扫描:(向指定的主机发送数据从而探测信息)
通过扫描可以获取一些公开/非公开的数据,可以检测潜在的风险,可以收集设备、系统、软件、主机信息,发现可以利用的安全漏洞。
nmap扫描:
yum -y install nmap #安装软件包
命令格式:
nmap [扫描类型/选项] <扫描目标>
-s:scan
-sP:相当于ping
nmap -sP 192.168.2.5 #扫描一台主机
nmap -sP 192.168.2.0/24 #扫描某个网段的多台主机
nmap -sP 192.168.2.5-15 #扫描某个连续范围的多台主机
nmap -sP 192.168.2.5,15,25,35 #扫描不连续的多台主机
-sT:扫描tcp连接,3次握手(全开)
-sS:扫描tcp连接,仅有3次握手的前2次(半开),可以使用这个命令进行Dos攻击
-sU:扫描udp连接
-A:全部扫描,得到详细的信息
-p:扫描指定端口
nmap -p 80,22 192.168.2.5 #扫描多个不连续端口
nmap -p 20-25 192.168.2.5 #扫描多个连续端口
-n:不做地址解析,加快扫描速度
nmap -n -p 20-25 192.168.2.5
抓包:
抓取经过本地主机的数据
1、tcpdump命令行抓包:
rpm -qf /usr/sbin/tcpdump #查看tcpdump软件包
# tcpdump-4.5.1-3.el7.x86_64
命令格式:
tcpdump [选项] [过滤条件]
选项:
-i:指定网卡
tcpdump -i eth0 #经过eth0的所有包
-c:指定抓包的个数
tcpdump -i eth0 -c 10 #抓10个包
-w:把抓取的信息写入文件
tcpdump -i eth0 -c 10 -w /tmp/eth0.cap #文件可以自定义
-r:从文件中读取数据包:
tcpdump -r /tmp/eth0.cap
-A:转为ascii码,方便阅读(抓取加上-A,读取也加上-A)
tcpdump -A -i eth0 -c 10 -w /tmp/eth0.cap
tcp dump -A -r /tmp/eth0.cap
过滤条件:
类型:host(主机,不一定是本地主机),net(网络),port(端口),portrange(端口范围)
方向:src(源ip),dst(目的ip)
协议:tcp,udp,ip,wlan,icmp,...
多条件组合:and,or,not
例:
tcpdump -i eth0 tcp and src host 192.168.2.5
tcpdump -A -w ftp.cap host 192.168.4.5 and tcp port 21
如果不加密,则可以通过抓包获取到用户的账号密码以及内容等信息。
2、wireshark图形界面抓包
yum -y install wireshark wireshark-gnome #安装软件包
wireshark #启动软件,需要linux支持图形界面
写总结的第六十一天!!!