Narzędzia
Większość poniższych narzędzi wymaga uprawnień roota, a więc albo logujemy się na to konto, co w domyślnej konfiguracji Ubuntu jest niemożliwe (konto roota nie ma hasła), albo korzystamy z
sudo.cat /var/lib/dhcp/dhcpd.leases | less- lista dzierżaw serwera dhcp;tail -f /var/log/syslog- bieżący przegląd logu systemowego, gdzie widać m.in. komunikaty firewalla;apt-get install iptraf- narzędzie pokazujące ruch i statystyki na wybranych interfejsach;
Tcpdump
apt-get install tcpdump- instalacjatcpdump -D- lista interfejsówtcpdump [-A] -i eth1 tcp port 80 [-w plik]- nasłuchiwanie na wskazanym interfejsie pakietów http, opcja-Apokaże zawartość pakietów, opcja-w plikzapisuje pakiety do pliku, z którego można je później wczytać (-r), plik taki może być również analizowany w programie Wireshark.tcpdump -i eth1 host mojhost and mojserwer- śledzenie ruchu między wskazanymi hostamitcpdump -i eth1 src 192.168.1.2 and tcp dst port 80- logowanie pakietów z podanego hosta kierowanych na port 80tcpdump -i eth1 src 192.168.1.2 and dst port 80 and tcp\[13\] == 2sudo tcpdump -i eth1 src 192.168.1.2 and dst port 80 and tcp\[tcpflags\]=tcp-syn- przechwytywanie pakietów z ustawioną flagą SYN, poprzedni przykład prezentuje możliwość badania wskazanych bitów w nagłówkach warstwy tcptcpdump -i eth1 -w zrzut.dmp \(tcp or udp\) and \(dst port 137 or dst port 138 or dst port 139\)- logowanie, tym razem do pliku (-w plik) pakietów NetBIOStcpdump -i eth1 icmp- logowanie komunikacji protokołu icmptcpdump -i eth1 icmp[0]=0- logowanie tylko komunikatów echo replay- -v, -vv, -vvv - przełączniki zwiększające szczegółowość informacji logowanych przez tcpdump
- -xX - pokazywanie zawartości pakietu w formacie heksadecymalnym
TShark
TShark - czyli konsolowa wersja programu Wireshark.- apt-get install tshark - instalacja
- tshark -D - lista interfejsów
- tshark -i eth1 tcp port 80 and host 192.168.1.4 - nasłuchiwanie na wskazanym interfejsie pakietów http od wskazanego hosta
Po instalacji TSharka warto umożliwić uruchamianie go z konta zwykłego użytkownika. W tym celu wydajemy następujące polecenia:
sudo groupadd wireshark sudo usermod -a -G wireshark nasz_user sudo dpkg-statoverride --add root wireshark 750 /usr/bin/dumpcap sudo chgrp wireshark /usr/bin/dumpcap sudo chmod 750 /usr/bin/dumpcap #ewentualnie sudo setcap CAP_NET_RAW,CAP_NET_ADMIN,CAP_DAC_OVERRIDE+eip /usr/bin/dumpcapPo przelogowaniu się nasz_user może uruchamiać TSharka bez sudo.
Logowanie komunikatów firewalla
Domyślnie wszystkie komunikaty wg konfiguracji iptables przedstawionej w poprzednim poście trafiają do pliku /var/log/syslog. Jeżeli chcemy, aby logi firewalla znalazły się w osobnym pliku, modyfikujemy skrypt uruchamiający firewalla:# Utworzenie łańcucha DROP. iptables -N drop-and-log-it iptables -A drop-and-log-it -j LOG --log-level debug --log-prefix "droplog: " iptables -A drop-and-log-it -j REJECT
- najważniejsza jest linia druga, która każe poprzedzać każdy komunikat prefiksem "droplog: ", dzięki czemu łatwo stworzymy regułę filtrującą komunikaty zapory. Za logi odpowiedzialna jest usługa rsyslog, tworzymy więc plik /etc/rsyslog.d/20-iptables.conf:
:msg, contains, "droplog: " -/var/log/iptables.log & ~
- nakazuje ona, przekierowanie wszystkich komunikatów zawierających wyrażenie "droplog: " do pliku /var/log/iptables.log. Pozostaje restart usługi:
sudo service rsyslog restart.Nmap
nmap -v -sT localhost [192.168.1.0/24]- wykrywanie otwartych portów na lokalnym hoście albo w całej sieci- Inne opcje:
-v -sS- skanowanie TCP SYN;-v -sF- skanowanie TCP FIN;-v -O- skanowanie UDP;-v -sR- skanowanie TCP RPC
Procesy i inne
ps -ef [-eF, axf]- wyświetlenie procesów w różnych formatachlsof -i -n -P- wyświetlenie połączeń sieciowychnetstat -tuap- wyświetlenie połączeń sieciowychvmstat 5- wyświetlanie statystyk użycia pamięci, przestrzeni wymiany itd. w odstępach 5-sekundowych
Brak komentarzy:
Prześlij komentarz
Co myślisz, co czujesz?