相信大家對目前Linux網(wǎng)絡(luò)流量的管理方法都有所了解了，并且希望找到一個更安全更有效的方法，今天在這里我們就像大家介紹一個更安全更有效的Linux網(wǎng)絡(luò)流量安全管理方法，希望對大家有用。

1、Linux 網(wǎng)絡(luò)流量工具Wireshark簡介

Ethereal是一個開放源碼的Linux網(wǎng)絡(luò)流量分析系統(tǒng)，也是目前***的開放源碼的網(wǎng)絡(luò)協(xié)議分析器，支持Linux和windows平臺。Ethereal起初由Gerald Combs開發(fā)，隨后由一個松散的etheral團(tuán)隊(duì)組織進(jìn)行維護(hù)開發(fā)。它目前所提供的強(qiáng)大的協(xié)議分析功能完全可以媲美商業(yè)的Linux網(wǎng)絡(luò)流量分析系統(tǒng)，自從1998年發(fā)布最早的0.2版本至今，大量的志愿者為ethereal添加新的協(xié)議解析器，如今ethereal已經(jīng)支持五百多種協(xié)議解析。另外，網(wǎng)絡(luò)分析系統(tǒng)首先依賴于一套捕捉網(wǎng)絡(luò)數(shù)據(jù)包的函數(shù)庫。這套函數(shù)庫工作在網(wǎng)絡(luò)分析系統(tǒng)模塊的***層。作用是從網(wǎng)卡取得數(shù)據(jù)包或者根據(jù)過濾規(guī)則取出數(shù)據(jù)包的子集，再轉(zhuǎn)交給上層分析模塊。從協(xié)議上說，這套函數(shù)庫將一個數(shù)據(jù)包從鏈路層接收，至少將其還原至傳輸層以上，以供上層分析。6月8號，Ethereal的作者Gerald Coombs宣布了離開NIS的消息，因而Ethereal現(xiàn)改名為Wireshark。

Linux網(wǎng)絡(luò)流量分析系統(tǒng)首先依賴于一套捕捉網(wǎng)絡(luò)數(shù)據(jù)包的函數(shù)庫。這套函數(shù)庫工作在在網(wǎng)絡(luò)分析系統(tǒng)模塊的***層。作用是從網(wǎng)卡取得數(shù)據(jù)包或者根據(jù)過濾規(guī)則取出數(shù)據(jù)包的子集，再轉(zhuǎn)交給上層分析模塊。從協(xié)議上說，這套函數(shù)庫將一個數(shù)據(jù)包從鏈路層接收，至少將其還原至傳輸層以上，以供上層分析。

在Linux系統(tǒng)中，1992年Lawrence Berkeley Lab的Steven McCanne和Van Jacobson提出了包過濾器的一種的實(shí)現(xiàn)，BPF（BSD Packet Filter）。Libpcap是一個基于BPF的開放源碼的捕包函數(shù)庫?，F(xiàn)有的大部分Linux捕包系統(tǒng)都是基于這套函數(shù)庫或者是在它基礎(chǔ)上做一些針對性的改進(jìn)。在window系統(tǒng)中，意大利人Fulvio Risso和Loris Degioanni提出并實(shí)現(xiàn)了Winpcap函數(shù)庫，作者稱之為NPF。由于NPF的主要思想就是來源于BPF，它的設(shè)計(jì)目標(biāo)就是為windows系統(tǒng)提供一個功能強(qiáng)大的開發(fā)式數(shù)據(jù)包捕獲平臺，希望在Linux系統(tǒng)中的網(wǎng)絡(luò)分析工具經(jīng)過簡單編譯以后也可以移植到windows中，因此這兩種捕包架構(gòu)是非?，F(xiàn)實(shí)的。就實(shí)現(xiàn)來說提供的函數(shù)調(diào)用接口也是一致的。Ethereal網(wǎng)絡(luò)分析系統(tǒng)也需要一個底層的抓包平臺，在Linux中是采用Libpcap函數(shù)庫抓包，在windows系統(tǒng)中采用winpcap函數(shù)庫抓包。

