Linux系统-TCPDump流量
一、流量监控概述
对于一个通信过程的分析,首先需要把握5个最基本数据:
源IP:谁发起的请求,谁就是源,任意一端都有可能是源,也可能是目标
源端口:通常情况下,第一次发起请求的,可以称之为客户端,第一次的目标机,称之为服务器端
目标IP:通常情况下,目标IP是确定的,并且目标端口也是确定的
目标端口:对于服务器端来说,通常是固定的
协议:事先约定好的规则,http、https、ssh是最为流行的应用层协议
然后具体查看内容(Payload:载荷)
二、安装tcpdump
yum install -y tcpdump
libcap是Linux上标准的流量监控的库,大多数流量监控工具就是基于这个底层进行开发
在windows上,比较知名的是winpcap和npcap
目前市面上主流的防火墙、IDS、IPS、包过滤工具、只要涉及到流量的产品和系统,底层均基于以上这些库
三、tcpdump使用
tcpdump -i ens33: 监控ens33网卡上的流量,并输出到终端
tcpdump tcp and dst port 80 -i ens33: 只监控当前服务器端的80端口的流量
tcpdump tcp and dst port 80 -i ens33 -w ./target.pcap: 将流量保存到target.pcap
tcpdump tcp and dst port 80 -i ens33 -c 100: 只捕获100条数据包就自动结束