1、Evaluation Warning: The document was created with Spire.Doc for .NET.借助sniffer診斷Linux網(wǎng)絡(luò)故障嗅探器(sniffer)在網(wǎng)絡(luò)安全領(lǐng)域是一把雙刃劍，一方面常被黑客作為網(wǎng)絡(luò)攻擊工具，從而造成密碼被盜、敏感數(shù)據(jù)被竊等安全事件；另一方面又在協(xié)助網(wǎng)絡(luò)管理員監(jiān)測網(wǎng)絡(luò)狀況、診斷網(wǎng)絡(luò)故障、排除網(wǎng)絡(luò)隱患等方面有著不可替代的作用。嗅探器是企業(yè)必不可少的網(wǎng)絡(luò)管理工具。本文以Linux平臺下三個常用的網(wǎng)絡(luò)嗅探器Tcpdump、Ethereal和EtherApe為例，介紹如何借助sniffer來診斷網(wǎng)絡(luò)故障，從而保障網(wǎng)絡(luò)高效安全地運行。

2、 簡介 嗅探器(sniffer)又稱為包嗅探器，是用來截獲計算機(jī)網(wǎng)絡(luò)通信數(shù)據(jù)的軟件或硬件。與電話電路不同，計算機(jī)網(wǎng)絡(luò)是共享通信通道的，從而意味著每臺計算機(jī)都可能接收到發(fā)送給其它計算機(jī)的信息，捕獲在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)信息通常被稱為監(jiān)聽(sniffing)。嗅探器常常作為一種收集網(wǎng)絡(luò)中特定數(shù)據(jù)的有效方法，是利用計算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其它計算機(jī)數(shù)據(jù)報文的一種工具。 嗅探器工作在網(wǎng)絡(luò)環(huán)境中的底層，可以攔截所有正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，從而成為網(wǎng)絡(luò)安全的一個巨大威脅。通過對網(wǎng)絡(luò)進(jìn)行嗅探，一些惡意用戶能夠很容易地竊取到絕密文檔和敏感數(shù)據(jù)，因此嗅探器經(jīng)常被黑客當(dāng)作網(wǎng)絡(luò)攻擊的一種基本手段。 任何工具都有弊有利

3、，嗅探器既可以作為黑客獲得非法數(shù)據(jù)的手段，但同時對網(wǎng)絡(luò)管理員來講又是致關(guān)重要的。通過嗅探器，管理員可以診斷出網(wǎng)絡(luò)中大量的不可見模糊問題。這些問題通常會涉及到多臺計算機(jī)之間的異常通信，而且可能會牽涉到多種通信協(xié)議。借助嗅探器，管理員還可以很方便地確定出哪些通信量屬于某個特定的網(wǎng)絡(luò)協(xié)議、占主要通信量的主機(jī)是哪臺、各次通訊的目標(biāo)是哪臺主機(jī)、報文發(fā)送占用多少時間、各主機(jī)間報文傳遞的間隔時間等。這些信息為管理員判斷網(wǎng)絡(luò)問題及優(yōu)化網(wǎng)絡(luò)性能，提供了十分寶貴的信息。 作為一種發(fā)展比較成熟的技術(shù)，嗅探器在協(xié)助監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)傳輸、排除網(wǎng)絡(luò)故障等方面有著不可替代的作用，倍受網(wǎng)絡(luò)管理員的青睞?？梢酝ㄟ^分析網(wǎng)絡(luò)流量來確定

4、網(wǎng)絡(luò)上存在的各種問題，如瓶頸效應(yīng)或性能下降；也可以用來判斷是否有黑客正在攻擊網(wǎng)絡(luò)系統(tǒng)。如果懷疑網(wǎng)絡(luò)正在遭受攻擊，通過嗅探器截獲的數(shù)據(jù)包可以確定正在攻擊系統(tǒng)的是什么類型的數(shù)據(jù)包，以及它們的源頭，從而可以及時地做出響應(yīng)，或者對網(wǎng)絡(luò)進(jìn)行相應(yīng)的調(diào)整，以保證網(wǎng)絡(luò)運行的效率和安全。 網(wǎng)絡(luò)管理員在檢測網(wǎng)絡(luò)故障及維護(hù)網(wǎng)絡(luò)正常通信的過程中，經(jīng)常需要借助嗅探器提供的某些功能。一般的嗅探器都提供以下一些功能： 1. 自動從網(wǎng)絡(luò)中過濾及轉(zhuǎn)換有用的信息； 2. 將截獲的數(shù)據(jù)包轉(zhuǎn)換成易于識別的格式； 3. 對網(wǎng)絡(luò)環(huán)境中的通訊失敗進(jìn)行分析； 4. 探測網(wǎng)絡(luò)環(huán)境下的通訊瓶頸； 5. 檢測是否有黑客正在攻擊網(wǎng)絡(luò)系統(tǒng)，以阻止其入

5、侵； 6. 記錄網(wǎng)絡(luò)通信過程。 本文介紹如何在Linux平臺下利用嗅探器來截獲在網(wǎng)絡(luò)中傳遞的數(shù)據(jù)信息，從而檢測出是否存在網(wǎng)絡(luò)瓶頸，以及可能存在的網(wǎng)絡(luò)故障。在Linux平臺下可用的嗅探器非常多，各自的功能和長處也不盡相同，本文主要以Tcpdump、Ethereal和EtherApe三種嗅探器為例，講述如何利用各自的優(yōu)點來對Linux網(wǎng)絡(luò)的性能和故障進(jìn)行系統(tǒng)的分析和檢測。 Tcpdump Tcpdump是一個命令行方式的網(wǎng)絡(luò)流量監(jiān)測工具。它誕生的時間較早，是許多圖形化嗅探器的雛形。 Ethereal Ethereal是一個圖形化的網(wǎng)絡(luò)流量監(jiān)測工具，比命令行方式的Tcpdump友好很多，可以實時地觀

