Linux 系统扫描nmap与tcpdump抓包

NMAP扫描

一款强大的网络探测利器工具

支持多种探测技术

--ping扫描

--多端口扫描

-- TCP/IP指纹校验

为什么需要扫描

以获取一些公开/非公开信息为目的

--检测潜在风险

--查找可攻击目标

--收集设备/主机/系统/软件信息

--发现可利用的安全漏洞

基本用法

nmap [扫描类型] [选项] <扫描目标>

常用的扫描类型

常用选项

-sS TCP SYN扫描(半开) 该方式发送SYN到目标端口，如果收到SYN/ACK回复，那么判断端口是开放的；如果收到RST包，说明该端口是关闭的。简单理解就是3次握手只完成一半就可以判断端口是否打开,提高扫描速度

-sT TCP 连接扫描(全开)

-sU UDP扫描

-sP ICMP扫描

-sV 探测打开的端口对应的服务版本信息

-A 目标系统全面分析 (可能会比较慢)

-p 扫描指定端口

1 ) 检查目标主机是否能ping通

2）检查目标主机所开启的TCP服务

3 ) 检查19216840/24网段内哪些主机开启了FTP、SSH服务

4）检查目标主机所开启的UDP服务

5 ) 探测打开的端口对应的服务版本信息

6）全面分析目标主机1921684100的 *** 作系统信息

tcpdump

命令行抓取数据包工具

基本用法

tcpdump [选项] [过滤条件]

常见监控选项

-i，指定监控的网络接口（默认监听第一个网卡）

-A，转换为 ACSII 码，以方便阅读

-w，将数据包信息保存到指定文件

-r，从指定文件读取数据包信息

常用的过滤条件：

类型：host、net、port、portrange

方向：src、dst

协议：tcp、udp、ip、wlan、arp、……

多个条件组合：and、or、not

案例1

案例2:使用tcpdump分析FTP访问中的明文交换信息

1 ) 安装部署vsftpd服务

2 ) 并启动tcpdump等待抓包

执行tcpdump命令行，添加适当的过滤条件，只抓取访问主机1921684100的21端口的数据通信 ，并转换为ASCII码格式的易读文本。

3 ) case100作为客户端访问case254服务端

4 ) 查看tcpdump抓包

5 ) 再次使用tcpdump抓包，使用-w选项可以将抓取的数据包另存为文件，方便后期慢慢分析。

6 ) tcpdump命令的-r选项，可以去读之前抓取的历史数据文件

方法/步骤

1

默认系统里边没有安装有tcpdump的，无法直接使用

2

这里我们可以使用yum来直接安装它

yum install -y tcpdump

3

如果忘记了这个软件的用法，我们可以使用 tcpdump --help 来查看一下使用方法

4

一般我们的服务器里边只有一个网卡，使用tcpdump可以直接抓取数据包，但是这样查看太麻烦了，所以都会添加参数来进行获取的。

例如我截取本机（19216831147）和主机114114114114之间的数据

tcpdump -n -i eth0 host 19216831147 and 114114114114

5

还有截取全部进入服务器的数据可以使用以下的格式

tcpdump -n -i eth0 dst 19216831147

或者服务器有多个IP 可以使用参数

tcpdump -n -i eth0 dst 19216831147 or 19216831157

6

我们抓取全部进入服务器的TCP数据包使用以下的格式，大家可以参考下

tcpdump -n -i eth0 dst 19216831147 or 19216831157 and tcp

从本机出去的数据包

tcpdump -n -i eth0 src 19216831147 or 19216831157

tcpdump -n -i eth0 src 19216831147 or 19216831157 and port ! 22 and tcp

或者可以条件可以是or 和 and 配合使用即可筛选出更好的结果。

经过分析发现系统默认的core文件生成路径是/var/logs，但/var/logs目录并非系统自带的，系统初始安装默认自带的是/var/log，最终导致该系统出现core dump后并没能生成core文件，因此如何查询和修改系统默认的core dump文件生产路径呢？

