解析Linux网络分析的三大利器(ZT)

解析Linux网络分析的三大利器(ZT)
ZT from linuxsir
解析Linux网络分析的三大利器
随着Internet的迅猛发展，网络已无处不在，但是，它可能随时受到来自各方的攻击。了解哪些人正在访问资源、哪些人正在享受服务、哪些人正在发送大
量垃圾等，对网络管理员来说是非常必要的。利用Linux中较常见的网络分析工具Tcpdump、Nmap和Netstat，可以使网络管理工作更加轻
松。
Tcpdump主要是截获通过本机网络接口的数据，用以分析。Nmap是强大的端口扫描工具，可扫描任何主机或网络。Netstat可用来检查本机当前提供的服务及状态。这三者各有所长，结合起来，就可以比较透彻地了解网络状况。
Tcpdump
Tcpdump能够截获当前所有通过本机网卡的数据包。它拥有灵活的过滤机制，可以确保得到想要的数据。由于Tcpdump只能收集通过本机的数据，因此
它的应用受到了一些限制，大多应用在网关或服务器自我检测上。例如，在作为网关的主机上，想知道本地网络中IP地址为192.168.0.5的主机现在与
外界通信的情况，就可以使用如下命令：
tcpdump -i eth0 src host 192.168.0.5
在默认情况下，Tcpdump会将数据输出到屏幕。如果数据量太大，可能根本看不清具体的内容，这时我们可以把它重定向到文件再进行分析。如果眼神不错，就可以清楚地了解这位仁兄刚才的一举一动：
访问了新浪网主页
20:05:32.473388 192.168.0.5.1872 > www.sina.com.http:
S 1372301404:1372301404(0) win 64240 <mss
1460,nop,nop,sackOK> (DF)
……
进行了netbios广播进行名字查询
20:05:33.823388 192.168.0.5.netbios-dgm >
192.168.0.255.netbios-dgm: NBT UDP PACKET(13
……
到新华网POP3服务器收信
20:05:41.953388 192.168.0.5.1878 > pop.xinhuanet.com.pop3: S
1374956462:1374956462(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
……
到深圳963收信
20:05:45.633388 192.168.0.5.1881 > szptt154.szptt.net.cn.pop3:
P 34:40(6) ack 146 win 64095 (DF)
……
例如，上面这条信息表明了在20:05:45的时候，192.168.0.5通过1881源端口连接到963电子邮局的POP3端口。对于普通的网络分析，这些信息已经足够了。这就是Tcpdump的基本功能，其它高级功能都是在这一基础上的细化和增强。
例如，我只想知道192.168.0.5当前正在访问哪些Web站点，可以用下面