linux安全管理
抓包、扫描、分析1扫描nmap
2抓包tcpdump
3协议分析软件的使用wireshark
一扫描nmap
180which nmap
181rpm -qf/bin/nmap
182rpm -q nmap
]# man nmap
语法格式
#nmap [扫描类型] [选项]
扫描类型有哪些?-sS -sT-sU -sP
选项有哪些?-A -n -p
ip地址表示方式?
192.168.4.53
192.168.4.100-200
192.168.4.53,57,68
#nmap-sP172.40.55.122
185nmap-sP172.40.55.122
186nmap-sP172.40.55.180
187nmap172.40.55.180
188nmap -n -sT -p 80172.40.55.180
189nmap -n -sT -p 25,80172.40.55.180
190nmap -n -sT -p 21-100,3306172.40.55.180
191nmap -n-A 172.40.55.180
]# nmap -n -sP172.40.55.100-200 --exclude172.40.55.143,172.40.55.158
#vim/root/ip.txt
172.40.55.143
172.40.55.158
172.40.55.180
:wq
]# nmap -n -sP172.40.55.100-200--excludefile /root/ip.txt
vim /root/web.sh
#/bin/bash
for ip in 180 143 158
do
nmap-n-sS-p80172.40.55.$ip| grep-q open
if[ $? -eq 0];then
echo " 172.40.55.$ip80open"
else
echo " 172.40.55.$ip80closed"
fi
done
:wq
+++++++++++++++++++++++++++++
#mkdir/myself
#mv /root/web.sh /myself/checkweb
#chmod+x /myself/checkweb
#vim /etc/profile
....
exportPATH=/myself:$PATH
:wq
#resource/etc/profile
#echo $PATH
#cd/usr/local/
#checkweb
++++++++++++++++++++++++++++++++++++
#checkweb 3306 112 130 129
#checkweb 11211 112 130 129
二 抓包tcpdump
tcpdump [选项] [过滤条件]
选项
-i网络接口名//不指定接口名时,默认抓eth0 接口进出的包
-c 数字 //指定抓包个数,不指定的话会一直抓包
-A //以可阅读的方式抓取数据包
-w文件名.cap //把抓到的数据信息存储到文件里。默认会输出到屏幕上。
-r 文件名.cap//读取抓包文件的内容
110tcpdump
112tcpdump -i br1
113tcpdump -i br1-c 2
114tcpdump -i br1-c 2-A
115tcpdump -i br1-c 2-A -w/tmp/tcpdump.cap
116tcpdump-A -r /tmp/tcpdump.cap
过滤条件:抓包时,不加过滤条件,会抓所有到达的数据包。反之,只抓复合条件的数据包。
]# tcpdump -i eth0-A
]# tcpdump -i eth0-Atcpport 8090
]# tcpdump -i eth0-Atcpport 8090 and host192.168.4.53
]#tcpdump -i eth0-Atcpport 22 and net 192.168.4.0/24
]#tcpdump -i eth0-Atcpport 22andnothost 192.168.4.53
]#tcpdump -i eth0-A
tcpport8090and host192.168.4.53 or host192.168.4.54
]#tcpdump -i eth0-A
tcpport8090and (host192.168.4.53 or host192.168.4.54)
]#tcpdump -i eth0-Atcpport25-w /tmp/mail2.cap
]#tcpdump -A -r /tmp/mail2.cap
]# scp /tmp/mail2.cap192.168.4.254:/root/
三协议分析软件的使用wireshark(宿主机)
安装软件包
]# yum -y installwireshark wireshark-gnome
]# rpm-q wireshark wireshark-gnome
打开图形界面
应用程序->互联网->软件名 ---> 文件菜单->打开文件/root/mail2.cap
tcp 传输协议 标记位
SYN新连接
ACK 确认连接
FIN 断开连接
push( P) 传输数据
RST重新建立连接
应用层 httpsmtpftp
传输层 tcpupd
网络层 ip包
物理层 数据流 (0101)
页:
[1]