方法如下：一 查询core dump文件路径：

方法1： # cat /proc/sys/kerne怠珐糙貉孬股茬瘫长凯l/core_pattern。

方法2： # /sbin/sysctl kernelcore_pattern二 修改core dump文件路径：

方法1：临时修改/proc/sys/kernel/core_pattern文件，但/proc目录本身是动态加载的，每次系统重启都会重新加载，因此这种方法只能作为临时修改。 /proc/sys/kernel/core_pattern 例：echo ‘/var/log/%ecore%p’ > /proc/sys/kernel/core_pattern

方法2：永久修改：使用sysctl -w name=value命令。 例：/sbin/sysctl -w kernelcore_pattern=/var/log/%ecore%p为了更详尽的记录core dump当时的系统状态，可通过以下参数来丰富core文件的命名： %% 单个%字符。

基本linux命令有哪些呢？

1、ls命令

就是 list 的缩写，通过 ls 命令不仅可以查看 linux 文件夹包含的文件，而且可以查看文件权限(包括目录、文件夹、文件权限)查看目录信息等等。

常用参数搭配：

ls -a 列出目录所有文件，包含以开始的隐藏文件

ls -A 列出除及的其它文件

ls -r 反序排列

ls -t 以文件修改时间排序

ls -S 以文件大小排序

ls -h 以易读大小显示

ls -l 除了文件名之外，还将文件的权限、所有者、文件大小等信息详细列出来

实例：

(1) 按易读方式按时间反序排序，并显示文件详细信息

ls -lhrt

(2) 按大小反序显示文件详细信息

ls -lrS

(3)列出当前目录中所有以"t"开头的目录的详细内容

ls -l t

(4) 列出文件绝对路径（不包含隐藏文件）

ls | sed "s:^:`pwd`/:"

(5) 列出文件绝对路径（包含隐藏文件）

find $pwd -maxdepth 1 | xargs ls -ld

2、cd 命令

cd(changeDirectory) 命令语法：

cd [目录名]

说明：切换当前目录至 dirName。

实例：

（1）进入要目录

cd /

（2）进入 "home" 目录

cd ~

（3）进入上一次工作路径

cd -

（4）把上个命令的参数作为cd参数使用。

cd !$

3、pwd 命令

pwd 命令用于查看当前工作目录路径。

实例：

（1）查看当前路径

pwd

（2）查看软链接的实际路径

pwd -P

4、mkdir 命令

mkdir 命令用于创建文件夹。

可用选项：

-m: 对新建目录设置存取权限，也可以用 chmod 命令设置;

