Linux网络流量掌握工具与管理办法介绍[Linux安全]
本文“Linux网络流量掌握工具与管理办法介绍[Linux安全]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
相信大家对目前Linux网络流量的管理办法都有所理解了,并且但愿找到一个更安全更有效的办法,本日在这里我们就像大家介绍一个更安全更有效的Linux网络流量安全管理办法,但愿对大家有效.
网络流量捕捉:图形化工具Wireshark
1、Wireshark简介
Ethereal是一个开放源码的Linux网络流量解析系统,也是目前最好的开放源码的网络协议解析器,支持Linux和windows平台.Ethereal起先由Gerald Combs开辟,随后由一个疏松的etheral团队组织举行保护开辟.它目前所供应的强盛的协议解析功效完好可以媲美商业的Linux网络流量解析系统,自从1998年公布最早的0.2版本至今,大量的志愿者为ethereal增添新的协议解析器,目前ethereal已经支持五百多种协议解析.
别的,网络解析系统首先依靠于一套捕捉网络数据包的函数库.这套函数库工作在网络解析系统模块的最底层.作用是从网卡获得数据包大概按照过滤法则取出数据包的子集,再转交给上层解析模块.从协议上说,这套函数库将一个数据包从链路层接纳,至少将其复原至传输层以上,以供上层解析.6月8号,Ethereal的作者Gerald Coombs公布了脱离NIS的消息,因而Ethereal现改名为Wireshark.
Linux网络流量解析系统首先依靠于一套捕捉网络数据包的函数库.这套函数库工作在在网络解析系统模块的最底层.作用是从网卡获得数据包大概按照过滤法则取出数据包的子集,再转交给上层解析模块.从协议上说,这套函数库将一个数据包从链路层接纳,至少将其复原至传输层以上,以供上层解析.
在Linux系统中,1992年Lawrence Berkeley Lab的Steven McCanne和Van Jacobson提出了包过滤器的一种的实现,BPF(BSD Packet Filter).Libpcap是一个基于BPF的开放源码的捕包函数库.现有的大部份Linux捕包系统都是基于这套函数库大概是在它底子上做一些针对性的改良.在window系统中,意大利人Fulvio Risso和Loris Degioanni提出并实现了Winpcap函数库,作者称之为NPF.由于NPF的主要思惟就是根源于BPF,它的计划目标就是为windows系统供应一个功效强盛的开辟式数据包捕捉平台,但愿在Linux系统中的网络解析工具经过简单编译今后也可以移植到windows中,因此这两种捕包架构是非常实际的.就实现来说供应的函数调用接口也是一致的.Ethereal网络解析系统也需求一个底层的抓包平台,在Linux中是采取Libpcap函数库抓包,在windows系统中采取winpcap函数库抓包.
2、层次化的数据包协议解析办法
获得捕包函数捕回的数据包后就需求举行协议解析和协议复原工作了.由于OSI的7层协议模子,协议数据是从上到下封装后发送的.关于协议解析需求从下至上举行.首先对网络层的协议辨认后举行组包复原然后脱去网络层协议头.将里面的数据交给传输层解析,这样一向举行下去直到利用层.由于网络协议种类很多,就Ethereal所辨认的500多种协议来说,为了使协议和协议间层次关系明显.从而对数据流里的各个层次的协议可以逐层处理.Ethereal系统采取了协议树的方法.
假如协议A的全部数据都是封装在协议B里的,那么这个协议A就是协议B是别的一个协议的儿子节点(比方图中的TCP和UDP协议就是IP协议的儿子节点).我们将最低层的无构造数据流作为根接点.那么具有相同父节点的协议成为兄弟节点.那么这些拥有一样父协议兄弟节点协议若何彼此辨别了?Ethereal系统采取协议的特点字来辨认.每个协议会注册自己的特点字.这些特点字给自己的子节点协议供应可以彼此区脱离来的标识.比方tcp协议的port字段注册后.Tcp.port=21便可以认为是ftp协议,特点字可以是协议标准定义的任何一个字段.比方ip协议便可以定义proto字段为一个特点字.
在Ethereal中注册一个协议解析器首先要指出它的父协议是什么.别的还要指出自己辨别于父节点下的兄弟接点协议的特点.比方ftp协议.在Ethereal中他的父接点是tcp协议,它的特点就是tcp协议的port字段为21.这样当一个端口为21的tcp数据流来到时.首先由tcp协议注册的解析模块处理,处理完之后通过查找协议树找到自己协议下面的子协议,判断应当由那个子协议来履行,找到精确的子协议后,就转交给ftp注册的解析模块处理.这样由根节点开始一层层解析下去.
由于采取了协议树加特点字的计划,这个系统在协议解析上由了很强的扩大性,增添一个协议解析器只需求将解析函数挂到协议树的呼应节点上便可.
3、基于插件技术的协议解析器
所谓插件技术,就是在程序的计划开辟历程中,把整个利用程序分成宿主程序和插件两个部份,宿主程序与插件可以彼此通信,并且,在宿主程序不变的情形下,可以通过增减插件或改正插件来调整利用程序的功效.应用插件技术可以开辟出伸缩性杰出、便于保护的利用程序.它着名的利用实例有:媒体播放器winamp、微软的网络浏览器IE等.
由于目前网络协议种类繁多,为了可以随时增添新的协议解析器,普通的协议解析器都采取插件技术,这样假如需求对一个新的协议解析只需求开辟编写这个协议解析器并调用注册函数在系统注册便可以利用了.通过增添插件使程序有很强的可扩大性,各个功效模块内聚.
4、安装Wireshark
该软件有极端便利和友好的图形用户界面,并且可以使得用户通过图形界面的配置和挑选,针对多块网卡、多个协议举行显示,效果非常好.目前最新版本为:Wireshark 1.0.3.安装该软件请按照以下步骤举行:
1.//将下载的最新版本软件拷贝到暂时文件夹
2.# cp wireshark-1.0.3.tar.gz /usr/local/src/
3.//切换到暂时文件夹目录
4.# cd /usr/local/src/
5.//解紧缩文件
6.# tar -xvf wireshark-1.0.3.tar.gz
别的,同Tcpdump一样,在编译Ethereal之前应先肯定已经安装pcap库(libpcap),这是编译Wireshark时所必须的.假如该库已经安装,便可以履行下面的号令来编译并安装Wireshark:
1.# cd wireshark-1.0.3
2.# ./configure
3.# make
4.# make install
当编译并安装好Wireshark后,便可以履行“wireshark”号令来启动Wireshark.
以上是“Linux网络流量掌握工具与管理办法介绍[Linux安全]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
本文地址: | 与您的QQ/BBS好友分享! |