1.基于Prometheus + Grafana搭建IT监控报警最佳实践(2)
2.SNMP Exporter详细解析（1）
3.sniffer状态

基于Prometheus + Grafana搭建IT监控报警最佳实践(2)

       见字如面，源码大家好，编译我是源码小斐。延续前文，编译本文将深入探讨Prometheus和Grafana的源码监控体系。

       首先，编译birt runtime源码我们需要打开Prometheus和Grafana进行操作，源码访问地址分别为：...:/ 和 ...:/。编译

       以node_exporter数据采集器为例，源码先确保其已安装于需要监控的编译主机。若要获取...主机的源码状态数据，需在该主机安装node_exporter采集器。编译

       在prometheus.yml中添加需要抓取的源码目标源信息，具体操作为：在scrape_configs下添加job_name，编译指定静态目标，源码添加...:目标。

       配置文件配置完成后，由于是静态的，需要重新加载配置文件，重启Prometheus以生效。

       在targets中查看是否已抓取到目标，根据上图可见，...的主机节点数据已抓取到。在Prometheus中验证数据正确性，点击.com/rfc.html

       SNMP的组织结构

       SNMP由三部分组成：SNMP内核、管理信息结构SMI和管理信息库MIB。

       SNMP内核负责协议结构分析，根据分析结果执行网管动作；SMI是一种通用规则，用于命名对象、定义对象类型，以及编码对象和对象值；MIB在被管理实体中创建命名对象，即一个实例。SMI规定游戏规则，在规则基础上由MIB实现实例化，而SNMP则是实例化的终极执行BOSS。

       常见术语：

       企业码：组成OID对象的厂商遵守的标识

       iana.org/assignments/en...

       比如华为的企业码：

       SMI编号结构

       iana.org/assignments/sm...

       如果需要深入研究SNMP协议，建议阅读TCP/IP详解卷1：协议

       MIB介绍

       MIB全称Management Information Base，其主要负责为所有的被管理网络节点建立一个接口，本质上类似于IP地址的一串数字。例如，在使用SNMP时，我们经常看到这样一组数字串：

       在这串数字中，每个数字都代表一个节点，其含义可参考下表：

       显然，这个数字串可以直接理解为系统的名字。在实际使用中，我们将其作为参数读取该节点的值，如果有写权限的话还可以更改该节点的值，因此，SNMP为系统管理员提供了一套极为便利的工具。但在一般使用中，我们一般不使用这种节点的表达方式，而是使用更为容易理解的方式，对于上面的例子，其往往可以使用SNMPv2-MIB::sysName.0所替代。你可能会想，系统能理解它的含义吗？那你就多虑了，一般在下载SNMP工具包的个人收款系统源码时候还会下载一个MIB文件包，其提供了所有节点的树形结构。在该结构中可以方便地查找对应的替换表达。

       NetSNMP介绍

       NetSNMP是一个简单的SNMP协议library库，提供支持SNMP的一套应用程序和开发库，包括代理端软件和管理端查询工具。通俗地理解，SNMP可以看作是一个C/S结构。在客户机中，一般会部署一个snmpd的守护进程，而在服务端（管理端）会下载一个SNMP工具包，这个包中包含了许多用于管理客户端网络节点的工具，例如get、set、translate等等。下图可能会帮助你更清晰地理解这个概念：

       上图中，表示的是双方进行通信时所用的默认端口号，被管理端会打开一个守护进程，负责监听端口发来的请求；管理端会提供一个SNMP工具包，利用工具包中的命令可以向被管理端的端口发送请求包，以获取响应。除此之外，管理端还会开启一个SNMPTrapd守护进程，用于接受被管理端向自己的端口发送来的snmptrap请求，这一机制主要用于被管理端的自动报警中，一旦被管理端的某个节点出现故障，系统会自动发送snmptrap包，从而远端的系统管理员可以及时得知问题。

