热销排行榜
1.2.3.4.5.6.7.8.9.10.
最近浏览的其他商品
浏览更多同类商品
【 】??????????
Wireshark数据包分析实战详解
978-7-302-38871-5
清华大学出版社
出版日期：
读者对象：
￥57.70&&&
立刻节省：￥21.30
现在有货,只剩下6本
所属分类：
Scrum精髓敏捷转型指..
Python袖珍指南-第5版..
本书由浅入深，全面系统地介绍了Wireshark数据抓包和数据包分析。本书提供了大量实例，供读者实战演练Wireshark的各项功能。同时，对抓取的数据包按照协议层次，逐层讲解各个协议在数据包中的体现。这样，读者就可以掌握数据包抓取到信息获取的每个环节。　　本书共分3篇。第1篇介绍Wireshark的各项功能，包括基础知识、Wireshark的定制、捕获过滤器和显示过滤器的使用、数据包的着色、导出和重组等；第2篇介绍基于Wireshark对TCP/IP协议族中常用协议的详细分析，如ARP、IP、UDP、TCP、HTTP、HTTPS和FTP等；第3篇介绍借助Wireshark分析操作系统启动过程中的网络通信情况。　　本书涉及面广，内容包括工具使用、网络协议和应用。本书适合各类读者群体，如想全面学习Wireshark的初学者、网络管理员、渗透测试人员及网络安全专家等。对于网络数据分析人士，本书更是一本不可多得的案头必备参考书。本书精华内容Wireshark基础知识设置Wireshark视图捕获过滤器技巧显示过滤器技巧着色规则和数据包导出构建图表重组数据添加注释捕获、分割和合并数据ARP协议抓包分析互联网协议（IP）抓包分析UDP协议抓包分析TCP协议抓包分析ICMP协议抓包分析DHCP数据抓包分析DNS抓包分析HTTP协议抓包分析HTTPS协议抓包分析FTP协议抓包分析电子邮件抓包分析操作系统启动过程抓包分析
Wireshark的基础知识Wireshark（前称Ethereal）是一个网络包分析工具。该工具主要是用来捕获网络包，并显示包的详细情况。本章将介绍Wireshark的基础知识。1.1
Wireshark的功能在学习Wireshark之前，首先介绍一下它的功能。了解它的功能，可以帮助用户明确借助该工具能完成哪些工作。本节将介绍Wireshark的基本功能。1.1.1
Wireshark主窗口界面在学习使用Wireshark之前，首先需要了解该工具主窗口界面中每部分的作用。Wireshark主窗口界面如图1.1所示。
Wireshark主窗口界面在图1.1中，以编号的形式已将Wireshark主窗口每部分标出。下面分别介绍每部分的含义，如下所示。?① 标题栏――用于显示文件名称、捕获的设备名称和Wireshark版本号。?② 菜单栏――Wireshark的标准菜单栏。?③ 工具栏――常用功能快捷图标按钮。?④ 显示过滤区域――减少查看数据的复杂度。?⑤ Packet List面板――显示每个数据帧的摘要。?⑥ Packet Details面板――分析封包的详细信息。?⑦ Packet Bytes面板――以十六进制和ASCII格式显示数据包的细节。?⑧ 状态栏――专家信息、注释、包数和Profile。1.1.2
Wireshark的作用Wireshark是一个广受欢迎的网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包，并尽可能显示出最为详细的网络数据包数据。它是一个最知名的开源应用程序安全工具。Wireshark可以运行在Windows、MAC OS X、Linux和UNIX操作系统上，它甚至可以作为一个Portable App运行。本小节将介绍Wireshark的常用功能。使用Wireshark可以快速分析一些任务，如下所示。1. 一般分析任务?找出在一个网络内发送数据包最多的主机。?查看网络通信。?查看某个主机使用了哪些程序。?基本正常的网络通信。?验证特有的网络操作。?了解尝试连接无线网络的用户。?同时捕获多个网络的数据。?实施无人值守数据捕获。?捕获并分析到/来自一个特定主机或子网的数据。?通过FTP或HTTP查看和重新配置文件传输。?从其他捕获工具导入跟踪文件。?使用最少的资源捕获数据。2. 故障任务?为故障创建一个自定义的分析环境。?确定路径、客户端和服务延迟。?确定TCP问题。?检查HTTP代理问题。?检查应用程序错误响应。?通过查看图形显示的结果，找出相关的网络问题。?确定重载的缓冲区。?