linux系统扫描命令和安全防范笔记

通过网络入侵来窃取敏感信息

通过网络扫描获取运营商核心设备的管理权限

踩点-网络扫描-差点-提权

常用命令

tracert/traceroute、namp、nc

批量的给目标主机发送ping请求，测试主机的存活情况。

特点：并行发送，结果易读

源码包编译过程

fping编译安装

1
2
3
4
5
6
7

[[email protected] ~]
[[email protected] ~]# tar -xvf fping-4.2.tar.gz 
[[email protected] fping-4.2]# ./configure & make & make install
[[email protected] fping-4.2]# fping -h  #查看帮助命令
[[email protected] fping-4.2]# fping -v
fping: Version 4.2
fping: comments to [email protected]

命令参数man、-h方式

常用参数：

-a 只显示出存活的主机(相反参数-u)

-l 循环ping

1、通过标准输入方式fping+IP1+IP2

-g 支持主机段的方式 192.168.1.1 192.168.1.255 192.168.1.0/24

2、通过读取一个文件中的IP内容

方式：fping -f filename

3、fping使用

1
2
3
4
5
6

# 查找存货的主机
fping -a 10.10.163.233
# 可以查找某个网段内存活的主机
fping  -g -a 10.10.163.1 10.10.163.254
# 查找某个网段内存活主机第二种写法
fping -a -g 10.10.163.233/24

支持使用tcp/ip数据包组装、分析工具

linux下编译安装

如果遇到如下错误

可通过安装下面库解决

1、对特定的目标发起tcp探测（规避运营商防火墙、主机等对icmp包屏蔽）

-p 端口tcp

-S 设置TCP模式SYN包

2、伪造来源IP，模拟Ddos攻击

-a 伪造IP地址

3、hping使用

1
2
3

sudo hping -p 22 -S 10.10.163.233

sudo hping -p 22 -S 10.10.163.233 -a 10.10.163.235

centos拒绝掉icmp包设置

作用：查询一个主机经过的路由的跳数、及数据延迟情况

常用工具：traceroute、mtr

mtr特点：能测出主机到每一个路由间的联通性。

traceroute连接原理。

linux下发送udp包（>30000端口），windows发送icmp包。

TTL，生存时间的值。发给第一跳，ttl-1=0，返回udp数据包。

扫描到几个路由器，发送几个ttl数据包。

linux一般默认有，如果没有安装方式

1、默认使用的是udp协议(30000以上的端口)

2、支持使用TCP协议 -T(发送tcp协议) -p(基于tcp什么端口)

3、使用ICMP协议介绍 -I

4、traceroute使用

1
2
3
4
5
6
7

traceroute www.baidu.com
# -n 去掉解析
traceroute -n www.baidu.com 
# 使用icmp，window默认使用
traceroute -In  www.imooc.com
# 使用tcp才能检测到最终跳数(一般会屏蔽icmp协议)
traceroute -T -p 80 -n www.imooc.com

目的：

1、批量主机存活扫描

2、针对主机服务扫描

作用：

1、能快捷的获取主机的存活状态

2、能更加细致、只能获取主机服务侦查情况

典型命令

1、nmap 基于端口扫描，特别强大

2、ncat 瑞士军刀

tcp半开放，不建立完整的tcp，未建立完整的三次握手。

1、主机存活扫描

1
2

# 扫描主机存活状态,s检测用什么协议做侦测
namp -sP 10.10.140.0/24

2、主机端口开放扫描，默认扫描范围1-1024，以及一些常用的服务端口

1

namp -sS 10.10.10.163.233

3、半开放指定端口扫描

1

namp -sS -p 0-30000 10.10.163.233

4、全开放连接参数，建立一次全握手，时间长

建立全握手，可以模拟用户的真实操作请求，需要服务端能检测到相关的日志，打印出相关记录信息。

建议日常使用半扫描模式。

1

nmap -sT -p 0-30000 10.10.163.233

5、udp协议扫描方式

扫描udp，响应比较慢、可能特别慢。会限制icmp不可达返回的次数。不建议使用。

1

nmap -sU 10.10.163.233

查看某个路由开放哪些端口80 23

通过shell交互更改数据 ，可进行任意操作

nc -lvp 2005 监听端口

nc好处

1、不会频繁通过界面登录留下痕迹

2、登录非常方便

3、不会被侦测设备侦测到

-w 设置的超市时间

-z 一个输入输出模式

-v 显示命令执行过程

1、基于tcp协议(默认)

1
2
3
4

# 查看22端口开放情况
nc -zv 10.10.163.233 22
# 查看一些端口开放 超时2s
nc -zv -w2 10.10.163.233 1-50

2、基于udp协议 -u

回应时间长，不建议使用

1
2

# 查看一些端口开放 超时2s
nc -zv -u -w2 10.10.163.233 1-50

在linux进行防御。

常见攻击方法：

1、SYN攻击

2、DDoS攻击

3、恶意扫描

什么是SYN攻击？

利用TCP协议缺陷进行，导致系统服务停止响应，网络带宽跑满或者响应缓慢。

什么是DDoS攻击？

分布式拒绝访问服务攻击。

正常服务在同一时间接到了很多个类似于正常服务的请求，也有可能是完全正常的请求，导致服务响应不过来。

SYN攻击一般会伴随着DDoS攻击进行

SYN攻击原理，eg可以利用hping伪造源ip，发送给假的主机，得不到第三次请求。目标机器不断发送重试，不停回应包，就会导致网络带宽占满。

• 减少重试次数

• 可以增加backlog

• 禁止三次握手，SYN cookies技术

linux下其他预防策略

1、防火墙上面做相关设置

2、linux下面可以关闭icmp协议请求

3、通过iptables防止扫描

学习笔记整理自慕课网以下课程:
linux系统扫描命令和安全防范笔记