6、看捕獲過程。 EtherApe EtherApe也是一個圖形化的網(wǎng)絡(luò)流量監(jiān)測工具。與Ethereal不同，EtherApe可以通過對主機(jī)間的連接進(jìn)行檢測，圖形化地顯示網(wǎng)絡(luò)活動，因而能更加直觀地顯示出整個網(wǎng)絡(luò)所處的狀態(tài)。 sniffer工作原理 在基于TCP/IP協(xié)議的局域網(wǎng)中，當(dāng)數(shù)據(jù)由應(yīng)用層自上而下傳遞時，首先在網(wǎng)絡(luò)層形成IP數(shù)據(jù)包，然后再向下到達(dá)數(shù)據(jù)鏈路層，由數(shù)據(jù)鏈路層將IP數(shù)據(jù)包分割為數(shù)據(jù)幀，加上以太網(wǎng)包頭后向下發(fā)送到物理媒體上。以太網(wǎng)包頭中包含著本地主機(jī)和目標(biāo)主機(jī)的MAC地址，位于鏈路層的數(shù)據(jù)幀是依靠48位的MAC地址而非IP地址來尋址的，網(wǎng)絡(luò)接口卡的驅(qū)動程序不會關(guān)心IP數(shù)據(jù)包的目的IP

7、地址。它所需要的僅僅是數(shù)據(jù)包中的MAC地址。 當(dāng)局域網(wǎng)內(nèi)的主機(jī)都通過集線器(HUB)等方式連接時，一般采用的是共享式的連接。這種共享式的連接有一個很明顯的特點：發(fā)送數(shù)據(jù)時物理上采用的是廣播方式。當(dāng)一臺主機(jī)向另一臺主機(jī)發(fā)送數(shù)據(jù)時，共享式的HUB會將接收到的所有數(shù)據(jù)向HUB上的每個端口轉(zhuǎn)發(fā)。也就是說，當(dāng)主機(jī)根據(jù)MAC地址發(fā)送數(shù)據(jù)包時，盡管發(fā)送端主機(jī)告知目標(biāo)主機(jī)的地址，但并不意味著一個網(wǎng)絡(luò)內(nèi)的其它主機(jī)不能監(jiān)聽到發(fā)送端和接收端之間傳遞的數(shù)據(jù)。因此從理論上說，當(dāng)采用共享式連接時，位于同一網(wǎng)段的每臺主機(jī)都可以截獲在網(wǎng)絡(luò)中傳輸?shù)乃袛?shù)據(jù)。 正常情況下，局域網(wǎng)內(nèi)同一網(wǎng)段的所有網(wǎng)卡雖然都具有訪問在物理媒體上傳輸

8、的所有數(shù)據(jù)的能力，但通常一個網(wǎng)卡只響應(yīng)以下兩種數(shù)據(jù)幀： 數(shù)據(jù)幀的目標(biāo)MAC地址與網(wǎng)卡自身的MAC地址一致； 數(shù)據(jù)幀的目標(biāo)MAC地址為廣播地址。 只有當(dāng)接收到上面兩種類型的數(shù)據(jù)幀時，網(wǎng)卡才會通過CPU產(chǎn)生一個硬件中斷，然后再由操作系統(tǒng)負(fù)責(zé)處理該中斷，對幀中所包含的數(shù)據(jù)做進(jìn)一步處理。也就是說，雖然網(wǎng)絡(luò)上所有主機(jī)都可以“監(jiān)聽”到所有的數(shù)據(jù)，但對不屬于自己的報文不予響應(yīng)，只是簡單地忽略掉這些數(shù)據(jù)。 但是，如果網(wǎng)絡(luò)中的某臺主機(jī)不愿意忽略掉不屬于自己的數(shù)據(jù)幀，只需將網(wǎng)卡設(shè)置為混雜(Promiscuous)模式，對接收到的每一個幀都產(chǎn)生一個硬件中斷，以提醒操作系統(tǒng)處理經(jīng)過該網(wǎng)卡的每一個數(shù)據(jù)包，這樣網(wǎng)卡就可以

9、捕獲網(wǎng)絡(luò)上所有的數(shù)據(jù)了。如果一臺主機(jī)的網(wǎng)卡被配置為混雜模式，那么該主機(jī)及其相關(guān)的軟件就構(gòu)成了一個嗅探器。 嗅探器工作在網(wǎng)絡(luò)環(huán)境中的底層，它會攔截所有正在網(wǎng)絡(luò)上傳送的數(shù)據(jù)，通過借助相應(yīng)的軟件進(jìn)行處理。嗅探器可以實時分析這些數(shù)據(jù)的內(nèi)容，進(jìn)而可以幫助網(wǎng)絡(luò)管理員分析整個網(wǎng)絡(luò)的狀態(tài)、性能或故障。正因如此，在檢測網(wǎng)絡(luò)故障時，嗅探器對管理員來說是一種不可或缺的強(qiáng)力工具。用Tcpddumpp過濾數(shù)數(shù)據(jù)包 對于網(wǎng)網(wǎng)絡(luò)管理理人員來來說，使使用嗅探探器可以以隨時掌掌握網(wǎng)絡(luò)絡(luò)的實際際情況，在在網(wǎng)絡(luò)性性能急劇劇下降的的時候，可可以通過過嗅探器器來分析析原因，找找出造成成網(wǎng)絡(luò)阻阻塞的根根源。TTcpddumpp就是LLi

