7/23/2019 S Dng Tcpdump Phn Tch Lu Lng

1/3

S dng tcpdump phn tch lu lng

Tcpdumpl cng c tr ct trong vic g ri v kim tra vn kt ni mng v bo mt trc!" n# $ t%ng l cng c $ &c c'c c()!*n gia tr*n k(+, t( gii t-n n(im v ./ (0) 1ng2

3t cng c 14ng ln( k(ng t(/c ./ c# n(i) c'c (5a tit 6, m+t .o vi c'c cng ,(n t-c(l) l&ng k('c n( 7tt8rca, v 9ir8.(ark" c (ai .n ,(:m n! ) c)ng c, c'c c(;c nin -c( tc,1)m, c)ng c, mt k(' n(i) c'c tA! c(5n" I ! c(Jng ti c(@ gii t(i) c(o c'cbn mt . trong c(JngK

-A:Ln c'c g#i t(8o m$ MNOLL2

-c N:PQ t/ R I ! l ." tA! c(5n n! t(ng b'o c(o tc,1)m, bit t(o't .a)g#i R2

-i inte!"ce:Oa,t)rr8 c'c g#i tr*n giao 1in mng no #2

-n:P(ng gii D)!t c'c Ba c(@ c(o c'c t*n2

-#:O)ng c, E) ra ng+n c'c 14ng E) ra ng+n (?n2

- !ilen"me:F5c c'c g#i t% mt Sil8 c t( t(a! c(o mt giao 1in mng" t(Cng&c .H 1ng .a) k(i c'c g#i 10 li) t( $ &c g(i vo mt Sil8 vi tA! c(5n TU2

-t:P(ng in t8m t(Ci gian tr*n mVi 14ng E) ra2

-$:O)ng c, E) ra 1i (?n2 Wi (?n n0a vi Xvv" vo t(m c(- c4n c Xvvv2

-% !ilen"me:Y(i c'c g#i 10 li) t( vo mt Sil8 no #

Cc &iu th'c>in -c( tc,1)m, cZng (V tr& c'c bi) t(;c 14ng ln(" v[n &c .H 1ng Bn( ng(\a c'cng)!*n t+c l5c bn c# &c c(-n( ]'c l) l&ng m)n ]8m" b^ D)a c'c g#i k(ng cEn D)antm n2 O'c bi) t(;c g_m c# mt . c'c ,rimitiv8 `m[)" c'c t()t ng0 mo1iSi8r `t% b ng(\av tA! c(5n2 O'c ,rimitiv8 v mo1iSi8r k(ng t(it l, mt 1an( .'c( E! G n(ng c(Jng c(-n(l n(0ng g (0) 1ng n(t2(imiti$e )m*u+

http://sourceforge.net/projects/tcpdump/http://sourceforge.net/projects/tcpdump/

7/23/2019 S Dng Tcpdump Phn Tch Lu Lng

2/3

dst foo:O(@ Bn( mt Ba c(@ (odc mt (o.tnam8 n(=m (n c( c'c g#i &cca,t)r8 v mdt l) l&ng gHi n mt (o.t no #2

host foo:O(@ Bn( mt Ba c(@ (odc mt (o.tnam8 n(=m (n c( c'c g#i $ &cca,t)r8 v mdt l) l&ng n v i i vi mt (o.t no #2

net foo:O(@ Bn( mt mng (odc mt on mng .H 1ng g(i c(J OLWe (nc( ./ ca,t)r8 g#i2

proto foo:O(@ Bn( mt giao t(;c n(=m (n c( c'c g#i $ &c ca,t)rr8 v mdtl) l&ng mng ang .H 1ng giao t(; #2

src foo:O(@ Bn( mt Ba c(@ (odc mt (o.tnam8 n(=m (n c( c'c g#i &cca,t)r8 i vi l) l&ng &c gHi bIi mt (o.t no #2

,di!ie. )t/ &0 ngh1"+

and:NH 1ng mo1iSi8r n! n(=m tr#i b)c c'c m[) cAng n(a) k(i bn m)n (nc( c'c g#i $ &c ca,t)r8 c# &c c'c !*) cE) cEn t(it cGa c'c bi) t(;ctr*n c (ai ,(-a cGa an12

not:NH 1ng t% b ng(\a n! trc mt m[) k(i bn m)n (n c( c'c g#i $&c ca,t)rr8 k(ng c# &c c'c !*) cE) cGa bi) t(;c t(8o .a)2

or:NH 1ng n(=m n(=m tr#i b)c c'c m[) cAng n(a) k(i bn m)n (n c( c'c

g#i $ &c ca,t)r8 c# &c c'c !*) cE) cEn t(it cGa mt (odc n(i) bi)t(;c tr*n ,(-a cGa or2

2 d>t c c'c tA! c(5n" ,rimitiv8 v mo1iSi8r n!" cAng vi mt . tA! c(5n k('c &c lit k* trongtrang c(-n( cGa tc,1)m, c# t( &c .H 1ng ]! 1/ng c'c ln( rt c t( n(=m c)ng c, E)ra c(-n( ]'c2

tcpdump -c 50 dst fooc(o bn c'c t(ng tin c# t( n(n ra &c ng)_n cGa mtl) l&ng ndng gHi n v rt c# t( lm D)' ti m'! c(G vi (o.tnam8 fSoo" kt

])t h g#i E) ti*n n( E) ra2

tcpdump -c 500 -w `date +"%Y%j%T"`.logkt ])t h g#i vo mt Sil8 c# t*nt8m tim8j1at8 (in (n( `ng(\a l hKKp2log c(Jng c# t( &c l5c.a) t(8o c'c t(ng tin m bn m)n ]8m2 O(Jng ti c# ln( 1at8 qs sus>&c l! b- 1an( l .tam, trong Sil8 rc cGa tin -c(" c(-n( v v! c# t( vitng+n ln( ging n( v! t(n( tc,1)m, Xc h XU .tam,2log" gim vic ,(in( tt c c'c tA! c(5n Bn( 1ng c(o ln( 1at82

7/23/2019 S Dng Tcpdump Phn Tch Lu Lng

3/3

tcpdump proto ssh src or dst foo and src and dst not bar lmc(o (in t(B E) raang &c t(/c (in (in t(B tt c c'c (ot ng NNw &c k(Ii E) t% (odcn(+m n (o.t fSoo tr% k(i n# ang k(Ii E) t% (o.t fbar (odc n(+m n (o.tfbar2 R)fooc(@ &c c(o l &c tr)! c, t(ng D)a NNw bIi bar" t( ln( n!.x c(o ,(y, kim tra ang 1izn ra i vi l) l&ng NNw c(a &c t(:m Bn(

gHi n v t%foo2 >(m c(- bn c4n c# t( b+t E) mt . c'c D)' trn( kim trali*n tc vi tc,1)m, ging n( v! b*n trong mt ,(i*n tm)]tr*n mt m'! c(Gc()!*n 1ng2

R( n(0ng g bn t(!" c'c bi) t(;c cGa tc,1)m, gEn n( t?ng ?ng vi mt ngn ng0 l,trn( I ,(m vi ?n gin" to &c ./ 1z (i) c(o ngCi 1Ang2 {i k( n