Linux操作系统-09-Tcpdump流量监控工具

从防火墙的角度来看，从入侵攻击的特征来看，从入侵检测的防护手段来看，从流量分析预警的来看，几乎所有的网络安全攻防的一些行为都可以通过流量来进行处理。

一、流量监控特征

对一个通信过程分析，首先需要把握5个最基本数据，然后再具体查看内容（Payload：载荷），还有就是协议通信过程中一些特定的字段，可以通过这些字段来判定是否是攻击行为。

• 源IP：谁发起的请求，谁就是源，任意一端都可能是源，也可能是目标
• 源端口：通常情况下，第一次发送请求的，可以称之为客户端，第一次的目标机，称之为服务器端
• 目标IP：通常情况下，目标IP和目标端口是确定的
• 目标端口：对于服务器来说，目标端口通常是固定的
• 协议（事先约定好的规则）：http、https、ssh

二、tcpdump工具

1、安装tcpdump

#Centos
yum install -y tcpdump
#ubuntu
sudo apt  install tcpdump
 
#安装tcpdump会安装libpcap
#libpcap是linux上标准的流量监控的库，大多数流量监控工具都是基于这个底层库开发的
#在windows上，比较知名的是winpcap和npcap
#目前市面上主流的防火墙，IDS、IPS、包过滤工具、只要涉及到流量的产品或系统，底层均基于以上这些库。

#监控ens33网卡上的流量，并输出到终端
tcpdump -i ens33
#只监控当前服务器端的80端口的流量                                 
tcpdump tcp and dst port 80 -i ens33
#将流量保存到target.pcap文件中   
tcpdump tcp and dst port 80 -i ens33 -w ./target.pcap      

root@rot123-virtual-machine:~# sudo tcpdump tcp and dst port 80 -i ens33 -w ./target.pcp
tcpdump: listening on ens33, link-type EN10MB (Ethernet), snapshot length 262144 bytes
^C59 packets captured
59 packets received by filter
0 packets dropped by kernel

命令行终端只能看到摘要信息，摘要信息本身没有具体实用价值，能看到五元组，但是看不到payload以及整个通讯过程其他的一些信息。

在linux的命令行监控到之后就可以把监控文件target.pcap下载到windows上，然后使用winshark打开就可以把监控流量的细节展示出来

2、使用场景

通过linux的tcpdump一直监控着，需要用到分析的时候，把文件拿过来，使用winshark打开看具体的流量卡特征。

#只捕获100条数据包后自动结束
tcpdump tcp and dst port 80 -i ens33 -c 100