Network Security

tcpdump -np -ieth0 src host 192.168.0.101（过滤）

tracert，traceroute，mtr（能测试出主机到每一个路由间的连通性）

路由跟踪一个公网地址，发现走内网核心设备转发；查询一个主机到另一个主机的经过的路由的条数，及数据延迟情况；

traceroute：

1、默认使用的是UDP协议（30000以上的端口）

2、使用TCP协议：-T ，-p

3、使用ICMP协议：-I

nmap，ncat

主机服务端口扫描（默认0-1024）

nmap -sT -p 0-30000 39.*.*.*

ICMP协议（-p）；ping扫描；简单快速有效；

TCP SYN扫描（-sS）；TCP半开放扫描；高效，不易被检测，通用；

TCP connect（-sT）；TCP全开放扫描；真实，结果可靠；

UDP扫描（-sU）；UDP扫描；有效透过防火墙策略；

ncat：

-w 设置的超时时间；-z 一个输入输出的模式；-v 显示命令执行过程；

1、基于TCP协议（默认）

2、基于UDP协议（-u）

nc -v -u -z -w2 39.*.*.* 1-1024（端口）

nc ： shell 交互

不会频繁通过界面区登录二留下痕迹，不会被侦测设备侦测到；

fping

并行发送批量给目标主机发送ping请求

-a 只显示出存活的主机（相反 -u）

1、标准输入方式：fping + IP1 + IP2

    -g 支持主机段的方式：192.168.1.1 192.158.1.255 192.168.1.0/24(掩码)

2、通过读取一个文件中IP内容：fping -f filename

hping

1.需要安装libpcap-devel
2.net/bpf.h: No such file or directory
建立软链接 ln -sf /usr/include/pcap-bpf.h /usr/include/net/bpf.h
3./usr/bin/ld: cannot find -ltcl
yum -y install tcl-devel

支持使用的TCP/IP数据组装，分析工具

1、对指定目标端口发起TCP探测：-p 端口，-S 设置TCP模式SYN包

2、伪造来源IP，模拟DDOS攻击：-a 伪造IP

hping -p 22 -S 192.168.0.1 -a 192.168.0,100（伪造）

sysctl -w net.ipv4.icmp_echo_ignore_all=1 (disable ping)

检测配置-./configure-Makefile

编译-make-二进制可执行文件

安装-make install-安装到指定目录D

SYN攻击：

利用TCP协议缺陷进行，导致系统服务停止响应（目标机器TCP：backlog队列增加记录），网络带宽跑满或者响应缓慢；

DDOS攻击：正常服务在同一时间接受到了很多个类似于正常的请求，导致服务响应不过来；

分布式访问拒绝服务攻击；

------------------------

1、减少发送syn+ack包时重试次数：

sysctl -w net.ipv4.tcp_synack_retries=3

sysctl -w net.ipv4.tcp_syn_retries=3

2、SYN cookie技术：

sysctl -w net.ipv4.tcp_syncookies=1

3、增加backlog队列：

sysctl -w net.ipv4.tcp_max_syn_backlog=2048