这里写自定义目录标题
tcpdump :
1 指定网卡抓包
sudo tcpdump -i ens33 -vv
2 将抓到的包保存到文件中
sudo tcpdump -i ens33 -vv -w ./test.pcap
sudo tcpdump -l > mylog & tail -f mylog
sudo tcpdump -i ens33 -vv -l > mylog & tail -f mylog
3 指定主机–host
sudo tcpdump -i ens33 -vv host 192.168.26.33
4 指定源主机或者目的主机: src dst
sudo tcpdump -i ens33 -vv src 192.168.26.33
sudo tcpdump -i ens33 -vv dst 192.168.26.33
5 抓包时指定端口:port
sudo tcpdump -i ens33 -vv port 21
6 抓包的时候指定协议
sudo tcpdump -i ens33 -vv icmp
sudo tcpdump -i ens33 -vv tcp
sudo tcpdump -i ens33 -vv arp
wireshark
过滤条件:
使用协议: tcp udp
使用IP地址过滤: ip.srcxxxx ip.dstxxxx ip.addr==xxxxx
使用端口过滤: tcp.port tcp.srcport tcp.dstport
可以使用逻辑运算符: or and !
如何分析IP TCP UDP协议
1 使用wireshark工具抓包
2 对照TCP IP UDP协议进行分析.
如何让普通用户也具有执行wireshark命令的权限.
修改/bin/wireshark /bin/dumpcap 文件的SUID位
sudo chmod u+s /bin/wireshark
sudo chmod u+s /bin/dumpcap
防火墙:
1 4表 5链 n条规则
表: filter raw managle nat
链: INPUT OUTPUT PREROUTING POSTROUTING FORWARD
规则: 就是条件(放行或者阻止的条件)
2 修改默认规则
sudo iptables -t filter -P INPUT DROP
sudo iptables -t filter -P INPUT ACCEPT
sudo iptables -t filter -P OUTPUT DROP
sudo iptables -t filter -P OUTPUT ACCEPT
3 查看配置的规则
sudo iptables -t filter -L --line-numbers
4 使用端口-dport -sport -p 协议
sudo iptables -t filter -A INPUT -p tcp --dport 21 -j DROP
5 删除配置的规则
sudo iptables -t filter -F
sudo iptables -t filter -D INPUT num
6 在某个规则之前插入一条规则
sudo iptables -t filter -A INPUT -p tcp --dport 23 -j DROP
sudo iptables -t filter -A OUTPUT -p tcp --sport 23 -j DROP
sudo iptables -t filter -I INPUT 1 -p tcp --dport 80 -j DROP
7 替换规则
sudo iptable -t filter -R INPUT 1 -p tcp --dport 22 -j DROP
规则配置常用参数:
1 根据源地址或者目的地址配置规则
-s : 指定源IP地址
-d : 指定目的IP地址
sudo iptables -t filter -A OUTPUT -s 192.168.10.129 -j DROP
sudo iptables -t filter -A INPUT -d 192.168.10.129 -j DROP
sudo iptables -t filter -A OUTPUT -s 192.168.10.0/24 -j DROP
sudo iptables -t filter -A INPUT -d 192.168.10.0/24 -j DROP
2 根据协议
tcp
udpUDP
icmp
案例: 限制外界主机ping服务器
sudo iptables -t filter -A INPUT -p icmp -j DROP
sudo iptables -t filter -A OUTPUT -p icmp -j DROP
sudo iptables -t filter -A INTPUT -p icmp --icmp-type 8 -j DROP
sudo iptables -t filter -A OUTPUT -p icmp --icmp-type 0 -j DROP
3 根据网卡配置规则
sudo iptables -t filter -i ens33 -A INPUT -p icmp -j DROP
sudo iptables -t filter -o ens33 -A OUTPUT -p icmp -j DROP
问题: 在同一条链中的规则, 假如有两条或者多条规则有冲突(矛盾), 则配置在最前面的规则有效.
