|
|
知识路径: > 网络安全测评技术与标准 > 网络安全测评技术与工具 > 协议分析(网络协议数据的获取和分析,协议分析常用工具TCPDump、WireShark 等) >
|
|
相关知识点:11个
|
|
|
|
|
协议分析用于检测协议的安全性。常见的网络协议分析工具有TCPDump、Wireshark。TCPDump提供命令行方式,提供灵活的包过滤规则,是一个有力的网络协议分析工具。TCPDump既支持OpenBSD、Linux、Solaris等UNIX系统,又支持Windows环境。TCPDump在Windows环境下的名称为WinDump,但WinDump的用法与TCPDump的用法是一样的,只需将命令行的TCPDump改为WinDump即可。TCPDump的命令功能如下表所示。
|
|
|
|
|
|
|
|
TCPDump除了以上的命令选项外,还支持正则表达式。TCPDump的表达式是一个过滤规则,根据正则表达式,TCPDump过滤网络数据包,如果一个网络数据包满足表达式的条件,则这个网络数据包将会被捕获。如果没有给出任何正则表达式,则网络上所有的信息包都将会被截获。TCPDump的表达式中一般有三种类型的关键字。
|
|
|
|
|
|
类型关键字主要包括host、net、port。例如:
|
|
|
|
. host X.Y.Z.2指明X.Y.Z.2是一台主机。
|
|
|
|
. net X.Y.Z.0指明X.Y.Z.0是一个网络地址。
|
|
|
|
. port 23指明端口号是23。如果没有指定类型,默认的类型是host。
|
|
|
|
|
|
确定传输方向的关键字主要包括src、dst、dst or src、dst and src,这些关键字指明监听的通信内容传输方向。例如:
|
|
|
|
. src X.Y.Z.2指明IP包中源地址是X.Y.Z.2。
|
|
|
|
. dst net X.Y.Z.0指明目的网络地址是X.Y.Z.0。
|
|
|
|
. 如果没有指明方向关键字,则默认是dst or src关键字。
|
|
|
|
|
|
协议关键字指明监听包的协议内容,主要包括FDDI、IP、ARP、RARP、TCP、UDP等类型。FDDI指明是FDDI(光纤分布式数据接口网络)上的特定的网络协议,实际上它是“Ether”的别名,FDDI和Ether具有类似的源地址和目的地址,所以可以将FDDI协议包当作Ether的包进行处理和分析。如果没有指定任何协议,则TCPDump将会监听所有协议的信息包。
|
|
|
|
除了上述三种类型的关键字之外,其他关键字有Gateway、Broadcast、Less、和Greater。此外,TCPDump还提供三种逻辑运算功能,包括非运算“not”“!”,与运算“and”“&”,或运算“or”“||”。通过这些关键字及逻辑运算符,可以构成灵活的过滤规则。
|
|
|
|
|
|
(1)截获X.Y.Z.61主机收到的和发出的所有数据包,使用如下命令:
|
|
|
|
|
|
(2)截获主机X.Y.Z.1和主机X.Y.Z.2或X.Y.Z.3的通信(在命令行中使用括号时,一定要在括号前应用转义字符“\”),使用如下命令:
|
|
|
|
|
|
(3)监听主机X.Y.Z.1与除了主机X.Y.Z.2之外的其他所有主机通信的IP包,使用如下命令:
|
|
|
|
|
|
(4)获取主机X.Y.Z.1接收或发出的Telnet包,使用如下命令:
|
|
|
|
|