       我们在Linux中，针对SNMP协议的操作（解析MIB文件）主要依赖这个NetSNMP库，相当于中间代理人的角色，下面我简单画出关于NetSNMP和SNMP Exporter以及配置生成器之间的关系。Telegraf默认支持NetSNMP和gosmi，默认使用gosmi，而SNMP Exporter默认使用NetSNMP的库，暂不支持gosmi。

       SNMP Exporter读取snmp.yml配置文件信息，snmp.yml配置文件中定义了需要采集指标的OID信息和数据类型以及结构，但是有一点需要明确，手写snmp.yml是一个吃力不讨好的事情，对工程师非常不友好，那工具开发者其实也是想到了这一点，故提供了一套SNMP Exporter配置文件生成器工具，可以通过配置文件生成器生成自己需要的自定义的snmp.yml配置文件，通过自己自定义指标可以得到相关指标数据，然后在通过数据做可视化和监控告警。

       SNMP Exporter默认使用GET BULK遍历数据，NetSNMP有实现对给定管理树进行遍历的工具，如snmpbulkwalk、snmpbulkget等等。

       snmpbulkwalk和snmpwalk的区别：

       snmpwalk是一个逐步遍历的工具，它会从指定的根OID（对象标识符）开始，按照字典序逐步获取下一个OID的值，直到遍历完整个MIB树或者达到指定的终止条件。这意味着snmpwalk逐步获取每个OID的值，一个接一个。

       snmpbulkwalk是一种更为高效的遍历工具，它使用了SNMP的网站源码含后台BulkWalk操作，允许一次性获取多个OID的值，减少了往返的SNMP请求次数。这使得snmpbulkwalk在获取大量数据时更为高效。

       SNMP Exporter如果使用SNMP v1版本，默认使用的是snmpwalk，如果使用的是SNMP v2c版本或v3，默认使用snmpbulkwalk。

       SNMP Exporter部署

       SNMP Exporter采集器目前只支持snmpd 端口，暂不支持snmptrapd即端口，端口可自行修改哦，建议使用默认端口。

       SNMP Exporter推荐使用源码包编译安装使用，在这里我主要介绍两种部署安装方式，源码编译安装和Docker Compose部署。

       Docker Compose部署

       新建初始化挂载目录：

       创建compose.yml，并启动SNMP Exporter，Docker引擎安装可前往改篇文章查看具体步骤：

       启动

       源码编译安装

       主要介绍CentOS 7.9系统和Ubuntu ..2 LTS中部署SNMP Exporter

       到此就完成了SNMP Exporter源码编译安装。

       添加systemd服务管理

       如果为了安全，需要使用普通用户执行，可以新建普通用户snmp_exporter

       SNMP Exporter配置生成器部署

       上面已经完成SNMP Exporter的部署，前面说了，手写snmp.yml是非常不友好的。

       故我们需要一款配置生成工具进行配置生成，只需要我们填写一些关键的信息即可得到我们想要的配置文件，比如想要采集交换机的指标，采集无线网络AC和AP的指标，其他SNMP协议设备指标。

       SNMP Exporter提供了一套这样的配置生成器工具，接下来就来看下如何部署，其实SNMP Exporter主要难点就是在处理配置生成工具和协调mib库上。

       部署SNMP Exporter配置生成器

       CentOS 7.9系统会出现curl版本太低导致make generator mibs错误的问题

       运行过程说明：

       配置生成器从generator.yml中读取简化的收集指令并把相应的配置写入snmp.yml。snmp_exporter可二进制执行文件仅使用snmp.yml文件从开启了snmp的设备收集数据。

       示例：

       args参数解析

       示例：

       flags参数解析

       --snmp.mibopts的作用：

       这个参数具体什么作用呢？主要解决的是有些mib库文件中，某些厂商并没有按照默认标准来，而是在MIB文件中使用了特殊符号，我们应该指定MIB解析的参数，比如某些MIB文件描述中有下划线_，那么如果使用某个指标去解析这个库应该是失败的，需要添加--snmp.mibopts=u，允许使用下划线。

