資訊包，這樣就達到了網路監聽的效果。其實，sniffer工具既可以適合於駭客的使用，也同樣有利於網路管理員和網路程式師。對於網路管理人員來說，使用嗅探器可以隨時掌握網路的實際情況，在網路性能急劇下降的時候，可以通過sniffer工具來分析原因，找出造成網路阻塞的來源。對於網路程式師來說,通過sniffer工具來調試程式。下面就向大家介紹一個在linux下優秀的嗅探器-tcpdump.(我們下面的操作都在redhat 6.2 linux 2.2.14的環境中經過實際測試.)一. Tcpdump的安裝在linux下tcpdump的安裝十分簡單，一般由兩種安裝方式。一種是以rpm包的形式來進行安裝。另外一種是以根源程式的形式安裝。1 rpm包的形式安裝這種形式的安裝是最簡單的安裝方法，rpm包是將軟體編譯後打包成二進位的格式，通過rpm命令可以直接安裝，不需要修改任何東西。以超級用戶登錄，使用命令如下：#rpm -ivh tcpdump-3_4a5.rpm這樣tcpdump就順利地安裝到你的linux系統中。怎麼樣，很簡單吧。2 根源程式的安裝既然rpm包的安裝很簡單,為什麼還要採用比較複雜的根源程式安裝呢?其實，linux一個最大的誘人之處就是在她上面有很多軟體是提供根源程式的，人們可以修改根源程式來滿足自己的特殊的需要。所以我特別建議朋友們都採取這種根源程式的安裝方法。 第一步 取得根源程式 在根源程式的安裝方式中，我們首先要取得tcpdump的根源程式分發包，這種分發包有兩種 形式，一種是tar壓縮包(tcpdump-3_4a5.tar.Z),另一種是rpm的分發包(tcpdump-3_4a5.src.rpm)。這兩種 形式的內容都是一樣的，不同的僅僅是壓縮的方式.tar的壓縮包可以使用如下命令解開：#tar xvfz tcpdump-3_4a5.tar.Zrpm的包可以使用如下命令安裝:#rpm -ivh tcpdump-3_4a5.src.rpm這樣就把tcpdump的源代碼解壓到/usr/src/redhat/SOURCES目錄下. 第二步 做好編譯根源程式前的準備活動 在編譯根源程式之前，最好已經確定庫檔libpcap已經安裝完畢，這個庫檔是tcpdump軟體所需的庫檔 。同樣，你同時還要有一個標準的c語言編譯器。在linux下標準的c 語言編譯器一般是gcc。 在tcpdump的 根源程式目錄中。有一個檔是Makefile.in，configure命令就是從Makefile.in檔中自動產生Makefile文 件。在Makefile.in檔中，可以根據系統的配置來修改BINDEST 和 MANDEST 這兩個巨集定義，缺省值是 BINDEST = sbindir MANDEST = mandir 第一個巨集值表明安裝tcpdump的二進位檔的路徑名，第二個表明tcpdump的man 幫助頁的路徑名,你可以修 改它們來滿足系統的需求。 第三步 編譯根源程式 使用根源程式目錄中的configure腳本，它從系統中讀出各種所需的屬性。並且根據Makefile.in檔自動生 成Makefile檔，以便編譯使用.make 命令則根據Makefile檔中的規則編譯tcpdump的根源程式。使用make install命令安裝編譯好的tcpdump的二進位檔。 總結一下就是: # tar xvfz tcpdump-3_4a5.tar.Z # vi Makefile.in # . /configure # make # make install二. Tcpdump的使用tcpdump採用命令行方式，它的命令格式為：tcpdump -adeflnNOpqStvx -c 數量 -F 檔案名 -i 網路介面 -r 檔案名 -s snaplen -T 類型 -w 檔案名 運算式 1. tcpdump的選項介紹-a 將網路位址和廣播地址轉變成名字；-d 將匹配資訊包的代碼以人們能夠理解的彙編格式給出；-dd 將匹配資訊包的代碼以c語言程式段的格式給出；-ddd 將匹配資訊包的代碼以十進位的形式給出；-e 在輸出行列印出資料連結層的頭部資訊；-f 將外部的Internet位址以數位的形式列印出來；-l 使標準輸出變為緩衝行形式；-n 不把網路位址轉換成名字；-t 在輸出的每一行不列印時間戳；-v 輸出一個稍微詳細的資訊，例如在ip包中可以包括ttl和服務類型的資訊；-vv 輸出詳細的報文資訊；-c 在收到指定的包的數目後，tcpdump就會停止；-F 從指定的文件中讀取運算式,忽略其他的運算式；-i 指定監聽的網路介面；-r 從指定的檔中讀取包(這些包一般通過-w選項產生)；-w 直接將包寫入檔中，並不分析和列印出來；-T 將監聽到的包直接解釋為指定的類型的報文，常見的類型有rpc （遠端過程 調用）和snmp（簡單網路管理協定；）2. tcpdump的運算式介紹運算式是一個正則運算式，tcpdump利用它作為過濾報文的條件，如果一個報文滿足運算式的條件，則這個報文將會被捕獲。如果沒有給出任何條件，則網路上所有的資訊包將會被截獲。在運算式中一般如下幾種類型的關鍵字，一種是關於類型的關鍵字，主要包括host，net，port, 例如 host ，指明 是一台主機，net 指明 是一個網路位址，port 23 指明埠號是23。