网普技术论坛 网普科技  
» 游客:   网普主页 | 注册 | 登录 | 帮助
 

作者:
标题: Tcpdump的小经验,大家举一反三[ZT] 上一主题 | 下一主题
网普科技
网普管理员

网普科技人民公仆


积分 3080
发贴 2863
注册 2004-6-26
来自 网普科技
状态 离线
#1  Tcpdump的小经验,大家举一反三[ZT]

网上的东西都是这样,介绍软件,参数的多,实例的很少。

很多时候,我们有了软件的参数使用方法,但是还是不是很明白,领会。今天,我在用网路岗监控的时候,看到里面监控的仅仅是些常用的网络服务器形式,80,邮件,ftp,功能太下载。这个监控上网内容还可以,要分析些网络事件,无能为力了。

于是,我想到,一般局域网中怕的就是木马,病毒,发送垃圾数据包,常常堵塞网络。 于是,我就想起用tcpdump来试试看,毕竟很多软件都是靠他来监控的。试试牛刀了

先 tcpdump 一看,信息太多。 想了想我要做的是什么,主要是想看看,局域网中访问internet那些东西,跟那些机器有连接,而且要探测不明链接。从而可以发现是否有木马,病毒一些在作怪!

tcpdump dst net not 192.168.123.0/24 不监视跟网内机子的链接,过滤很多信息。迅速进入主题, 不想看发邮件的情况,一般的80网页访问,domain访问,还有要排除网内已有服务器的一些端口。

tcpdump dst net not 192.168.123.0/24 and dst port not \( www or 25 or 110 or 5000 or domain \) and src port ! \( 4011 or 4010 or 4009 \)

这样的话看到的信息就相对少了很多,这个时候就可以看到一些不常见的链接了,对发现木马和病毒会有一定的帮助。
相信大家看过tcpdump的用法,过滤表达式应该不难理解。
我也就解释下吧,高手就不用看了。

dst net not 192.168.123.0/24 不监视与网内机器的连接
dst port not \( www or 25 or 110 or 5000 or domain \) 过滤与internet中运行 目标端口的连接,不显示访问网页,邮件,查询DNS的这些连接
src port ! \( 4011 or 4010 or 4009 \) 这个主要是因为 装有虚拟局域网软件,网内服务器与外面分部的连接,不需要显示。 当然这里的端口可以根据实际情况换掉

接下来,我(隔了一天接着写)我从看到的信息里面发现有频繁连接外面5050的连接,google搜索了下5050是什么端口,发现跟dudu.com中的一个软件有关系。接着我又开个term,tcpdump dst port 5050 ,这样又可以同时看到那些具体连接外面5050端口的机子。我的过程中就发现只有一台机子更这个联系。最后在那台机子上果然发现以前安装的一个dudu校友录软件的服务在后台运行。

通过这个经历,发现tcpdump果然很强大,只要灵活运用,作用还真的很大。虽然,我写的帖子没有什么深奥的地方,也很简单。 之所以写这个东西,不是来说明什么,只是想对一些想了解却总不明白的兄弟一点点启发。 要举一反三哦。



天理路上甚宽,稍游心,胸中便觉广大宏朗;
人欲路上甚窄,才寄迹,眼前俱是荆棘泥涂。



网普科技,优质美国主机服务!
美国Linux主机,美国虚拟主机
支持PHP+MYSQL+cPanel+EMAIL
为用户负责,拒绝反动、赌博及色情内容! QQ:126818

发送QQ消息
2006-1-20 10:11 PM
查看资料  访问主页  发短消息  QQ   编辑帖子  引用回复 顶部
天奇
网普朋友





积分 3
发贴 3
注册 2006-4-12
状态 离线
#2  

很好,真关于钻研!

2006-4-12 03:47 PM
查看资料  发送邮件  发短消息   编辑帖子  引用回复 顶部
茱莉娅
THE BODY SHOP美容顾问

茱莉娅美体小铺


积分 3
发贴 3
注册 2009-5-21
来自 茱莉娅美体小铺
状态 离线
#2  赞助商信息The body shop

茱莉娅美体小铺
茱莉娅美体小铺淘宝店
茱莉娅美体小铺
2006-4-12 03:47 PM
查看资料  发送邮件  发短消息   编辑帖子  引用回复 顶部


可打印版本 | 推荐给朋友 | 订阅主题 | 收藏主题



论坛跳转:  




Powered by Discuz! 2.5 © 2001-2005 Comsenz Technology Ltd.
Processed in 0.036282 second(s), 7 queries, Gzip enabled
------------------------------------------------------------------------------
本论坛属网普科技交流与技术支持论坛!
拒绝任何人以任何形式在本论坛发表与中华人民共和国法律相抵触的言论!
美国主机, 美国虚拟主机, cPanel+PHP+Mysql+Ftp+Email+Zend+GD2+国际域名支持
技术支持 QQ: 126818 EMail & MSN: support[AT]netpu.net
[ 联系我们 ] - [ 网普科技 ]