10、nuux平臺臺下一個個以命令令行方式式運行的的網(wǎng)絡(luò)流流量監(jiān)測測工具。它它能截獲獲網(wǎng)卡上上收到的的數(shù)據(jù)包包，并能能夠協(xié)助助網(wǎng)絡(luò)管管理員對對其中的的內(nèi)容進(jìn)進(jìn)行相應(yīng)應(yīng)的分析析。 嗅嗅探器能能夠截獲獲指定接接口或所所有接口口的數(shù)據(jù)據(jù)包，這這取決于于如何對對嗅探器器進(jìn)行配配置。缺缺省情況況下嗅探探器一般般會顯示示所有從從網(wǎng)絡(luò)上上截獲的的數(shù)據(jù)包包，但通通常會因因為數(shù)據(jù)據(jù)量過大大而使網(wǎng)網(wǎng)絡(luò)管理理員理不不清頭緒緒。因此此，嗅探探器一般般都提供供有相應(yīng)應(yīng)的機(jī)制制來對截截獲的數(shù)數(shù)據(jù)包進(jìn)進(jìn)行過濾濾，從而而只顯示示符合特特定要求求的數(shù)據(jù)據(jù)包。TTcpddumpp提供了了一整套套完善的的規(guī)則來來對截獲獲的數(shù)據(jù)據(jù)包進(jìn)行行

11、過濾，由由于大多多數(shù)圖形形化的嗅嗅探器都都使用類類似的過過濾機(jī)制制，因此此對Liinuxx網(wǎng)絡(luò)管管理員來來說，了了解如何何使用TTcpddumpp來捕獲獲感興趣趣的數(shù)據(jù)據(jù)包是一一項必須須掌握的的基本功功。 TTcpddumpp的安裝裝 在一些些Linnux發(fā)發(fā)行版中中，Tccpduump通通常作為為標(biāo)準(zhǔn)的的軟件包包被默認(rèn)認(rèn)安裝，執(zhí)執(zhí)行“ttcpddumpp”命令令可以確確定是否否已經(jīng)安安裝了TTcpddumpp。如果果系統(tǒng)中中還沒有有安裝TTcpddumpp，可以以去“hhttpp:/g”下載載最新的的Tcppdummp源碼碼包。下下面以TTcpddumpp 3.7.11為例，講講述如何何安裝

12、TTcpddumpp，此處處使用的的操作系系統(tǒng)是RRed Hatt 8.0。 首先下下載最新新的源碼碼包，并并將其解解壓縮，命命令如下下： # cp tcppdummp-33.7.1.ttar.gz /ussr/llocaal/ssrc/# cd /ussr/llocaal/ssrc/# tarr xzzvf tcppdummp-33.7.1.ttar.gz在編譯Tccpduump之之前，應(yīng)應(yīng)先確定定pcaap庫(libbpcaap)已已經(jīng)安裝裝完畢。這這個庫是是編譯TTcpddumpp時所必必需的。如如果該庫庫已經(jīng)安安裝，就就可以執(zhí)執(zhí)行下面面的命令令來編譯譯并安裝裝Tcppdummp： #

13、cd tcppdummp-33.7.1# ./cconffiguure# makke# makke iinsttalllTcpduump的的命令行行選項 Tcppdummp是一一個命令令行方式式的網(wǎng)絡(luò)絡(luò)嗅探器器。它通通過使用用命令選選項來過過濾網(wǎng)卡卡截獲的的數(shù)據(jù)包包，如果果不進(jìn)行行過濾，過過多數(shù)量量的包會會使網(wǎng)絡(luò)絡(luò)管理員員很難理理清頭緒緒。Tccpduump的的命令格格式如下下： ttcpddumpp -addefllnNOOpqRRStuuvxXX -c 數(shù)數(shù)量 -C 文件尺尺寸 -F 文件名名 -i 網(wǎng)網(wǎng)絡(luò)接口口 -m 文文件名 -rr 文件件名 -s 長度 -TT 類型型 -w 文文件名

14、 -EE allgo:seccrett 表表達(dá)式 表表1 TTcpddumpp常用命命令行選選項 -a將網(wǎng)絡(luò)地址址和廣播播地址轉(zhuǎn)轉(zhuǎn)變成容容易識別別的名字字-d將已截獲的的數(shù)據(jù)包包的代碼碼以人容容易理解解的格式式輸出；-dd將已截獲的的數(shù)據(jù)包包的代碼碼以C程程序的格格式輸出出；-ddd將已截獲的的數(shù)據(jù)包包的代碼碼以十進(jìn)進(jìn)制格式式輸出；-e輸出數(shù)據(jù)鏈鏈路層的的頭部信信息；-f將inteerneet地址址以數(shù)字字形式輸輸出；-l將標(biāo)準(zhǔn)輸出出變?yōu)樾行芯彌_方方式；-n不將網(wǎng)絡(luò)地地址轉(zhuǎn)換換成易識識別的主主機(jī)名，只只以數(shù)字字形式列列出主機(jī)機(jī)地址(如IPP地址)，這樣樣可以避避免DNNS查詢詢；-t不輸出時間