比较缓慢的通信到正常通信的一个基准。?找出重复的IP地址。?确定DHCP服务或网络代理问题。?确定WLAN信号强度问题。?检测WLAN连接的次数。?检查各种网络配置错误。?确定应用程序正在加载一个网络片段。3. 安全分析（网络取证）任务?为网络取证创建一个自定义分析环境。?检查使用非标准端口的应用程序。?确定到/来自可疑主机的数据。?查看哪台主机正在尝试获取一个IP地址。?确定phone home数据。?确定网络侦查过程。?全球定位和映射远程目标地址。?检查可疑数据重定向。?检查单个TCP或UDP客户端和服务器之间的会话。?检查到恶意畸形的帧。?在网络数据中找出攻击签名的关键因素。4. 应用程序分析任务?了解应用程序和协议如何工作。?了解图形应用程序的带宽使用情况。?确定是否将支持应用程序的链接。?更新/升级后检查应用程序性能。?从一个新安装的应用程序中检查错误响应。?确定哪个用户正在运行一个特定的应用程序。?检查应用程序如何使用传输协议，如TCP或UDP。......
王晓卉 本科毕业于渤海大学计算机科学与技术专业，硕士毕业于沈阳航空航天大学计算机技术专业。现任营口职业技术学院计算机专业副教授。从事计算机教学与科研工作11年，专长于计算机网络和软件应用。曾发表过省级以上的论文10余篇，主持和参与了多个省级项目的科研工作。
大学霸技术研究员。熟悉Apache、Tomcat、Oracle、MySQL、集群、RAC、SAN和容灾等各种IT业界中流行的系统集成技术。长期从事Linux和网络安全最新技术的研究，以及Linux服务器维护工作，拥有多年的服务器维护经验。曾经参与过多本Linux图书的编写和技术测试。
Wireshark应用篇第1章
Wireshark的基础知识1.1
Wireshark的功能1.1.1
Wireshark主窗口界面1.1.2
Wireshark的作用1.2
安装Wireshark1.2.1
获取Wireshark1.2.2
安装Wireshark1.3
Wireshark捕获数据1.4
认识数据包1.5
捕获HTTP包1.6
访问Wireshark资源1.7
Wireshark快速入门1.8
分析网络数据1.8.1
分析Web浏览数据1.8.2
分析后台数据1.9
打开其他工具捕获的文件第2章
设置Wireshark视图2.1
设置Packet List面板列2.1.1
添加列2.1.2
隐藏、删除、重新排序及编辑列2.2
Wireshark分析器及Profile设置2.2.1
Wireshark分析器2.2.2
分析非标准端口号流量2.2.3
设置Wireshark显示的特定数据类型2.2.4
使用Profile定制Wireshark2.2.5
查找关键的Wireshark Profile2.3
数据包时间延迟2.3.1
时间延迟2.3.2
检查延迟问题2.3.3
检查时间差延迟问题第3章
捕获过滤器技巧3.1
捕获过滤器简介3.2
选择捕获位置3.3
选择捕获接口3.3.1
判断哪个适配器上的数据3.3.2
使用多适配器捕获3.4
捕获以太网数据3.5
捕获无线数据3.5.1
捕获无线网络数据的方式3.5.2
使用AirPcap适配器3.6
处理大数据3.6.1
捕获过滤器3.6.2
捕获文件集3.7
处理随机发生的问题3.8
捕获基于MAC/IP地址数据3.8.1
捕获单个IP地址数据3.8.2
捕获IP地址范围3.8.3
捕获广播或多播地址数据3.8.4
捕获MAC地址数据3.9
捕获端口应用程序数据3.9.1
捕获所有端口号的数据3.9.2
结合基于端口的捕获过滤器3.10
捕获特定ICMP数据第4章
显示技巧4.1
显示过滤器简介4.2
使用显示过滤器4.2.1
显示过滤器语法4.2.2
检查语法错误4.2.3
识别字段名4.2.4
比较运算符4.2.5
表达式过滤器4.2.6
使用自动补全功能4.2.7
手动添加显示列4.3
编辑和使用默认显示过滤器4.4
过滤显示HTTP4.5
过滤显示DHCP4.6
根据地址过滤显示4.6.1
显示单个IP地址或主机数据4.6.2
显示一个地址范围的数据4.6.3
显示一个子网IP的数据4.7
过滤显示单一的TCP/UDP会话4.8
使用复杂表达式过滤4.8.1
使用逻辑运算符4.8.2
使用括号4.8.3
使用关键字4.8.4
使用通配符4.9
发现通信延迟4.9.1
时间过滤器（frame.time_delta）4.9.2
基于TCP的时间过滤（tcp.time_delta）4.10