2、Linux 網(wǎng)絡(luò)流量工具Wireshark層次化的數(shù)據(jù)包協(xié)議分析方法

取得捕包函數(shù)捕回的數(shù)據(jù)包后就需要進(jìn)行協(xié)議分析和協(xié)議還原工作了。由于OSI的7層協(xié)議模型，協(xié)議數(shù)據(jù)是從上到下封裝后發(fā)送的。對于協(xié)議分析需要從下至上進(jìn)行。首先對網(wǎng)絡(luò)層的協(xié)議識別后進(jìn)行組包還原然后脫去網(wǎng)絡(luò)層協(xié)議頭。將里面的數(shù)據(jù)交給傳輸層分析，這樣一直進(jìn)行下去直到應(yīng)用層。由于網(wǎng)絡(luò)協(xié)議種類很多，就Ethereal所識別的500多種協(xié)議來說，為了使協(xié)議和協(xié)議間層次關(guān)系明顯。從而對數(shù)據(jù)流里的各個層次的協(xié)議能夠逐層處理。Ethereal系統(tǒng)采用了協(xié)議樹的方式。

所示就是一個簡單的協(xié)議樹。如果協(xié)議A的所有數(shù)據(jù)都是封裝在協(xié)議B里的，那么這個協(xié)議A就是協(xié)議B是另外一個協(xié)議的兒子節(jié)點(diǎn)（比如圖中的TCP和UDP協(xié)議就是IP協(xié)議的兒子節(jié)點(diǎn)）。我們將***層的無結(jié)構(gòu)數(shù)據(jù)流作為根接點(diǎn)。那么具有相同父節(jié)點(diǎn)的協(xié)議成為兄弟節(jié)點(diǎn)。那么這些擁有同樣父協(xié)議兄弟節(jié)點(diǎn)協(xié)議如何互相區(qū)分了？Ethereal系統(tǒng)采用協(xié)議的特征字來識別。每個協(xié)議會注冊自己的特征字。這些特征字給自己的子節(jié)點(diǎn)協(xié)議提供可以互相區(qū)分開來的標(biāo)識。比如tcp協(xié)議的port字段注冊后。Tcp.port=21就可以認(rèn)為是ftp協(xié)議，特征字可以是協(xié)議規(guī)范定義的任何一個字段。比如ip協(xié)議就可以定義proto字段為一個特征字。

在Ethereal中注冊一個協(xié)議解析器首先要指出它的父協(xié)議是什么。另外還要指出自己區(qū)別于父節(jié)點(diǎn)下的兄弟接點(diǎn)協(xié)議的特征。比如ftp協(xié)議。在Ethereal中他的父接點(diǎn)是tcp協(xié)議，它的特征就是tcp協(xié)議的port字段為21。這樣當(dāng)一個端口為21的tcp數(shù)據(jù)流來到時。首先由tcp協(xié)議注冊的解析模塊處理，處理完之后通過查找協(xié)議樹找到自己協(xié)議下面的子協(xié)議，判斷應(yīng)該由那個子協(xié)議來執(zhí)行，找到正確的子協(xié)議后，就轉(zhuǎn)交給ftp注冊的解析模塊處理。這樣由根節(jié)點(diǎn)開始一層層解析下去。

由于采用了協(xié)議樹加特征字的設(shè)計(jì)，這個系統(tǒng)在協(xié)議解析上由了很強(qiáng)的擴(kuò)展性，增加一個協(xié)議解析器只需要將解析函數(shù)掛到協(xié)議樹的相應(yīng)節(jié)點(diǎn)上即可。

3、Linux 網(wǎng)絡(luò)流量工具Wireshark基于插件技術(shù)的協(xié)議分析器

所謂插件技術(shù)，就是在程序的設(shè)計(jì)開發(fā)過程中，把整個應(yīng)用程序分成宿主程序和插件兩個部分，宿主程序與插件能夠相互通信，并且，在宿主程序不變的情況下，可以通過增減插件或修改插件來調(diào)整應(yīng)用程序的功能。運(yùn)用插件技術(shù)可以開發(fā)出伸縮性良好、便于維護(hù)的應(yīng)用程序。它著名的應(yīng)用實(shí)例有：媒體播放器winamp、微軟的網(wǎng)絡(luò)瀏覽器IE等。

由于現(xiàn)在網(wǎng)絡(luò)協(xié)議種類繁多，為了可以隨時增加新的協(xié)議分析器，一般的協(xié)議分析器都采用插件技術(shù)，這樣如果需要對一個新的協(xié)議分析只需要開發(fā)編寫這個協(xié)議分析器并調(diào)用注冊函數(shù)在系統(tǒng)注冊就可以使用了。通過增加插件使程序有很強(qiáng)的可擴(kuò)展性，各個功能模塊內(nèi)聚。