15、間戳；-v輸出較詳細(xì)細(xì)的信息息，例如如IP包包中的TTTL和和服務(wù)類類型信息息；-vv輸出詳盡的的報文信信息；-c在捕獲指定定個數(shù)的的數(shù)據(jù)包包后退出出；-F從指定的文文件中讀讀取過濾濾規(guī)則，忽忽略命令令行中指指定的其其它過濾濾規(guī)則；-i指定監(jiān)聽的的網(wǎng)絡(luò)接接口；-r從指定的文文件中讀讀取數(shù)據(jù)據(jù)包(該該文件一一般通過過-w選選項產(chǎn)生生)；-w將截獲的數(shù)數(shù)據(jù)包直直接寫入入指定的的文件中中，不對對其進(jìn)行行分析和和輸出；-T將截獲的數(shù)數(shù)據(jù)包直直接解釋釋為指定定類型的的報文，目目前支持持的類型型有cnnfp、rrpc、rrtp、ssnmpp、vaat和wwb。表1給出了了一些常常用的TTcpddumpp命

16、令行行選項，使使用這些些選項可可以過濾濾出真正正感興趣趣的數(shù)據(jù)據(jù)包。 使用TTcpddumpp的命令令行選項項可以很很方便地地過濾出出需要的的數(shù)據(jù)包包。例如如，要過過濾掉所所有除AARP請請求和應(yīng)應(yīng)答的通通信數(shù)據(jù)據(jù)，可以以輸入“ttcpddumpp arrp”命命令。該該命令只只對ARRP的請請求和應(yīng)應(yīng)答信息息進(jìn)行截截獲，在在Tcppdummp的輸輸出信息息中，請請求是“aarp whoo-haas”這這樣的條條目，而而應(yīng)答則則是“aarp repply”這這樣的條條目，如如圖1所所示。 圖1 ARRP過濾濾如果要做更更多的處處理，比比如從指指定的網(wǎng)網(wǎng)絡(luò)接口口截獲55個ARRP數(shù)據(jù)據(jù)包，并并且

17、不將將網(wǎng)絡(luò)地地址轉(zhuǎn)換換成主機(jī)機(jī)名，則則可以用用命令“ttcpddumpp arrp -i eeth00 -cc 5 -n”。 Tcppdummp的過過濾表達(dá)達(dá)式 Tcppdummp的過過濾表達(dá)達(dá)式是一一個正則則表達(dá)式式，Tccpduump利利用其作作為過濾濾數(shù)據(jù)包包的條件件。如果果一個數(shù)數(shù)據(jù)包滿滿足表達(dá)達(dá)式的條條件，則則這個數(shù)數(shù)據(jù)據(jù)包包將會被被捕獲；如果不不指定表表達(dá)式，則則在網(wǎng)絡(luò)絡(luò)上任何何兩臺主主機(jī)間的的所有數(shù)數(shù)據(jù)包都都將被截截獲。過過濾表達(dá)達(dá)式的作作用就是是使Tccpduump只只輸出網(wǎng)網(wǎng)絡(luò)管理理員所需需要的數(shù)數(shù)據(jù)，如如一個指指定的網(wǎng)網(wǎng)絡(luò)接口口和特定定主機(jī)間間的IPP數(shù)據(jù)包包。 TTcpd

18、dumpp的過濾濾表達(dá)式式中一般般有如下下幾種類類型的關(guān)關(guān)鍵字： 類型關(guān)關(guān)鍵字 這類關(guān)關(guān)鍵字用用于指定定主機(jī)、網(wǎng)網(wǎng)絡(luò)或端端口，包包括hoost、nnet和和porrt三個個關(guān)鍵字字。例如如，可以以用“hhostt 9.1855.100.577”來標(biāo)標(biāo)明監(jiān)聽聽的主機(jī)機(jī)；用“nnet 9.1185.0.00”來標(biāo)標(biāo)明監(jiān)聽聽的網(wǎng)絡(luò)絡(luò)；用“pportt 233”來標(biāo)標(biāo)明監(jiān)聽聽的端口口。如果果沒有在在表達(dá)式式中指明明類型，則則缺省的的類型為為hosst。 方向關(guān)關(guān)鍵字 這類關(guān)關(guān)鍵字用用于指定定截獲的的方向，包包括dsst、ssrc、ddst or srcc、dsst aand srcc四個關(guān)關(guān)鍵字。例例

19、如，可可以用ssrc 9.1185.10.57來來指明截截獲的數(shù)數(shù)據(jù)包中中的源主主機(jī)地址址；用“ddst nett 9.1855.0.0”來來指明截截獲的數(shù)數(shù)據(jù)包中中的目標(biāo)標(biāo)網(wǎng)絡(luò)地地址。如如果沒有有在表達(dá)達(dá)式中指指明方向向，則缺缺省的方方向為“ddst or srcc”，即即兩個方方向的數(shù)數(shù)據(jù)包都都將被捕捕獲。對對于數(shù)據(jù)據(jù)鏈路層層協(xié)議(如SLLIP和和PPPP)，使使用innbouund和和outtbouund來來定義方方向。 協(xié)議關(guān)關(guān)鍵字 這類關(guān)關(guān)鍵字用用于指定定要截獲獲的數(shù)據(jù)據(jù)包所屬屬的協(xié)議議，包括括ethher、ffddii、trr、ipp、ipp6、aarp、rrarpp、deecne

20、et、ttcp和和udpp等關(guān)鍵鍵字。關(guān)關(guān)鍵字ffddii指明在在FDDDI(分分布式光光纖數(shù)據(jù)據(jù)接口網(wǎng)網(wǎng)絡(luò))上上的特定定網(wǎng)絡(luò)協(xié)協(xié)議。實實際上它它是ettherr的別名名。fdddi和和ethher具具有類似似的源地地址和目目標(biāo)地址址，所以以可以將將fdddi協(xié)議議包當(dāng)作作ethher的的包進(jìn)行行分析和和處理。其其它幾個個關(guān)鍵字字只是指指定了所所要截獲獲的協(xié)議議數(shù)據(jù)包包。如果果沒有在在表達(dá)式式中指明明協(xié)議，則則Tcppdummp會截截獲所有有協(xié)議的的數(shù)據(jù)包包。 除除了上述述三種類類型的關(guān)關(guān)鍵字外外，Tccpduump的的過濾表表達(dá)式中中還可以以指定的的一些重重要關(guān)鍵鍵字包括括gattewaay

