tcpdump和iptables


tcpdump :
1 指定网卡抓包
sudo tcpdump -i ens33 -vv
2 将抓到的包保存到文件中
sudo tcpdump -i ens33 -vv -w ./test.pcap
sudo tcpdump -l > mylog & tail -f mylog
sudo tcpdump -i ens33 -vv -l > mylog & tail -f mylog

3 指定主机–host
sudo tcpdump -i ens33 -vv host 192.168.26.33

4 指定源主机或者目的主机: src dst
sudo tcpdump -i ens33 -vv src 192.168.26.33
sudo tcpdump -i ens33 -vv dst 192.168.26.33

5 抓包时指定端口:port
sudo tcpdump -i ens33 -vv port 21

6 抓包的时候指定协议
sudo tcpdump -i ens33 -vv icmp
sudo tcpdump -i ens33 -vv tcp
sudo tcpdump -i ens33 -vv arp

wireshark

过滤条件:
使用协议: tcp udp
使用IP地址过滤: ip.srcxxxx ip.dstxxxx ip.addr==xxxxx
使用端口过滤: tcp.port tcp.srcport tcp.dstport
可以使用逻辑运算符: or and !

如何分析IP TCP UDP协议
1 使用wireshark工具抓包
2 对照TCP IP UDP协议进行分析.

如何让普通用户也具有执行wireshark命令的权限.
修改/bin/wireshark /bin/dumpcap 文件的SUID位
sudo chmod u+s /bin/wireshark
sudo chmod u+s /bin/dumpcap

防火墙:
1 4表 5链 n条规则
表: filter raw managle nat
链: INPUT OUTPUT PREROUTING POSTROUTING FORWARD
规则: 就是条件(放行或者阻止的条件)

2 修改默认规则
sudo iptables -t filter -P INPUT DROP
sudo iptables -t filter -P INPUT ACCEPT
sudo iptables -t filter -P OUTPUT DROP
sudo iptables -t filter -P OUTPUT ACCEPT

3 查看配置的规则
sudo iptables -t filter -L --line-numbers

4 使用端口-dport -sport -p 协议
sudo iptables -t filter -A INPUT -p tcp --dport 21 -j DROP

5 删除配置的规则
sudo iptables -t filter -F
sudo iptables -t filter -D INPUT num

6 在某个规则之前插入一条规则
sudo iptables -t filter -A INPUT -p tcp --dport 23 -j DROP
sudo iptables -t filter -A OUTPUT -p tcp --sport 23 -j DROP
sudo iptables -t filter -I INPUT 1 -p tcp --dport 80 -j DROP

7 替换规则
sudo iptable -t filter -R INPUT 1 -p tcp --dport 22 -j DROP

规则配置常用参数:
1 根据源地址或者目的地址配置规则
-s : 指定源IP地址
-d : 指定目的IP地址
sudo iptables -t filter -A OUTPUT -s 192.168.10.129 -j DROP
sudo iptables -t filter -A INPUT -d 192.168.10.129 -j DROP

sudo iptables -t filter -A OUTPUT -s 192.168.10.0/24 -j DROP 
sudo iptables -t filter -A INPUT  -d 192.168.10.0/24 -j DROP 

2 根据协议
tcp
udpUDP
icmp

案例: 限制外界主机ping服务器
sudo iptables -t filter -A INPUT -p icmp -j DROP
sudo iptables -t filter -A OUTPUT -p icmp -j DROP
sudo iptables -t filter -A INTPUT -p icmp --icmp-type 8  -j DROP
sudo iptables -t filter -A OUTPUT -p icmp --icmp-type 0  -j DROP

3 根据网卡配置规则
sudo iptables -t filter -i ens33 -A INPUT -p icmp -j DROP
sudo iptables -t filter -o ens33 -A OUTPUT -p icmp -j DROP

问题: 在同一条链中的规则, 假如有两条或者多条规则有冲突(矛盾), 则配置在最前面的规则有效.
sudo iptables -t filter -A INPUT -p tcp --dport 23 -j DROP
sudo iptables -t filter -A INPUT -p tcp --dport 23 -j ACCEPT

实验一:
1 限制客户端使用ssh服务远程登录服务器
sudo iptables -t filter -A INPUT -p tcp --dport 22 -j DROP
2 允许其中一台主机可以访问
sudo iptables -t filter -I INPUT 1 -s 192.168.10.1 -p tcp --dport 22 -j ACCEPT
3 让一个网段的主机都可以访问
sudo iptables -t filter -I INPUT 1 -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT

