收藏
下载资源

解析linux网络分析的三大利器

上传人:子 文档编号:43404657 上传时间:2018-06-06 格式:DOC 页数:10 大小:18.28KB
返回 下载 相关 举报
解析linux网络分析的三大利器_第1页
第1页 / 共10页
解析linux网络分析的三大利器_第2页
第2页 / 共10页
解析linux网络分析的三大利器_第3页
第3页 / 共10页
解析linux网络分析的三大利器_第4页
第4页 / 共10页
解析linux网络分析的三大利器_第5页
第5页 / 共10页
点击查看更多>>
资源描述

《解析linux网络分析的三大利器》由会员分享,可在线阅读,更多相关《解析linux网络分析的三大利器(10页珍藏版)》请在金锄头文库上搜索。

1、解析解析 LinuxLinux 网络分析的三大利器网络分析的三大利器随着 Internet 的迅猛发展,网络已无处不在,但是,它可能随时受到来自各方的攻击。了解哪些人正在访问资源、哪些人正在享受服务、哪些人正在发送大量垃圾等,对网络管理员来说是非常必要的。利用 Linux 中较常见的网络分析工具 Tcpdump、Nmap 和 Netstat,可以使网络管理工作更加轻松。 Tcpdump 主要是截获通过本机网络接口的数据,用以分析。Nmap 是强大的端口扫描工具,可扫描任何主机或网络。Netstat 可用来检查本机当前提供的服务及状态。这三者各有所长,结合起来,就可以比较透彻地了解网络状况。 T

2、cpdump Tcpdump 能够截获当前所有通过本机网卡的数据包。它拥有灵活的过滤机制,可以确保得到想要的数据。由于 Tcpdump 只能收集通过本机的数据,因此它的应用受到了一些限制,大多应用在网关或服务器自我检测上。例如,在作为网关的主机上,想知道本地网络中IP 地址为 192.168.0.5 的主机现在与外界通信的情况,就可以使用如下命令: tcpdump -i eth0 src host 192.168.0.5 在默认情况下,Tcpdump 会将数据输出到屏幕。如果数据量太大,可能根本看不清具体的内容,这时我们可以把它重定向到文件再进行分析。如果眼神不错,就可以清楚地了解这位仁兄刚才

3、的一举一动: 访问了新浪网主页 20:05:32.473388 192.168.0.5.1872 .http: S 1372301404:1372301404(0) win 64240 (DF) 进行了 netbios 广播进行名字查询 20:05:33.823388 bios-dgm bios-dgm: NBT UDP PACKET(138) 到新华网 POP3 服务器收信 20:05:41.953388 192.168.0.5.1878 .pop3: S 1374956462:1374956462(0) win 64240 (DF) 到深圳 963 收信 20:05:45.633388 1

4、92.168.0.5.1881 .pop3: P 34:40(6) ack 146 win 64095 (DF) 例如,上面这条信息表明了在 20:05:45 的时候,192.168.0.5 通过1881 源端口连接到 963 电子邮局的 POP3 端口。对于普通的网络分析,这些信息已经足够了。这就是 Tcpdump 的基本功能,其它高级功能都是在这一基础上的细化和增强。 例如,我只想知道 192.168.0.5 当前正在访问哪些 Web 站点,可以用下面这条命令: tcpdump -i eth0 src host 192.168.0.5 and dst port 80 该命令的目的是截获所有

5、由 eth0 进入、源地址(src)为192.168.0.5 的主机(host),并且(and)目标(dst)端口(port)为 80的数据包。得到的数据如下: 20:05:32.473388 192.168.0.5.1872 .http: S 1372301404:1372301404(0) win 64240 (DF) 20:06:33.42344 192.168.0.5.1873 .http: S 1374301404:1374301404(0) win 64245 (DF) 20:07:31.343248 192.168.0.5.1874 .http: S 1377301404:137

6、7301404(0) win 64241 (DF) 显然,通过 and 或者 not 这些逻辑组合,就可以得到特定的数据。Tcpdump 还可以监听不同的数据类型(如 TCP、UDP) ,以用不同的网络范围(如 Host 主机、Net 网络) ,甚至用 Ether 直接指定物理地址。 用 Tcpdump 在网络中获取信息如此清晰,是不是有一种一览无余的感觉。正是因为 Tcpdump 功能过于强大,连个人隐私和敏感数据的保护都成了问题,所以通常只有 root 用户能够使用这一工具。 Nmap Nmap 设计的初衷是系统管理员可以方便地了解自己的网络运行情况,例如有多少台主机在运行、分别提供什么样