sudo iptables -t filter -A INPUT -p tcp --dport 23 -j DROP
sudo iptables -t filter -A INPUT -p tcp --dport 23 -j ACCEPT
实验一:
1 限制客户端使用ssh服务远程登录服务器
sudo iptables -t filter -A INPUT -p tcp --dport 22 -j DROP
2 允许其中一台主机可以访问
sudo iptables -t filter -I INPUT 1 -s 192.168.10.1 -p tcp --dport 22 -j ACCEPT
3 让一个网段的主机都可以访问
sudo iptables -t filter -I INPUT 1 -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT
4 限制服务器使用ssh服务登录其他的主机
sudo iptables -t filter -A OUTPUT -p tcp --dport 22 -j DROP
sudo iptables -t filter -A INPUT -p tcp --sport 22 -j DROP
方法2:
允许某个主机访问服务器的ssh服务
将默认策略修改为DROP, 然后将某一个主机或者某一个网段加入到白名单中
sudo iptables -t filter -A INPUT -s 192.168.10.1 -p tcp --dport 22 -j ACCEPT
sudo iptables -t filter -A OUTPUT -d 192.168.10.1 -p tcp --sport 22 -j ACCEPT
允许一个网段的主机可以访问服务器:
sudo iptables -t filter -A INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT
sudo iptables -t filter -A OUTPUT -d 192.168.10.0/24 -p tcp --sport 22 -j ACCEPT
实验二:
禁止外界主机ping服务器
方法1: 修改配置文件/proc/sys/net/ipv4/icmp_echo_ignore_all
这个配置文件默认是0, 修改为1就可以阻止外界主机ping服务器
方法2: 使用防火墙
sudo iptables -t filter -A INPUT -p icmp --icmp-type echo-request -j DROP
sudo iptables -t filter -A OUTPUT -p icmp --icmp-type echo-reply -j DROP
实验三:
禁止服务器ping其他主机:
sudo iptables -t filter -A OUTPUT -p icmp --icmp-type echo-request -j DROP
sudo iptables -t filter -A INPUT -p icmp --icmp-type echo-reply -j DROP
规则的生效顺序:
规则的次序非常关键,谁的规则越严格,应该放的越靠前,而检查规则的时候,是按照从上往下的方式进行检查的。
牢记以下三点式理解iptables规则的关键:
-Rules包括一个条件和一个目标(target)
-如果满足条件,就执行目标(target)中的规则或者特定值。
-如果不满足条件,就判断下一条Rules。
-如果全部Rules都不匹配, 则执行默认Target (系统默认ACCEPT)
TcpWrapper: 是一个轻量级的防火墙, 可以实现过滤功能, 但是不如iptables能实现更新粒度的过滤.
有关的配置文件:
/etc/hosts.allow
/etc/hosts.deny
过滤的规则:
1 如果hosts.allow文件中有, 则接受, 不再检查hosts.deny
2 如果hosts.allow文件中没有, 则检查hosts.deny文件
–若hosts.deny文件有, 则拒绝
–若hosts.deny文件没有, 则接受
3 如果上述两个文件都没有配置, 则接受.
只有使用了libwrap.so库的才可以使用这个配置;
如: sshd服务, 使用ldd sshd可以查看sshd服务链接了哪些库文件.
实验1: 限制某一个网段的主机访问ssh服务,只允许一个主机访问ssh服务
1 修改/etc/hosts.deny文件, 将一个网段的IP加入到文件中
ssh: 192.168.10.0/24
2 将某个主机的IP加入到/etc/hosts.allow文件中
ssh: 192.168.10.1
实验2: 限制某个网段的主机访问vsftpd服务
1 修改vsftpd的配置文件, /etc/vsftpd.conf
添加: tcp_wrappers=YES
2 修改vsftpd.conf文件之后重启服务.
3 修改/etc/hosts.deny文件, 将一个网段的IP加入到文件中
vsftpd: 192.168.10.0/24
4 将某个主机的IP加入到/etc/hosts.allow文件中
vsftpd: 192.168.10.1
TcpWrapper防火墙的优缺点:
优点: 简单, 使用的时候不用修改代码, 只需修改配置文件即可使用.
修改配置文件之后, 也无需重启服务就可以使用.
缺点: 不是所有的服务都可以使用tcpwrapper进行防火墙的设置.
只有服务的可执行文件中用到了libwrap.so库的才可以使用.
入侵监测分析:
用户账户分析:
1 关注可登录的用户, /etc/passwd文件中每一行的最后一个是否为/bin/bash
2 关注/etc/passwd文件中有没有非法账户
3 查看关注的用户是否在root特权组中
一旦某个用户加入到了特权组, 就意味者拥有了这个组的特权
4 使用lastlog last lastb命令查看用户登录情况, 如果有异常则需要特别关注.
