哲思官方群认证群组  - 讨论区

返回群组主页

标题:[zeuux-www] [zeuux-cvs] cvs commit: www/zeuux.org/science learning-tcpdump.cn.html

分享
徐继哲

徐继哲

2008年07月08日 星期二 18:42

Bill Xu bill at zeuux.org
Tue Jul 8 18:42:54 CST 2008

很好,尽量多加一些案例,请夏武给一些具体的意见。

王喜同志,我们正在创作一些列的自由软件文档,其中的一个是tcpdump,可否给 
一些专业建议?
>    	
实例:

>    	#tcpdump -i eth0 -X src host 10.1.2.1

>    	
>   +	
实践经验

>   +	
诊断arp风暴

>   +	
arp攻击包括arp扫描和arp欺骗两类。arp风暴属于前者,它是指由于病毒作用,导致主机向整个网络内广播大量arp请求,耗尽带宽资源,使网络瘫痪的现象,它往往是arp欺骗的前兆,用于破坏网络连接、盗取他人网络账号。

>   +	tcpdump -e arp 可以用来监听网络内部广播的所有数据包,监听结果中包含数据发送方Mac地址、arp请求方法IP地址等其他信息,如果某个或多个固定MAC地址的主机连续发送大量请求广播,并得到回应,则其有可能为arp风暴源。可以对此主机进行物理隔离,进行再判断。

>   +	


>   +	
>   +kongove at ubuntu:~$ sudo tcpdump -e arp
>   +09:43:48.630521 00:15:c5:6d:0e:80 (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: arp who-has 192.168.2.1 tell 192.168.8.237
>   +09:43:48.734420 00:e0:4d:1a:c9:24 (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: arp who-has 192.168.44.138 tell 192.168.44.156
>   +09:43:48.842663 00:e0:e4:02:32:59 (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: arp who-has 192.168.21.1 tell 192.168.21.251
>   +
> + >

总结

>

参考资料

>
> > > ------------------------------------------------------------------------ > > _______________________________________________ > zeuux-cvs mailing list > zeuux-cvs at zeuux.org > http://www.zeuux.org/mailman/listinfo/zeuux-cvs > > ZEUUX Project - Free Software, Free Society! > http://www.zeuux.org -------------- next part -------------- An HTML attachment was scrubbed... URL: <http://www.zeuux.org/pipermail/zeuux-www/attachments/20080708/e8819992/attachment.html>
[导入自Mailman归档:http://www.zeuux.org/pipermail/zeuux-www]

如下红色区域有误,请重新填写。

    你的回复:

    请 登录 后回复。还没有在Zeuux哲思注册吗?现在 注册 !
    反馈意见 帮助中心 服务条款 版权声明 关于哲思

    Zeuux © 2024

    京ICP备05028076号