- 論壇徽章:
- 0
|
解析Linux網(wǎng)絡(luò)分析的三大利器
作者:楊鵬 本文選自:《開放系統(tǒng)世界》——賽迪網(wǎng) 2002年10月16日
隨著Internet的迅猛發(fā)展�����,網(wǎng)絡(luò)已無處不在����,但是,它可能隨時(shí)受到來自各方的攻擊��。了解哪些人正在訪問資源��、哪些人正在享受服務(wù)�����、哪些人正在發(fā)送大量垃圾等�,對(duì)網(wǎng)絡(luò)管理員來說是非常必要的。利用Linux中較常見的網(wǎng)絡(luò)分析工具Tcpdump�����、Nmap和Netstat���,可以使網(wǎng)絡(luò)管理工作更加輕松���。
Tcpdump主要是截獲通過本機(jī)網(wǎng)絡(luò)接口的數(shù)據(jù)��,用以分析���。Nmap是強(qiáng)大的端口掃描工具,可掃描任何主機(jī)或網(wǎng)絡(luò)�����。Netstat可用來檢查本機(jī)當(dāng)前提供的服務(wù)及狀態(tài)����。這三者各有所長,結(jié)合起來�����,就可以比較透徹地了解網(wǎng)絡(luò)狀況����。
Tcpdump
Tcpdump能夠截獲當(dāng)前所有通過本機(jī)網(wǎng)卡的數(shù)據(jù)包����。它擁有靈活的過濾機(jī)制�,可以確保得到想要的數(shù)據(jù)��。由于Tcpdump只能收集通過本機(jī)的數(shù)據(jù)���,因此它的應(yīng)用受到了一些限制�����,大多應(yīng)用在網(wǎng)關(guān)或服務(wù)器自我檢測(cè)上�����。例如�,在作為網(wǎng)關(guān)的主機(jī)上�����,想知道本地網(wǎng)絡(luò)中IP地址為192.168.0.5的主機(jī)現(xiàn)在與外界通信的情況�,就可以使用如下命令:
tcpdump -i eth0 src host 192.168.0.5
在默認(rèn)情況下,Tcpdump會(huì)將數(shù)據(jù)輸出到屏幕�。如果數(shù)據(jù)量太大,可能根本看不清具體的內(nèi)容�����,這時(shí)我們可以把它重定向到文件再進(jìn)行分析。如果眼神不錯(cuò)�,就可以清楚地了解這位仁兄剛才的一舉一動(dòng):
訪問了新浪網(wǎng)主頁
20:05:32.473388 192.168.0.5.1872 >; www.sina.com.http:
S 1372301404:1372301404(0) win 64240 <mss
1460,nop,nop,sackOK>; (DF)
……
進(jìn)行了netbios廣播進(jìn)行名字查詢
20:05:33.823388 192.168.0.5.netbios-dgm >;
192.168.0.255.netbios-dgm: NBT UDP PACKET(13
……
到新華網(wǎng)POP3服務(wù)器收信
20:05:41.953388 192.168.0.5.1878 >; pop.xinhuanet.com.pop3: S
1374956462:1374956462(0) win 64240 <mss 1460,nop,nop,sackOK>; (DF)
……
到深圳963收信
20:05:45.633388 192.168.0.5.1881 >; szptt154.szptt.net.cn.pop3:
P 34:40(6) ack 146 win 64095 (DF)
……
例如,上面這條信息表明了在20:05:45的時(shí)候��,192.168.0.5通過1881源端口連接到963電子郵局的POP3端口��。對(duì)于普通的網(wǎng)絡(luò)分析��,這些信息已經(jīng)足夠了���。這就是Tcpdump的基本功能���,其它高級(jí)功能都是在這一基礎(chǔ)上的細(xì)化和增強(qiáng)。
例如���,我只想知道192.168.0.5當(dāng)前正在訪問哪些Web站點(diǎn)��,可以用下面這條命令:
tcpdump -i eth0 src host 192.168.0.5 and dst port 80
該命令的目的是截獲所有由eth0進(jìn)入、源地址(src)為192.168.0.5的主機(jī)(host)���,并且(and)目標(biāo)(dst)端口(port)為80的數(shù)據(jù)包�。得到的數(shù)據(jù)如下:
20:05:32.473388 192.168.0.5.1872 >; www.sina.com.http:
S 1372301404:1372301404(0) win 64240 <mss 1460,nop,nop,sackOK>; (DF)
……
20:06:33.42344 192.168.0.5.1873 >; www.sohu.com.http:
S 1374301404:1374301404(0) win 64245 <mss 1460,nop,nop,sackOK>; (DF)
……
20:07:31.343248 192.168.0.5.1874 >; www.21cn.com.http:
S 1377301404:1377301404(0) win 64241 <mss 1460,nop,nop,sackOK>; (DF)
……
顯然�����,通過and或者not這些邏輯組合,就可以得到特定的數(shù)據(jù)����。Tcpdump還可以監(jiān)聽不同的數(shù)據(jù)類型(如TCP、UDP)�,以用不同的網(wǎng)絡(luò)范圍(如Host主機(jī)、Net網(wǎng)絡(luò))�,甚至用Ether直接指定物理地址。
用Tcpdump在網(wǎng)絡(luò)中獲取信息如此清晰���,是不是有一種一覽無余的感覺��。正是因?yàn)門cpdump功能過于強(qiáng)大�����,連個(gè)人隱私和敏感數(shù)據(jù)的保護(hù)都成了問題����,所以通常只有root用戶能夠使用這一工具��。
Nmap
