使用 tcpdump 进行数据包分析
通过 tcpdump 学习数据包分析,这是网络安全、故障排查和数字取证领域最重要的命令行工具之一。在网络安全工作中,你经常需要回答一些简单但至关重要的问题:是哪个主机发送了流量?使用了什么协议?网络上传输了什么数据?本课程将教你如何捕获数据包、使用伯克利数据包过滤器(BPF)过滤冗余流量、检查数据包内容以及处理 PCAP 文件,从而让你能够自信地调查网络活动。
为什么它很重要
许多安全工具会为你汇总或解读网络事件,但 tcpdump 展示的是原始流量本身。这使其成为 SOC 分析师、事件响应人员、渗透测试人员和系统管理员的基础工具。如果你能直接读取数据包捕获文件,你对仪表盘的依赖就会降低,并能更好地自行验证可疑行为。
本课程侧重于实用的数据包捕获和调查技能。你将从识别网络接口和捕获流量的基础知识开始,逐步深入到精确过滤、负载检查和离线 PCAP 分析。最后的挑战环节将把这些技能整合到一个真实的安全性调查场景中。
你将学到什么
- 使用
tcpdump在正确的网络接口上捕获实时网络流量。 - 使用伯克利数据包过滤器(BPF)按主机、子网、协议和端口隔离流量。
- 以十六进制和 ASCII 格式检查原始数据包内容,以发现有意义的应用程序数据。
- 将数据包捕获保存为 PCAP 文件,并稍后重新打开进行离线分析。
- 调查可疑的流量模式,并从嘈杂的捕获数据中提取证据。
课程路线图
- 网络接口与基础捕获:学习如何识别活动接口、启动捕获以及解读
tcpdump的默认输出。 - 伯克利数据包过滤器(BPF):通过针对 IP 地址、子网、端口和协议的表达式来过滤流量,从而减少干扰。
- 检查数据包内容:以十六进制和 ASCII 格式查看数据包负载,以便检查未加密的数据并识别可疑内容。
- PCAP 文件管理:将捕获内容写入 PCAP 文件,稍后重新打开,并在离线工作流中高效地进行分析。
- 网络流量调查:在挑战环节中应用所学知识,调查一起疑似入侵事件并提取关键取证证据。
课程受众
- 希望对数据包嗅探和网络取证进行实践入门的初学者。
- 需要加强命令行数据包捕获技能的 SOC 分析师。
- 希望在评估期间验证网络行为的渗透测试人员。
- 希望排查服务故障并从数据包层面理解流量的 Linux 用户。
学习成果
在本课程结束时,你将能够使用 tcpdump 进行命令行数据包分析、定向流量过滤、PCAP 查看以及基础的网络取证调查。你还将为后续深入学习协议分析和威胁狩猎打下坚实的基础。