       目录规划

       建议不同类型的设备都有一个目录，其中包含不同设备类型的mibs目录、生成器可执行文件和generator.yml配置文件。这是为了避免MIB定义中的名称空间冲突。仅在设备的mibs目录中保留所需的MIB文件。

       下一篇以实际案例讲解具体场景，包括如何规划目录，如何生成配置，上述参数如何具体使用。

sniffer状态

       sniffer是窃听的意思

       应该就是窃听状态

       sniffers(嗅探器)几乎和internet有一样久的历史了.Sniffer是一种常用的收集有用数据方法，这些数据可以是用户的帐号和密码，可以是一些商用机密数据等等。随着Internet及电子商务的日益普及,Internet的安全也越来越受到重视。在Internet安全隐患中扮演重要角色之一的Sniffer以受到越来越大的关注，所以今天我要向大家介绍一下介绍Sniffer以及如何阻止sniffer。

       大多数的黑客仅仅为了探测内部网上的主机并取得控制权，只有那些"雄心勃勃"的口红机源码3.3.0黑客，为了控制整个网络才会安装特洛伊木马和后门程序，并清除记录。他们经常使用的手法是安装sniffer。

        在内部网上，黑客要想迅速获得大量的账号（包括用户名和密码），最为有效的手段是使用 "sniffer" 程序。这种方法要求运行Sniffer 程序的主机和被监听的主机必须在同一个以太网段上，故而在外部主机上运行sniffer是没有效果的。再者，必须以root的身份使用sniffer 程序，才能够监听到以太网段上的数据流。谈到以太网sniffer，就必须谈到以太网sniffing。

       那么什么是以太网sniffer呢?

       以太网sniffing是指对以太网设备上传送的数据包进行侦听，发现感兴趣的包。如果发现符合条件的包，就把它存到一个log文件中

       去。通常设置的这些条件是包含字"username"或"password"的包。它的目的是将网络层放到promiscuous模式，从而能干些事情。

       Promiscuous模式是指网络上的所有设备都对总线上传送的数据进行侦听，并不仅仅是它们自己的数据。根据第二章中有关对以太网的工作原理的基本介绍，可以知道：一个设备要向某一目标发送数据时,它是对以太网进行广播的。一个连到以太网总线上的设备在任何时间里都在接受数据。不过只是将属于自己的数据传给该计算机上的应用程序。

        利用这一点，可以将一台计算机的网络连接设置为接受所有以太

       网总线上的数据，从而实现sniffer。

        sniffer通常运行在路由器，或有路由器功能的主机上。这样就能对大量的数据进行监控。sniffer属第二层次的攻击。通常是攻击者已经进入了目标系统，然后使用sniffer这种攻击手段，以便得到更多的信息。

        sniffer除了能得到口令或用户名外，还能得到更多的其他信息，比如一个其他重要的信息，在网上传送的金融信息等等。sniffer几乎能得到任何以太网上的传送的数据包。黑客会使用各种方法，获得系统的控制权并留下再次侵入的后门，以保证sniffer能够执行。在Solaris 2.x平台上，sniffer 程序通常被安装在/usr/bin 或/dev目录下。黑客还会巧妙的修改时间，使得sniffer程序看上去是和其它系统程序同时安装的。

       大多数以太网sniffer程序在后台运行，将结果输出到某个记录文件中。黑客常常会修改ps程序，使得系统管理员很难发现运行的sniffer程序。

        以太网sniffer程序将系统的网络接口设定为混合模式。这样，它就可以监听到所有流经同一以太网网段的数据包，不管它的接受者或发送者是不是运行sniffer的主机。 程序将用户名、溯源码小盏密码和其它黑客感兴趣的数据存入log文件。黑客会等待一段时间 ----- 比如一周后，再回到这里下载记录文件。

