I hvem sin feil er det når Internett Dies? Feilsøking Networks med Linux vi lært noen grunnleggende feilsøking nettverk kommandoer. I dag skal vi utforske den fine morsom verden av nettverksgjenkjenning og finne ut hvem som er på vårt nettverk uten å forlate våre komfortable stoler.
I hvem sin feil er det når Internett Dies? Feilsøking Networks med Linux vi lært noen grunnleggende feilsøking nettverk kommandoer. I dag skal vi utforske den fine morsom verden av nettverksgjenkjenning og finne ut hvem som er på vårt nettverk uten å forlate våre komfortable stoler.
Hvem er i nettverket?
Nmap (nettverks mapper) er en av de beste nett-sondering verktøy for å lære i dybden. Sørg for å lese den fine manualen og øve forsiktig, fordi Nmap har mektige snusing krefter og kan få deg i trøbbel. Denne kommandoen finner alle verter på et LAN subnet:
$ nmap -SP 192.168.10.0/24Starting Nmap 5.00 (http://nmap.org) på 2011-07-18 11:01 PDTHost freya.alrac. net (192.168.10.105) er opp (0.0018s latency) .Host demeter.alrac.net 192.168.10.107 er opp (0.00012s latency) .Host persephone.alrac.net 192.168.10.109 er opp (0.00015s latency) .Nmap gjort : 256 IP-adresser (3 vertene opp) skannet i 27.31 sekunderDet er en enkel ping feie og revers-DNS oppløsning som rapporterer vertsnavn og IP-adresser til alle maskiner i nettverket som reagerer på ICMP ekko forespørsler. Den oppdager både kablede og trådløse verter. På nyere versjoner av nmap dette har endret seg til nmap -sn. Du kan gjøre flere IP-adresseområde ved hjelp CIDR notasjon og lister over oktetter. For eksempel skanner 192.168.0-5.100-150 bare 192.168.0.100-150 opptil 192.168.5.100-150 adresseområder. Du kan legge inn dine spesifikke adresseområder i en tekstfil, atskilt med mellomrom, tabulator eller linjeskift, og kaller denne filen med -il filnavnet alternativet.
-SS scan (TCP SYN scan) er en ganske godartet skanning som ikke knele nettverket eller utløste alarmer. Det krever root privilegier, og viser hvilke porter er åpne på nettverket verter:
# nmap -SS freyaStarting Nmap 5.00 (http://nmap.org) på 2011-07-18 11:34 PDTInteresting porter på freya.alrac.net (192.168.10.105): Ikke vist: 996 stengt portsPORT STATE SERVICE22 /tcp åpen ssh139 /tcp åpen NetBIOS-ssn445 /tcp åpen microsoft-ds631 /tcp åpen ippDette er alle legitime for denne verten. Jeg har alltid SSH tilgang stilt opp til alle verter (TCP 22), TCP 139 og 445 er for Samba, og TCP 631 er CUPS. En lignende nyttig test er å logge inn på Freya og kjøre netstat for å se aktive TCP og UDP-tilkoblinger. Dette eksempelet viser bare noen få av de rapporterte aktive tilkoblinger:
# netstat -untapActive Internett-tilkoblinger (servere og etablert) Proto Recv-Q Send-Q Lokal adresse Foreign Adresse State PID /Program nametcp 1 0 127.0.1.1 : 46192 127.0.1.1:631 CLOSE_WAIT 2 277 /cups-polld tcp 0 0 192.168.10.105:22 192.168.1.107:51968 ETABLERT 2468 /sshd: alrac [pudp 0 0 0.0.0.0:68 0.0.0.0:* 1430 /dhclient udp 0 0 0.0.0.0:5353 0.0.0.0:* 936 /avahi-daemon: rLokale Adresse viser hvilke porter som er åpne og lytte, og utenlandsk adresse viser aktive tilkoblinger. Jeg kan se min SSH-økt, og jeg kan også se at jeg glemte å fjerne Avahi, som jeg alltid avinstallere fordi jeg ikke har bruk for det, og det er god grunnleggende sikkerhet for å ikke forlate nisser kjører som du ikke trenger. Hvis du er ny på Linux nettverk, betyr åpne porter du har kjører tjenester. Hvis du vil lukke en port stoppe tjenesten. Det er flere måter å gjøre dette nå, takket være umettelig behov for utviklere å holde endre perfekt funksjonelle systemer, så jeg skal la det som lekser å lære for din Linux-distribusjon.
