¸ÑªRLINUXºô¸ô¤§¤T¤j§Q¾¹

wc_big_pig¤Ñ´L

ÀHµÛInternetªº¨³²rµo®i¡Aºô¸ô¤wµL³B¤£¦b¡A¦ý¬O¡A¥¦¥i¯àÀH®É¨ü¨ì¨Ó¦Û¦U¤èªº§ðÀ»¡CÁA¸Ñ­þ¨Ç¤H¥¿¦b³X°Ý¸ê·½¡B­þ¨Ç¤H¥¿¦b¨É¨üªA°È¡B­þ¨Ç¤H¥¿¦bµo°e¤j¶q©U§£µ¥¡A¹ïºô¸ôºÞ²z­û¨Ó»¡¬O«D±`¥²­nªº¡C§Q¥Îlinux¤¤¸û±`¨£ªººô¸ô¤ÀªR¤u¨ãTcpdump¡BNmap©MNetstat¡A¥i¥H¨Ïºô¸ôºÞ²z¤u§@§ó¥[»´ÃP¡C

Tcpdump¥D­n¬OºIÀò³q¹L¥»¾÷ºô¸ô¤¶­±ªº¸ê®Æ¡A¥Î¥H¤ÀªR¡CNmap¬O±j¤jªº°ð±½´y¤u¨ã¡A¥i±½´y¥ô¦ó¥D¾÷©Îºô¸ô¡CNetstat¥i¥Î¨ÓÀˬd¥»¾÷·í«e´£¨ÑªºªA°È¤Îª¬ºA¡C³o¤TªÌ¦U¦³©Òªø¡Aµ²¦X°_¨Ó¡A´N¥i¥H¤ñ¸û³z¹ý¦aÁA¸Ñºô¸ôª¬ªp¡C


Tcpdump


Tcpdump¯à°÷ºIÀò·í«e©Ò¦³³q¹L¥»¾÷ºô¥dªº¸ê®Æ¥]¡C¥¦¾Ö¦³ÆF¬¡ªº¹LÂo¾÷¨î¡A¥i¥H½T«O±o¨ì·Q­nªº¸ê®Æ¡C¥Ñ©óTcpdump¥u¯à¦¬¶°³q¹L¥»¾÷ªº¸ê®Æ¡A¦]¦¹¥¦ªºÀ³¥Î¨ü¨ì¤F¤@¨Ç­­¨î¡A¤j¦hÀ³¥Î¦b¹h¹D©Î¦øªA¾¹¦Û§ÚÀË´ú¤W¡C¨Ò¦p¡A¦b§@¬°¹h¹Dªº¥D¾÷¤W¡A·Qª¾¹D¥»¦aºô¸ô¤¤IP¦ì§}¬°192.168.0.5ªº¥D¾÷²{¦b»P¥~¬É³q«Hªº±¡ªp¡A´N¥i¥H¨Ï¥Î¦p¤U©R¥O¡G

tcpdump -i eth0 src host 192.168.0.5


¦bÀq»{±¡ªp¤U¡ATcpdump·|±N¸ê®Æ¿é¥X¨ì¿Ã¹õ¡C¦pªG¸ê®Æ¶q¤Ó¤j¡A¥i¯à®Ú¥»¬Ý¤£²M¨ãÅ骺¤º®e¡A³o®É§Ú­Ì¥i¥H§â¥¦­«©w¦V¨ìÀɦA¶i¦æ¤ÀªR¡C¦pªG²´¯«¤£¿ù¡A´N¥i¥H²M·¡¦aÁA¸Ñ³o¦ì¤¯¥S­è¤~ªº¤@Á|¤@°Ê¡G

³X°Ý¤F·s®öºô¥D­¶
20:05:32.473388 192.168.0.5.1872 > www.sina.com.http:
S 1372301404:1372301404(0) win 64240 <mss
1460,nop,nop,sackOK> (DF)
¡K¡K
¶i¦æ¤Fnetbios¼s¼½¶i¦æ¦W¦r¬d¸ß
20:05:33.823388 192.168.0.5.netbios-dgm >
192.168.0.255.netbios-dgm: NBT UDP PACKET(138)
¡K¡K
¨ì·sµØºôPOP3¦øªA¾¹¦¬«H
20:05:41.953388 192.168.0.5.1878 > pop.xinhuanet.com.pop3: S
1374956462:1374956462(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
¡K¡K
¨ì²`¦`963¦¬«H
20:05:45.633388 192.168.0.5.1881 > szptt154.szptt.net.cn.pop3:
P 34:40(6) ack 146 win 64095 (DF)
¡K¡K