Nmap設(shè)計(jì)的初衷是系統(tǒng)管理員可以方便地了解自己的網(wǎng)絡(luò)運(yùn)行情況,例如有多少臺(tái)主機(jī)在運(yùn)行����、分別提供什么樣的服務(wù)。因此�����,它掃描的速度非���?��,尤其適合大型網(wǎng)絡(luò)�����。在對(duì)網(wǎng)絡(luò)進(jìn)行掃描時(shí)����,Nmap主要利用ICMP echo探測(cè)主機(jī)是否開啟��。凡是了解TCP/IP協(xié)議的都知道�,對(duì)于一個(gè)TCP端口,無論是否使用防火墻進(jìn)行過濾��,該主機(jī)都會(huì)對(duì)該端口發(fā)出的請(qǐng)求做出一定響應(yīng)��。所以即使配置了嚴(yán)格的防火墻規(guī)則�����,nmap照樣可以找到這些主機(jī)���。例如���,在一臺(tái)IP地址為192.168.0.1的Linux主機(jī)上執(zhí)行下列命令:
echo 1 >; /proc/sys/net/ipv4/icmp_echo_ignore_all
它的作用就是對(duì)所有ICMP echo不予理睬,也就是讓通常用來測(cè)試網(wǎng)絡(luò)的Ping命令失效�。這樣至少可以抵擋POD(Ping of Death)的攻擊。在任何一臺(tái)機(jī)器上Ping這臺(tái)主機(jī)��,得到的都會(huì)是請(qǐng)求超時(shí)�,如:
Pinging 192.168.0.1 with 32 bytes of data:
Request timed out.
Request timed out.Request timed out.Request timed out.
Ping statistics for 192.168.0.1:
Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)
這臺(tái)主機(jī)是否下線了?用Nmap探測(cè)試試看:
nmap -sP 192.168.0.1
Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )
Host gw.somewhere.net (192.168.0.1) appears to be up.
探測(cè)結(jié)果好像該主機(jī)還開著呢�����!這里�,-sP指定使用Ping echo 進(jìn)行掃描(Scan)。
利用這一特點(diǎn)����,可以很快知道目的網(wǎng)絡(luò)究竟有多少主機(jī)處于運(yùn)行狀態(tài):
nmap -sP 192.168.0.0/24 //24表明目標(biāo)是一個(gè)網(wǎng)絡(luò)而非單個(gè)主機(jī)
Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )
Host (192.168.0.2) appears to be up.
Host www.somesite.net (192.168.0.5) appears to be up.
Host (192.168.0. appears to be up.
……
Host (192.168.0.253) appears to be up.
Host fake.somesite.net (192.168.0.254) appears to be up.
Nmap run completed -- 256 IP addresses (19 hosts up) scanned in 6 seconds
既然已經(jīng)知道了哪些主機(jī)還開著�,就可以進(jìn)一步探測(cè)這些主機(jī)的信息�,如開啟的端口、提供的服務(wù)及操作系統(tǒng)類型等�����。從上面掃描的結(jié)果可以知道��,192.168.0.5這臺(tái)機(jī)器正在運(yùn)行����。想要了解該主機(jī)的詳細(xì)信息,可以執(zhí)行:
nmap 192.168.0.5
稍后會(huì)顯示如下內(nèi)容:
Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )
Interesting ports on www.somewhere.net (192.168.0.5):
(The 1537 ports scanned but not shown below are in state: closed)
Port State Service
80/tcp open http
135/tcp open loc-srv
139/tcp open netbios-ssn
443/tcp open https
1031/tcp open iad2
1433/tcp open ms-sql-s
Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds
由上可以斷定���,這是一臺(tái)運(yùn)行Windows操作系統(tǒng)的主機(jī)����,因?yàn)樗_啟了MS SQL Server的專用端口1433���,還提供了HTTP服務(wù)等�����。這些信息如果被不懷好意的人得到����,就可以采用對(duì)應(yīng)的攻擊辦法��。其實(shí)���,強(qiáng)大的Nmap本身就可以依據(jù)TCP/IP的指紋特征猜測(cè)對(duì)方使用的操作系統(tǒng)��。我們可以用-O來開啟這一選項(xiàng):
nmap -O 192.168.0.5
得到的結(jié)果是:
Starting nmap V. 2.54BETA22 ( www.insecure.org/nmap/ )
Interesting ports on www.somewhere.net (192.168.0.5):
(The 1536 ports scanned but not shown below are in state: closed)
Port State Service
80/tcp open http
135/tcp open loc-srv
139/tcp open netbios-ssn
443/tcp open https
1032/tcp open iad3
1433/tcp open ms-sql-s