4 限制服务器使用ssh服务登录其他的主机
sudo iptables -t filter -A OUTPUT -p tcp --dport 22 -j DROP
sudo iptables -t filter -A INPUT -p tcp --sport 22 -j DROP

方法2:
允许某个主机访问服务器的ssh服务
将默认策略修改为DROP, 然后将某一个主机或者某一个网段加入到白名单中
sudo iptables -t filter -A INPUT -s 192.168.10.1 -p tcp --dport 22 -j ACCEPT
sudo iptables -t filter -A OUTPUT -d 192.168.10.1 -p tcp --sport 22 -j ACCEPT

允许一个网段的主机可以访问服务器:
sudo iptables -t filter -A INPUT -s 192.168.10.0/24 -p tcp --dport 22 -j ACCEPT
sudo iptables -t filter -A OUTPUT -d 192.168.10.0/24 -p tcp --sport 22 -j ACCEPT

实验二:
禁止外界主机ping服务器
方法1: 修改配置文件/proc/sys/net/ipv4/icmp_echo_ignore_all
这个配置文件默认是0, 修改为1就可以阻止外界主机ping服务器

方法2: 使用防火墙
sudo iptables -t filter -A INPUT -p icmp --icmp-type echo-request -j DROP
sudo iptables -t filter -A OUTPUT -p icmp --icmp-type echo-reply -j DROP

实验三:
禁止服务器ping其他主机:
sudo iptables -t filter -A OUTPUT -p icmp --icmp-type echo-request -j DROP
sudo iptables -t filter -A INPUT -p icmp --icmp-type echo-reply -j DROP

规则的生效顺序:
规则的次序非常关键,谁的规则越严格,应该放的越靠前,而检查规则的时候,是按照从上往下的方式进行检查的。
牢记以下三点式理解iptables规则的关键:
-Rules包括一个条件和一个目标(target)
-如果满足条件,就执行目标(target)中的规则或者特定值。
-如果不满足条件,就判断下一条Rules。
-如果全部Rules都不匹配, 则执行默认Target (系统默认ACCEPT)

TcpWrapper: 是一个轻量级的防火墙, 可以实现过滤功能, 但是不如iptables能实现更新粒度的过滤.
有关的配置文件:
/etc/hosts.allow
/etc/hosts.deny
过滤的规则:
1 如果hosts.allow文件中有, 则接受, 不再检查hosts.deny
2 如果hosts.allow文件中没有, 则检查hosts.deny文件
–若hosts.deny文件有, 则拒绝
–若hosts.deny文件没有, 则接受
3 如果上述两个文件都没有配置, 则接受.

只有使用了libwrap.so库的才可以使用这个配置;
如: sshd服务, 使用ldd sshd可以查看sshd服务链接了哪些库文件.

实验1: 限制某一个网段的主机访问ssh服务,只允许一个主机访问ssh服务
1 修改/etc/hosts.deny文件, 将一个网段的IP加入到文件中
ssh: 192.168.10.0/24
2 将某个主机的IP加入到/etc/hosts.allow文件中
ssh: 192.168.10.1

实验2: 限制某个网段的主机访问vsftpd服务
1 修改vsftpd的配置文件, /etc/vsftpd.conf
添加: tcp_wrappers=YES
2 修改vsftpd.conf文件之后重启服务.
3 修改/etc/hosts.deny文件, 将一个网段的IP加入到文件中
vsftpd: 192.168.10.0/24
4 将某个主机的IP加入到/etc/hosts.allow文件中
vsftpd: 192.168.10.1

TcpWrapper防火墙的优缺点:
优点: 简单, 使用的时候不用修改代码, 只需修改配置文件即可使用.
修改配置文件之后, 也无需重启服务就可以使用.
缺点: 不是所有的服务都可以使用tcpwrapper进行防火墙的设置.
只有服务的可执行文件中用到了libwrap.so库的才可以使用.

入侵监测分析:
用户账户分析:
1 关注可登录的用户, /etc/passwd文件中每一行的最后一个是否为/bin/bash
2 关注/etc/passwd文件中有没有非法账户
3 查看关注的用户是否在root特权组中
一旦某个用户加入到了特权组, 就意味者拥有了这个组的特权
4 使用lastlog last lastb命令查看用户登录情况, 如果有异常则需要特别关注.