¨Ò¦p¡A¤W­±³o±ø¸ê°Tªí©ú¤F¦b20:05:45ªº®É­Ô¡A192.168.0.5³q¹L1881·½°ð³s±µ¨ì963¹q¤l¶l§½ªºPOP3°ð¡C¹ï©ó´¶³qªººô¸ô¤ÀªR¡A³o¨Ç¸ê°T¤w¸g¨¬°÷¤F¡C³o´N¬OTcpdumpªº°ò¥»¥\¯à¡A¨ä¥L°ª¯Å¥\¯à³£¬O¦b³o¤@°ò¦¤Wªº²Ó¤Æ©M¼W±j¡C

¨Ò¦p¡A§Ú¥u·Qª¾¹D192.168.0.5·í«e¥¿¦b³X°Ý­þ¨ÇWeb¯¸ÂI¡A¥i¥H¥Î¤U­±³o±ø©R¥O¡G

tcpdump -i eth0 src host 192.168.0.5 and dst port 80


¸Ó©R¥Oªº¥Øªº¬OºIÀò©Ò¦³¥Ñeth0¶i¤J¡B·½¦ì§}(src)¬°192.168.0.5ªº¥D¾÷(host)¡A¨Ã¥B(and)¥Ø¼Ð(dst)°ð(port)¬°80ªº¼Æ¾Ú¥]¡C±o¨ìªº¸ê®Æ¦p¤U¡G

20:05:32.473388 192.168.0.5.1872 > www.sina.com.http:
   S 1372301404:1372301404(0) win 64240 <mss 1460,nop,nop,sackOK> (DF)
¡K¡K
20:06:33.42344 192.168.0.5.1873 > www.sohu.com.http:
S 1374301404:1374301404(0) win 64245 <mss 1460,nop,nop,sackOK> (DF)
¡K¡K
20:07:31.343248 192.168.0.5.1874 > www.21cn.com.http:
S 1377301404:1377301404(0) win 64241 <mss 1460,nop,nop,sackOK> (DF)
¡K¡K


ÅãµM¡A³q¹Land©ÎªÌnot³o¨ÇÅÞ¿è²Õ¦X¡A´N¥i¥H±o¨ì¯S©wªº¸ê®Æ¡CTcpdumpÁÙ¥i¥HºÊÅ¥¤£¦Pªº¸ê®ÆÃþ«¬¡]¦pTCP¡BUDP¡^¡A¥H¥Î¤£¦Pªººô¸ô½d³ò¡]¦pHost¥D¾÷¡BNetºô¸ô¡^¡A¬Æ¦Ü¥ÎEtherª½±µ«ü©wª«²z¦ì§}¡C

¥ÎTcpdump¦bºô¸ô¤¤Àò¨ú¸ê°T¦p¦¹²M´·¡A¬O¤£¬O¦³¤@ºØ¤@ÄýµL¾lªº·Pı¡C¥¿¬O¦]¬°Tcpdump¥\¯à¹L©ó±j¤j¡A³s­Ó¤HÁô¨p©M±Ó·P¸ê®Æªº«OÅ@³£¦¨¤F°ÝÃD¡A©Ò¥H³q±`¥u¦³root¥Î¤á¯à°÷¨Ï¥Î³o¤@¤u¨ã¡C