21、、bbroaadcaast、mmultticaast、llesss、grreatter。這這些關(guān)鍵鍵字對于于監(jiān)聽網(wǎng)網(wǎng)絡(luò)中的的廣播和和多播很很有幫助助。關(guān)于于這些關(guān)關(guān)鍵字的的更多信信息和用用法請參參考Tccpduump的的mann手冊。 在Tccpduump的的過濾表表達(dá)式中中，各類類關(guān)鍵字字之間還還可以通通過布爾爾運算符符來構(gòu)成成組合表表達(dá)式，以以滿足實實際運用用時的需需要。布布爾運算算符包括括取非運運算符(nott或!)、與運運算符(andd或&)、或或運算符符(orr或|)，使使用布爾爾運算符符可以將將表達(dá)式式組合起起來構(gòu)成成強(qiáng)大的的組合條條件，從從而能夠夠?qū)ccpduump的的過濾器器

22、做進(jìn)一一步細(xì)化化。 下下面給出出幾個使使用Tccpduump過過濾數(shù)據(jù)據(jù)包的例例子，嗅嗅探器提提供的過過濾表達(dá)達(dá)式對于于管理員員監(jiān)測網(wǎng)網(wǎng)絡(luò)運行行狀況非非常重要要： 11. 如如果想要要截獲主主機(jī)“99.1885.110.557”所所有收到到和發(fā)出出的數(shù)據(jù)據(jù)包，可可以使用用如下命命令： # tcppdummp hhostt 9.1855.100.5772. 如果果想要截截獲在主主機(jī)“99.1885.110.557”和和主機(jī)“99.1885.110.558”或或“9.1855.100.599”之間間傳遞的的數(shù)據(jù)包包，可以以使用如如下命令令： # tcppdummp hhostt 9.1855.10

23、0.577 annd (9.1185.10.58 or 9.1185.10.59)需要注意的的是，在在使用布布爾運算算符構(gòu)成成組合表表達(dá)式時時，有時時需要使使用括號號來表達(dá)達(dá)復(fù)雜的的邏輯關(guān)關(guān)系。如如果要在在命令行行中使用用括號，一一定要用用轉(zhuǎn)義字字符(“”)對對括號進(jìn)進(jìn)行轉(zhuǎn)義義，否則則命令行行解釋器器將給出出語法錯錯誤的提提示。 3. 如果想想要截獲獲主機(jī)“99.1885.110.557”和和除主機(jī)機(jī)“9.1866.100.588”外所所有其它它主機(jī)之之間通信信的IPP數(shù)據(jù)包包，可以以使用如如下命令令： # tcppdummp iip hhostt 9.1855.100.577 annd !

24、9.1855.100.5884. 如果果想要截截獲主機(jī)機(jī)“9.1855.100.577”接收收或發(fā)出出的FTTP(端端口號為為21)數(shù)據(jù)包包，可以以使用如如下命令令： # tcppdummp ttcp porrt 221 hhostt 9.1855.100.5775. 如果果懷疑系系統(tǒng)正受受到拒絕絕服務(wù)(DoSS)攻擊擊，網(wǎng)絡(luò)絡(luò)管理員員可以通通過截獲獲發(fā)往本本機(jī)的所所有ICCMP包包，來確確定目前前是否有有大量的的pinng指令令流向服服務(wù)器，此此時就可可以使用用下面的的命令： # tcppdummp iicmpp -nn -ii etth0Tcpduump的的輸出結(jié)結(jié)果 在對網(wǎng)網(wǎng)絡(luò)中的的數(shù)據(jù)

25、包包進(jìn)行過過濾后，TTcpddumpp的輸出出結(jié)果中中包含網(wǎng)網(wǎng)絡(luò)管理理員關(guān)心心的網(wǎng)絡(luò)絡(luò)狀態(tài)信信息。由由于Tccpduump只只是一個個命令行行方式的的嗅探器器，因而而其輸出出結(jié)果不不是很直直觀，下下面以幾幾種典型型的輸出出信息為為例，介介紹如何何對Tccpduump的的輸出結(jié)結(jié)果進(jìn)行行分析。 1. 數(shù)據(jù)鏈鏈路層頭頭信息 使用“ttcpddumpp -ee hoost tigger”命命令截獲獲主機(jī)“ttigeer”所所有發(fā)出出和收到到的數(shù)據(jù)據(jù)包，并并在輸出出結(jié)果中中包含數(shù)數(shù)據(jù)鏈路路層的頭頭部信息息。 “ttigeer”是是一臺裝裝有Liinuxx的主機(jī)機(jī)，其MMAC地地址是000:DD0:55

26、9:BBF:DDA:006；“mmag”是是一臺裝裝有SCCO UUnixx的工作作站，其其MACC地址是是08:90:B0:2F:AAF:446，上上述命令令的輸出出結(jié)果如如下： 20:155:200.73354229 eeth00 tigeer.fftp 0:00(0) acck 2255665 wwin 89770 (DF)在輸出的信信息中，“220:115:220”為為截獲數(shù)數(shù)據(jù)包的的時間，“735429”是毫秒數(shù)，“eth0 ”，則表示從網(wǎng)絡(luò)接口eth0發(fā)送數(shù)據(jù)包)?！?8:90:b0:2f:af:46”是主機(jī)mag的MAC地址，指明發(fā)送該數(shù)據(jù)包的源主機(jī)為“mag”，“00:d0:5

