Сетевые команды

Анализаторы пакетов и безопасность

Некоторые специалисты в области компьютерной безопасности осуждают практику размещения анализаторов пакетов на маршрутизаторах, полагая, что это открывает дополнительные возможности хакеру, взломавшему маршрутизатор. Однако хакеру, взломавшему маршрутизатор, ничего не мешает поместить на него собственный анализатор пакетов! В любом случае, работая с анализаторами, никогда не следует забывать о безопасности.

Если команда tcpdump запускается без аргументов, она переводит все локальные интерфейсы в "беспорядочный" режим и записывают информацию обо всех входящих и исходящих пакетах в поток stdout, т.е. чаще всего на терминал. Обычно в столь детальной информации нет никакой необходимости. С помощью опций командной строки нужно ограничить поток анализируемых пакетов, оставив только полезные сведения. Опция -i С помощью опции -i интерфейс можно заставить команду tcpdump перехватывать пакеты только указанного интерфейса, например ethl: В первом поле указана метка времени, к которой добавлен порядковый номер.

Далее стоит символ, обозначающий направление пакета: < — входящий, > — исходящий. В данном случае пакет является входящим. Затем указаны IP-адрес и номер порта (1041) отправителя пакета, а после символа > — IP-адрес и порт (telnet) получателя. Обозначение DF говорит о том, что для пакета установлен флаг запрета фрагментации.

Опция -п

Опция -п запрещает осуществлять преобразование IP-адресов в доменные имена. Обычно эта опция необходима, так как в ее отсутствие создается повышенная нагрузка на компьютер и сеть, ведь команда tcpdump будет пытаться проанализировать адрес каждого пакета. Приведем пример совместного использования опций -п и -i.