设置显示过滤器按钮4.10.1
创建显示过滤器表达式按钮4.10.2
编辑、添加、删除显示过滤器按钮4.10.3
编辑preferences文件第5章
着色规则和数据包导出5.1
认识着色规则5.2
禁用着色规则5.2.1
禁用指定类型数据包彩色高亮5.2.2
禁用所有包彩色高亮5.3
创建用户着色规则5.3.1
创建时间差着色规则5.3.2
快速查看FTP用户名密码着色规则5.3.3
创建单个会话着色规则5.4
导出数据包5.4.1
导出显示包5.4.2
导出标记包5.4.3
导出包的详细信息第6章
构建图表6.1
数据统计表6.1.1
端点统计6.1.2
网络会话统计6.1.3
快速过滤会话6.1.4
地图化显示端点统计信息6.2
协议分层统计6.3
图表化显示带宽使用情况6.3.1
认识IO Graph6.3.2
应用显示过滤器6.4
专家信息6.5
构建各种网络错误图表6.5.1
构建所有TCP标志位包6.5.2
构建单个TCP标志位包第7章
重组数据7.1
重组Web会话7.1.1
重组Web浏览会话7.1.2
导出HTTP对象7.2
重组FTP会话7.2.1
重组FTP数据7.2.2
提取FTP传输的文件第8章
添加注释8.1
捕获文件注释8.2
包注释8.2.1
添加包注释8.2.2
查看包注释8.3
导出包注释8.3.1
使用Export Packet Dissections功能导出8.3.2
使用复制功能导出包第9章
捕获、分割和合并数据9.1
将大文件分割为文件集9.1.1
添加Wireshark程序目录到自己的位置9.1.2
使用Capinfos获取文件大小和包数9.1.3
分割文件9.2
合并多个捕获文件9.3
命令行捕获数据9.3.1
Dumpcap和Tshark工具9.3.2
使用捕获过滤器9.3.3
使用显示过滤器9.4
导出字段值和统计信息9.4.1
导出字段值9.4.2
导出数据统计第2篇
网络协议分析篇第10章
ARP协议抓包分析10.1
ARP基础知识10.1.1
什么是ARP10.1.2
ARP工作流程10.1.3
ARP缓存表10.2
捕获ARP协议包10.2.1
Wireshark位置10.2.2
使用捕获过滤器10.3
分析ARP协议包10.3.1
ARP报文格式10.3.2
ARP请求包10.3.3
ARP响应包第11章
互联网协议（IP）抓包分析11.1
互联网协议（IP）概述11.1.1
互联网协议地址（IP地址）的由来11.1.2
IP地址11.1.3
IP地址的构成11.2
捕获IP数据包11.2.1
什么是IP数据报11.2.2
Wireshark位置11.2.3
捕获IP数据包11.2.4
捕获IP分片数据包11.3
IP数据报首部格式11.3.1
存活时间TTL11.3.2
IP分片11.4
分析IP数据包11.4.1
分析IP首部11.4.2
分析IP数据包中TTL的变化11.4.3
IP分片数据包分析第12章
UDP协议抓包分析12.1
UDP协议概述12.1.1
什么是UDP协议12.1.2
UDP协议的特点12.2
捕获UDP数据包12.3
分析UDP数据包12.3.1
UDP首部格式12.3.2
分析UDP数据包第13章
TCP协议抓包分析13.1
TCP协议概述13.1.1
TCP协议的由来13.1.2
TCP端口13.1.3
TCP三次握手13.1.4
TCP四次断开13.1.5
TCP重置13.2
捕获TCP数据包13.2.1
使用捕获过滤器13.2.2
使用显示过滤器13.2.3
使用着色规则13.3
TCP数据包分析13.3.1
TCP首部13.3.2
分析TCP的三次握手13.3.3
分析TCP的四次断开13.3.4
分析TCP重置数据包第14章
ICMP协议抓包分析14.1
ICMP协议概述14.1.1
什么是ICMP协议14.1.2
学习ICMP的重要性14.1.3
Echo请求与响应14.1.4
路由跟踪14.2
捕获ICMP协议包14.2.1
捕获正常ICMP数据包14.2.2
捕获请求超时的数据包14.2.3
捕获目标主机不可达的数据包14.3
分析ICMP数据包14.3.1
ICMP首部14.3.2
分析ICMP数据包――Echo Ping请求包14.3.3
分析ICMP数据包――Echo Ping响应包14.3.4
分析ICMP数据包――请求超时数据包14.3.5
分析ICMP数据包――目标主机不可达的数据包第15章
DHCP数据抓包分析15.1
