linux系统扫描命令和安全防范笔记

本文主要介绍了一些常用的网络扫描工具以及安全防范,了解更多命令的使用。

linux系统扫描命令和安全防范笔记

通过网络入侵来窃取敏感信息

通过网络扫描获取运营商核心设备的管理权限

网络入侵方式

踩点-网络扫描-差点-提权

常用命令

tracert/traceroute、namp、nc

主机扫描命令fping

批量的给目标主机发送ping请求,测试主机的存活情况。

特点:并行发送,结果易读

源码包编译过程

image-20190719105646797

fping编译安装

1
2
3
4
5
6
7
[[email protected] ~]
[[email protected] ~]# tar -xvf fping-4.2.tar.gz
[[email protected] fping-4.2]# ./configure & make & make install
[[email protected] fping-4.2]# fping -h #查看帮助命令
[[email protected] fping-4.2]# fping -v
fping: Version 4.2
fping: comments to [email protected]

fping参数介绍

命令参数man、-h方式

常用参数:

-a 只显示出存活的主机(相反参数-u)

-l 循环ping

1、通过标准输入方式fping+IP1+IP2

-g 支持主机段的方式 192.168.1.1 192.168.1.255 192.168.1.0/24

2、通过读取一个文件中的IP内容

方式:fping -f filename

3、fping使用

1
2
3
4
5
6
# 查找存货的主机
fping -a 10.10.163.233
# 可以查找某个网段内存活的主机
fping -g -a 10.10.163.1 10.10.163.254
# 查找某个网段内存活主机第二种写法
fping -a -g 10.10.163.233/24

主机扫描命令hping

支持使用tcp/ip数据包组装、分析工具

linux下编译安装

如果遇到如下错误

image-20190719153110732

可通过安装下面库解决

image-20190719153652881

http://rpmfind.net/

image-20190719153414670

hping常用参数

1、对特定的目标发起tcp探测(规避运营商防火墙、主机等对icmp包屏蔽)

-p 端口tcp

-S 设置TCP模式SYN包

2、伪造来源IP,模拟Ddos攻击

-a 伪造IP地址

3、hping使用

1
2
3
sudo hping -p 22 -S 10.10.163.233

sudo hping -p 22 -S 10.10.163.233 -a 10.10.163.235

centos拒绝掉icmp包设置

image-20190720105353473

路由扫描

作用:查询一个主机经过的路由的跳数、及数据延迟情况

常用工具:traceroute、mtr

mtr特点:能测出主机到每一个路由间的联通性。

traceroute连接原理。

linux下发送udp包(>30000端口),windows发送icmp包。

image-20190720111813791

TTL,生存时间的值。发给第一跳,ttl-1=0,返回udp数据包。

扫描到几个路由器,发送几个ttl数据包。

traceroute参数的使用

linux一般默认有,如果没有安装方式

image-20190720112746947

1、默认使用的是udp协议(30000以上的端口)

2、支持使用TCP协议 -T(发送tcp协议) -p(基于tcp什么端口)

3、使用ICMP协议介绍 -I

4、traceroute使用

1
2
3
4
5
6
7
traceroute www.baidu.com
# -n 去掉解析
traceroute -n www.baidu.com
# 使用icmp,window默认使用
traceroute -In www.imooc.com
# 使用tcp才能检测到最终跳数(一般会屏蔽icmp协议)
traceroute -T -p 80 -n www.imooc.com

mtr使用

1
2
3
4
# 安装
yum install mtr -y
# 使用,原理和traceroute一样,可以看到到哪一跳丢包率更为严重
mtr www.baidu.com

批量主机扫描

目的:

1、批量主机存活扫描

2、针对主机服务扫描

作用:

1、能快捷的获取主机的存活状态

2、能更加细致、只能获取主机服务侦查情况

典型命令

1、nmap 基于端口扫描,特别强大

2、ncat 瑞士军刀

nmap使用

image-20190720161913675

tcp半开放,不建立完整的tcp,未建立完整的三次握手。

1、主机存活扫描

1
2
# 扫描主机存活状态,s检测用什么协议做侦测
namp -sP 10.10.140.0/24

2、主机端口开放扫描,默认扫描范围1-1024,以及一些常用的服务端口

1
namp -sS 10.10.10.163.233

image-20190720163117782

3、半开放指定端口扫描

1
namp -sS -p 0-30000 10.10.163.233

image-20190720163823202

4、全开放连接参数,建立一次全握手,时间长

建立全握手,可以模拟用户的真实操作请求,需要服务端能检测到相关的日志,打印出相关记录信息。

建议日常使用半扫描模式。

1
nmap -sT -p 0-30000 10.10.163.233

5、udp协议扫描方式

扫描udp,响应比较慢、可能特别慢。会限制icmp不可达返回的次数。不建议使用。

1
nmap -sU 10.10.163.233

ncat使用

查看某个路由开放哪些端口80 23

通过shell交互更改数据 ,可进行任意操作

nc -lvp 2005 监听端口

nc好处

1、不会频繁通过界面登录留下痕迹

2、登录非常方便

3、不会被侦测设备侦测到

-w 设置的超市时间

-z 一个输入输出模式

-v 显示命令执行过程

1、基于tcp协议(默认)

1
2
3
4
# 查看22端口开放情况
nc -zv 10.10.163.233 22
# 查看一些端口开放 超时2s
nc -zv -w2 10.10.163.233 1-50

2、基于udp协议 -u

回应时间长,不建议使用

1
2
# 查看一些端口开放 超时2s
nc -zv -u -w2 10.10.163.233 1-50

预防策略

在linux进行防御。

常见攻击方法:

1、SYN攻击

2、DDoS攻击

3、恶意扫描

什么是SYN攻击?

利用TCP协议缺陷进行,导致系统服务停止响应,网络带宽跑满或者响应缓慢。

什么是DDoS攻击?

分布式拒绝访问服务攻击。

正常服务在同一时间接到了很多个类似于正常服务的请求,也有可能是完全正常的请求,导致服务响应不过来。

SYN攻击一般会伴随着DDoS攻击进行

image-20190720170129641

SYN攻击原理,eg可以利用hping伪造源ip,发送给假的主机,得不到第三次请求。目标机器不断发送重试,不停回应包,就会导致网络带宽占满。

image-20190720170357218

  • 减少重试次数

  • 可以增加backlog

  • 禁止三次握手,SYN cookies技术

image-20190720170816652

linux下其他预防策略

1、防火墙上面做相关设置

2、linux下面可以关闭icmp协议请求

3、通过iptables防止扫描

image-20190720171122849

学习笔记整理自慕课网以下课程:
linux系统扫描命令和安全防范笔记