《使用安全审计加强Linu主机安全维护能力.doc》由会员分享,可在线阅读,更多相关《使用安全审计加强Linu主机安全维护能力.doc(10页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、使用安全审计加强Linu 主机安全维护能力 如果 /Memeory使用数 ( 命令 ) 在不断增加,可以说明命令存在问题。5 拓展知识1.5.1 TCPDUMP详解tcpdump 是一个用于截取网络分组,并输出分组内容的工具。tcpdump 凭借强大的功能和灵活的截取策略,使其成为类UNI_系统下用于网络分析p 和问题排查的首选工具。tcpdump 提供了代码,公开了接口,因此具备很强的可扩展性,对于网络维护和入侵者都是非常有用的工具。tcpdump 存在于基本的 Linu_ 系统中,由于它需要将网络界面设置为混杂模式,普通用户不能正常执行,但具备root 权限的用户可以直接执行它来获取网络上
2、的信息。因此系统中存在网络分析p 工具主要不是对本机安全的威胁,而是对网络上的其他计算机的安全存在威胁。一、概述7 料推荐?顾名思义, tcpdump 可以将网络中传送的数据包的“头”完全截获下来提供分析p 。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or 、not 等逻辑语句来帮助你去掉无用的信息。引用# tcpdump vvtcpdump: listeningon eth0,link-typeEN10MB(Ether),capturesize96bytes11:53:21.444591IP (tos0_10, ttl64, id19324, offset0, flags
3、DF,proto6,length:92)asptest.localdomain.ssh44.1858:P3962132600:3962132652(52) ack 2726525936 1266asptest.localdomain.1077 53.domain:bad udp cksum 166e!325+ PTR? 92.(46)11:53:21.446929IP (tos0, ttl64, id42911,offset0, flagsDF,proto17,length:151) 53.domain asptest.localdomain.1077:325N_Domainq:PTR?92.
4、0/1/0ns:168.192.(123)11:53:21.447408IP (tos0_10, ttl64, id19328, offset0, flagsDF,proto6,length:172)asptest.localdomain.ssh44.1858:P168:300(132) ack 1 1266347 packets captured1474 packets received by filter745 packets dropped by kernel不带参数的 tcpdump 会收集网络中所有的信息包头,数据量巨大,必须过滤。二、选项介绍引用-A 以 ASCII 格式打印出所有
5、分组,并将链路层的头最小化。-c在收到指定的数量的分组后,tcpdump 就会停止。-C 在将一个原始分组写入文件之前,检查文件当前的大小是否超过了参数file_size中指定的大小。如果超过了指定大小, 则关闭当前文件, 然后在打开一个新的文件。参数 file_size的单位是兆字节 (是 1,000,000 字节,而不是 1,048,5768 料推荐?字节)。-d 将匹配信息包的代码以人们能够理解的汇编格式给出。-dd 将匹配信息包的代码以c 语言程序段的格式给出。-ddd 将匹配信息包的代码以十进制的形式给出。-D 打印出系统中所有可以用tcpdump 截包的网络接口。-e 在输出行打印
6、出数据链路层的头部信息。-E 用 spiipaddr algo:secret解密那些以 addr 作为地址,并且包含了安全参数索引值 spi 的 IPsec ESP 分组。-f将外部的 Inter地址以数字的形式打印出来。-F 从指定的文件中读取表达式,忽略命令行中给出的表达式。-i指定监听的网络接口。-l使标准输出变为缓冲行形式,可以把数据导出到文件。-L 列出网络接口的已知数据链路。-m 从文件 module 中导入 SMI MIB模块定义。该参数可以被使用多次,以导入多MIB 模块。-M 如果 tcp 报文中存在 TCP-MD5选项,则需要用 secret 作为共享的验证码用于验证 TC
7、P-MD5选选项【摘要】:p (详情可参考RFC 2385)。-b 在数据 - 链路层上选择协议,包括ip 、 arp 、 rarp 、 ip_ 都是这一层的。-n 不把网络地址转换成名字。-nn 不进行端口名称的转换。-N 不输出主机名中的域名部分。例如,只输出 nic 。-t在输出的每一行不打印时间戳。-O 不运行分组分组匹配( packet-matching )代码优化程序。-P 不将网络接口设置成混杂模式。-q 快速输出。只输出较少的协议信息。-r从指定的文件中读取包 ( 这些包一般通过 -w 选项产生 ) 。-S 将 tcp 的序列号以绝对值形式输出,而不是相对值。-s从每个分组中读
8、取最开始的snaplen 个字节,而不是默认的68 个字节。-T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc 远程过程调用)和 snmp(简单网络管理协议;)。9 料推荐?-t不在每一行中输出时间戳。-tt在每一行中输出非格式化的时间戳。-ttt输出本行和前面一行之间的时间差。-tttt在每一行中输出由date 处理的默认格式的时间戳。-u 输出未解码的 NFS句柄。-v输出一个稍微详细的信息,例如在ip 包中可以包括 ttl和服务类型的信息。-vv输出详细的报文信息。-w 直接将分组写入文件中,而不是不分析p 并打印出来。三、 tcpdump 的表达式介绍表达式是一个正则表达