DHCP概述15.1.1
什么是DHCP15.1.2
DHCP的作用15.1.3
DHCP工作流程15.2
DHCP数据抓包15.2.1
Wireshark位置15.2.2
使用捕获过滤器15.2.3
过滤显示DHCP15.3
DHCP数据包分析15.3.1
DHCP报文格式15.3.2
DHCP报文类型15.3.3
发现数据包15.3.4
响应数据包15.3.5
请求数据包15.3.6
确认数据包第16章
DNS抓包分析16.1
DNS概述16.1.1
什么是DNS16.1.2
DNS的系统结构16.1.3
DNS系统解析过程16.1.4
DNS问题类型16.2
捕获DNS数据包16.3
分析DNS数据包16.3.1
DNS报文格式16.3.2
分析DNS数据包第17章
HTTP协议抓包分析17.1
HTTP协议概述17.1.1
什么是HTTP17.1.2
HTTP请求方法17.1.3
HTTP工作流程17.1.4
持久连接和非持久连接17.2
捕获HTTP数据包17.2.1
使用捕获过滤器17.2.2
显示过滤HTTP协议包17.2.3
导出数据包17.3
分析HTTP数据包17.3.1
HTTP报文格式17.3.2
HTTP的头域17.3.3
分析GET方法的HTTP数据包17.3.4
分析POST方法的HTTP数据包17.4
显示捕获文件的原始内容17.4.1
安装Xplico17.4.2
解析HTTP包第18章
HTTPS协议抓包分析18.1
HTTPS协议概述18.1.1
什么是HTTPS协议18.1.2
HTTP和HTTPS协议的区别18.1.3
HTTPS工作流程18.2
SSL概述18.2.1
什么是SSL18.2.2
SSL工作流程18.2.3
SSL协议的握手过程18.3
捕获HTTPS数据包18.3.1
使用捕获过滤器18.3.2
显示过滤数据包18.4
分析HTTPS数据包18.4.1
客户端发出请求（Client Hello）18.4.2
服务器响应（Server Hello）18.4.3
证书信息18.4.4
密钥交换18.4.5
应用层信息通信第19章
FTP协议抓包分析19.1
FTP协议概述19.1.1
什么是FTP协议19.1.2
FTP的工作流程19.1.3
FTP常用控制命令19.1.4
应答格式19.2
捕获FTP协议数据包19.3
分析FTP协议数据包19.3.1
分析控制连接的数据19.3.2
分析数据连接的数据第20章
电子邮件抓包分析20.1
邮件系统工作原理20.1.1
什么邮件客户端20.1.2
邮件系统的组成及传输过程20.2
邮件相关协议概述20.2.1
SMTP协议20.2.2
POP协议20.2.3
IMAP协议20.3
捕获电子邮件数据包20.3.1
Wireshark捕获位置20.3.2
Foxmail邮件客户端的使用20.3.3
捕获电子邮件数据包20.4
分析发送邮件的数据包20.4.1
分析SMTP工作流程20.4.2
查看邮件内容20.5
分析接收邮件的数据包20.5.1
分析POP工作流程20.5.2
查看邮件内容第3篇
实战篇第21章
操作系统启动过程抓包分析21.1
操作系统概述21.2
捕获操作系统启动过程产生的数据包21.3
分析数据包21.3.1
获取IP地址21.3.2
加入组播组21.3.3
发送NBNS协议包21.3.4
ARP协议包的产生21.3.5
访问共享资源21.3.6
开机自动运行的程序
客服专线：010- 客服邮箱：
Copyright & 北发图书网 2007,
All Rights Reserved
北京北发电子商务股份有限公司 版权所有软件定义网络 Hub
当前位置：
使用最新版Wireshark解析OpenFlow协议数据包
使用最新版Wireshark解析OpenFlow协议数据包
wireshark官方最新版已经内置支持OpenFlow协议，不再需要安装插件来支持openflow协议的解析。
详细内容参看：
到，wireshark v1.12.x支持:
OpenFlow 1.0 （aprox. 50%）
OpenFlow 1.1 （不支持）
OpenFlow 1.2 （不支持）
OpenFlow 1.3 （100%支持）
OpenFlow 1.4 （支持将近90%）
1 协议依赖性
OpenFlow 使用 TCP 协议。 TCP 端口号是 6633 和 6653 (the official IANA port since ).