1 将某个用户加入到某个组中
usermod -aG grpname username

2 sudo提升用户权限
重点关注某个用户是否在/etc/sudoers文件中.

root    ALL=(ALL:ALL) ALL
mytest  ALL=(ALL:ALL) NOPASSWD:ALL   #使用sudo的时候无需输入密码
python  ALL=(ALL:ALL) ALL    

3 关注自启服务
/etc/rcx.d目录下的文件需要重点关注, 看是否有非法程序.
x的值是runlevel

4 关注定时任务,crontab
关注/etc/cron /etc/cron.*
加入有些定时任务不是自己添加的, 就需要格外注意.

欢迎使用Markdown编辑器

你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。

新的改变

我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客:

  1. 全新的界面设计 ,将会带来全新的写作体验;
  2. 在创作中心设置你喜爱的代码高亮样式,Markdown 将代码片显示选择的高亮样式 进行展示;
  3. 增加了 图片拖拽 功能,你可以将本地的图片直接拖拽到编辑区域直接展示;
  4. 全新的 KaTeX数学公式 语法;
  5. 增加了支持甘特图的mermaid语法1 功能;
  6. 增加了 多屏幕编辑 Markdown文章功能;
  7. 增加了 焦点写作模式、预览模式、简洁写作模式、左右区域同步滚轮设置 等功能,功能按钮位于编辑区域与预览区域中间;
  8. 增加了 检查列表 功能。

功能快捷键

撤销:Ctrl/Command + Z
重做:Ctrl/Command + Y
加粗:Ctrl/Command + B
斜体:Ctrl/Command + I
标题:Ctrl/Command + Shift + H
无序列表:Ctrl/Command + Shift + U
有序列表:Ctrl/Command + Shift + O
检查列表:Ctrl/Command + Shift + C
插入代码:Ctrl/Command + Shift + K
插入链接:Ctrl/Command + Shift + L
插入图片:Ctrl/Command + Shift + G
查找:Ctrl/Command + F
替换:Ctrl/Command + G

合理的创建标题,有助于目录的生成

直接输入1次#,并按下space后,将生成1级标题。
输入2次#,并按下space后,将生成2级标题。
以此类推,我们支持6级标题。有助于使用TOC语法后生成一个完美的目录。

如何改变文本的样式

强调文本 强调文本

加粗文本 加粗文本

标记文本

删除文本

引用文本

H2O is是液体。

210 运算结果是 1024.

插入链接与图片

链接: link.

图片: Alt

带尺寸的图片: Alt

居中的图片: Alt

居中并且带尺寸的图片: Alt

当然,我们为了让用户更加便捷,我们增加了图片拖拽功能。

如何插入一段漂亮的代码片

博客设置页面,选择一款你喜欢的代码片高亮样式,下面展示同样高亮的 代码片.

// An highlighted block
var foo = 'bar';

生成一个适合你的列表

  • 项目
    • 项目
      • 项目
  1. 项目1
  2. 项目2
  3. 项目3
  • 计划任务
  • 完成任务

创建一个表格

一个简单的表格是这么创建的:

项目 Value
电脑 $1600
手机 $12
导管 $1

设定内容居中、居左、居右

使用:---------:居中
使用:----------居左
使用----------:居右

第一列 第二列 第三列
第一列文本居中 第二列文本居右 第三列文本居左

SmartyPants

SmartyPants将ASCII标点字符转换为“智能”印刷标点HTML实体。例如:

TYPE ASCII HTML
Single backticks 'Isn't this fun?' ‘Isn’t this fun?’
Quotes "Isn't this fun?" “Isn’t this fun?”
Dashes -- is en-dash, --- is em-dash – is en-dash, — is em-dash

创建一个自定义列表

Markdown
Text-to- HTML conversion tool
Authors
John
Luke

如何创建一个注脚

一个具有注脚的文本。2

注释也是必不可少的

Markdown将文本转换为 HTML

KaTeX数学公式

您可以使用渲染LaTeX数学表达式 KaTeX:

Gamma公式展示 Γ ( n ) = ( n − 1 ) ! ∀ n ∈ N \Gamma(n) = (n-1)!\quad\for

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值