       讲了这么多，那么到底我们可以用什么通俗的话来介绍sniffer呢？

       计算机网络与电话电路不同，计算机网络是共享通讯通道的。共享意味着计算机能够接收到发送给其它计算机的信息。捕获在网络中传输的数据信息就称为sniffing（窃听）。

        以太网是现在应用最广泛的计算机连网方式。以太网协议是在同一回路向所有主机发送数据包信息。数据包头包含有目标主机的正确地址。一般情况下只有具有该地址的主机会接受这个数据包。如果一台主机能够接收所有数据包，而不理会数据包头内容，这种方式通常称为"混杂" 模式。

        由于在一个普通的网络环境中，帐号和口令信息以明文方式在以太网中传输， 一旦入侵者获得其中一台主机的root权限，并将其置于混杂模式以窃听网络数据，从而有可能入侵网络中的所有计算机。

       一句话，sniffer就是一个用来窃听的黑客手段和工具。

       二、sniffer的工作原理

        通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力，而每个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其他网络接口的硬件地址，同时，每个网络至少还要一个广播地址。（代表所有的接口地址），在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：

        1、帧的目标区域具有和本地网络接口相匹配的硬件地址。

        2、帧的目标区域具有"广播地址"。

        在接受到上面两种情况的数据包时，nc通过cpu产生一个硬件中断，该中断能引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理。

        而sniffer就是一种能将本地nc状态设成（promiscuous）状态的软件，当nc处于这种"混杂"方式时，该nc具备"广播地址"，它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。（绝大多数的nc具备置成 promiscuous方式的能力）

        可见，sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。值得注意的是：sniffer是极其安静的，它是一种消极的安全攻击。

        通常sniffer所要关心的内容可以分成这样几类：

        1、口令

        我想这是绝大多数非法使用sniffer的理由，sniffer可以记录到明文传送的userid和passwd.就算你在网络传送过程中使用了加密的数据，sniffer记录的数据一样有可能使入侵者在家里边吃肉串边想办法算出你的算法。

        2、金融帐号

        许多用户很放心在网上使用自己的信用卡或现金帐号，然而sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和pin.

        3、偷窥机密或敏感的信息数据

        通过拦截数据包，入侵者可以很方便记录别人之间敏感的信息传送，或者干脆拦截整个的email会话过程。

        4、窥探低级的协议信息。

        这是很可怕的事，我认为，通过对底层的信息协议记录，比如记录两台主机之间的网络接口地址、远程网络接口ip地址、ip路由信息和tcp连接的字节顺序号码等。这些信息由非法入侵的人掌握后将对网络安全构成极大的危害，通常有人用sniffer收集这些信息只有一个原因：他正在进行一次欺诈，（通常的ip地址欺诈就要求你准确插入tcp连接的字节顺序号,这将在以后整理的文章中指出）如果某人很关心这个问题，那么sniffer对他来说只是前奏，今后的问题要大得多。（对于高级的hacker而言，我想这是使用sniffer的唯一理由吧）

       二.sniffer的工作环境

       snifffer就是能够捕获网络报文的设备。嗅探器的正当用处在于分析网络的流量,以便找出所关心的网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题判断。

       嗅探器在功能和设计方面有很多不同。有些只能分析一种协议，而另一些可能能够分析几百种协议。一般情况下，大多数的嗅探器至少能够分析下面的协议：

       1.标准以太网

       2.TCP/IP

       3.IPX

       4.DECNet

       嗅探器通常是软硬件的结合。专用的嗅探器价格非常昂贵。另一方面，免费的嗅探器虽然不需要花什么钱，但得不到什么支持。

       嗅探器与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值，而嗅探器则捕获真实的网络报文。嗅探器通过将其置身于网络接口来达到这个目的——例如将以太网卡设置成杂收模式。（为了理解杂收模式是怎么回事，先解释局域网是怎么工作的）。

       数据在网络上是以很小的称为帧(Ftame)的单位传输的帧由好几部分组成，不同的部分执行不同的功能。（例如，以太网的前个字节存放的是源和目的的地址，这些位告诉网络：数据的来源和去处。以太网帧的其他部分存放实际的用户数据、TCP/IP的报文头或IPX报文头等等）。

       帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上。通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧的到达，然后对其进行存储。就是在这个传输和接收的过程中，嗅探器会造成安全方面的问题。

       每一个在LAN上的工作站都有其硬件地址。这些地址唯一地表示着网络上的机器（这一点于Internet地址系统比较相似）。当用户发送一个报文时，这些报文就会发送到LAN上所有可用的机器。

       在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的报文则不予响应（换句话说，工作站A不会捕获属于工作站B的数据，而是简单的忽略这些数据）。

       如果某在工作站的网络接口处于杂收模式，那么它就可以捕获网络上所有的报文和帧，如果一个工作站被配置成这样的方式，它（包括其软件）就是一个嗅探器。

       嗅探器可能造成的危害：

       1.嗅探器能够捕获口令

       2.能够捕获专用的或者机密的信息

       3.可以用来危害网络邻居的安全，或者用来获取更高级别的访问权限

       事实上，如果你在网络上存在非授权的嗅探器就以为着你的系统已经暴露在别人面前了。（大家可以试试天行2的嗅探功能）

       一般我们只嗅探每个报文的前到个字节。用户名和口令都包含在这一部分中，这是我们关心的真正部分。工人，也可以嗅探给定接口上的所有报文，如果有足够的空间进行存储，有足够的那里进行处理的话，将会发现另一些非常有趣的东西……

       简单的放置一个嗅探器宾将其放到随便什么地方将不会起到什么作用。将嗅探器放置于被攻击机器或网络附近，这样将捕获到很多口令，还有一个比较好的方法就是放在网关上。如果这样的话就能捕获网络和其他网络进行身份鉴别的过程。这样的方式将成倍地增加我们能够攻击的范围。

       三.谁会使用sniffers

       可能谁都回知道谁会使用sniffer，但是并不是每个使用它的人都是网络高手，因为现在有很多的sniffer都成了傻瓜似的了，前段时间用的最多的不外乎oicq sniffer。我想那些喜欢查好友ip的朋友都应该记得它吧。呵呵，我都使用过它，现在当然不用了啊！

       当然系统管理员使用sniffer来分析网络信息交通并且找出网络上何处发生问题。一个安全管理员可以同时用多种sniffer, 将它们放置在网络的各处,形成一个入侵警报系统。对于系统管理员来说sniffer是一个非常好的工具,但是它同样是一个经常被黑客使用的工具.骇客安装sniffer以获得用户名和账号,信用卡号码,个人信息,和其他的信息可以导致对你或是你的公司的极大危害如果向坏的方面发展。当它们得到这些信息后,骇客将使用密码来进攻其他的internet 站点甚至倒卖信用卡号码。

       三.sniffer是如何在网络上实施的

       谈这个问题之前还应该先说一下Ethernet的通讯。通常在同一个网段的所有网络接口都有访问在媒体上传输的所有数据的能力，而每个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其它网络接口的硬件地址，同时，每个网络至少还要一个广播地址。在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：

        1�帧的目标区域具有和本地网络接口相匹配的硬件地址。

        2�帧的目标区域具有“广播地址”。

        在接受到上面两种情况的数据包时，网卡通过cpu产生一个硬件中断。该中断能引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理。而sniffer就是一种能将本地网卡状态设成杂乱模式（promiscuous Mode）的软件。当网卡处于杂乱模式时，该网卡具备“广播地址”，它对所有遇到的每一个帧都产生一个硬件中断以提醒操作系统处理每一个报文包。（绝大多数的网卡具备设置成杂乱模式的能力。

        可见，sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据。通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。值得注意的是：sniffer是极其安静的，它是一种消极的安全攻击。

