-
课程编写
内容
TCPDump
工具使用与
UDP
数据包分析
1
、
了解
网络数据包分析工具
TCPDump
使用;
2
、
熟悉
UDP
数据包结构
名称
要求
(
虚拟
PC
)
连接要求
描述
环境描述
操作系统类型:
linux
,网络接口:
eth0
PC
网络接口,本地连接与实验网络直连
1
、学生机要求安装
java
环境
p>
2
、
vpc
p>
安装
linux
1
、
学生机与实验室网络直连
;
2
、
VPC1
与实验室网络直连
;
3
、
学生机
与
VPC1
物理链路连通;
Linux
作为网络服务器,特别是作为路由器和网关时,数据的采集和
分析是必不可少的。
tcpdump
是一个用于截取网络分组,
并输出分组内容的工具。
tcpdu
mp
凭借强大的功能和灵活的截取策
系统下用于网络分析和问题
排查的首选工具。
tcpdump
提
供了源代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有
存在于基本的
Linux
系统中,由于它需要将网络界面设置为
混杂模式,普通用户不能正常执行,但具
可以直接执行它来获取网络上的信息。因此系统
中存在网络分析工具主要不是对本机安全的威胁,而
计算机的安全存在威胁。
识
顾名思义,
tcpdump
可以将网络中传送的数据包的“头”完全截获下来提供
分析。它支持针对网络层
或端口的过滤,并提供
and
、
or
、
not
等逻辑语句来帮助你去掉无用的信息。
Li
nux
平台中提供了强大的网络数据采集分析工具
TCPDum
p
,
TCPDump
可以在网卡混杂模
式下将网络
完全截获下来并提供简要分析。它支持针对网络层、协议、主机、网络或端口
的过滤,并提供
and
、
来实现条件截
获。
作为互联网上经典的的系统管理员必备工具,
tcpdum
p
以其强大的功能,
灵活的截
级的系统
管理员分析网络,排查问题等所必备的工具。
用户数据包协议
UDP(User Datagram
Protocol
),它是
OSI
参
考模型中一种无连接的传输层协议,
单不可靠信息传送服务。是一个简单的面向数据报的
传输层协议,
UDP
协议基本上是
IP
协议与
1
、
<
/p>
学习
TCPDump
工具使用
2
、
学习
UDP
数据包结构
3
、
使用
TCPDump
分析
UDP
数据包
容
1
、
学
生单击实验拓扑按钮,进入实验场景,进入目标主机,(第一次启动目标主机,还需要安装
j
示:
骤
2
、
打开
linux
按钮即可打开虚拟机,
输入密码为
123456
即可进入到实验环境。如图所示:
p>
3
、
使用命令
tcpdump
–
h
命令或者用
man
tcpdump
命令可以获得
tcpdump
< br>命令的帮助说明。
这里我
如图所示
:
学
习
UDP
数据包协议:
UDP
协议是英文
User
Datagram Protocol
的缩写,即用户数据报文协议,与我们所熟知的<
/p>
TCP
(传输
一样,
UDP
协议直接位于
IP
(网际协
议)协议的顶层。根据
OSI
(开放系统互连)参考模型,
p>
UDP
和
议。如图所示:
< br>
UDP
报头由
4
个域组成,其中每个域名占用
2
< br>个字节,即源端口、目的端口、
UDP
长度、
UDP
校验和头
UDP
协议使用报头中的校验和保证数据的安全。
校验和首先在数据发
送方通过特殊的算法计算得出,
在
还需要再重新计算。如果某个
数据报在传输过程中被第三方篡改或者由于线路噪音等原因受到损坏,
验计算值将不会相
符,由此
UDP
协议可以检测是否出错。这与
< br>TCP
协议是不同的,后者要求必须具有
由于
UDP
是基于
IP
协议的
,在利用
tcpdump
分析中,通常可以看到的
UDP
头和
IP
头结构组成
。如图
UDP
是一种不可靠的网络协
议,在有些情况下
UDP
协议可能会变得非常有用。因为
UDP
具有
TCP
所
望
虽然
TCP
协议中植入了各种安全保
障功能,但是在实际执行的过程中会占用大量的系统开销,无疑使
响。反观
UDP
由于排除了信息可靠传递机制,将安全和排序等功能移交给上层应用来
完成,极大降低
度得到了保证。
使用
TCPDump
分析
UDP
数据包
配置
tcpdu
mp
捕捉
UDP
数据包,分析数据包内
容;输入命令:
tcpdump udp -s0 -X -nn -i eth0
p>
。通
到网络中
UDP
数据包,并以
16
进制及
ASCII
字符打印呈现出来。
由于实验环境的
不同,可以设置更加复杂的
tcpdump
参数,来过滤更多的
无用信息,如地址,端口等
Tcpdump
详细使用方法
1
、
tcpdum
p
选项介绍
引用
-A
以
ASCII
格式打印出所有分组,并将链路层的头最小化。<
/p>
-c
在收到指定的数量的分组后,<
/p>
tcpdump
就会停止。
-C
在将一个原始分组写入文件之前,
检查文件当前的大小是否超过了参数
file_size
中
指定的大
大小,则关闭当前文件,然后在打开一个新的文件。参数
file_size
的单位是兆字节(是
1,000
1,048,576
字节)。
-d
将匹配信息包的代码以人们能够理解的汇编格式给出。
-dd
将匹配信息包的代码以
c
p>
语言程序段的格式给出。
-ddd
将匹配信息包的代码以十进制的形式给出。
-D
打印出系统中所有可以用
tcp
dump
截包的网络接口。
-e
在输出行打印出数据链路层的头部信息。
-
-
-
-
-
-
-
-
-
上一篇:高一英语必修三单词表修订稿
下一篇:Tcpdump的安装