多网络监听与分析

图10-7展示了在主机“solaris”(运行Solaris 2.x系统)上使用网络嗅探工具“snoop”捕获网络流量的场景。这款工具类似于tcpdump,无需超级用户权限即可运行,但仅捕获广播、多播以及发送给本机的报文。图10-8展示了60秒内捕获的报文信息,其中大部分主机名以“Rn”的形式简化表示。

命令行参数“-P”表示以非混杂模式捕获报文,“-tr”用于打印时间戳,“udp port 520”则指示仅捕获源端口或目的端口为520的UDP数据报。

观察发现,来自主机R6、R4、R2、R7、R8和R3的前6个报文都只通告了一个网络。例如,R2通告了一条前往140.252.6.0网络的路由,跳数为1;R4通告了一条前往140.252.4.0网络的路由,跳数也为1。然而,网关路由器却通告了15条路由。

为了查看完整的RIP报文内容,我们可以在运行“snoop”时添加“-v”参数,这将输出包括以太网首部、IP首部、UDP首部以及RIP报文在内的所有信息。图10-9展示了筛选后的RIP信息。

参考文献:

  • TCP/IP详解,卷1:协议 (第100页)