       四.哪里可以得到sniffer

       我们讲的sniffer，主要是在unix系统下运用的，至于那些oicq sniffer就不在我们讨论的范围。

       Sniffer是黑客们最常用的入侵手段之一。你可以在经过允许的网络中运行sniffer，了解它是如何有效地危及本地机器安全。

        Sniffer可以是硬件，也可以是软件。现在品种最多,应用最广的是软件Sniffer,绝大多数黑客们用的也是软件Sniffer。

        以下是一些也被广泛用于调试网络故障的sniffer工具：

        （一）.商用sniffer：

        1. Network General.

        Network General开发了多种产品。最重要的是Expert Sniffer，它不仅仅可以sniff，还能够通过高性能的专门系统发送/接收数据包，帮助诊断故障。还有一个增强产品"Distrbuted Sniffer System"可以将UNIX工作站作为sniffer控制台，而将sniffer agents（代理）分布到远程主机上。

        2. Microsoft's Net Monitor

        对于某些商业站点，可能同时需要运行多种协议--NetBEUI、IPX/SPX、TCP/IP、.3和SNA等。这时很难找到一种sniffer帮助解决网络问题，因为许多sniffer往往将某些正确的协议数据包当成了错误数据包。Microsoft的Net Monitor（以前叫Bloodhound）可以解决这个难题。它能够正确区分诸如Netware控制数据包、NT NetBios名字服务广播等独特的数据包。（etherfind只会将这些数据包标识为类型的广播数据包。）这个工具运行在MS Windows 平台上。它甚至能够按MAC地址（或主机名）进行网络统计和会话信息监视。只需简单地单击某个会话即可获得tcpdump标准的输出。过滤器设置也是最为简单的，只要在一个对话框中单击需要监视的主机即可。

        （二）.免费软件sniffer

        1. Sniffit由Lawrence Berkeley 实验室开发，运行于Solaris、SGI和Linux等平台。可以选择源、目标地址或地址集合，还可以选择监听的端口、协议和网络接口等。这个SNIFFER默认状态下只接受最先的个字节的信息包，这对于一次登陆会话进程刚刚好。

        2. SNORT：这个SNIFFER有很多选项供你使用并可移植性强，可以记录一些连接信息，用来跟踪一些网络活动。

        3. TCPDUMP：这个SNIFFER很有名，linux,FREEBSD还搭带在系统上，是一个被很多UNIX高手认为是一个专业的网络管理工具，记得以前TsutomuShimomura（应该叫下村侵吧）就是使用他自己修改过的TCPDUMP版本来记录了KEVINMITNICK攻击他系统的记录，后来就配合FBI抓住了KEVINMITNICK，后来他写了一文：使用这些LOG记录描述了那次的攻击，HowMitnickhackedTsutomuShimomurawithanIPsequenceattack

       ( /~lspitz/snoop.html

       （四）.Linux下的sniffer工具

       Linux下的sniffer工具，我推荐Tcpdump。

       [1].tcpdump的安装

       在linux下tcpdump的安装十分简单，一般由两种安装方式。一种是以rpm包的形式来进行安装。另外一种是以源程序的形式安装。

        1． rpm包的形式安装

        这种形式的安装是最简单的安装方法，rpm包是将软件编译后打包成二进制的格式，通过rpm命令可以直接安装，不需要修改任何东西。以超级用户登录，使用命令如下：

        #rpm -ivh tcpdump-3_4a5.rpm

        这样tcpdump就顺利地安装到你的linux系统中。怎么样，很简单吧。

        2． 源程序的安装

        既然rpm包的安装很简单,为什么还要采用比较复杂的源程序安装呢?其实，linux一个最大的诱人之处就是在她上面有很多软件是提供源程序的，人们可以修改源程序来满足自己的特殊的需要。所以我特别建议朋友们都采取这种源程序的安装方法。

        · 第一步 取得源程序 在源程序的安装方式中，我们首先要取得tcpdump的源程序分发包，这种分发包有两种 形式，一种是tar压缩包(tcpdump-3_4a5.tar.Z),另一种是rpm的分发包(tcpdump-3_4a5.src.rpm)。这两种 形式的内容都是一样的，不同的仅仅是压缩的方式.tar的压缩包可以使用如下命令解开：

        #tar xvfz tcpdump-3_4a5.tar.Z

        rpm的包可以使用如下命令安装:

        #rpm -ivh tcpdump-3_4a5.src.rpm

        这样就把tcpdump的源代码解压到/usr/src/redhat/SOURCES目录下.

