尽管Snort在筛选通过我们的网络内容方面做得非常不错,但有时候需要查看查看原始数据,可以使用tcpdump工具。
可以直接使用tcpdump命令,也可以使用-v选项获得更多详细信息,而使用-vv可以获得更多信息。
# tcpdump
1 命令参数
使用SSH登录到远程计算机。如果不带任何选项运行tcpdump,则输出来自SSH连接的大量数据包。为避免这种情况,只需从输出中消除端口22:
# tcpdump not port 22
添加不同的端口示例:
# tcpdump not port 143 and not port 25 and not port 22
如果只监视某个端口(这对于调试网络应用程序非常有用),则可以执行以下操作:
# tcpdump port 143
从网络上的特定主机获取数据:
# tcpdump host hal9000
如果计算机具有多个网络接口,则还可以指定要收听的网络接口:
# tcpdump -i eth1
可以指定协议:
# tcpdump udp
如果有不了解的协议,可以在/etc/protocols中找到协议列表。
2 保存输出
在某些情况下,可能希望将输出内容重定向到文件中,方便后面对数据其进行详细分析。
# tcpdump -l | tee tcpdump_`date %Y%m%e-%k.%M`
在上面的示例中,我们可以使用日期和时间来标识每个转储。tcpdump还可以选择输出为转储的二进制格式,以便以后读取。示例:
# tcpdump -w tcpdump_raw_`date %Y%m%e-%k.%M`
可以让tcpdump使用以下命令读取文件
# tcpdump -r tcpdump_raw_YYYMMDD-H.M
可以使用ethereal程序打开原始转储并解释它。
3 ethereal与tcpdump一起使用
ethereal也是一种可以用来捕获网络数据包的工具。安装后,可以打开制作的原始转储文件。可以查看源IP和目标IP以及它是什么类型的数据包。然后对遇到的网络问题进行故障排除并分析可疑行为。
如下面命令,每隔一段时间就查询不同IP的机器上的端口32772。为端口32772运行了一个特定的转储,如下所示:
# tcpdump port 32772 -w dump_32772
4 读取原始输出
从tcpdump读取名称为“human readable”的输出。看下面的示例,从转储中查看一个随机数据包:
17:26:22.924493 IP www.linux.org.www > test.linux.org.34365: P 2845:3739(894) ack 1624 win 9648 <nop,nop,timestamp 326501459 24374272>
这是www.linux.org的Web服务器请求。开始几位为时间戳,在主机名www.linux.org末尾的.www表示是80端口。被发送到发出请求的主机test.linux.org的34365端口。 “P”代表TCP“oush”功能。这意味着应该立即发送数据。在2845:3739(894)的数字中,2845表示第一个数据包的八位位组的编号。数字3739是数据包发送的最后一个字节的数字加1。数字894是发送的数据包的长度。“ack”表示数据包已被接受,1624表示接下来的数据包号为1624。win 9648”,发送主机正在等待窗口大小为9648个八位位组的数据包。这之后是时间戳。
如果觉得难以解释,则可以使用-x选项,它将以十六进制输出数据内容:
18:12:45.149977 IP www.linux.org.www > test.linux.org.34536: . 1:1449(1448)
ack 487 win 6432 <nop,nop,timestamp 329284215 27156244>
0x0000: 4500 05dc 6a81 4000 4006 493b c0a8 0006 E...j.@.@.I;....
0x0010: c0a8 0009 0050 86e8 8fa4 1d47 1c33 e3af .....P.....G.3..
0x0020: 8010 1920 b4d9 0000 0101 080a 13a0 7a77 ..............zw
0x0030: 019e 5f14 4854 5450 2f31 2e31 2032 3030 .._.HTTP/1.1.200
0x0040: 204f 4b0d 0a44 6174 653a 2054 6875 2c20 .OK..Date:.Thu,.
0x0050: 3135
从输出中知这是一个HTTP请求。至于其余的,很难识别,但是我们很容易知道这是一个合法的数据包。使用这种格式的另一个好处是,即使我们无法准确解释此数据包,也可以将其发送出去。 最后,这是未经任何过滤通过网络传输的原始数据。
,