2 参数设定
可以将默认端口号 port(00) 设置端口号为 6633 or 6653.
OpenFlow 的 TCP 端口号也可以在用户的配置文件： (~/.wireshark/preferences)中设定：
#openflow TCP port if other than the default
#A decimal number
openflow.tcp.port: 6633
3 显示过滤器（display filter）
OpenFlow 完整的显示过滤器（display filter）字段可以从这里查看： 或者使用如下命令查看：
tshark -G fields | grep -i openflow
只显示基于OpenFlow的流量，使用如下：
只显示基于OpenFlow 1.3的流量，使用如下：
openflow_v4
4 捕获过滤(Capture Filter)
在捕获包时不能直接过滤OpenFlow协议包。但是，可以使用端口号的方式实现此功能。只捕获OpenFlow流量：
tcp port 6633
5 OpenFlow协议规范变化
OpenFlow 1.4.0 Spec – Section B.14.17 – TCP端口号必须是 -08)
OpenFlow 1.3.3 Spec – Section B.14.2 – 使用协议版本号替换线路协议（wire protocol） ()
6 扩展阅读
7 相关讨论
1.如何获得Wireshark支持的OpenFlow协议？
$ tshark -G protocols | grep -i openflow
OpenFlow 1.0
openflow_v1
openflow_v1
OpenFlow 1.3
openflow_v4
openflow_v4
OpenFlow 1.4
openflow_v5
openflow_v5
2.为何不解析OpenFlow 数据包？
检查如下命令的输出：
$ tshark -G decodes | grep -i openflow
3.Tshark 为何不解析OpenFlow 数据包？
即使不改变Wireshark配置文件中的OpenFlow默认TCP端口号，你仍然可以强制tshark命令在指定的端口上解析OpenFlow包，命令如下：
tshark -d tcp.port==6633,openflow -r file.pcapng
本文固定链接:
【上一篇】【下一篇】
您可能还会对这些文章感兴趣！
近期评论文章归档
2016年八月
2016年七月
2016年六月
2016年五月
2016年四月
2016年三月
2016年二月
2016年一月
2015年十一月
2015年七月
2015年五月
2015年四月
2015年三月
2014年十二月
2014年八月
2014年七月
2014年六月
2014年五月
最新日志热评日志随机日志
日志总数：126 篇
评论总数：37 篇
标签数量：50 个
链接总数：0 个
建站日期：
运行天数：3481 天
最后更新：
Theme by .随笔 - 71&
评论 - 100&
&&&&&&&&&&&
& & &抓包命令行工具tshark可以用于自定制，相比GUI工具可以实现一些自动化，譬如把某些关注的数据抓起下来存放到文本中，然后再分析输出。
& & &demo：
std::string decodeHex(const std::string& strHex)
int nLen = strHex.length() / 2;
std::string strRet(nLen, 0);
for (int i = 0; i != nL ++i)
strRet[i] = ((strHex[2*i]&='a') ? (strHex[2*i]-'a'+10) : (strHex[2*i]-'0')) * 16;
strRet[i] += (strHex[2*i+1]&='a') ? (strHex[2*i+1]-'a'+10) : (strHex[2*i+1]-'0');
return strR
void cswuyg_test_tshark()
std::wstring strParam =
L"\"C:\\Program Files\\Wireshark\\tshark.exe\" -i 1 -p -l -T pdml -f \"dst port 80\" -R \"ip.addr==172.17.195.56\"";
FILE* stream = NULL;
errno_t err = _wfreopen_s(&stream, L"c:\\temp\\cswuyt_test.xml", L"w", stdout);
if (err != 0)
std::cout && "error" && std::
HANDLE hStd = ::GetStdHandle(STD_OUTPUT_HANDLE);
//BOOL bSet = ::SetHandleInformation(hStd, HANDLE_FLAG_INHERIT, HANDLE_FLAG_INHERIT);
