linux安全管理

sunny03

抓包、扫描、分析
　　1  扫描nmap
2  抓包tcpdump
3  协议分析软件的使用wireshark
一  扫描nmap
　　180  which nmap
181  rpm -qf  /bin/nmap
182  rpm -q nmap
]# man nmap
语法格式
#nmap    [扫描类型]    [选项]     
　　扫描类型有哪些?  -sS   -sT  -sU   -sP
选项有哪些?  -A   -n   -p
　　ip地址表示方式？
192.168.4.53
192.168.4.100-200
192.168.4.53,57,68
　　#nmap  -sP  172.40.55.122
185  nmap  -sP  172.40.55.122
186  nmap  -sP  172.40.55.180
187  nmap  172.40.55.180
188  nmap -n -sT -p 80  172.40.55.180
189  nmap -n -sT -p 25,80  172.40.55.180
190  nmap -n -sT -p 21-100,3306  172.40.55.180
191  nmap -n  -A 172.40.55.180
　　]# nmap -n -sP  172.40.55.100-200     --exclude  172.40.55.143,172.40.55.158
　　#vim  /root/ip.txt
172.40.55.143
172.40.55.158
172.40.55.180
:wq
　　]# nmap -n -sP  172.40.55.100-200  --excludefile   /root/ip.txt
　　vim /root/web.sh
#/bin/bash
for   ip   in   180   143    158  
do
nmap  -n  -sS  -p  80  172.40.55.$ip  | grep  -q open
if  [ $? -eq 0  ];then
echo   " 172.40.55.$ip  80  open"
else
echo   " 172.40.55.$ip  80  closed"
fi
done
:wq
+++++++++++++++++++++++++++++
#mkdir  /myself
#mv /root/web.sh   /myself/checkweb
#chmod  +x   /myself/checkweb
　　#vim /etc/profile
....
export  PATH=/myself:$PATH
:wq
　　#resource  /etc/profile
#echo $PATH
#cd  /usr/local/
#checkweb
　　++++++++++++++++++++++++++++++++++++
#checkweb   3306    112    130   129
#checkweb   11211    112    130   129
二 抓包tcpdump
　　tcpdump   [选项]    [过滤条件]
　　选项  
-i  网络接口名  //不指定接口名时，默认抓eth0 接口进出的包
-c 数字             //指定抓包个数，不指定的话会一直抓包
-A                    //以可阅读的方式抓取数据包
-w  文件名.cap   //把抓到的数据信息存储到文件里。默认会输出到屏幕上。
-r    文件名.cap  //读取抓包文件的内容
　　110  tcpdump
112  tcpdump -i br1
113  tcpdump -i br1  -c 2
114  tcpdump -i br1  -c 2  -A
115  tcpdump -i br1  -c 2  -A   -w  /tmp/tcpdump.cap
116  tcpdump  -A   -r   /tmp/tcpdump.cap
　　过滤条件:  抓包时，不加过滤条件，会抓所有到达的数据包。反之，只抓复合条件的数据包。
　　]# tcpdump -i eth0  -A
　　]# tcpdump -i eth0  -A  tcp  port 8090
　　]# tcpdump -i eth0  -A  tcp  port 8090   and    host  192.168.4.53
　　]#tcpdump -i eth0  -A  tcp  port 22 and net 192.168.4.0/24
　　]#tcpdump -i eth0  -A  tcp  port 22  and  not  host 192.168.4.53
　　]#tcpdump -i eth0  -A  
tcp  port  8090  and   host  192.168.4.53    or   host  192.168.4.54
　　]#tcpdump -i eth0  -A
tcp  port  8090  and (host  192.168.4.53    or   host  192.168.4.54)
　　]#tcpdump -i eth0  -A  tcp  port  25  -w /tmp/mail2.cap
　　]#tcpdump   -A    -r /tmp/mail2.cap
　　]# scp /tmp/mail2.cap  192.168.4.254:/root/
三  协议分析软件的使用wireshark  (宿主机)
　　安装软件包
]# yum -y install  wireshark    wireshark-gnome
]# rpm  -q    wireshark    wireshark-gnome
　　打开图形界面
应用程序->互联网->软件名 ---> 文件菜单->打开文件/root/mail2.cap
　　tcp 传输协议 标记位
SYN  新连接
ACK 确认连接
FIN   断开连接
push( P) 传输数据
RST  重新建立连接
　　应用层    http  smtp  ftp
传输层   tcp  upd
网络层   ip包
物理层   数据流 (0101)