分享
 
 
 

解析Linux网络分析的三大利器

王朝system·作者佚名  2008-05-18
窄屏简体版  字體: |||超大  

随着Internet的迅猛发展,网络已无处不在,但是,它可能随时受到来自各方的攻击。了解哪些人正在访问资源、哪些人正在享受服务、哪些人正在发送大量垃圾等,对网络管理员来说是非常必要的。利用Linux中较常见的网络分析工具Tcpdump、Nmap和Netstat,可以使网络管理工作更加轻松。

Tcpdump主要是截获通过本机网络接口的数据,用以分析。Nmap是强大的端口扫描工具,可扫描任何主机或网络。Netstat可用来检查本机当前提供的服务及状态。这三者各有所长,结合起来,就可以比较透彻地了解网络状况。

Tcpdump

Tcpdump能够截获当前所有通过本机网卡的数据包。它拥有灵活的过滤机制,可以确保得到想要的数据。由于Tcpdump只能收集通过本机的数据,因此它的应用受到了一些限制,大多应用在网关或服务器自我检测上。例如,在作为网关的主机上,想知道本地网络中IP地址为192.168.0.5的主机现在与外界通信的情况,就可以使用如下命令:

tcpdump -i eth0 src host 192.168.0.5

在默认情况下,Tcpdump会将数据输出到屏幕。如果数据量太大,可能根本看不清具体的内容,这时我们可以把它重定向到文件再进行分析。如果眼神不错,就可以清楚地了解这位仁兄刚才的一举一动:

访问了新浪网主页

20:05:32.473388 192.168.0.5.1872 > www.sina.com.http:

S 1372301404:1372301404(0) win 64240 <mss

1460,nop,nop,sackOK> (DF)

……

进行了netbios广播进行名字查询

20:05:33.823388 192.168.0.5.netbios-dgm >

192.168.0.255.netbios-dgm: NBT UDP PACKET(138)

……

到新华网POP3服务器收信

20:05:41.953388 192.168.0.5.1878 > pop.xinhuanet.com.pop3: S

1374956462:1374956462(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)

……

到深圳963收信

20:05:45.633388 192.168.0.5.1881 > szptt154.szptt.net.cn.pop3:

P 34:40(6) ack 146 win 64095 (DF)

……

例如,上面这条信息表明了在20:05:45的时候,192.168.0.5通过1881源端口连接到963电子邮局的POP3端口。对于普通的网络分析,这些信息已经足够了。这就是Tcpdump的基本功能,其它高级功能都是在这一基础上的细化和增强。

例如,我只想知道192.168.0.5当前正在访问哪些Web站点,可以用下面这条命令:

tcpdump -i eth0 src host 192.168.0.5 and dst port 80

该命令的目的是截获所有由eth0进入、源地址(src)为192.168.0.5的主机(host),并且(and)目标(dst)端口(port)为80的数据包。得到的数据如下:

20:05:32.473388 192.168.0.5.1872 > www.sina.com.http:

S 1372301404:1372301404(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)

……

20:06:33.42344 192.168.0.5.1873 > www.sohu.com.http:

S 1374301404:1374301404(0) win 64245 <mss 1460,nop,nop,sackOK> (DF)

……

20:07:31.343248 192.168.0.5.1874 > www.21cn.com.http:

S 1377301404:1377301404(0) win 64241 <mss 1460,nop,nop,sackOK> (DF)

……

显然,通过and或者not这些逻辑组合,就可以得到特定的数据。Tcpdump还可以监听不同的数据类型(如TCP、UDP),以用不同的网络范围(如Host主机、Net网络),甚至用Ether直接指定物理地址。

用Tcpdump在网络中获取信息如此清晰,是不是有一种一览无余的感觉。正是因为Tcpdump功能过于强大,连个人隐私和敏感数据的保护都成了问题,所以通常只有root用户能够使用这一工具。

Nmap

Nmap设计的初衷是系统管理员可以方便地了解自己的网络运行情况,例如有多少台主机在运行、分别提供什么样的服务。因此,它扫描的速度非常快,尤其适合大型网络。在对网络进行扫描时,Nmap主要利用ICMP echo探测主机是否开启。凡是了解TCP/IP协议的都知道,对于一个TCP端口,无论是否使用防火墙进行过滤,该主机都会对该端口发出的请求做出一定响应。所以即使配置了严格的防火墙规则,nmap照样可以找到这些主机。例如,在一台IP地址为192.168.0.1的Linux主机上执行下列命令:

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

它的作用就是对所有ICMP echo不予理睬,也就是让通常用来测试网络的Ping命令失效。这样至少可以抵挡POD(Ping of Death)的攻击。在任何一台机器上Ping这台主机,得到的都会是请求超时,如:

Pinging 192.168.0.1 with 32 bytes of data:

Request timed out.

Request timed out.Request timed out.Request timed out.

Ping statistics for 192.168.0.1:

Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)

这台主机是否下线了?用Nmap探测试试看:

nmap -sP 192.168.0.1

Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )

Host gw.somewhere.net (192.168.0.1) appears to be up.

探测结果好像该主机还开着呢!这里,-sP指定使用Ping echo 进行扫描(Scan)。

利用这一特点,可以很快知道目的网络究竟有多少主机处于运行状态:

nmap -sP 192.168.0.0/24 //24表明目标是一个网络而非单个主机

Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )

Host (192.168.0.2) appears to be up.

Host www.somesite.net (192.168.0.5) appears to be up.

Host (192.168.0.8) appears to be up.

……

Host (192.168.0.253) appears to be up.

Host fake.somesite.net (192.168.0.254) appears to be up.

