技巧之對付黑客用Tcptrack跟蹤TCP連接

Tcptrack是一個能夠顯示特定端口上有關(guān)TCP連接的嗅探器，它會監(jiān)視正在發(fā)生的所有的連接，并且以一種友好的界面顯示相關(guān)信息。雖然它采用字符用戶界面，卻易于理解和查看。Tcptrack隨現(xiàn)在流行的幾種Linux發(fā)行版本打包發(fā)行。筆者使用的Tcptrack版本是2006年12月發(fā)布的1.2.0。用戶可以http://www.rhythm.cx/%7Esteve/devel/tcptrack/下載其源代碼。
    Tcptrack為管理員跟蹤服務(wù)器上的每一個連接提供了一些有用的信息。筆者用Tcptrack跟蹤代理服務(wù)器以確信每一個用戶得到適當(dāng)?shù)膸?，保證無人占用全部的帶寬。它為我們提供了一個監(jiān)視網(wǎng)絡(luò)通信的方法，可以提供的信息有如下幾個方面：
    ●源地址和端口
    ●目標(biāo)地址和端口
    ●連接狀態(tài)
    ●空閑時間
    ●帶寬利用
    Tcptrack還具有過濾特性，它使用pcap過濾標(biāo)準(zhǔn)（與用于tcpdump標(biāo)準(zhǔn)相同）。
    安裝
    Tcptrack安裝相當(dāng)簡單，在Debian GNU/Linux或者 ubuntux系統(tǒng)上，可以使用如下的命令安裝：
    apt-get install tcptrack
    在瀏覽rpmfind.net的過程中，筆者發(fā)現(xiàn)Tcptrack for CentOS適合自己的需要。筆者使用RPM for RHEL 4，并手動安裝了此軟件。如果用戶想從源代碼編譯它，可以閱讀安裝包中的安裝文件或者在線閱讀。
    使用Tcptrack
    只有超級用戶（特權(quán)用戶）才能運行Tcptrack，其基本的使用方法是使用下面的命令：
    # tcptrack -i     例如：# tcptrack -i eth1
    此后，Tcptrack就會運行，并捕捉所有的TCP連接，并向用戶顯示這些信息。。其它的可選項包括-r和port。-r使得Tcptrack在清除關(guān)閉的連接之等待一個指定的時間（以秒計）。例如：
    # tcptrack -i eth0 -r 10
    Port會根據(jù)端口號實施過濾。例如：
    # tcptrack -i eth1 port 22
    再如：#tcptrack -i eth0 port 80
    考試大編輯提示顯示的結(jié)果中:從左到右分別顯示客戶端的IP地址和端口號、服務(wù)器的IP地址和端口號、狀態(tài)、空閑時間和傳輸速率。