1.7 dcpdump 抓包工具
简介:用简单的话来定义tcpdump,就是:dump the traffic on a
network,根据使用者的定义对网络上的数据包进行截获的包分析工具。
tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。
tcpdump
-nn:直接以 IP(host)及
port number(端口)显示,而非主机名与服务名称。
主要查看项 :
源端口 IP 192.168.5.116.ssh
目标
192.168.5.108.52774:
Flags
示例 --
1
-nn -i eth0 指定网卡,网络端口的数据包
如果不指定网卡,默认tcpdump只会监视第一个网络接口,一般是eth0。
示例 -- 2
-nn -s0 -i
eth0 tcp and
port 指定tcp类型的包,指定端口。
示例 --
3
-nn -i eth0 tcp
and port
端口22
and host
192.168.5.116 主机指定ip
常用参数:
防止包截断:tcpdump -s0-r
可读取写入包的信息-c 指定包的个数-w
将原始的信息包写入到.....
示例 --
4
命令组合:
tcpdump -nn
-i eth0
-tcp host
192.168.5.116 and
port 52774 -c
10 -w /tmp/1.txt
(指定eth0网卡
tcp 包主机ip 和
端口抓10个包 到
/tmp/1.txt 文件中)
(tcpdump:
invalid packet count p无效数据包计数)
strings /tmp/1.txt 可查看抓包的可识别字符串tcpdump
-r /tmp/1.txt 可查看抓包的详细内容
1.8 tshark
抓包工具
tshark命令抓包可以作用于lunux 也可作用 windows
安装命令:
yum install -y
wireshark
只需记住一条命令,显示更加直观,命令很长有木有?我是记不住.......
tshark -n -t a -R http.request -T fields -e "frame.time" -e
"ip.src" -e "http.host" -e "http.request.method" -e
"http.request.uri"
1.9 selinux防火墙
getenforce 查看防火墙状态setenforce
0 / 1 关闭 打开
Cat /etc/selinux/config
查看防火墙三种状态
# enforcing - 开启,匹配后会阻拦#
permissive -开启,匹配不阻拦但记录日#
disabled -关闭
手动关闭 :
vi /etc/selinux/config
修改配置文件
2.0
netfilter 实现具体行为使用
iptables 命令
Iptables 下的三个
表 -- 链 -- 规则 -- 规则写入
filter
(表)
-- > INPUT
:进去的FORWARD
:经过的OUTPUT
:出去的
nat
(表)
-- > PREROUTING
POSTROUTING
OUTPUT
mangle (表) -- >
PREROUTING
INPUT
FORWARD
OUTPUT
注意防火墙关闭状态下不显示表链详情
-nvL 查看规则-t指定表
(不指定情况下默认filet表)
iiptables -nvL
-t filter / nat / mangle
指定任意表
iptables -F
删除规则Iptables
-Z计数器置零
保存规则 :service iptables save
保存到的路径 :/etc/sysconfig/iptables
添加 / 删除规则 :
iptables -A /D (默认filter) INPUT -p
tcp --dport(端口) 80 -j
ACCEPT
ACCEPT : 允许DROP
:丢弃REJECT
: 拒绝
service iptables stop
临时去规则
插入规则 : Iptables
-I INPUT -s
192.168.5.108. -p
tcp / udp --sport -d (指定目标ip) / --dport 80 -j ACCEPT
-s : 指定来源ip
-p
: 指定协议 tcp / udp
--sport
/--dport : 指定目标ip
显示ID 号 : iptables
-nvL --line-number
根据ID 删除 : iptable
-D INPUT 1
iptable -P INPUT DROP
抛弃所有iptable
-P INPUT ACCEPT 更改默认设置
iptables-save >1.txt 备份iptables-restore
< 1.txt 恢复
2.1 cron计划任务
crond 周期性任务计划
/var/spool/cron/root --用户
所在路径
示例 -- 1 指定root用户列出任务计划
crontab -u
root/普通用户-l
-u 指定用户-l
列出计划任务-e
编写任务计划
* 表示每*
* * * *五个字段分别表示
分 时 日
月 周
user-name 可指定用户写任务,不指定情况下默认当前用户
command to be executed
任务计划的命令内容,通常会用shell写
示例 -- 2
每天凌晨1点20分清除 /var/log/solw.log
crontab -e 编辑
20 1 * * * echo "0" >
/var/log/solw.log 定向0进入直接覆盖
示例 -- 3
每周日3点执行/bin/sh
/usr/local/sbin/backup_month.sh
0 3 * * 0 /bin/bash
/bin/sh /usr/local/sbin/backup_month.sh
示例 -- 4
每隔8小时执行 ntpdate
time.windows.com
* */8 * * * .......
示例 -- 5
每天的1,12,18点执行/bin/sh
/usr/local/sbin/test2.sh
0 1,12,18
* * * ......
示例 -- 6
每天的9点到18点执行
“/bin/sh
/usr/local/sbin/test2.sh”
0 9-18 * * *
.......