天天摸夜夜添添到高潮水汪汪

发布日期:2022-06-18 17:03    点击次数:167

深奥的使用 tcpdump 稽察原始数据包

使用 'tcpdump' 稽察原始数据包

天然像 Snort 这么的器用在筛选通过咱们汇集的所有本体方面做得相等出色,但巧合需要稽察原始数据。为此,咱们最佳的器用是“tcpdump”。

使用 tcpdump 最基本的步履是通俗地发出敕令:

您不错使用 -v 选项得回更多翔实信息,使用 -vv 不错得回更多信息。 有效的选项

假定您已登录到您经管的汉典打算机。每每,您将使用 SSH。要是您在莫得任何选项的情况下脱手“tcpdump”,则输出将被来自您的 SSH 畅达的数据包合并。为幸免这种情况,只需从输出中删除端口 22:

您不错使用很多不同的端口来履行此操作:

代码:

tcpdump not port 143 and not port 25 and not port 22 

要是你想做相背的事情,即只监视某个端口——这对调试汇集哄骗款式很有公道——你不错履行以下操作:

您还不错从汇集上的特定主机获取数据:

要是您的机器有多个汇集接口,您还不错指定要收听的一个:

您还不错指定条约:

您将在 /etc/protocols 中找到条约列表。 为以后保存输出

在某些情况下,您可能但愿将输出重定向到一个文献,以便以后不错翔实商酌它或使用其他款式来融会输出。在以下示例中,您仍然不错在将输出保存到文献时稽察输出:

代码:

tcpdump -l | tee tcpdump_`date +%Y%m%e-%k.%M` 

在上头的示例中,咱们不错使用日历和本领来识别每个转储。在处理一天中某些本领出现的问题时,这可能会派上用场。

tcpdump 还不错采取将其输出转储为二进制款式,以便以后读取。创建二进制文献:

代码:

tcpdump -w tcpdump_raw_`date +%Y%m%e-%k.%M` 

稍后,您不错使用 tcpdump 读取文献

代码:

tcpdump -r tcpdump_raw_YYYMMDD-H.M 

您还不错使用 ethereal 款式大开原始转储并对其进行解释。咱们将鄙人一节中更多地究诘空灵。

要查找的本体

tcpdump 为咱们提供了联系相差咱们汇集的所少见据包的信息。但这一切意味着什么?

将 Ethereal 与 tcpdump 趋附使用 Ethereal

是一个也可用于拿获汇集数据包的器用。安设后, 性生大片免费观看网站精彩短片您不错大开您制作的原始转储文献。它看起来像这么:

这使得稽察正在发生的事情变得相等容易。您不错看到源 IP 和贪图 IP 是什么以及它是什么类型的数据包。然后很容易措置您可能遭受的汇集问题并分析可疑行径。趁机说一句,当我在写这节课并解释我我方的转储时,我在我的个人职责站上看到了一些奇怪的作为。真是每隔一段本领,我就会活着界上不同 IP 的机器上查询端口 32772。我为端口 32772 脱手了一个特定的转储,如下所示:

代码:

tcpdump port 32772 -w dump_32772 

我得到的照实看起来很奇怪。即使在谷歌搜索之后,我也找不到任何相关信息,是以我怀疑我可能有木马。我脱手了“rootkit hunter”(下一节将翔实先容),但后果却一无所获。终末,天天摸夜夜添添到高潮水汪汪逐个关机,正本是我一直大开的Skype。尽管这被讲解是无害的,但我很欢乐我有 tcpdump 向我指出这少量。

读取原始输出

如您所见,即使从 tcpdump 读取所谓的“人类可读”输出也可能有点心事。望望底下的例子,一个我刚刚从转储中捞出的立时数据包:

代码:

17:26:22.924493 IP www.linux.org.www > test.linux.org.34365: P 2845:3739(894) ack 1624 win 9648  

咱们领有的是对www.linux.org的汇集干事器央求. 在本领戳之后,您会防卫到主机名末尾的 .www(示意端口 80)。这将被发送到央求主机 test.linux.org 的端口 34365。'P' 代表 TCP “oush” 功能。这意味着应该立即发送数据。在背面的数字中,2845:3739(894),2845 绮丽了第一个数据包的八位字节数。数字 3739 是数据包发送的终末一个字节的编号加 1。数字 894 是发送的数据包的长度。上头写着:“ack 1624”的部分是“acknowledge”的 TCP 术语——即数据包已被秉承,接下来预期的数据包号是 1624。之后,咱们看到“win 9648”发送主机恭候窗口大小为 9648 个八位字节的数据包。这背面是本领戳。

当今,要是您以为这有点难以解释,要是您使用 -x 选项,它将在十六进制输出中包含数据包本体。在这里,您需要埃及学家来解释输出:

代码:

 

18:12:45.149977 IP www.linux.org.www > test.linux.org.34536: . 1:1449(1448)  ack 487 win 6432 <nop,nop,timestamp 329284215 27156244>         0x0000:  4500 05dc 6a81 4000 4006 493b c0a8 0006  E...j.@.@.I;....         0x0010:  c0a8 0009 0050 86e8 8fa4 1d47 1c33 e3af  .....P.....G.3..         0x0020:  8010 1920 b4d9 0000 0101 080a 13a0 7a77  ..............zw         0x0030:  019e 5f14 4854 5450 2f31 2e31 2032 3030  .._.HTTP/1.1.200         0x0040:  204f 4b0d 0a44 6174 653a 2054 6875 2c20  .OK..Date:.Thu,.         0x0050:  3135 

咱们不错从输出中采集到,这是一个 HTTP 央求。至于其余的,它不是人类可读的,但咱们很容易澄莹这是一个正当的数据包。使用这种款式的另一个公道是,即使咱们不成准确地解释这个数据包发生了什么,咱们也不错将它发送给可能好像相识的人。终末,这是未经任何过滤就通过汇集传输的原始数据。





Powered by 东北女人毛多水多牲交视频 @2013-2022 RSS地图 HTML地图