Nmap


Nmap³]­pªºªì°J¬O¨t²ÎºÞ²z­û¥i¥H¤è«K¦aÁA¸Ñ¦Û¤vªººô¸ô¹B¦æ±¡ªp¡A¨Ò¦p¦³¦h¤Ö¥x¥D¾÷¦b¹B¦æ¡B¤À§O´£¨Ñ¤°»ò¼ËªºªA°È¡C¦]¦¹¡A¥¦±½´yªº³t«×«D±`§Ö¡A¤×¨ä¾A¦X¤j«¬ºô¸ô¡C¦b¹ïºô¸ô¶i¦æ±½´y®É¡ANmap¥D­n§Q¥ÎICMP echo±´´ú¥D¾÷¬O§_¶}±Ò¡C¤Z¬OÁA¸ÑTCP/IP¨óijªº³£ª¾¹D¡A¹ï©ó¤@­ÓTCP°ð¡AµL½×¬O§_¨Ï¥Î¨¾¤õÀð¶i¦æ¹LÂo¡A¸Ó¥D¾÷³£·|¹ï¸Ó°ðµo¥Xªº½Ð¨D°µ¥X¤@©w¦^À³¡C©Ò¥H§Y¨Ï°t¸m¤FÄY®æªº¨¾¤õÀð³W«h¡Anmap·Ó¼Ë¥i¥H§ä¨ì³o¨Ç¥D¾÷¡C¨Ò¦p¡A¦b¤@¥xIP¦ì§}¬°192.168.0.1ªºlinux¥D¾÷¤W°õ¦æ¤U¦C©R¥O¡G

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all


¥¦ªº§@¥Î´N¬O¹ï©Ò¦³ICMP echo¤£¤©²z¸B¡A¤]´N¬OÅý³q±`¥Î¨Ó´ú¸Õºô¸ôªºPing©R¥O¥¢®Ä¡C³o¼Ë¦Ü¤Ö¥i¥H©è¾×POD(Ping of Death)ªº§ðÀ»¡C¦b¥ô¦ó¤@¥x¾÷¾¹¤WPing³o¥x¥D¾÷¡A±o¨ìªº³£·|¬O½Ð¨D¶W®É¡A¦p¡G

Pinging 192.168.0.1 with 32 bytes of data:
Request timed out.
Request timed out.Request timed out.Request timed out.
Ping statistics for 192.168.0.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)


³o¥x¥D¾÷¬O§_¤U½u¤F¡H¥ÎNmap±´´ú¸Õ¸Õ¬Ý¡G

nmap -sP 192.168.0.1
Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )
Host gw.somewhere.net (192.168.0.1) appears to be up.


±´´úµ²ªG¦n¹³¸Ó¥D¾÷ÁÙ¶}µÛ©O¡I³oùØ¡A-sP«ü©w¨Ï¥ÎPing echo ¶i¦æ±½´y(Scan)¡C

§Q¥Î³o¤@¯SÂI¡A¥i¥H«Ü§Öª¾¹D¥Øªººô¸ô¨s³º¦³¦h¤Ö¥D¾÷³B©ó¹B¦æª¬ºA¡G

nmap -sP 192.168.0.0/24 //24ªí©ú¥Ø¼Ð¬O¤@­Óºô¸ô¦Ó«D³æ­Ó¥D¾÷
Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )
Host  (192.168.0.2) appears to be up.
Host www.somesite.net (192.168.0.5) appears to be up.
Host  (192.168.0.8) appears to be up.
¡K¡K
Host  (192.168.0.253) appears to be up.
Host fake.somesite.net (192.168.0.254) appears to be up.
Nmap run completed -- 256 IP addresses (19 hosts up) scanned in 6 seconds


¬JµM¤w¸gª¾¹D¤F­þ¨Ç¥D¾÷ÁÙ¶}µÛ¡A´N¥i¥H¶i¤@¨B±´´ú³o¨Ç¥D¾÷ªº¸ê°T¡A¦p¶}±Òªº°ð¡B´£¨ÑªºªA°È¤Î§@·~¨t²ÎÃþ«¬µ¥¡C±q¤W­±±½´yªºµ²ªG¥i¥Hª¾¹D¡A192.168.0.5³o¥x¾÷¾¹¥¿¦b¹B¦æ¡C·Q­nÁA¸Ñ¸Ó¥D¾÷ªº¸Ô²Ó¸ê°T¡A¥i¥H°õ¦æ¡G

nmap 192.168.0.5


µy«á·|Åã¥Ü¦p¤U¤º®e¡G

Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )
Interesting ports on www.somewhere.net (192.168.0.5):
(The 1537 ports scanned but not shown below are in state: closed)
Port       State    Service
80/tcp     open    http                    
135/tcp    open    loc-srv               
139/tcp    open    netbios-ssn            
443/tcp    open    https                  
1031/tcp   open    iad2                    
1433/tcp   open    ms-sql-s               
Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds


¥Ñ¤W¥i¥HÂ_©w¡A³o¬O¤@¥x¹B¦æWindows§@·~¨t²Îªº¥D¾÷¡A¦]¬°¥¦¶}±Ò¤FMS SQL Serverªº±M¥Î°ð1433¡AÁÙ´£¨Ñ¤FHTTPªA°Èµ¥¡C³o¨Ç¸ê°T¦pªG³Q¤£Ãh¦n·Nªº¤H±o¨ì¡A´N¥i¥H±Ä¥Î¹ïÀ³ªº§ðÀ»¿ìªk¡C¨ä¹ê¡A±j¤jªºNmap¥»¨­´N¥i¥H¨Ì¾ÚTCP/IPªº«ü¯¾¯S¼x²q´ú¹ï¤è¨Ï¥Îªº§@·~¨t²Î¡C§Ú­Ì¥i¥H¥Î-O¨Ó¶}±Ò³o¤@¿ï¶µ¡G

nmap -O 192.168.0.5


±o¨ìªºµ²ªG¬O¡G

Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )
Interesting ports on www.somewhere.net (192.168.0.5):
(The 1536 ports scanned but not shown below are in state: closed)
Port       State   Service
80/tcp     open   http                    
135/tcp    open   loc-srv               
139/tcp    open   netbios-ssn            
443/tcp    open   https                  
1032/tcp   open   iad3                    
1433/tcp   open   ms-sql-s               
Remote operating system guess: Microsoft NT 4.0 Server SP5 + 2047 Hotfixes
Nmap run completed -- 1 IP address (1 host up) scanned in 2 seconds


¥¦²q´úªº»·ºÝ¥D¾÷Ãþ«¬¬OMicrosoft NT 4.0 Server SP5 + 2047 Hotfixes¡A¨Ã¥B¬Û·í·Ç½T©M¸ÔºÉ¡C


Netstat


Netstat¥D­n¥Î©ólinux/Unix¥D¾÷¹î¬Ý¦Û¨­ªººô¸ôª¬ªp¡A¦p¶}±Òªº°ð¡B¦b¬°­þ¨Ç¥Î¤áªA°È¥H¤ÎªA°Èªºª¬ºAµ¥µ¥¡C¦¹¥~¡A¥¦ÁÙÅã¥Ü¨t²Î¸ô¥Ñªí¡Bºô¸ô¤¶­±ª¬ºAµ¥¡C¥i¥H»¡¡A¥¦¬O¤@­Óºî¦X©Êªººô¸ôª¬ºA¹î¬Ý¤u¨ã¡A¤£¹L¤¤³W¤¤Á|¡C

¨Ò¦p¦b¤@¥x´¶³qlinux¦øªA¾¹¤W¹B¦æNetstat¡AÅã¥Ü¥i¯à¹³³o¼Ë¡G

Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address      Foreign Address   State      
tcp    0       0    xxx.net.http-alt   xxx.net:1209       ESTABLISHED
tcp    0       0    xxx.net.http-alt   xxx.net:1509       ESTABLISHED
tcp    0       0    xxx.net.ssh        whoami.net:1867    ESTABLISHED
tcp    0       0    xxx.net:1209       xxx.net.http-alt   ESTABLISHED
tcp    0       0    xxx.net:1509       xxx.net.http-alt   ESTABLISHED

Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags       Type       State         I-Node Path
unix  8      [ ]         DGRAM                    858    /dev/log
unix  2      [ ]         DGRAM                    190986
unix  2      [ ]         DGRAM                    190051
unix  2      [ ]         DGRAM                    1252  
unix  2      [ ]         DGRAM                    1233  
unix  2      [ ]         DGRAM                    1049  
unix  2      [ ]         DGRAM                    867   
unix  2      [ ]         STREAM     CONNECTED     507