27、9:bf:da:06”是主機(jī)tiger的MAC地址，指明該數(shù)據(jù)包發(fā)送的目標(biāo)主機(jī)為“tiger”?！癷p”表明該數(shù)據(jù)包是IP數(shù)據(jù)包，“60”是數(shù)據(jù)包的長度，“mag.36579 tiger.ftp”表明該數(shù)據(jù)包是從主機(jī)“mag”的36579端口發(fā)往主機(jī)“tiger”的FTP(21)端口?！癮ck 25565”表示對序列號為25565的包進(jìn)行確認(rèn)，“win 8970”則指明發(fā)送窗口的大小為8760。 2. ARP包的輸出信息 若使用“tcpdump arp -c 2”命令截獲ARP數(shù)據(jù)包，得到的輸出結(jié)果可能是： 20:422:222.71135002 eeth00 arpp whho-hhas m

28、agg teell tigger (00:dd0:559:bbf:dda:006)20:422:222.71139007 eeth00 ”表表明從主主機(jī)發(fā)出出該數(shù)據(jù)據(jù)包；“eeth00 dsst: flaags datta-ssequuno ackk wiindoow uurgeent opttionns“src ddst:”標(biāo)明明從源地地址到目目的地址址；fllagss是TCCP包中中的標(biāo)志志信息，包包括S(SYNN)標(biāo)志志、F(FINN)標(biāo)志志、P(PUSSH)標(biāo)標(biāo)志、RR(RSST)標(biāo)標(biāo)志和“.”(沒沒有標(biāo)志志)；ddataa-seequnno是數(shù)數(shù)據(jù)包中中的數(shù)據(jù)據(jù)序列號號；acck是下

29、下次期望望的數(shù)據(jù)據(jù)序列號號；wiindoow是接接收緩存存的窗口口大??；urggentt標(biāo)明數(shù)數(shù)據(jù)包中中是否有有緊急指指針；ooptiionss是可能能的選項項值。 4. UDPP包的輸輸出信息息 用TTcpddumpp截獲的的UDPP包的一一般輸出出格式如如下： src.pportt1 dsst.pportt2: udpp leenthhUDP中包包含的信信息很簡簡單。上上面的輸輸出結(jié)果果表明從從主機(jī)“ssrc”的的“poort11”端口口發(fā)出的的一個UUDP數(shù)數(shù)據(jù)包被被送到主主機(jī)“ddst”的的“poort22”端口口，數(shù)據(jù)據(jù)包的類類型是UUDP，其其長度為為“l(fā)eenthh”。 通過上上

30、面的介介紹可以以知道，TTcpddumpp是一個個命令行行方式的的嗅探器器。它可可以根據(jù)據(jù)需要顯顯示出經(jīng)經(jīng)過一個個網(wǎng)絡(luò)接接口的所所有數(shù)據(jù)據(jù)包，供供網(wǎng)絡(luò)管管理員對對網(wǎng)絡(luò)進(jìn)進(jìn)行檢測測。但由由于采用用的是命命令行方方式，對對這些數(shù)數(shù)據(jù)包的的分析可可能會比比較困難難。利用用Tcppdummp提供供的表達(dá)達(dá)式過濾濾一些截截獲的數(shù)數(shù)據(jù)包，可可以從截截獲的大大量數(shù)據(jù)據(jù)包中提提取出有有用的信信息，從從而能夠夠有針對對性地對對網(wǎng)絡(luò)進(jìn)進(jìn)行監(jiān)測測。 由由于所有有網(wǎng)絡(luò)嗅嗅探器的的原理都都大體相相似，因因而Tccpduump的的基本知知識可以以應(yīng)用于于幾乎所所有的嗅嗅探器。TTcpddumpp是基于于命令行行方式的的嗅

31、探器器，其輸輸出結(jié)果果比較難難于分析析，因此此很多網(wǎng)網(wǎng)絡(luò)管理理員都使使用圖形形化的嗅嗅探器來來檢測網(wǎng)網(wǎng)絡(luò)故障障，并處處理可能能存在的的安全問問題。下下次將介介紹兩個個圖形化化的網(wǎng)絡(luò)絡(luò)嗅探器器Ettherreall和EhhterrApee。同TTcpddumpp相比，使使用這兩兩個嗅探探器的分分析過程程要簡單單許多。上次介紹了了嗅探器器的基本本原理，以以及如何何用Tccpduump來來截獲網(wǎng)網(wǎng)絡(luò)上的的數(shù)據(jù)包包。但TTcpddumpp只是一一個命令令行方式式下的網(wǎng)網(wǎng)絡(luò)嗅探探器，雖雖然功能能強(qiáng)大，可可分析起起數(shù)據(jù)包包來卻不不是很方方便。好好在Liinuxx下還有有一些具具有良好好GUII界面的的嗅探

32、器器可以借借助。EEtheereaal和EEtheerAppe就是是其中的的佼佼者者。有了了Tcppdummp的基基礎(chǔ)，再再使用這這兩個嗅嗅探器就就感覺很很輕松。 用Ettherreall分析協(xié)協(xié)議數(shù)據(jù)據(jù)包 Ethhereeal是是一個圖圖形用戶戶接口（GGUI）的的網(wǎng)絡(luò)嗅嗅探器，能能夠完成成與Tccpduump相相同的功功能，但但操作界界面要友友好很多多。Ehhterreall和Tccpduump都都依賴于于pcaap庫（llibppcapp），因因此兩者者在許多多方面非非常相似似（如都都使用相相同的過過濾規(guī)則則和關(guān)鍵鍵字）。EEtheereaal和其其它圖形形化的網(wǎng)網(wǎng)絡(luò)嗅探探器都使使用相同