        · 第二步 做好编译源程序前的准备活动

        在编译源程序之前，最好已经确定库文件libpcap已经安装完毕，这个库文件是tcpdump软件所需的库文件。同样，你同时还要有一个标准的c语言编译器。在linux下标准的c 语言编译器一般是gcc。 在tcpdump的源程序目录中。有一个文件是Makefile.in，configure命令就是从Makefile.in文件中自动产生Makefile文件。在Makefile.in文件中，可以根据系统的配置来修改BINDEST 和 MANDEST 这两个宏定义，缺省值是

        BINDEST = @sbindir @

        MANDEST = @mandir @

        第一个宏值表明安装tcpdump的二进制文件的路径名，第二个表明tcpdump的man 帮助页的路径名,你可以修改它们来满足系统的需求。

        · 第三步 编译源程序

        使用源程序目录中的configure脚本，它从系统中读出各种所需的属性。并且根据Makefile.in文件自动生成Makefile文件，以便编译使用.make 命令则根据Makefile文件中的规则编译tcpdump的源程序。使用make install命令安装编译好的tcpdump的二进制文件。

        总结一下就是:

        # tar xvfz tcpdump-3_4a5.tar.Z

        # vi Makefile.in

        # . /configure

        # make

        # make install

       [2].Tcpdump的使用

        tcpdump采用命令行方式，它的命令格式为：

        tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ]

        [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ]

        [ -T 类型 ] [ -w 文件名 ] [表达式 ]

        1. tcpdump的选项介绍

        -a 将网络地址和广播地址转变成名字；

        -d 将匹配信息包的代码以人们能够理解的汇编格式给出；

        -dd 将匹配信息包的代码以c语言程序段的格式给出；

        -ddd 将匹配信息包的代码以十进制的形式给出；

        -e 在输出行打印出数据链路层的头部信息；

        -f 将外部的Internet地址以数字的形式打印出来；

        -l 使标准输出变为缓冲行形式；

        -n 不把网络地址转换成名字；

        -t 在输出的每一行不打印时间戳；

        -v 输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息；

        -vv 输出详细的报文信息；

        -c 在收到指定的包的数目后，tcpdump就会停止；

        -F 从指定的文件中读取表达式,忽略其它的表达式；

        -i 指定监听的网络接口；

        -r 从指定的文件中读取包(这些包一般通过-w选项产生)；

        -w 直接将包写入文件中，并不分析和打印出来；

        -T 将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程 调用）和snmp（简单网络管理协议；）

        2. tcpdump的表达式介绍

        表达式是一个正则表达式，tcpdump利用它作为过滤报文的条件，如果一个报文满足表达式的条件，则这个报文将会被捕获。如果没有给出任何条件，则网络上所有的信息包将会被截获。

        在表达式中一般如下几种类型的关键字，一种是关于类型的关键字，主要包括host，net，port, 例如 host ...2，指明 ...2是一台主机，net .0.0.0 指明 .0.0.0是一个网络地址，port 指明端口号是。如果没有指定类型，缺省的类型是host.

