Tcpdump
捕捉网络通信进行进一步分析是tcpdump的重要功能,实际上,数据包捕获是由libpcap完成的,tcpdump只是进行展示和分析,原始以太网数据被保存在一个pcap文件中,其它数据包分析工具,如Wireshark也使用的是同样的pcap文件格式。
捕获基本的网络通信使用的tcpdump命令如下:
| $ sudo tcpdump nS |
要访问默认的以太网设备需要使用sodu,这个命令会显示最基本的信息,包括时间、源地址、目标地址和数据包类型,它会一直在终端显示这些信息,直到你按下Ctrl+C为止。Tcpdump是将网络通信捕获到一个文件最佳和最快速的方法。我们常见的tcpdump用法如下:
| $ sudo tcpdump s w pktfile.pcap |
Wireshark
Wireshark以前叫做Ethereal,它已经成为许多网络专业人士的首选工具,Ubuntu用户可以在Ubuntu软件中心中找到它,和其它工具一样,我们必须从命令行通过sodu的方式启动Wireshark才能看到所有以太网设备,启动好后,你应该可以在窗口左侧看到一个以太网设备列表,选择你要捕获数据包的接口,将会显示协议显示页面。
图 3 Wireshark
Wireshark详尽展示了捕获到的网络通信数据,并提供了过滤工具过滤不想查看的数据包类型,可以显示数据包源和目标地址,协议和错误等信息,Wireshark主页提供了视频教程,有兴趣的读者可以去听听,此外还有白皮书和示例数据,这些东西可以帮助你尽快熟悉Wireshark。
小结
Linux是学习网络诊断技术理想的平台,它提供了大量的命令行工具和GUI工具帮助你查看和分析网络通信,本文介绍的五个工具仅仅是其中一部分,怎么样,快将它们加入你的网络工具箱吧!
