目录
〔1〕AIDE入侵检测系统
- AIDE(Advanced intrusion detection environment)
- 安装: yum -y install aide
- 配置文件: /etc/aide.conf
@@define DBDIR /var/lib/aide
@@define LOGDIR /var/log/aide
database_out=file:@@{DBDIR}/aide.db.new.gz
- 初始化检查
- aide --init
- 备份数据状态文件
- cp /var/lib/aide/aide.db.new.gz /opt/
- cd /var/lib/aide
- mv aide.db.new.gz aide.db.gz //入侵检查使用aide.db.gz文件
- 入侵检查
- aide --check
〔2〕扫描与抓包
- 扫描以获取一些公开/非公开的目的
- 检测潜在的风险
- 查找可攻击的目标
- 收集设备/主机/系统/软件信息
- 发现可利用的安全漏洞
- 典型扫描方式
- Scan,主动探测
- Sniff,被动监听/嗅探
- Capture,数据包抓获(抓包)
- 常见工具
- 扫描:NMAP
- 协议分析: tcpdump,wireshark
- NMAP扫描: 一款强大的网络探测工具,支持多种探测技术:ping扫描,多端口扫描,tcp/ip指纹校验
- 安装: yum -y install nmap
- 基本用法: nmap [扫描类型] [选项] <扫描目标...>
- 常用扫描类型
- -sS, TCP SYN扫描(半开),只检测前2次握手
- -sT, TCP 连接扫描(全开),3次握手全部检测
- -sU, UDP 扫描
- -sP, ICMP 扫描
- -A, 目标系统全面分析
- -p, 端口指定
- -n, 不做主机名解析
nmap 192.168.4.50 //默认扫描tcp端口
nmap -sU 192.168.4.50 //扫描UDP端口
nmap -p 21-22 192.168.4.0/24 //检查哪些数据开启FTP,SSH服务
nmap -n -sP 192.168.4.0/24 //检查目标主机存活状态(是否ping通)
nmap -A 192.168.4.50 //检查操作系统指纹
- 网络抓包工具
- tcpdump抓包命令,命令行抓取数据包的工具
- 用法:tcpdump [选项] [过滤条件]
- 常见监控选项
- -i 指定监控的网络接口,如eth0
- -A 转换为ACSII码,以方便阅读
- -w 将数据包信息保存到指定文件,以cap结尾的文件
- -r 从指定文件读取数据包信息
- -c 定义抓包个数
- 过滤条件
- 类型: host,net,port,portrange
- 方向: src,dst
- 协议: tcp,udp,ip ,wlan,arp....
- 多个条件组合: and, or, not
- 示例: 按条件(访问指定的pop3服务) 抓取数据包,Ctrl+c 结束
- tcpdump -A dst host 192.168.4.5 and tcp port 110
- 保存,分析抓包结果
- 抓取访问FTP服务的包,保存为cap文件
- tcpdump -A -w ftp.cap host 192.168.4.5 and tcp port 21 //抓包并保存
- tcpdump -A -r ftp.cap | egrep `(USER|PASS)` //分析抓取结果
- 图形化抓包工具: wireshark