| 五个顶级Linux安全工具 |
| 责任编辑:酷酷の鱼 更新日期:2008-3-20 |
|
|
|
如果你正在疑惑日志在哪里,象什么样子,这里有一个例子,来自系统日志/var/log/messages,一个来自192.168.50.40的UDP数据包,源端口30766,目标服务器是192.168.0.8,目标端口是1026,这个数据包被丢掉了,它可能是windows机器上了信使服务发出的垃圾信息:
Nov 22 06:24:00 localhost kernel: filter: IN=eth0
OUT=MAC=00:0a:e6:4e:6d:49:00:14:6c:67:cc:9a:08:00
SRC=192.168.50.40 DST=192.168.0.8 LEN=402
TOS=0x00 PREC=0x00 TTL=47 ID=3345 PROTO=UDP
SPT=30766 DPT=1026 LEN=382
日志输出看起来有点恐怖,但是你能容易地拣出你想要的信息,首先,你看到的是日期和主机名,IN和OUT描述了数据包是来自哪个端口和通过哪个端口出去的,MAC给出了源和目标MAC地址,SRC和DST是源和目标ip地址,PROTO是UDP,TCP,ICMP等等,SPT和DPT是源和目标端口号,例如:大部分到服务的连接如ssh都有一个临时的源端口,如35214,和一个目标端口22,那么象前面说道的windows机器的信使服务数据包,你可以安全地忽略它。
当你安装号防火墙后,务必再从另外一台机器上运行一次nmap,来检查是否只打开了正确的端口。
总结
安全是不断提高、评估你的保护尺度的一个循环过程,上面的工具允许你保护你的服务器,确保它按需要进行工作,分析意外事件的网络通讯,记住,意外总是让人不愉快的!正如Larry Niven说的:“你不理解的任何事情都是危险的除非你理解了它”。
当你正在使用这些工具时,尝试思考安全的3个步骤:预防,检查和响应。如果可能你最好预防事情的发生,发生入侵后清除的代价是昂贵的,并且你可能丢失掉有用的数据,无论如何,你将理解一些入侵的知识,因此尽你所能做好预防工作。
TCP 3次握手
UDP是一个无连接的协议,相反,TCP在传输失败时会重新再发送一次数据,它的设置比UDP更复杂,以3次握手开始,初始化一个连接,客户端发送一个SYN(开始同步)数据包,服务器然后用一个SYN+ACK数据包进行响应(如果端口是打开的情况下),然后客户端响应一个ACK(告知收到)数据包,连接就这样建立了,这些数据包携带数据序列号,它允许协议检查和重新发送丢失的数据包,如果端口是关闭的或被防火墙过滤了,响应可能是RST或没有响应,更多信息可以查看nmap文档。 上一页 [1] [2] [3] [4] [5] |
|
| 上一篇文章: Hping--强大的TCP/IP工具 |
| 下一篇文章: 没有了 |
|
|
|
|
