[问题求助]Linux下网络分析例解 [复制链接]

Linux作为.网络服务器，特别是作为路由器和网关时，数.据的采集和分析是必不可少的。所以，今天我.们就来看看Linux中强大的网络数据采集分析工具——TcpDump。           婚庆

顾名思义，TcpDump可以将网络中传送的数据包.的“头”完全截.获下来提供分析。它支持针对网络层、协议、主机、网络或端.口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。           婚庆

和Linux终端状态下的其他软件一样，TcpDump也是依靠参数.来工作，本文将结合实例来说.明。     美容

数据过滤
不.带任何参数的TcpDump将搜索系统中所有的网络接口，并显示它截获的所有数据，这些数据对我们不一定全都需要，而.且数据太多不利于分析。所以，我们应当先想好需要哪些数据，TcpDump提供以.下参数供我们选择数据： 投资

-b 在数据-链路.层上选择协议，包括ip、arp、rarp、ip.x都是这一层的。              电子

例如：tcpdump -b arp 将只显.示网络.中的arp即地址转换协议信息。     健康

-i 选择过滤的.网络接口，如果是作为路由器至少有两个网络接口，通过这个选项，就可以只过滤指定的接.口上通过的数据。例如： <性病>

tcpdump -i eth.0 只显示通过et.h0接口上的所有报头。 教育

src、dst、po.rt、host、net、ether、gateway这几个选项又分别包含src、ds.t 、port、host、net、ehost等附加选.项。他们用来分辨数据包的来源和去向，src host 19.2.168.0.1指定源主机IP地址是192.168.0.1，dst net 192.168.0.0/24指定目标是网络192.168.0.0。以此类推，host是与其指定主机相关无论它是源.还是目的，net是与其指定网络相关.的，ether后面跟的不是IP地址而是物理地址，而gateway则用于网关主机。可能有点复杂，看下面.例子就知道了： .

tcpdump src host 1.92..168.0.1 and dst net 192.168.0.0/24 电脑

过滤的是源主机为192.168.0.1与目的网络为192.168.0.0.的报头。. (广告)

tcp.dump et.her src 00:50:04:BA:9B and dst…… 服务器

过滤源主机物理地址为XXX的报头（为什么ether src后面没有host或者net？物理地址当然.不可能有网络喽）。 .教育

Tc.pdump src host 192.168.0..1 and dst port not telnet <性病>

过滤源主机192..168.0.1和目的端口不是telnet的报头。 ..

ip ic.mp arp rarp .和 tcp、udp、icmp这些选项等都要放到第一个参数的位置，用来过滤数据报的类型。例如：     外汇

tcpdump ip sr.c…… 教育

只过滤数据-链路层上的IP报头。 .(        游戏          )

tcpdump udp and src host 192.16.8.0.1 ..

只过滤源主机.192..168.0.1的所有udp报头。 服务器

数据显示/输入输出
TcpDump提.供了足够的参数来让我们选择如何处理得到的数据，.如下所示： 域名

-l 可以将数据重定向。

如tcpdump. -l ＞.tcpcap.txt将得到的数据存入tcpcap.txt文件中。            建材

-.n 不进行IP地址到主机名的转换。            鲜花

如果不使用这一项，当系统中存在某一主机的主机名时，TcpDump会把I.P地址转.换为主机名显示，就像这样：eth0 ＜. ntc9.1165＞ router.domain.net.t.elnet，使用-n后变成了：eth0 ＜ 192.168.0.9.1165 ＞ 192.168.0.1.telnet。 .

-.nn 不进行端口名称的转换。 .

上面这条信息使用-nn后就变成了：eth0 ＜ ntc9.1165. ＞ .router.domain.net.23。 教育

-N 不打印出默认的域名。

还是这.条.信息-N 后就是：eth0 ＜ ntc9.1165 ＞ router.telnet。 <性病>

-O 不进.行匹配代码的优化。 .
-t 不打印UNI.X时间戳，也就是不显示时间。 电影
-tt 打印原始.的、未格式化过的时间。
-.v 详细的输出，也就比普通的多了.个TTL和服务类型。 .

好.了，说了这么多.，是不是觉得TcpDump这个工具很好？它还有好多功能限于篇幅不能一一介绍，多读一读“帮助”都会有很大的收获，这也算是进入Li.nux世界的一条捷径吧--------------彩票