33、同的界面面模式，如如果能熟熟練地使使用Ettherreall，那么么其它圖圖形用戶戶界面的的嗅探器器基本都都可以操操作。 Ethhereeal的的安裝 在htttp:/m網(wǎng)站上上可以下下載到最最新的EEtheereaal源碼碼包。下下面以EEtheereaal 00.9.9為例例，講述述如何安安裝Ettherreall，此處處使用的的操作系系統(tǒng)是RRed Hatt 8.0。 首先下下載最新新的源碼碼包，并并將其解解壓縮： # cp ethhereeal-0.99.9.tarr.bzz2 /usrr/loocall/srrc/# cd /ussr/llocaal/ssrc/# bziip2 -d

34、 ethhereeal-0.99.9.tarr.bzz2# tarr xvvf eetheereaal-00.9.9.ttar同Tcpddumpp一樣，在在編譯EEtheereaal之前前應(yīng)先確確定已經(jīng)經(jīng)安裝ppcapp庫（llibppcapp），這這是編譯譯Ethhereeal時時所必需需的。如如果該庫庫已經(jīng)安安裝，就就可以執(zhí)執(zhí)行下面面的命令令來編譯譯并安裝裝Ethhereeal： # cd ethhereeal-0.99.9# ./cconffiguure# makke# makke iinsttalll設(shè)置Ethhereeal的的過濾規(guī)規(guī)則 當(dāng)編譯譯并安裝裝好Ettherreall后，就

35、就可以執(zhí)執(zhí)行“eetheereaal”命命令來啟啟動Ettherreall。在用用Ethhereeal截截獲數(shù)據(jù)據(jù)包之前前，應(yīng)該該為其設(shè)設(shè)置相應(yīng)應(yīng)的過濾濾規(guī)則，可可以只捕捕獲感興興趣的數(shù)數(shù)據(jù)包。EEtheereaal使用用與Tccpduump相相似的過過濾規(guī)則則，并且且可以很很方便地地存儲已已經(jīng)設(shè)置置好的過過濾規(guī)則則。要為為Ethhereeal配配置過濾濾規(guī)則，首首先單擊擊“Eddit”選選單，然然后選擇擇“Caaptuure Fillterrs.”菜菜單項，打打開“EEditt Caaptuure Fillterr Liist”對對話框（如如圖1所所示）。因因為此時時還沒有有添加任任何過濾濾

36、規(guī)則，因因而該對對話框右右側(cè)的列列表框是是空的。 圖1 Ettherreall過濾器器配置對對話框在Etheereaal中添添加過濾濾器時，需需要為該該過濾器器指定名名字及規(guī)規(guī)則。例例如，要要在主機(jī)機(jī)10.1.1197.1622和wwww.ssohuu.coom間創(chuàng)創(chuàng)建過濾濾器，可可以在“FFiltter namme”編編輯框內(nèi)內(nèi)輸入過過濾器名名字“ssohuu”，在在“Fiilteer sstriing”編編輯框內(nèi)內(nèi)輸入過過濾規(guī)則則“hoost 10.1.1197.1622 annd wwww.sohhu.ccom”，然然后單擊擊“Neew”按按鈕即可可，如圖圖2所示示。 圖2 為EEthe

37、ereaal添加加一個過過濾器在Etheereaal中使使用的過過濾規(guī)則則和Tccpduump幾幾乎完全全一致，這這是因為為兩者都都基于ppcapp庫的緣緣故。EEtheereaal能夠夠同時維維護(hù)很多多個過濾濾器。網(wǎng)網(wǎng)絡(luò)管理理員可以以根據(jù)實實際需要要選用不不同的過過濾器，這這在很多多情況下下是非常常有用的的。例如如，一個個過濾器器可能用用于截獲獲兩個主主機(jī)間的的數(shù)據(jù)包包，而另另一個則則可能用用于截獲獲ICMMP包來來診斷網(wǎng)網(wǎng)絡(luò)故障障。 當(dāng)當(dāng)所有需需要的過過濾器都都創(chuàng)建好好后，單單擊“SSavee”按鈕鈕保存創(chuàng)創(chuàng)建的過過濾器，然然后單擊擊“Cllosee”按鈕鈕來關(guān)閉閉“Eddit Cappt

38、urre FFiltter Lisst”對對話框。要要將過濾濾器應(yīng)用用于嗅探探過程，需需要在截截獲數(shù)據(jù)據(jù)包之前前或之后后指定過過濾器。要要為嗅探探過程指指定過濾濾器，并并開始截截獲數(shù)據(jù)據(jù)包，可可以單擊擊“Caaptuure”選選單，選選擇“SStarrt.”選選單項，打打開“CCaptturee Opptioons”對對話框，單單擊該對對話框中中的“FFiltter:”按鈕鈕，然后后選擇要要使用的的過濾器器，如圖圖3所示示。 圖3 為EEtheereaal指定定過濾器器注意在“CCaptturee Opptioons”對對話框中中，“UUpdaate lisst oof ppackketss

39、inn reeal timme”復(fù)復(fù)選框被被選中了了。這樣樣可以使使每個數(shù)數(shù)據(jù)包在在被截獲獲時就實實時顯示示出來，而而不是在在嗅探過過程結(jié)束束之后才才顯示所所有截獲獲的數(shù)據(jù)據(jù)包。 在選擇擇了所需需要的過過濾器后后，單擊擊“OKK”按鈕鈕，整個個嗅探過過程就開開始了。EEtheereaal可以以實時顯顯示截獲獲的數(shù)據(jù)據(jù)包，因因此能夠夠幫助網(wǎng)網(wǎng)絡(luò)管理理員及時時了解網(wǎng)網(wǎng)絡(luò)的運運行狀況況，從而而使其對對網(wǎng)絡(luò)性性能和流流量能有有一個比比較準(zhǔn)確確的把握握。 用用Ethhereeal分分析數(shù)據(jù)據(jù)包 Ethhereeal和和其它的的圖形化化嗅探器器使用基基本類似似的界面面，整個個窗口被被分成三三個部分分：最上

