江湖秘笈：安全等级保护中一直要求能查明信息拦截状态 可信息如何被工具所拦截呢？不如看TCPdump如何做出解释吧

关注蓝字 看点网络安全

Hello，亲爱的看官们，大家晚上好。

今天是周二，一个阳光明媚的日子，看官们可以在中午休息的时候好好享受一下这难得的阳光。

据说在本周末的时候还要迎来一波小小的降温浮动，虽说现在还未明确的听到天气预报如此说明，但各位看官们多少还是要做些准备的。

继昨天我们的等保分享进入到安全管理制度第三个部分评审和修订内容后，技术内容也进入另一个部分当中来。

特别是在此前等保网络安全、主机安全和应用安全中都提到过一个概念，数据的完整性话题。那么在技术中数据完整性是如何被窃取和监听的呢？各位看官们在看过今天的技术分享后，就会多少了解一点点啦。

专门截获数据包“头”的工具

今天，2 cats大侠要为各位看官们分享的内容时一款数据信息采集工具，它的主要作用是将网络中传送的数据包的“头”完全截获下来进行分析。

此截获非彼截获

这里说的数据截获并非现实中的将某条信息完全拦截并留存在自己手中，而是说将数据信息截获后进行抄袭并留存在自己手中，源文件依旧会按照自有的网络路径和协议规则进行正常传输。

TCPdump工具介绍

这款工具的名字叫做TCPdump，是基于Linux中强大的数据采集分析诞生的工具，支持对网络层、协议、主机、网络或端口的过滤，提供and、or、not等逻辑语句用来过滤无用的信息。

工具演示

1

命令：~# tcpdump –help

2

简单的参数操作查看界面和命令规则。

命令：~# tcpdump -vv //查看更详细流量-v或者-vv

命令：~# tcpdump -D //查看可用接口

命令：~# tcpdump port 80 //监听本地80端口数据，针对类型限定词使用

命令：~# tcpdump net 10.10.11.0/24 //监听子网10.10.11.0全部流量

或

命令：~# tcpdump net 10.10.11

当然，逻辑运算符部分有and、or和not帮忙

命令：~# tcpdump port 80 and host 10.10.11.22 or 8.8.8.8

命令：~# tcpdump port 80 and host 10.10.11.22 or host 8.8.8.8

好啦，由于工具操作比较简单，因此只是单纯的使用图片和命令来展示，具体的使用体验还是让看官们自己来细细品味吧。

2cats 寄语

老规矩不变，

如果有任何问题依旧可以发给e品小顽童。

小顽童的邮箱是：

xiaowantong@epinjianghu.com。

也可以在微信公众号的下方留言，我们会及时整理反馈的。

期待各位的来信交流！

另外，大家可以扫描下面的二维码，加我2cats的个人微信哈！

e品江湖

不失初心 不忘初衷

长按扫码 加关注！