Nmap run completed -- 256 IP addresses (19 hosts up) scanned in 6 seconds

既然已经知道了哪些主机还开着,就可以进一步探测这些主机的信息,如开启的端口、提供的服务及操作系统类型等。从上面扫描的结果可以知道,192.168.0.5这台机器正在运行。想要了解该主机的详细信息,可以执行:

nmap 192.168.0.5

稍后会显示如下内容:

Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )

Interesting ports on www.somewhere.net (192.168.0.5):

(The 1537 ports scanned but not shown below are in state: closed)

Port State Service

80/tcp open http

135/tcp open loc-srv

139/tcp open netbios-ssn

443/tcp open https

1031/tcp open iad2

1433/tcp open ms-sql-s

Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds

由上可以断定,这是一台运行Windows操作系统的主机,因为它开启了MS SQL Server的专用端口1433,还提供了HTTP服务等。这些信息如果被不怀好意的人得到,就可以采用对应的攻击办法。其实,强大的Nmap本身就可以依据TCP/IP的指纹特征猜测对方使用的操作系统。我们可以用-O来开启这一选项:

nmap -O 192.168.0.5

得到的结果是:

Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )

Interesting ports on www.somewhere.net (192.168.0.5):

(The 1536 ports scanned but not shown below are in state: closed)

Port State Service

80/tcp open http

135/tcp open loc-srv

139/tcp open netbios-ssn

443/tcp open https

1032/tcp open iad3

1433/tcp open ms-sql-s

Remote operating system guess: Microsoft NT 4.0 Server SP5 + 2047 Hotfixes

Nmap run completed -- 1 IP address (1 host up) scanned in 2 seconds

它猜测的远程主机类型是Microsoft NT 4.0 Server SP5 + 2047 Hotfixes,并且相当准确和详尽。

Netstat

Netstat主要用于Linux/Unix主机察看自身的网络状况,如开启的端口、在为哪些用户服务以及服务的状态等等。此外,它还显示系统路由表、网络接口状态等。可以说,它是一个综合性的网络状态察看工具,不过中规中举。

例如在一台普通Linux服务器上运行Netstat,显示可能像这样:

Active Internet connections (w/o servers)

Proto Recv-Q Send-Q Local Address Foreign Address State

tcp 0 0 xxx.net.http-alt xxx.net:1209 ESTABLISHED

tcp 0 0 xxx.net.http-alt xxx.net:1509 ESTABLISHED

tcp 0 0 xxx.net.ssh whoami.net:1867 ESTABLISHED

tcp 0 0 xxx.net:1209 xxx.net.http-alt ESTABLISHED

tcp 0 0 xxx.net:1509 xxx.net.http-alt ESTABLISHED

Active UNIX domain sockets (w/o servers)

Proto RefCnt Flags Type State I-Node Path

unix 8 [ ] DGRAM 858 /dev/log

unix 2 [ ] DGRAM 190986

unix 2 [ ] DGRAM 190051

unix 2 [ ] DGRAM 1252

unix 2 [ ] DGRAM 1233

unix 2 [ ] DGRAM 1049

unix 2 [ ] DGRAM 867

unix 2 [ ] STREAM CONNECTED 507

下半部分被称作Unix域套接口,通常不必在意。有用的是上半部被称为有源TCP连接的部分,它显示了当前所有已建立的连接。由此不难看出,当前这台服务器与主机myself.net有一些处于半关闭状态的HTTP连接,还与主机whoami.net有一个SSH连接。

在默认情况下,Netstat只显示已建立连接的端口。要显示处于监听状态的所有端口,使用-a参数即可:

Active Internet connections (w/o servers)

Proto Recv-Q Send-Q Local Address Foreign Address State

tcp 0 0 *:http-alt *:* LISTEN

tcp 0 0 *:8009 *:* LISTEN

tcp 0 0 *:mysql *:* LISTEN

tcp 0 0 *:netbios-ssn *:* LISTEN

tcp 0 0 *:http *:* LISTEN

tcp 0 0 *:ftp *:* LISTEN

tcp 0 0 xxx.net.http-alt xxx.net:1209 ESTABLISHED

tcp 0 0 xxx.net.http-alt xxx.net:1509 ESTABLISHED

tcp 0 0 xxx.net.ssh myself.net:1867 ESTABLISHED

tcp 0 0 xxx.net:1209 xxx.net.http-alt ESTABLISHED

tcp 0 0 xxx.net:1509 xxx.net.http-alt ESTABLISHED

……

这样,当前正在监听但并未建立连接的端口也可以显示了出来。由此不难看出,这台服务器同时提供HTTP、FTP、SSH、NMBD及一个MySQL数据库服务。

Netstat还可以方便地代替route命令显示当前核心路由表:

netstat -r

Kernel IP routing table

Destination Gateway Genmask Flags MSS Window irtt Iface

218.208.80.176 * 255.255.255.248 U 40 0 0 eth1

192.168.0.0 * 255.255.255.0 U 40 0 0 eth0

127.0.0.0 * 255.0.0.0 U 40 0 0 lo

default x.x.x.x 0.0.0.0 UG 40 0 0 eth1

以上结果与route显示完全一样。

此外,它还可以代替ifconfig显示网络接口状态:

netstat -i

Kernel Interface table

Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg

eth0 1500 0 3441803 0 0 0 3717339 0 0 0 BMRU

eth0: 1500 0 - no statistics available - BMRU

eth0: 1500 0 - no statistics available - BMRU

eth1 1500 0 1770949 0 0 0 1496183 0 0 0 BMRU

lo 16436 0 38255 0 0 0 38255 0 0 0 LRU

以上这些表明,利用网络分析工具了解网络的状况非常简单,几乎不费什么力气就可以获取很多有用的数据。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有