9、式, tcpdump 利用它作为过滤报文的条件,如果一个报文满足表 达式的条件,则这个报文将会被捕获。如果没有给出任何条件,则网络上所有的信息包 将会被截获。在表达式中一般如下几种类型的关键字:引用第一 种是关于 类型 的关键字 ,主 要包括 host , , port ,例 如 host , 指明 是一台主机, 指明 是一个网络地址, port 23 指明端口号是 23。如果没有指定类型,缺省的类型是 host 。第二种是确定传输方向的关键字,主要包括 src ,dst ,dst or src ,dst and src ,这些关键字指明了传输的方向。举例说明,src ,指明 ip 包中地址是
10、 , dst 指明目的网络地址是 。如果没有指明 方向关键字,则缺省是 src or dst关键字。第三种是协议的关键字, 主要包括 fddi ,ip ,arp ,rarp ,tcp ,udp 等类型。Fddi指明是在 FDDI ( 分布式光纤数据接口网络 ) 上的特定的网络协议, 实际上它是 ”ether ” 的别名,fddi 和 ether 具有类似的地址和目的地址, 所以可以将 fddi 协议包当作 ether 的包进行处理和分析p 。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议,则 tcpdump 将会 监听所有协议的信息包。除了这三种类型的关键字之外, 其他重要
11、的关键字如下: gateway, broadcast , less ,greater , 还有三种逻辑运算, 取非运算是 not #; #;! , 与运算是 and,#;或运算是 or ,#124;#124; ; 这些关键字可以组合起来构成强大的组合条件来满足人们的需要。10 料推荐?四、输出结果介绍下面我们介绍几种典型的tcpdump 命令的输出信息数据链路层头信息使用命令:#tcpdump -e host ICEICE 是一台装有 linu_的主机。它的 MAC地址是 0: 90:27:58: AF:1A H219 是一台装有 Solaris的 SUN工作站。它的 MAC地址是 8:0:2
12、0:79:5B:46; 上一条命令的输出结果如下所示:引用21:50:12.847509eth0 ICE.telne t 0:0(0) ack 22535 8760 (DF)21:50:12是显示的时间, 847509 是 ID 号,eth0 表示从网络接口设备发送分组, 8:0:20:79:5b:46是主机 H219 的MAC地址, 它表明是从地址 H219 发来的分组 .0:90:27:58:af:1a是主机 ICE 的MAC地址, 表示该分组的目的地址是ICE。ip 是表明该分组是 IP 分组,60 是分组的长度, h219.33357 ICE.tel表明该分组是从主机H219的 333
13、57 端口发往主机 ICE 的 TEL(23)端口。ack 22535 表明对序列号是222535 的包进行响应。8760 表明发 送窗口的大小是 8760。ARP 包的 tcpdump 输出信息使用命令:#tcpdump arp得到的输出结果是:引用22:32:42.802509 eth0 arp who-has route tell ICE (0:90:27:58:af:1a)22:32:42.802902eth0表明从主机发出该分组,arp 表明是 ARP请求包, who-has route tell ICE表明是主机 ICE 请求主机 route 的 MAC地址。0:90:27:58:
14、af:1a是主机 ICE 的 MAC地址。11 料推荐?TCP 包的输出信息tcpdump 捕获的 TCP包的一般输出信息是:引用src dst: flags data-seqno ack dow urgent optionssrc dst:表明从地址到目的地址,flags是 TCP报文中的标志信息, S 是SYN标志, F (FIN), P (PUSH) , R (RST) “.” (没有标记 ); data-seqno是报文中的数据的顺序号, ack 是下次期望的顺序号,dow 是接收缓存的窗口大小,urgent 表明 报文中是否有紧急指针。Options是选项。(4) UDP 包的输出信
15、息tcpdump 捕获的 UDP包的一般输出信息是:引用route.port1 ICE.port2: udp lenthUDP十分简单,上面的输出行表明从主机 route 的 port1 端口发出的一个 UDP报文 到主机 ICE 的 port2 端口,类型是 UDP, 包的长度是 lenth 。五、举例想要截获所有 的主机收到的和发出的所有的分组:#tcpdump host 想要截获主机 和主机 或 的通信,使用命令(注意:括号前的反斜杠是必须的) :#tcpdump host and ( or )如果想要获取主机 除了和主机 之外所有主机通信ip 包,使用命令:#tcpdump ip ho
16、st and ! 如果想要获取主机 46 接收或发出的 ssh 包,并且不转换主机名使用如下命令:#tcpdump -nn -n src host 46 and port 22 and tcp获取主机 46 接收或发出的 ssh 包,并把 mac地址也一同显示:# tcpdump -e src host 46 and port 22 and tcp -nnn(6)过滤的是主机为与目的网络为 的报头:tcpdump src host and dst /2412 料推荐?主机物理地址 _的 :tcpdump ether src 00:50:04:BA:9B and dst( 什么 ether src后面没有 host 或者 ?物理地址当然不可能有网 ) 。主机 和目的端口不是tel 的 ,并 入到tes.t.t_t文件中:Tcpdump src host and dst port not tel -l test.t_t6 课后实训和练习参照教材的 后 13第 10 页 共 10 页