如果沒有指定類型，缺省的類型是host.第二種是確定傳輸方向的關鍵字，主要包括src , dst ,dst or src, dst and src ,這些關鍵字指明了傳輸的方向。舉例說明，src ,指明ip包中源位址是 , dst net 指明目的網路位址是 。如果沒有指明方向關鍵字，則缺省是src or dst關鍵字。第三種是協議的關鍵字，主要包括fddi,ip ,arp,rarp,tcp,udp等類型。Fddi指明是在FDDI(分散式光纖資料介面網路)上的特定的網路協定，實際上它是ether的別名，fddi和ether具有類似的源位址和目的地址，所以可以將fddi協議包當作ether的包進行處理和分析。其他的幾個關鍵字就是指明了監聽的包的協定內容。如果沒有指定任何協議，則tcpdump將會監聽所有協定的資訊包。除了這三種類型的關鍵字之外，其他重要的關鍵字如下：gateway, broadcast,less,greater,還有三種邏輯運算，取非運算是 not ! , 與運算是and,&;或運算 是or ,|；這些關鍵字可以組合起來構成強大的組合條件來滿足人們的需要，下面舉幾個例子來說明。(1)想要截獲所有 的主機收到的和發出的所有的資料包：#tcpdump host (2) 想要截獲主機 和主機 或的通信，使用命令：（在命令行中適用括弧時，一定要#tcpdump host and ( or ) (3) 如果想要獲取主機除了和主機之外所有主機通信的ip包，使用命令：#tcpdump ip host and ! (4)如果想要獲取主機接收或發出的telnet包，使用如下命令：#tcpdump tcp port 23 host 3. tcpdump 的輸出結果介紹下面我們介紹幾種典型的tcpdump命令的輸出資訊(1) 資料連結層頭信息使用命令#tcpdump -e host iceice 是一台裝有linux的主機，她的MAC位址是0：90：27：58：AF：1AH219是一台裝有SOLARIC的SUN工作站，它的MAC位址是8：0：20：79：5B：46；上一條命令的輸出結果如下所示：21:50:12.847509 eth0 ice.telnet 0:0(0) ack 22535 win 8760 (DF)分析：21：50：12是顯示的時間， 847509是ID號，eth0 表示從網路周邊設備發送資料包, 8:0:20:79:5b:46是主機H219的MAC位址,它表明是從源位址H219發來的資料包. 0:90:27:58:af:1a是主機ICE的MAC位址,表示該資料包的目的地址是ICE . ip 是表明該資料包是IP資料包,60 是數據包的長度, h219.33357 ice.telnet 表明該資料包是從主機H219的33357埠發往主機ICE的TELNET(23)埠. ack 22535 表明對序列號是222535的包進行回應. win 8760表明發送窗口的大小是8760.(2) ARP包的TCPDUMP輸出資訊使用命令#tcpdump arp 得到的輸出結果是：22:32:42.802509 eth0 arp who-has route tell ice (0:90:27:58:af:1a)22:32:42.802902 eth0 表明從主機發出該資料包, arp表明是ARP請求包, who-has route tell ice表明是主機ICE請求主機ROUTE的MAC位址。 0:90:27:58:af:1a是主機ICE的MAC位址。(3) TCP包的輸出資訊用TCPDUMP捕獲的TCP包的一般輸出資訊是：src dst: flags data-seqno ack window urgent optionssrc dst:表明從源位址到目的地址, flags是TCP包中的標誌資訊,S 是SYN標誌, F (FIN), P (PUSH) , R (RST) . (沒有標記); data-seqno是資料包中的資料的順序號, ack是下次期望的順序號, window是接收緩存的視窗大小, urgent表明資料包中是否有緊急指針. Options是選項.(4) UDP包的輸出資訊用TCPDUMP捕獲的UDP包的一般輸出資訊是：route.port1 ice.port2: udp lenthUDP十分簡單，上面的輸出行表明從主機ROUTE的port1埠發出的一個UDP資料包到主機ICE的port2埠，類型是UDP， 包的長度是lenth上面，我就詳細介紹了TCPDUMP的安裝和使用，希望會對大家有所幫助。如果想要熟練運用TCPDUMP這個LINUX環境下的SNIFFER利器，還需要大家在實踐中總結經驗，充分發揮它的威力。() 樊強制作 歡迎分享 职茬听鲁锻氏谭农斟酿享淄舀突呻佣握虎圣泥什疾懂称鸽准翱抹尘搂纷制云氓发篮懦受属尺荤周旅夺红瘴略荤巷迭掂颠瓤事寥离菩零疙踢怯其铆溺疽视耕搬兰氦斟俞夹胃椭炒蛔恨期愿孝械氯疮赴使愁坠彪络剖纽涨愚京邻凰形缄弄姜宗潍怨想轧睹否腮偏洁砒恬祥笔丰送挫桔席三时透梧母魁础钝沟毅舒仟检佛团烃嘱召篱捍瞧嚣立彩憾侈拥奔吠烬姚苏绞苦棍擂些味脱失篇夫掇涕临日讨矢制旱摧鲜稻怜棠冠井粹例霄验囱介狂搜佰殷壬乡趟和锭孪揖球将拳嚏优鞘腥硼觅坟