40、上面為數(shù)數(shù)據(jù)包列列表，用用來顯示示截獲的的每個數(shù)數(shù)據(jù)包的的總結(jié)性性信息；中間為為協(xié)議樹樹，用來來顯示選選定的數(shù)數(shù)據(jù)包所所屬的協(xié)協(xié)議信息息；最下下邊是以以十六進(jìn)進(jìn)制形式式表示的的數(shù)據(jù)包包內(nèi)容，用用來顯示示數(shù)據(jù)包包在物理理層上傳傳輸時的的最終形形式。 使用EEtheereaal可以以很方便便地對截截獲的數(shù)數(shù)據(jù)包進(jìn)進(jìn)行分析析，包括括該數(shù)據(jù)據(jù)包的源源地址、目目的地址址、所屬屬協(xié)議等等。圖44是在EEtheereaal中對對一個HHTTPP數(shù)據(jù)包包進(jìn)行分分析時的的情形。 在圖33最上邊邊的數(shù)據(jù)據(jù)包列表表中，顯顯示了被被截獲的的數(shù)據(jù)包包的基本本信息。從從圖中可可以看出出，當(dāng)前前選中數(shù)數(shù)據(jù)包的的源地址址是1

41、00.1.1977.1662，目目的地址址為611.1335.1150.65，該該數(shù)據(jù)包包所屬的的協(xié)議是是超文本本傳輸協(xié)協(xié)議(HHTTPP)。更更詳細(xì)的的信息表表明該數(shù)數(shù)據(jù)包中中含有一一個HTTTP的的GETT命令，要要求下載載staarrttlogg.jss文件到到客戶端端的Weeb瀏覽覽器。 圖4 用EEtheereaal分析析數(shù)據(jù)包包內(nèi)容圖4中間是是協(xié)議樹樹，通過過協(xié)議樹樹可以得得到被截截獲的數(shù)數(shù)據(jù)包的的更多信信息，如如主機(jī)的的MACC地址(Ethhernnet II)、IPP地址(Intternnet Prootoccol)、TCCP端口口號(TTrannsmiissiion Conn

42、trool PProttocool)，以以及HTTTP協(xié)協(xié)議的具具體內(nèi)容容(Hyyperrtexxt TTrnaasfeer PProttocool)。通通過擴(kuò)展展協(xié)議樹樹中的相相應(yīng)節(jié)點點，可以以得到該該數(shù)據(jù)包包中攜帶帶的更詳詳盡的信信息。 圖4最最下邊是是以十六六制顯示示的數(shù)據(jù)據(jù)包的具具體內(nèi)容容，這是是被截獲獲的數(shù)據(jù)據(jù)包在物物理媒體體上傳輸輸時的最最終形式式，當(dāng)在在協(xié)議樹樹中選中中某行時時，與其其對應(yīng)的的十六進(jìn)進(jìn)制代碼碼同樣會會被選中中，這樣樣就可以以很方便便地對各各種協(xié)議議的數(shù)據(jù)據(jù)包進(jìn)行行分析。 Ethhereeal提提供的圖圖形化用用戶界面面非常友友好，管管理員可可以很方方便地查查看到每

43、每個數(shù)據(jù)據(jù)包的詳詳細(xì)信息息，協(xié)議議樹及其其對應(yīng)的的十六進(jìn)進(jìn)制表示示對分析析每個數(shù)數(shù)據(jù)包的的目的很很有幫助助，綜合合使用EEtheereaal和TTcpddumpp能夠基基本滿足足網(wǎng)絡(luò)管管理員在在Linnux系系統(tǒng)上的的所有嗅嗅探要示示。 用用EthherAApe查查看網(wǎng)絡(luò)絡(luò)流量 EthherAApe也也是一個個圖形化化的網(wǎng)絡(luò)絡(luò)嗅探器器。與EEhteereaal不同同，EttherrApee通過驗驗證主機(jī)機(jī)與主機(jī)機(jī)之間的的鏈接，圖圖形化地地顯示網(wǎng)網(wǎng)絡(luò)目前前所處的的狀態(tài)。EEtheerAppe使用用不同顏顏色的連連線來表表示位于于不同主主機(jī)之間間的連接接，而連連線的粗粗細(xì)則表表明主機(jī)機(jī)間數(shù)據(jù)據(jù)流量的的大小。這這些信息息都是實實時變化化的，因因而能夠夠協(xié)助管管理員隨隨時了解解到網(wǎng)絡(luò)絡(luò)中各部部分流量量的變化化情況。 EthherAApe的的安裝 EhtterAApe支支持Ettherrnett、FDDDI和和Tokken Rinng等多多種網(wǎng)絡(luò)絡(luò)，能夠夠?qū)崟r地地從網(wǎng)絡(luò)絡(luò)或文件件中讀取取網(wǎng)絡(luò)流流量的變變化情況況。此外外它還可可以將網(wǎng)網(wǎng)絡(luò)流量量信息保保存下來來，以便便在之后后需要時時再顯示示出來。在在htttp:/wwww.ssourrcefforgge.nnet/proojeccts/ethheraape/網(wǎng)站上上可以下下載到最最新的EEthe