1 将某个用户加入到某个组中
usermod -aG grpname username
2 sudo提升用户权限
重点关注某个用户是否在/etc/sudoers文件中.
root ALL=(ALL:ALL) ALL
mytest ALL=(ALL:ALL) NOPASSWD:ALL #使用sudo的时候无需输入密码
python ALL=(ALL:ALL) ALL
3 关注自启服务
/etc/rcx.d目录下的文件需要重点关注, 看是否有非法程序.
x的值是runlevel
4 关注定时任务,crontab
关注/etc/cron /etc/cron.*
加入有些定时任务不是自己添加的, 就需要格外注意.
欢迎使用Markdown编辑器
你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。
新的改变
我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客:
- 全新的界面设计 ,将会带来全新的写作体验;
- 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样式 进行展示;
- 增加了 图片拖拽 功能,你可以将本地的图片直接拖拽到编辑区域直接展示;
- 全新的 KaTeX数学公式 语法;
- 增加了支持甘特图的mermaid语法1 功能;
- 增加了 多屏幕编辑 Markdown文章功能;
- 增加了 焦点写作模式、预览模式、简洁写作模式、左右区域同步滚轮设置 等功能,功能按钮位于编辑区域与预览区域中间;
- 增加了 检查列表 功能。
功能快捷键
撤销:Ctrl/Command + Z
重做:Ctrl/Command + Y
加粗:Ctrl/Command + B
斜体:Ctrl/Command + I
标题:Ctrl/Command + Shift + H
无序列表:Ctrl/Command + Shift + U
有序列表:Ctrl/Command + Shift + O
检查列表:Ctrl/Command + Shift + C
插入代码:Ctrl/Command + Shift + K
插入链接:Ctrl/Command + Shift + L
插入图片:Ctrl/Command + Shift + G
查找:Ctrl/Command + F
替换:Ctrl/Command + G
合理的创建标题,有助于目录的生成
直接输入1次#,并按下space后,将生成1级标题。
输入2次#,并按下space后,将生成2级标题。
以此类推,我们支持6级标题。有助于使用TOC
语法后生成一个完美的目录。
如何改变文本的样式
强调文本 强调文本
加粗文本 加粗文本
标记文本
删除文本
引用文本
H2O is是液体。
210 运算结果是 1024.
插入链接与图片
链接: link.
图片:
带尺寸的图片:
居中的图片:
居中并且带尺寸的图片:
当然,我们为了让用户更加便捷,我们增加了图片拖拽功能。
如何插入一段漂亮的代码片
去博客设置页面,选择一款你喜欢的代码片高亮样式,下面展示同样高亮的 代码片
.
// An highlighted block
var foo = 'bar';
生成一个适合你的列表
- 项目
- 项目
- 项目
- 项目
- 项目1
- 项目2
- 项目3
- 计划任务
- 完成任务
创建一个表格
一个简单的表格是这么创建的:
项目 | Value |
---|---|
电脑 | $1600 |
手机 | $12 |
导管 | $1 |
设定内容居中、居左、居右
使用:---------:
居中
使用:----------
居左
使用----------:
居右
第一列 | 第二列 | 第三列 |
---|---|---|
第一列文本居中 | 第二列文本居右 | 第三列文本居左 |
SmartyPants
SmartyPants将ASCII标点字符转换为“智能”印刷标点HTML实体。例如:
TYPE | ASCII | HTML |
---|---|---|
Single backticks | 'Isn't this fun?' |
‘Isn’t this fun?’ |
Quotes | "Isn't this fun?" |
“Isn’t this fun?” |
Dashes | -- is en-dash, --- is em-dash |
– is en-dash, — is em-dash |
创建一个自定义列表
-
Markdown
- Text-to- HTML conversion tool Authors
- John
- Luke
如何创建一个注脚
一个具有注脚的文本。2
注释也是必不可少的
Markdown将文本转换为 HTML。
KaTeX数学公式
您可以使用渲染LaTeX数学表达式 KaTeX:
Gamma公式展示 Γ ( n ) = ( n − 1 ) ! ∀ n ∈ N \Gamma(n) = (n-1)!\quad\for