科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道为Solaris服务器配置开源安全工具(1)

为Solaris服务器配置开源安全工具(1)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

随着Internet的迅猛发展,网络已无处不在,但是,它可能随时受到来自各方的攻击。了解哪些人正在访问资源、哪些人正在享受服务、哪些人正在发送大量垃圾等,对网络管理员来说是非常必要的。

作者:论坛整理 来源:zdnet网络安全 2008年1月24日

关键字: 安全技术 安全工具 服务器

  • 评论
  • 分享微博
  • 分享邮件
随着Internet的迅猛发展,网络已无处不在,但是,它可能随时受到来自各方的攻击。了解哪些人正在访问资源、哪些人正在享受服务、哪些人正在发送大量垃圾等,对网络管理员来说是非常必要的。利用Solaris中较常见的网络安全分析工具Tcpdump、Nmap和IP Filter 、ethereal、gftp,可以使网络管理工作更加轻松。Etherea和 Tcpdump主要是截获通过本机网络接口的数据,用以分析。Nmap是强大的端口扫描工具,可扫描任何主机或网络。lsof可用来检查本机当前提供的服务及状态。IP Filter是开源的防火墙工具。这几个者各有所长,结合起来,就可以比较透彻地了解网络状况。

    一、使用Tcpdump

    Tcpdump能够截获当前所有通过本机网卡的数据包。它拥有灵活的过滤机制,可以确保得到想要的数据。由于Tcpdump只能收集通过本机的数据,因此它的应用受到了一些限制,大多应用在网关或服务器自我检测上。

1.     软件下载和安装:

    Libpcap能 独立地 通过主机协议发送和接受数据,如同TCP-IP。这就意味着Libpcap不能阻止、过滤或操纵同一机器上的其他应用程序的通讯:它仅仅能简单地"监视"在网络上传输的数据包。所以,它不能提供类似网络流量控制、服务质量调度和个人防火墙之类的支持。

    #wget http://mirrors.easynews.com/sunfreeware/i386/10/libpcap-0.8.3-sol10-intel-local.gz

    #pkgadd -d libpcap-0.8.3-sol10-intel-local.pkg

    使用Solaris pkg-get 工具安装gftp

    pkg_get,由blastwave.org推出的,是一个用来自动获得www.sunfreeware.com网站上的软件包工具. 模拟了Debian linux上的"apt-get 工具” 。安装 CSW (Community SoftWare) 软件包非常方便。

    #wget http://www.blastwave.org/pkg_get.pkg

    #pkgadd -d pkg_get.pkg all

    # pkg_get –i tcpdump

    2 软件使用

    例如,在作为网关的主机上,想知道本地网络中IP地址为192.168.0.2的主机现在与外界通信的情况,就可以使用如下命令:

    tcpdump -i pcn0 src host 192.168.0.2 > 115.txt

    如图1 。

    图1 把tcpdump重定向到文件再进行分析

    在默认情况下,Tcpdump会将数据输出到屏幕。如果数据量太大,可能根本看不清具体的内容,这时我们可以把它重定向到文件再进行分析。

    把115.txt文件打开可以就可以清楚地了解刚才用户的一举一动:

    首先到2911.net的SMTP服务器发送邮件:

    06:08:03.434544 IP cjh.32899 > mail.2911.net.smtp: S 800489075:800489075(0) win 49640 <mss 1460,nop,wscale 0,nop,nop,sackOK>

    06:08:03.454318 IP cjh.32899 > mail.2911.net.smtp: . ack 3379070854 win 50400

    06:08:03.475770 IP cjh.32899 > mail.2911.net.smtp: . ack 31 win 50400

    06:08:03.477207 IP cjh.32899 > mail.2911.net.smtp: P 0:18(18) ack 31 win 50400

    06:08:03.497277 IP cjh.32899 > mail.2911.net.smtp: . ack 163 win 50400

    然后访问了IT168的主页:

    06:08:39.594065 IP cjh.32950 > gjjdial.bta.net.cn.domain:  20696+ AAAA? subject.it168.com. (35)

    06:08:39.635189 IP cjh.32901 > 202.99.120.124.80: P 439:941(502) ack 621 win 50400

    06:08:39.635867 IP cjh.32900 > 202.99.120.122.80: . ack 66554 win 50400

    对于普通的网络分析,这些信息已经足够了。这就是Tcpdump的基本功能,其它高级功能都是在这一基础上的细化和增强。

    例如,我只想知道192.168.0.2当前正在访问哪些Web站点,可以用下面这条命令:

    ./tcpdump -i pcn0 src host 192.168.0.5 and dst port 80

    该命令的目的是截获所有由eth0进入、源地址(src)为192.168.0.2的主机(host),并且(and)目标(dst)端口(port)为80的数据包。显然,通过and或者not这些逻辑组合,就可以得到特定的数据。Tcpdump还可以监听不同的数据类型(如TCP、UDP),以用不同的网络范围(如Host主机、Net网络),甚至用Ether直接指定物理地址。

    表1 Tcpdump常用命令行选项

    用Tcpdump在网络中获取信息如此清晰,是不是有一种一览无余的感觉。正是因为Tcpdump功能过于强大,连个人隐私和敏感数据的保护都成了问题,所以通常只有root用户能够使用这一工具。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章