网络数据采集分析工具TcpDump的简介

顾名思义，TcpDump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。就是一种免费的网络分析工具，尤其其提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。存在于基本的FreeBSD系统中，由于它需要将网络界面设置为混杂模式，普通用户不能正常执行，但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁，而是对网络上的其他计算机的安全存在威胁。

我们用尽量简单的话来定义，就是：dump the traffice on a network.，根据使用者的定义对网络上的数据包进行截获的包分析工具。作为互联网上经典的的系统管理员必备工具，以其强大的功能，灵活的截取策略，成为每个高级的系统管理员分析网络，排查问题等所必备的东西之一。提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。存在于基本的FreeBSD系统中，由于它需要将网络界面设置为混杂模式，普通用户不能正常执行，但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁，而是对网络上的其他计算机的安全存在威胁。

网络数据采集分析工具TcpDump的安装

 

在下的安装十分简单，一般由两种安装方式。一种是以rpm包的形式来进行安装。另外一种是以源程序的形式安装。

 

rpm包的形式安装：这种形式的安装是最简单的安装方法，rpm包是将软件编译后打包成二进制的格式，通过rpm命令可以直接安装，不需要修改任何东西。以超级用户登录，使用命令如下：
#rpm -ivh -3_4a5.rpm

 

这样就顺利地安装到你的系统中。怎么样，很简单吧。

源程序的安装：既然rpm包的安装很简单,为什么还要采用比较复杂的源程序安装呢?其实，一个最大的诱人之处就是在她上面有很多软件是提供源程序的，人们可以修改源程序来满足自己的特殊的需要。所以我特别建议朋友们都采取这种源程序的安装方法。

• 第一步 取得源程序 在源程序的安装方式中，我们首先要取得的源程序分发包，这种分发包有两种形式，一种是tar压缩包(-3_4a5.tar.Z),另一种是rpm的分发包(-3_4a5.src.rpm)。这两种形式的内容都是一样的，不同的仅仅是压缩的方式.tar的压缩包可以使用如下命令解开：
  #tar xvfz -3_4a5.tar.Z
  rpm的包可以使用如下命令安装:
  #rpm -ivh -3_4a5.src.rpm
  这样就把的源代码解压到/usr/src/redhat/SOURCES目录下.
  
• 第二步 做好编译源程序前的准备活动
  在编译源程序之前，最好已经确定库文件libpcap已经安装完毕，这个库文件是软件所需的库文件。同样，你同时还要有一个标准的c语言编译器。在下标准的c 语言编译器一般是gcc。 在的源程序目录中。有一个文件是Makefile.in，configure命令就是从Makefile.in文件中自动产生Makefile文件。在Makefile.in文件中，可以根据系统的配置来修改BINDEST 和 MANDEST 这两个宏定义，缺省值是
  BINDEST = @sbindir@
  MANDEST = @mandir@
  第一个宏值表明安装的二进制文