[zeuux-www] [zeuux-cvs] cvs commit: www/zeuux.org/science learning-tcpdump.cn.html

[Bill Xu]

很好，尽量多加一些案例，请夏武给一些具体的意见。

王喜同志，我们正在创作一些列的自由软件文档，其中的一个是tcpdump，可否给 
一些专业建议？
>    	<p>实例：<br>
>    	#tcpdump -i eth0 -X src host 10.1.2.1</p>
>    	
>   +	<h3>实践经验</h3>
>   +	<h4>诊断arp风暴</h4>
>   +	<p>arp攻击包括arp扫描和arp欺骗两类。arp风暴属于前者，它是指由于病毒作用，导致主机向整个网络内广播大量arp请求，耗尽带宽资源，使网络瘫痪的现象，它往往是arp欺骗的前兆，用于破坏网络连接、盗取他人网络账号。<br>
>   +	tcpdump -e arp 可以用来监听网络内部广播的所有数据包，监听结果中包含数据发送方Mac地址、arp请求方法IP地址等其他信息，如果某个或多个固定MAC地址的主机连续发送大量请求广播，并得到回应，则其有可能为arp风暴源。可以对此主机进行物理隔离，进行再判断。</p>
>   +	<div class="code_outline">
>   +	<pre class="display_code">
>   +kongove at ubuntu:~$ sudo tcpdump -e arp
>   +09:43:48.630521 00:15:c5:6d:0e:80 (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: arp who-has 192.168.2.1 tell 192.168.8.237
>   +09:43:48.734420 00:e0:4d:1a:c9:24 (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: arp who-has 192.168.44.138 tell 192.168.44.156
>   +09:43:48.842663 00:e0:e4:02:32:59 (oui Unknown) > Broadcast, ethertype ARP (0x0806), length 60: arp who-has 192.168.21.1 tell 192.168.21.251
>   +</pre></div>
>   +
>    	<h3>总结</h3>
>    	<h3>参考资料</h3>
>    	<ul>
>   
>   
> ------------------------------------------------------------------------
>
> _______________________________________________
> zeuux-cvs mailing list
> zeuux-cvs at zeuux.org
> http://www.zeuux.org/mailman/listinfo/zeuux-cvs
>
> ZEUUX Project - Free Software, Free Society!
> http://www.zeuux.org
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://www.zeuux.org/pipermail/zeuux-www/attachments/20080708/e8819992/attachment.html>