-p: 可以是一个路径名称。此时若路径中的某些目录尚不存在,加上此选项后，系统将自动建立好那些尚不在的目录，即一次可以建立多个目录。

实例：

（1）当前工作目录下创建名为 t的文件夹

mkdir t

（2）在 tmp 目录下创建路径为 test/t1/t 的目录，若不存在，则创建：

mkdir -p /tmp/test/t1/t

5、rm 命令

删除一个目录中的一个或多个文件或目录，如果没有使用 -r 选项，则 rm 不会删除目录。如果使用 rm 来删除文件，通常仍可以将该文件恢复原状。

rm [选项] 文件…

实例：

（1）删除任何 log 文件，删除前逐一询问确认：

rm -i log

（2）删除 test 子目录及子目录中所有档案删除，并且不用一一确认：

rm -rf test

（3）删除以 -f 开头的文件

rm -- -f

6、rmdir 命令

从一个目录中删除一个或多个子目录项，删除某目录时也必须具有对其父目录的写权限。

注意：不能删除非空目录

实例：

（1）当 parent 子目录被删除后使它也成为空目录的话，则顺便一并删除：

rmdir -p parent/child/child11

7、mv 命令

移动文件或修改文件名，根据第二参数类型（如目录，则移动文件；如为文件则重命令该文件）。

当第二个参数为目录时，第一个参数可以是多个以空格分隔的文件或目录，然后移动第一个参数指定的多个文件到第二个参数指定的目录中。

实例：

（1）将文件 testlog 重命名为 test1txt

mv testlog test1txt

（2）将文件 log1txt,log2txt,log3txt 移动到根的 test3 目录中

mv llog1txt log2txt log3txt /test3

（3）将文件 file1 改名为 file2，如果 file2 已经存在，则询问是否覆盖

mv -i log1txt log2txt

（4）移动当前文件夹下的所有文件到上一级目录

mv /

8、cp 命令

将源文件复制至目标文件，或将多个源文件复制至目标目录。

注意：命令行复制，如果目标文件已经存在会提示是否覆盖，而在 shell 脚本中，如果不加 -i 参数，则不会提示，而是直接覆盖！

-i 提示

-r 复制目录及目录内所有项目

-a 复制的文件与原文件时间一样

实例：

（1）复制 atxt 到 test 目录下，保持原文件时间，如果原文件存在提示是否覆盖。

cp -ai atxt test

（2）为 atxt 建议一个链接（快捷方式）

cp -s atxt link_atxt

9、cat 命令

cat 主要有三大功能：

1一次显示整个文件:

cat filename

2从键盘创建一个文件:

cat > filename

只能创建新文件，不能编辑已有文件。

3将几个文件合并为一个文件:

cat file1 file2 > file

-b 对非空输出行号

-n 输出所有行号

实例：

（1）把 log2012log 的文件内容加上行号后输入 log2013log 这个文件里

cat -n log2012log log2013log

（2）把 log2012log 和 log2013log 的文件内容加上行号（空白行不加）之后将内容附加到 loglog 里

cat -b log2012log log2013log loglog

（3）使用 here doc 生成新文件

cat >logtxt <<EOF

>Hello

>World

>PWD=$(pwd)

>EOF

ls -l logtxt

cat logtxt

Hello

World

PWD=/opt/soft/test

（4）反向列示

tac logtxt

PWD=/opt/soft/test

World

Hello

10、more 命令

功能类似于 cat, more 会以一页一页的显示方便使用者逐页阅读，而最基本的指令就是按空白键（space）就往下一页显示，按 b 键就会往回（back）一页显示。