Du kan kartlegge alle åpne porter på hele LAN og gjøre noen operativsystem oppdagelse med -O alternativ:
# nmap -O 192.168.10 /24Starting Nmap 5.00 (http://nmap.org) på 2011-07-18 12:32 PDTInteresting porter på node.alrac.net (192.168.10.77): Ikke vist: 995 filtrert portsPORT STATE SERVICE22 /tcp åpen ssh53 /tcp åpen domain443 /tcp åpen https5060 /tcp lukket sip8000 /tcp stengt http-altMAC Adresse: 55 : 22: B9: 05: FF: B4 (PC Engines GmbH) Aggressive OS gjetninger: Linux 2.6.9 - 2.6.28 (96%)
Discovery og enkle måleparametere
fping verktøyet er en nyttig lite program for både verts oppdagelse og enkel ytelse måling. Det sender ICMP ekko forespørsler til flere verter i rekkefølge for å se om de er oppe. Dens ufiltrert produksjonen er svært stor, og viser alle feil samt vellykkede treff, så dette eksempelet filtrerer utgang for å vise bare vellykkede treff:
$ fping -C1 -gds 192.168.2.0/24 2> &1 | egrep -V "ICMP | SEND" phineas.alrac.net: [0], 84 bytes, 2,43 ms (2.43 avg, 0% tap) franklin.alrac.net: [0], 84 bytes, 0,53 ms (0,53 avg, 0% tap) fatfreddy.alrac.net: [0], 84 bytes, 3,42 ms (3.42 avg, 0% tap) 256 mål 3 i live 253 utilgjengelige 0 ukjente adresser 0 timeouts (venter på svar) 0,53 ms (min rundtur tid ) 2.12 ms (avg rundtur tid) 3,42 ms (maks rundtur tid) 10,310 sek (forløpt sanntid)Ffping brukes som vanlig gamle ping for raske single-vertskontroller, og det er mer oppmuntrende:
< p> $ fping Franklin er i live
Du kan også gi fping en ren tekst-fil med en liste en av vertene for å sjekke, avgrenset av linjeskift:
$ fping -C1 Anmeldelser
Hvis du kjører dette som root da syntaksen er litt annerledes:
# fping -C1 -f filnavn
Hurtig Gjennomstrømning Målinger
fping og ren gamle ping verktøy gi deg en idé om hvor fort trafikken går over nettverket, men Iperf er bedre, og nesten like enkelt. Iperf opererer i en klient-server-modus, slik at du må installere det på alle maskiner du vil teste. Deretter åpner serveren session på en maskin, og koble til den fra en klient økt på en annen maskin. Serveren økten ser slik ut:
host1: ~ $ Iperf -s ------------------------------ ------------------------------ Server lytter på TCP port 5001TCP vindusstørrelse: 85,3 KByte (standard) ------ -------------------------------------------------- ----klientøkt ser slik ut:
vert2: ~ $ Iperf -c host1 ---------------------- Client kobler til host1, TCP port 5001TCP vindusstørrelsen --------------------------------------: 16,0 KByte (standard) ---------------------------------------------- --------------Når testen er ferdig, vil både vise lignende resultat som dette:
[3] lokal 192.168.10.25 port 40245 koblet med 192.168 .20.25 port 5001 [ID] Intervall Overfør båndbredde [3] 0,0-10,0 sekunder 8.18 MB 6,85 Mbit /s6,85 Mbit /s er ganske treg, men ikke overraskende siden host1 har en gammel trådløst nettverk. For Fast Ethernet og Gigabit Ethernet bør du se mange ganger høyere hastigheter. Tilsett -d alternativer for å kjøre testen begge veier på tosidig nettverksgrensesnitt. På serververts vil du se resultater som dette:
[5] 0,0-10,0 sek 99 MB 82.1 Mbit /sek [6] 0,0 til 10,1 sek 105 MB 89.4 kbit /sekDet er noen god tall enn kablet Ethernet, og det viser at tosidig utskrift fungerer.
Hvem er på serveren min?
Trenger du å vite hvem som er logget inn i serveren din til enhver tid? Bruk whowatch, et verktøy som viser alle påloggede brukere på en maskin. Bare kjør whowatch uten alternativer, og det åpner en hyggelig ncurses display:
5 brukere: (4 lokale, 0 telnet, en ssh, en annen) belastning: 0,31, 0,23, 0,13 (innlogging) Carla tty1 xinit /etc /XDG /xfce4 /xinitrc - /etc /X11 /xinit /(innlogging) terry tty2 -bashWhoops! Terry er logget inn. Ingen andre bør du være innlogget. Så hva gjør man? Bruk piltastene til å navigere til den første uautorisert bruker linje, hvis det er mer enn én, og trykk på returtasten:
brukere 7: (5 lokale, 0 telnet, en ssh, to andre) (init ) terry tty2 1 599 - /bin /login - 3239 `- -bashArrow-key til linjen med lavest prosessen nummeret og trykk Ctrl + k å logge brukeren av systemet. Så gå finne ut hvordan de kom dit og reparere bruddet. Trykk F9 for å vise whowatch menyene.
Alle disse kommandoene har gode man-sidene, og dokumentasjonen Nmap er grundig, og en god utdannelse i å forstå hva som foregår over ledninger av TCP /IP-nettverk. Anmeldelser
Next Page:Screen Stars av Linux World