¤U¥b³¡¤À³QºÙ§@Unix°ì®M¤¶­±¡A³q±`¤£¥²¦b·N¡C¦³¥Îªº¬O¤W¥b³¡³QºÙ¬°¦³·½TCP³s±µªº³¡¤À¡A¥¦Åã¥Ü¤F·í«e©Ò¦³¤w«Ø¥ßªº³s±µ¡C¥Ñ¦¹¤£Ãø¬Ý¥X¡A·í«e³o¥x¦øªA¾¹»P¥D¾÷myself.net¦³¤@¨Ç³B©ó¥bÃö³¬ª¬ºAªºHTTP³s±µ¡AÁÙ»P¥D¾÷whoami.net¦³¤@­ÓSSH³s±µ¡C

¦bÀq»{±¡ªp¤U¡ANetstat¥uÅã¥Ü¤w«Ø¥ß³s±µªº°ð¡C­nÅã¥Ü³B©óºÊÅ¥ª¬ºAªº©Ò¦³°ð¡A¨Ï¥Î-a°Ñ¼Æ§Y¥i¡G

Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address      Foreign Address   State      
tcp    0       0     *:http-alt        *:*               LISTEN      
tcp    0       0     *:8009            *:*               LISTEN      
tcp    0       0     *:mysql           *:*               LISTEN      
tcp    0       0     *:netbios-ssn     *:*               LISTEN      
tcp    0       0     *:http            *:*               LISTEN      
tcp    0       0     *:ftp             *:*               LISTEN      
tcp    0       0     xxx.net.http-alt  xxx.net:1209      ESTABLISHED
tcp    0       0     xxx.net.http-alt  xxx.net:1509      ESTABLISHED
tcp    0       0     xxx.net.ssh       myself.net:1867   ESTABLISHED
tcp    0       0     xxx.net:1209      xxx.net.http-alt  ESTABLISHED
tcp    0       0     xxx.net:1509      xxx.net.http-alt  ESTABLISHED
¡K¡K


³o¼Ë¡A·í«e¥¿¦bºÊÅ¥¦ý¨Ã¥¼«Ø¥ß³s±µªº°ð¤]¥i¥HÅã¥Ü¤F¥X¨Ó¡C¥Ñ¦¹¤£Ãø¬Ý¥X¡A³o¥x¦øªA¾¹¦P®É´£¨ÑHTTP¡BFTP¡BSSH¡BNMBD¤Î¤@­ÓMySQL¸ê®Æ®wªA°È¡C

NetstatÁÙ¥i¥H¤è«K¦a¥N´Àroute©R¥OÅã¥Ü·í«e®Ö¤ß¸ô¥Ñªí¡G

netstat -r
Kernel IP routing table
Destination   Gateway   Genmask           Flags   MSS Window  irtt Iface
218.208.80.176   *         255.255.255.248 U 40  0 0 eth1
192.168.0.0 *         255.255.255.0 U 40  0  0 eth0
127.0.0.0  *  255.0.0.0  U        40  0  0 lo
default  x.x.x.x  0.0.0.0           UG  40  0  0 eth1


¥H¤Wµ²ªG»ProuteÅã¥Ü§¹¥þ¤@¼Ë¡C

¦¹¥~¡A¥¦ÁÙ¥i¥H¥N´ÀifconfigÅã¥Üºô¸ô¤¶­±ª¬ºA¡G

netstat -i
Kernel Interface table
Iface  MTU  Met RX-OK  RX-ERR RX-DRP RX-OVR TX-OK   TX-ERR TX-DRP TX-OVR Flg
eth0   1500 0   3441803 0      0      0       3717339  0      0      0 BMRU
eth0:  1500 0     - no statistics available -                          BMRU
eth0:  1500 0     - no statistics available -                          BMRU
eth1   1500 0   1770949 0      0      0       1496183  0      0      0 BMRU
lo    16436 0   38255   0      0      0       38255    0      0      0 LRU


¥H¤W³o¨Çªí©ú¡A§Q¥Îºô¸ô¤ÀªR¤u¨ãÁA¸Ñºô¸ôªºª¬ªp«D±`²³æ¡A´X¥G¤£¶O¤°»ò¤O®ð´N¥i¥HÀò¨ú«Ü¦h¦³¥Îªº¸ê®Æ¡C