Remote operating system guess: Microsoft NT 4.0 Server SP5 + 2047 Hotfixes
Nmap run completed -- 1 IP address (1 host up) scanned in 2 seconds
它猜測(cè)的遠(yuǎn)程主機(jī)類型是Microsoft NT 4.0 Server SP5 + 2047 Hotfixes��,并且相當(dāng)準(zhǔn)確和詳盡����。
Netstat
Netstat主要用于Linux/Unix主機(jī)察看自身的網(wǎng)絡(luò)狀況���,如開啟的端口����、在為哪些用戶服務(wù)以及服務(wù)的狀態(tài)等等�����。此外,它還顯示系統(tǒng)路由表��、網(wǎng)絡(luò)接口狀態(tài)等������?梢哉f,它是一個(gè)綜合性的網(wǎng)絡(luò)狀態(tài)察看工具�,不過中規(guī)中舉。
例如在一臺(tái)普通Linux服務(wù)器上運(yùn)行Netstat�,顯示可能像這樣:
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 xxx.net.http-alt xxx.net:1209 ESTABLISHED
tcp 0 0 xxx.net.http-alt xxx.net:1509 ESTABLISHED
tcp 0 0 xxx.net.ssh whoami.net:1867 ESTABLISHED
tcp 0 0 xxx.net:1209 xxx.net.http-alt ESTABLISHED
tcp 0 0 xxx.net:1509 xxx.net.http-alt ESTABLISHED
Active UNIX domain sockets (w/o servers)
Proto RefCnt Flags Type State I-Node Path
unix 8 [ ] DGRAM 858 /dev/log
unix 2 [ ] DGRAM 190986
unix 2 [ ] DGRAM 190051
unix 2 [ ] DGRAM 1252
unix 2 [ ] DGRAM 1233
unix 2 [ ] DGRAM 1049
unix 2 [ ] DGRAM 867
unix 2 [ ] STREAM CONNECTED 507
下半部分被稱作Unix域套接口,通常不必在意����。有用的是上半部被稱為有源TCP連接的部分,它顯示了當(dāng)前所有已建立的連接���。由此不難看出����,當(dāng)前這臺(tái)服務(wù)器與主機(jī)myself.net有一些處于半關(guān)閉狀態(tài)的HTTP連接�,還與主機(jī)whoami.net有一個(gè)SSH連接。
在默認(rèn)情況下�,Netstat只顯示已建立連接的端口�。要顯示處于監(jiān)聽狀態(tài)的所有端口��,使用-a參數(shù)即可:
Active Internet connections (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 *:http-alt *:* LISTEN
tcp 0 0 *:8009 *:* LISTEN
tcp 0 0 *:mysql *:* LISTEN
tcp 0 0 *:netbios-ssn *:* LISTEN
tcp 0 0 *:http *:* LISTEN
tcp 0 0 *:ftp *:* LISTEN
tcp 0 0 xxx.net.http-alt xxx.net:1209 ESTABLISHED
tcp 0 0 xxx.net.http-alt xxx.net:1509 ESTABLISHED
tcp 0 0 xxx.net.ssh myself.net:1867 ESTABLISHED
tcp 0 0 xxx.net:1209 xxx.net.http-alt ESTABLISHED
tcp 0 0 xxx.net:1509 xxx.net.http-alt ESTABLISHED
……
這樣����,當(dāng)前正在監(jiān)聽但并未建立連接的端口也可以顯示了出來。由此不難看出�����,這臺(tái)服務(wù)器同時(shí)提供HTTP�����、FTP���、SSH、NMBD及一個(gè)MySQL數(shù)據(jù)庫服務(wù)���。
Netstat還可以方便地代替route命令顯示當(dāng)前核心路由表:
netstat -r
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
218.208.80.176 * 255.255.255.248 U 40 0 0 eth1
192.168.0.0 * 255.255.255.0 U 40 0 0 eth0
127.0.0.0 * 255.0.0.0 U 40 0 0 lo
default x.x.x.x 0.0.0.0 UG 40 0 0 eth1
以上結(jié)果與route顯示完全一樣���。
此外,它還可以代替ifconfig顯示網(wǎng)絡(luò)接口狀態(tài):
netstat -i
Kernel Interface table
Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg
eth0 1500 0 3441803 0 0 0 3717339 0 0 0 BMRU
eth0: 1500 0 - no statistics available - BMRU
eth0: 1500 0 - no statistics available - BMRU
eth1 1500 0 1770949 0 0 0 1496183 0 0 0 BMRU
lo 16436 0 38255 0 0 0 38255 0 0 0 LRU
以上這些表明�����,利用網(wǎng)絡(luò)分析工具了解網(wǎng)絡(luò)的狀況非常簡(jiǎn)單,幾乎不費(fèi)什么力氣就可以獲取很多有用的數(shù)據(jù)����。
|
|
免費(fèi)注冊(cè)
發(fā)表于 2002-10-29 09:26
