2.5.2 TCPDump

在AWD竞赛过程中，如发现维护的服务器被其他队伍攻击扣分，但不清楚服务器存在的安全问题以及其他队伍漏洞利用方式，此时可以尝试在Linux系统上进行流量监控。最常用的流量监控工具是TCPDump，通过该工具可对其他队伍的攻击流量存储记录，然后通过Wireshark流量分析工具对保存的流量包进行攻击和溯源分析，并根据分析结果进行防御和安全加固，编写自动化攻击脚本工具。

TCPDump是一款运行在命令行下的网络流量分析工具。由于其自身功能可扩展性及其灵活、便捷的网络流量策略，它成为每个网络安全运维人员进行流量分析所必备的工具之一。利用TCPDump工具可以拦截和显示网络连接到该计算机的网络流量数据，支持针对网络层、协议、主机、网络或端口等多类型的过滤方式，并且能够提供AND、OR等逻辑语句，协助过滤掉无用的流量信息等，帮助网络工作人员提高工作效率。在AWD竞赛过程中，在具备相应工具环境的条件下，参赛选手可利用TCPDump工具对其他队伍的攻击流量进行分析，根据分析结果进行防御和安全加固。接下来介绍TCPDump常用的几种利用方式。

TCPDump流量分析工具包含很多功能参数，如表2-2所示。根据不同的应用场景选择不同的利用方式，可以更好地帮助网络工作人员提高工作效率。

（1）端口过滤

在了解服务运行的具体端口情况下，为减少冗余信息，保留更多的有效信息，可以选择对具体的端口进行过滤，命令如下，执行结果如图2-31所示。

（2）主机过滤

如果要获取多个源IP地址的数据流量包，可以选择使用偏移地址的方式进行设置，例如ip[16]表示IP地址的第一个数值，ip[17]表示第二个数值，以此类推，可获取多个连续IP的交互流量数据包，命令如下，执行结果如图2-32所示。

（3）协议过滤

如果需要获得某个网络协议的流量，可以在命令行中加入该协议名称，如ICMP、ARP、HTTP等，之后可以获取通过该协议与主机交互的流量数据。命令如下，执行结果如图2-33所示。