命令参数：

+n 从笫 n 行开始显示

-n 定义屏幕大小为n行

+/pattern 在每个档案显示前搜寻该字串（pattern），然后从该字串前两行之后开始显示

-c 从顶部清屏，然后显示

-d 提示“Press space to continue，’q’ to quit（按空格键继续，按q键退出）”，禁用响铃功能

-l 忽略Ctrl+l（换页）字符

-p 通过清除窗口而不是滚屏来对文件进行换页，与-c选项相似

-s 把连续的多个空行显示为一行

-u 把文件内容中的下画线去掉

常用 *** 作命令：

Enter 向下 n 行，需要定义。默认为 1 行

Ctrl+F 向下滚动一屏

空格键 向下滚动一屏

Ctrl+B 返回上一屏

= 输出当前行的行号

:f 输出文件名和当前行的行号

V 调用vi编辑器

!命令 调用Shell，并执行命令

q 退出more

实例：

（1）显示文件中从第3行起的内容

more +3 texttxt

（2）在所列出文件目录详细信息，借助管道使每次显示 5 行

ls -l | more -5

按空格显示下 5 行。

11、less 命令

less 与 more 类似，但使用 less 可以随意浏览文件，而 more 仅能向前移动，却不能向后移动，而且 less 在查看之前不会加载整个文件。

常用命令参数：

-i 忽略搜索时的大小写

-N 显示每行的行号

-o <文件名> 将less 输出的内容在指定文件中保存起来

-s 显示连续空行为一行

/字符串：向下搜索“字符串”的功能

字符串：向上搜索“字符串”的功能

n：重复前一个搜索（与 / 或 有关）

N：反向重复前一个搜索（与 / 或 有关）

-x <数字> 将“tab”键显示为规定的数字空格

b 向后翻一页

d 向后翻半页

h 显示帮助界面

Q 退出less 命令

u 向前滚动半页

y 向前滚动一行

空格键 滚动一行

回车键 滚动一页

[pagedown]： 向下翻动一页

[pageup]： 向上翻动一页

实例：

（1）ps 查看进程信息并通过 less 分页显示

ps -aux | less -N

（2）查看多个文件

less 1log 2log

可以使用 n 查看下一个，使用 p 查看前一个。

12、head 命令

head 用来显示档案的开头至标准输出中，默认 head 命令打印其相应文件的开头 10 行。

常用参数：

-n<行数> 显示的行数（行数为复数表示从最后向前数）

实例：

（1）显示 1log 文件中前 20 行

head 1log -n 20

（2）显示 1log 文件前 20 字节

head -c 20 log2014log

（3）显示 tlog最后 10 行

head -n -10 tlog

13、tail 命令

用于显示指定文件末尾内容，不指定文件时，作为输入信息进行处理。常用查看日志文件。

常用参数：

-f 循环读取（常用于查看递增的日志文件）

-n<行数> 显示行数（从后向前）

（1）循环读取逐渐增加的文件内容

ping 127001 > pinglog &

后台运行：可使用 jobs -l 查看，也可使用 fg 将其移到前台运行。

tail -f pinglog

（查看日志）

14、which 命令

在 linux 要查找某个文件，但不知道放在哪里了，可以使用下面的一些命令来搜索：

which 查看可执行文件的位置。

whereis 查看文件的位置。

locate 配合数据库查看文件位置。

find 实际搜寻硬盘查询文件名称。

which 是在 PATH 就是指定的路径中，搜索某个系统命令的位置，并返回第一个搜索结果。使用 which 命令，就可以看到某个系统命令是否存在，以及执行的到底是哪一个位置的命令。

常用参数：

-n指定文件名长度，指定的长度必须大于或等于所有文件中最长的文件名。

实例：

（1）查看 ls 命令是否存在，执行哪个

which ls

（2）查看 which

which which

（3）查看 cd

which cd（显示不存在，因为 cd 是内建命令，而 which 查找显示是 PATH 中的命令）

查看当前 PATH 配置：

echo $PATH

或使用 env 查看所有环境变量及对应值

15、whereis 命令

whereis 命令只能用于程序名的搜索，而且只搜索二进制文件（参数-b）、man说明文件（参数-m）和源代码文件（参数-s）。如果省略参数，则返回所有信息。whereis 及 locate 都是基于系统内建的数据库进行搜索，因此效率很高，而find则是遍历硬盘查找文件。

常用参数：

-b 定位可执行文件。

-m 定位帮助文件。

-s 定位源代码文件。

-u 搜索默认路径下除可执行文件、源代码文件、帮助文件以外的其它文件。

实例：

（1）查找 locate 程序相关文件

whereis locate

（2）查找 locate 的源码文件

whereis -s locate

（3）查找 lcoate 的帮助文件

whereis -m locate

临时修改：修改/proc/sys/kernel/core_pattern文件，但/proc目录本身是动态加载的，每次系统重启都会重新加载，因此这种方法只能作为临时修改。 /proc/sys/kernel/core_pattern

例：echo ‘/var/log/%ecore%p’ > /proc/sys/kernel/core_pattern

永久修改：使用sysctl -w name=value命令。

例：/sbin/sysctl -w kernelcore_pattern=/var/log/%ecore%p

以上就是关于Linux 系统扫描nmap与tcpdump抓包全部的内容，包括:Linux 系统扫描nmap与tcpdump抓包、linux tcpdump抓的包怎么查案、如何查询和修改Linux *** 作系统生成core dump文件的默认路径等相关内容解答，如果想了解更多相关内容，可以关注我们，你们的支持是我们更新的动力！