从防火墙的角度来看,从入侵攻击的特征来看,从入侵检测的防护手段来看,从流量分析预警的来看,几乎所有的网络安全攻防的一些行为都可以通过流量来进行处理。

一、流量监控特征

对一个通信过程分析,首先需要把握5个最基本数据,然后再具体查看内容(Payload:载荷),还有就是协议通信过程中一些特定的字段,可以通过这些字段来判定是否是攻击行为。

  • 源IP:谁发起的请求,谁就是源,任意一端都可能是源,也可能是目标
  • 源端口:通常情况下,第一次发送请求的,可以称之为客户端,第一次的目标机,称之为服务器端
  • 目标IP:通常情况下,目标IP和目标端口是确定的
  • 目标端口:对于服务器来说,目标端口通常是固定的
  • 协议(事先约定好的规则):http、https、ssh

二、tcpdump工具

1、安装tcpdump

#Centosyum install -y tcpdump#ubuntusudo aptinstall tcpdump#安装tcpdump会安装libpcap#libpcap是linux上标准的流量监控的库,大多数流量监控工具都是基于这个底层库开发的#在windows上,比较知名的是winpcap和npcap#目前市面上主流的防火墙,IDS、IPS、包过滤工具、只要涉及到流量的产品或系统,底层均基于以上这些库。
#监控ens33网卡上的流量,并输出到终端tcpdump -i ens33#只监控当前服务器端的80端口的流量tcpdump tcp and dst port 80 -i ens33#将流量保存到target.pcap文件中 tcpdump tcp and dst port 80 -i ens33 -w ./target.pcap 
root@rot123-virtual-machine:~# sudo tcpdump tcp and dst port 80 -i ens33 -w ./target.pcptcpdump: listening on ens33, link-type EN10MB (Ethernet), snapshot length 262144 bytes^C59 packets captured59 packets received by filter0 packets dropped by kernel

命令行终端只能看到摘要信息,摘要信息本身没有具体实用价值,能看到五元组,但是看不到payload以及整个通讯过程其他的一些信息。

在linux的命令行监控到之后就可以把监控文件target.pcap下载到windows上,然后使用winshark打开就可以把监控流量的细节展示出来

2、使用场景

通过linux的tcpdump一直监控着,需要用到分析的时候,把文件拿过来,使用winshark打开看具体的流量卡特征。

#只捕获100条数据包后自动结束tcpdump tcp and dst port 80 -i ens33 -c 100