STARTUPINFO stStartI
ZeroMemory(&stStartInfo, sizeof(STARTUPINFO));
stStartInfo.cb = sizeof(STARTUPINFO);
stStartInfo.hStdError = hS
stStartInfo.hStdOutput = hS
PROCESS_INFORMATION stProcI
ZeroMemory(&stProcInfo, sizeof(PROCESS_INFORMATION));
BOOL bSuccess = ::CreateProcess(NULL, const_cast&wchar_t*&(strParam.c_str()), NULL, NULL, TRUE, 0, NULL, NULL, &stStartInfo, &stProcInfo);
::CloseHandle(stProcInfo.hProcess);
::CloseHandle(stProcInfo.hThread);
::fclose(stream);
　　上边的demo为抓取跟ip地址为172.17.195.56，端口为80（http默认端口）的机器的通信，tshark会提供包解析之后的xml数据，程序将其存储到文件。注意部分数据是需要由hex字符串转换为真实字符串的，另外还可能会有需要gzip解压。
tshark资料：
阅读(...) 评论()linux 下，wireshark 抓包命令行工具 tshark 使用
linux 下，wireshark 抓包命令行工具 tshark 使用
发布时间： 14:42:33
编辑：www.fx114.net
本篇文章主要介绍了"linux 下，wireshark 抓包命令行工具 tshark 使用"，主要涉及到linux 下，wireshark 抓包命令行工具 tshark 使用方面的内容，对于linux 下，wireshark 抓包命令行工具 tshark 使用感兴趣的同学可以参考一下。
详细参数参见tshark的。
// 列出可监听流量的网络接口列表。tshark使用1,2,...等数字来标识eth0,eth1...
// 监听接口eth0上的UDP端口为1234的流量
tshark -f &udp port 1234& -i 1
tshark的强悍之处在于对协议进行完全解码，甚至对分片的TCP包进行重组再行解码，例如
// 监听接口eth0上目标端口为80的http流量，并将http请求头的host和location打印
tshark -f &dst port 80& -T fields -e http.host -e http.location -i 1
其中 -f 参数指定过滤表达式（即等同tcpdump的 filter_expression）
-T fields 指定屏幕输出信息类型为指定的协议字段（用-e添加指定字段），仅在wireshark的0.99.6以后的版本支持。
-i 1为指定监听的网络接口为1号
// 监听http流量，仅过滤GET请求, 监听10秒钟，打印出HTTP HOST和URL
c:\Program Files\Wireshark\tshark.exe -i 4 -n -f &tcp[((tcp[12:1] & 0xf0) && 2):4] = 0x& -T fields -e http.host -e http.request.uri -a duration:10
网络数据采集分析工具TcpDump的简介
顾名思义，TcpDump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供 and、or、not等逻辑语句来帮助你去掉无用的信息。tcpdump 就是一种免费的网络分析工具，尤其其提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。tcpdump 存在于基本的FreeBSD系统中，由于它需要将网络界面设置为混杂模式，普通用户不能正常执行，但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁，而是对网络上的其他计算机的安全存在威胁。
我们用尽量简单的话来定义tcpdump ，就是：dump the traffice on a network.，根据使用者的定义对网络上的数据包进行截获的包分析工具。作为互联网上经典的的系统管理员必备工具，tcpdump 以其强大的功能，灵活的截取策略，成为每个高级的系统管理员分析网络，排查问题等所必备的东西之一。tcpdump 提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。tcpdump
存在于基本的FreeBSD系统中，由于它需要将网络界面设置为混杂模式，普通用户不能正常执行，但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁，而是对网络上的其他计算机的安全存在威胁。
网络数据采集分析工具TcpDump的安装
本文标题：
本页链接：