        第二种是确定传输方向的关键字，主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明，src ...2 ,指明ip包中源地址是...2 , dst net .0.0.0 指明目的网络地址是.0.0.0 。如果没有指明方向关键字，则缺省是src or dst关键字。

        第三种是协议的关键字，主要包括fddi,ip ,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定的网络协议，实际上它是"ether"的别名，fddi和ether具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则tcpdump将会监听所有协议的信息包。

        除了这三种类型的关键字之外，其他重要的关键字如下：gateway, broadcast,less,greater,还有三种逻辑运算，取非运算是 'not ' '! ', 与运算是'and','&&';或运算 是'or' ,''；

        这些关键字可以组合起来构成强大的组合条件来满足人们的需要，下面举几个例子来说明。

        (1)想要截获所有...1 的主机收到的和发出的所有的数据包：

        #tcpdump host ...1

        (2) 想要截获主机...1 和主机...2 或...3的通信，使用命令：（在命令行中适用括号时，一定要

        #tcpdump host ...1 and \ (...2 or ...3 \)

        (3) 如果想要获取主机...1除了和主机...2之外所有主机通信的ip包，使用命令：

        #tcpdump ip host ...1 and ! ...2

        (4)如果想要获取主机...1接收或发出的telnet包，使用如下命令：

        #tcpdump tcp port host ...1

        3. tcpdump 的输出结果介绍

        下面我们介绍几种典型的tcpdump命令的输出信息

        (1) 数据链路层头信息

        使用命令#tcpdump --e host ice

        ice 是一台装有linux的主机，她的MAC地址是0：：：：AF：1A

        H是一台装有SOLARIC的SUN工作站，它的MAC地址是8：0：：：5B：；上一条命令的输出结果如下所示：

       ::. eth0 < 8:0:::5b: 0::::af:1a ip : h. > ice.telne

       t 0:0(0) ack win (DF)

        分析：：：是显示的时间， 是ID号，eth0 <表示从网络接口eth0 接受该数据包，eth0 >表示从网络接口设备发送数据包, 8:0:::5b:是主机H的MAC地址,它表明是从源地址H发来的数据包. 0::::af:1a是主机ICE的MAC地址,表示该数据包的目的地址是ICE . ip 是表明该数据包是IP数据包, 是数据包的长度, h. > ice.telnet 表明该数据包是从主机H的端口发往主机ICE的TELNET()端口. ack 表明对序列号是的包进行响应. win 表明发送窗口的大小是.

        (2) ARP包的TCPDUMP输出信息

        使用命令#tcpdump arp

        得到的输出结果是：

        ::. eth0 > arp who-has route tell ice (0::::af:1a)

        ::. eth0 < arp reply route is-at 0::::: (0::::af:1a)

        分析: ::是时间戳, 是ID号, eth0 >表明从主机发出该数据包, arp表明是ARP请求包, who-has route tell ice表明是主机ICE请求主机ROUTE的MAC地址。 0::::af:1a是主机ICE的MAC地址。

        (3) TCP包的输出信息

        用TCPDUMP捕获的TCP包的一般输出信息是：

        src > dst: flags data-seqno ack window urgent options

        src > dst:表明从源地址到目的地址, flags是TCP包中的标志信息,S 是SYN标志, F (FIN), P (PUSH) , R (RST) "." (没有标记); data-seqno是数据包中的数据的顺序号, ack是下次期望的顺序号, window是接收缓存的窗口大小, urgent表明数据包中是否有紧急指针. Options是选项.

        (4) UDP包的输出信息

        用TCPDUMP捕获的UDP包的一般输出信息是：

        route.port1 > ice.port2: udp lenth

        UDP十分简单，上面的输出行表明从主机ROUTE的port1端口发出的一个UDP数据包到主机ICE的port2端口，类型是UDP， 包的长度是lenth上面，我就详细介绍了TCPDUMP的安装和使用，希望会对大家有所帮助。如果想要熟练运用TCPDUMP这个LINUX环境下的SNIFFER利器，还需要大家在实践中总结经验，充分发挥它的威力。

       （五）.windows平台上的sniffer

       我推荐netxray和sniffer pro软件，想必大家都用过他们，不过我在这儿还要再简单介绍一下他们。

       netxray的使用说明

       1.1.1.1----2.2.2.2----3.3.3.3----4.4.4.4 这是一个ShareHub连接下的局域网

       5.5.5.5 这是一个端口上的

       启动Capture，