在AWD竞赛过程中,如发现维护的服务器被其他队伍攻击扣分,但不清楚服务器存在的安全问题以及其他队伍漏洞利用方式,此时可以尝试在Linux系统上进行流量监控。最常用的流量监控工具是TCPDump,通过该工具可对其他队伍的攻击流量存储记录,然后通过Wireshark流量分析工具对保存的流量包进行攻击和溯源分析,并根据分析结果进行防御和安全加固,编写自动化攻击脚本工具。
TCPDump是一款运行在命令行下的网络流量分析工具。由于其自身功能可扩展性及其灵活、便捷的网络流量策略,它成为每个网络安全运维人员进行流量分析所必备的工具之一。利用TCPDump工具可以拦截和显示网络连接到该计算机的网络流量数据,支持针对网络层、协议、主机、网络或端口等多类型的过滤方式,并且能够提供AND、OR等逻辑语句,协助过滤掉无用的流量信息等,帮助网络工作人员提高工作效率。在AWD竞赛过程中,在具备相应工具环境的条件下,参赛选手可利用TCPDump工具对其他队伍的攻击流量进行分析,根据分析结果进行防御和安全加固。接下来介绍TCPDump常用的几种利用方式。
TCPDump流量分析工具包含很多功能参数,如表2-2所示。根据不同的应用场景选择不同的利用方式,可以更好地帮助网络工作人员提高工作效率。
表2-2 TCPDump流量分析工具参数
(1)端口过滤
在了解服务运行的具体端口情况下,为减少冗余信息,保留更多的有效信息,可以选择对具体的端口进行过滤,命令如下,执行结果如图2-31所示。
图2-31 TCPDump端口过滤
(2)主机过滤
如果要获取多个源IP地址的数据流量包,可以选择使用偏移地址的方式进行设置,例如ip[16]表示IP地址的第一个数值,ip[17]表示第二个数值,以此类推,可获取多个连续IP的交互流量数据包,命令如下,执行结果如图2-32所示。
图2-32 TCPDump源IP地址过滤
(3)协议过滤
如果需要获得某个网络协议的流量,可以在命令行中加入该协议名称,如ICMP、ARP、HTTP等,之后可以获取通过该协议与主机交互的流量数据。命令如下,执行结果如图2-33所示。
图2-33 TCPDump协议过滤