4、安裝Linux 網(wǎng)絡(luò)流量工具Wireshark

Wireshark可以在http://www.wireshark.org/download.html上下載，該軟件有極其方便和友好的圖形用戶界面，并且能夠使得用戶通過圖形界面的配置和選擇，針對多塊網(wǎng)卡、多個協(xié)議進(jìn)行顯示，效果非常好。目前***版本為：Wireshark 1.0.3。安裝該軟件請按照如下步驟進(jìn)行：
1.//將下載的***版本軟件拷貝到臨時文件夾
2.# cp wireshark-1.0.3.tar.gz /usr/local/src/
3.//切換到臨時文件夾目錄
4.# cd /usr/local/src/
5.//解壓縮文件
6.# tar -xvf wireshark-1.0.3.tar.gz

另外，同Tcpdump一樣，在編譯Ethereal之前應(yīng)先確定已經(jīng)安裝pcap庫（libpcap），這是編譯Wireshark時所必需的。如果該庫已經(jīng)安裝，就可以執(zhí)行下面的命令來編譯并安裝Wireshark：
1.# cd wireshark-1.0.3
2.# ./configure
3.# make
4.# make install

當(dāng)編譯并安裝好Wireshark后，就可以執(zhí)行“wireshark”命令來啟動Wireshark。


5、使用Linux 網(wǎng)絡(luò)流量工具Wireshark

（1）捕包選項(xiàng)

l抓包是進(jìn)行協(xié)議分析的***步驟，在Wireshark中，有幾個抓包的相關(guān)選項(xiàng)需要尤其注意：
◆Interface：指定在哪個接口（網(wǎng)卡）上抓包。一般情況下都是單網(wǎng)卡，所以使用缺省的就可以了Limit each lpacket: 限制每個包的大小，缺省情況不限制。
◆Capture packets in promiscuous lmode：確定是否打開混雜模式。如果打開，抓取所有的數(shù)據(jù)包。一般情況下只需要監(jiān)聽本機(jī)收到或者發(fā)出的包，因此應(yīng)該關(guān)閉這個選項(xiàng)。
l◆Filter：過濾器。只抓取滿足過濾規(guī)則的包。
◆File：如果需要將抓到的包寫到文件中，在這里輸入文件名稱。use ring buffer：是否使用循環(huán)緩沖。缺省情況下不使用，即一直抓包。值得注意的是：循環(huán)緩沖只有在寫文件的時候才有效。如果使用了循環(huán)緩沖，還需要設(shè)置文件的數(shù)目，文件多大時回卷。其他的項(xiàng)選擇缺省的就可以了。

（2）協(xié)議過濾（Filter）選項(xiàng)

由于網(wǎng)絡(luò)中的協(xié)議五花八門，Http、Ftp、ARP、ICMP等協(xié)議等都在抓包的范圍之列，因而給協(xié)議分析工作帶來了一些麻煩。為了對特定的協(xié)議進(jìn)行分析統(tǒng)計(jì)，則可以使用Ehereal提供的Filter選項(xiàng)來對數(shù)據(jù)報(bào)文進(jìn)行過濾，對特定的協(xié)議進(jìn)行提取，再進(jìn)行分析。（a）給出了使用Capture菜單下的Capture Filter選項(xiàng)進(jìn)行過濾設(shè)置的示意，該軟件已經(jīng)提供了許多協(xié)議的Filter供用戶選擇使用，而用戶也可以自行添加；（b）則顯示了通過在工具欄的Filter編輯框內(nèi)輸入?yún)f(xié)議名稱對已捕捉的包進(jìn)行過濾的結(jié)果，圖中顯示了過濾后所得Http協(xié)議的數(shù)據(jù)包情況。用戶也可以通過輸入Ftp、ARP或者TCP等字段來獲取相應(yīng)的協(xié)議內(nèi)容。

（3）統(tǒng)計(jì)選項(xiàng)（statistics）

統(tǒng)計(jì)選項(xiàng)用于對過濾后的各協(xié)議類型進(jìn)行統(tǒng)計(jì)，從而從宏觀上對網(wǎng)絡(luò)中的流量進(jìn)行統(tǒng)計(jì)分析和全局把握。給出了操作的流程和顯示結(jié)果。

【編輯推薦】

1. Linux性能測試工具Lmbench介紹和使用說明
2. Linux 編程工具介紹及Linux下的編程
3. Linux 開發(fā)工具詳細(xì)介紹
4. Linux下載工具Curl詳解
5. Linux 測試軟件：從源代碼開始