7、的服务。因此,它扫描的速度非常快,尤其适合大型网络。在对网络进行扫描时,Nmap 主要利用 ICMP echo 探测主机是否开启。凡是了解 TCP/IP 协议的都知道,对于一个 TCP 端口,无论是否使用防火墙进行过滤,该主机都会对该端口发出的请求做出一定响应。所以即使配置了严格的防火墙规则,nmap 照样可以找到这些主机。例如,在一台 IP 地址为192.168.0.1 的 Linux 主机上执行下列命令: echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all 它的作用就是对所有 ICMP echo 不予理睬,也就是让通常用来测试网络的 Ping 命令

8、失效。这样至少可以抵挡 POD(Ping of Death)的攻击。在任何一台机器上 Ping 这台主机,得到的都会是请求超时,如: Pinging 192.168.0.1 with 32 bytes of data: Request timed out. Request timed out.Request timed out.Request timed out. Ping statistics for 192.168.0.1: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss) 这台主机是否下线了?用 Nmap 探测试试看: nmap

9、-sP 192.168.0.1 Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ ) Host (192.168.0.1) appears to be up. 探测结果好像该主机还开着呢!这里,-sP 指定使用 Ping echo 进行扫描(Scan)。 利用这一特点,可以很快知道目的网络究竟有多少主机处于运行状态: nmap -sP 192.168.0.0/24 /24 表明目标是一个网络而非单个主机 Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ ) Host (192.16

10、8.0.2) appears to be up. Host (192.168.0.5) appears to be up. Host (192.168.0. appears to be up. Host (192.168.0.253) appears to be up. Host (192.168.0.254) appears to be up. Nmap run completed - 256 IP addresses (19 hosts up) scanned in 6 seconds 既然已经知道了哪些主机还开着,就可以进一步探测这些主机的信息,如开启的端口、提供的服务及操作系统类型

11、等。从上面扫描的结果可以知道,192.168.0.5 这台机器正在运行。想要了解该主机的详细信息,可以执行: nmap 192.168.0.5 稍后会显示如下内容: Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ ) Interesting ports on (192.168.0.5): (The 1537 ports scanned but not shown below are in state: closed) Port State Service 80/tcp open http 135/tcp open loc-srv 13

12、9/tcp open netbios-ssn 443/tcp open https 1031/tcp open iad2 1433/tcp open ms-sql-s Nmap run completed - 1 IP address (1 host up) scanned in 0 seconds 由上可以断定,这是一台运行 Windows 操作系统的主机,因为它开启了 MS SQL Server 的专用端口 1433,还提供了 HTTP 服务等。这些信息如果被不怀好意的人得到,就可以采用对应的攻击办法。其实,强大的 Nmap 本身就可以依据 TCP/IP 的指纹特征猜测对方使用的操作系统。

13、我们可以用-O 来开启这一选项: nmap -O 192.168.0.5 得到的结果是: Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ ) Interesting ports on (192.168.0.5): (The 1536 ports scanned but not shown below are in state: closed) Port State Service 80/tcp open http 135/tcp open loc-srv 139/tcp open netbios-ssn 443/tcp open ht

14、tps 1032/tcp open iad3 1433/tcp open ms-sql-s Remote operating system guess: Microsoft NT 4.0 Server SP5 + 2047 Hotfixes Nmap run completed - 1 IP address (1 host up) scanned in 2 seconds 它猜测的远程主机类型是 Microsoft NT 4.0 Server SP5 + 2047 Hotfixes,并且相当准确和详尽。 Netstat Netstat 主要用于 Linux/Unix 主机察看自身的网络状况,如

15、开启的端口、在为哪些用户服务以及服务的状态等等。此外,它还显示系统路由表、网络接口状态等。可以说,它是一个综合性的网络状态察看工具,不过中规中举。 例如在一台普通 Linux 服务器上运行 Netstat,显示可能像这样: Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 .http-alt :1209 ESTABLISHED tcp 0 0 .http-alt :1509 ESTABLISHED tcp 0 0 .ssh :1867 ESTABLISHED tcp 0 0 :1209 .http-alt ESTABLISHED tcp 0 0 :1509 .http-alt ESTABLISHED Active UNIX domain sockets (w/o servers) Proto RefCnt Flags Type State I-Node Path unix 8

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 生活休闲 > 科普知识

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号