网络管理员入门入侵检测.docx

上传人:b****7 文档编号:26290129 上传时间:2023-06-17 格式:DOCX 页数:50 大小:265.37KB
下载 相关 举报
网络管理员入门入侵检测.docx_第1页
第1页 / 共50页
网络管理员入门入侵检测.docx_第2页
第2页 / 共50页
网络管理员入门入侵检测.docx_第3页
第3页 / 共50页
网络管理员入门入侵检测.docx_第4页
第4页 / 共50页
网络管理员入门入侵检测.docx_第5页
第5页 / 共50页
点击查看更多>>
下载资源
资源描述

网络管理员入门入侵检测.docx

《网络管理员入门入侵检测.docx》由会员分享,可在线阅读,更多相关《网络管理员入门入侵检测.docx(50页珍藏版)》请在冰豆网上搜索。

网络管理员入门入侵检测.docx

网络管理员入门入侵检测

管理员必要掌握惯用命令

一、ping  

  它是用来检查网络与否畅通或者网络连接速度命令。

它所运用原理是这样:

网络上机器均有唯一拟定IP地址,咱们给目的IP地址发送一种数据包,对方就要返回一种同样大小数据包,依照返回数据包咱们可以拟定目的主机存在,可以初步判断目的主机操作系统等。

在DOS窗口中键入:

ping/?

回车。

所示如下协助画面:

-t表达将不间断向目的IP发送数据包,直到咱们逼迫其停止。

试想,如果你使用100M宽带接入,而目的IP是56K小猫,那么要不了多久,目的IP就由于承受不了这样多数据而掉线,呵呵,一次袭击就这样简朴实现了。

  -l定义发送数据包大小,默以为32字节,咱们运用它可以最大定义到65500字节。

结合上面简介-t参数一起使用,会有更好效果哦。

  -n定义向目的IP发送数据包次数,默以为3次。

如果网络速度比较慢,3次对咱们来说也挥霍了不少时间,由于当前咱们目仅仅是判断目的IP与否存在,那么就定义为一次吧。

  阐明一下,如果-t参数和-n参数一起使用,ping命令就以放在背面参数为原则,例如"pingIP-t-n3",虽然使用了-t参数,但并不是始终ping下去,而是只ping3次。

此外,ping命令不一定非得pingIP,也可以直接ping主机域名,这样就可以得到主机IP。

  下面咱们举个例子来阐明一下详细用法。

  这里time=2表达从发出数据包到接受到返回数据包所用时间是2秒,从这里可以判断网络连接速度大小。

从TTL返回值可以初步判断被ping主机操作系统,之因此说"初步判断"是由于这个值是可以修改。

这里TTL=32表达操作系统也许是win98。

  (小知识:

如果TTL=128,则表达目的主机也许是Win;如果TTL=250,则目的主机也许是Unix)

  至于运用ping命令可以迅速查找局域网故障,可以迅速搜索最快QQ服务器,可以对别人进行ping袭击……这些就靠人们自己发挥了。

  二、nbtstat (查看远程计算机MAC地址) 

  NBTSTAT命令可以用来查询网络机器NetBIOS信息及机器MAC地址。

此外,它还可以用来消除NetBIOS高速缓存器和预加载LMHOSTS文献。

这个命令在进行安全检查时非常有用。

  

  用法:

nbtstat[-aRemoteName][-AIP_address][-c][-n][-R][-r][-S]

  [-s]

  [interval]

  参数-a列出为其主机名提供远程计算机名字表。

  -A列出为其IP地址提供远程计算机名字表。

  -c列出涉及了IP地址远程名字高速缓存器。

  -n列出本地NetBIOS名字。

  -r列出通过广播和WINS解析名字。

  -R消除和重新加载远程高速缓存器名字表。

  -S列出有目地IP地址会话表。

  -s列出会话表对话。

  NBTSTAT生成列标题具备如下含义:

  Input

  接受到字节数。

  Output

  发出字节数。

  In/Out

  无论是从计算机(出站)还是从另一种系统连接到本地计算机(入站)。

  Life

  在计算机消除名字表高速缓存表当前“度过”时间。

  LocalName

  为连接提供本地NetBIOS名字。

  RemoteHost

  远程主机名字或IP地址。

  Type

  一种名字可以具备两个类型之一:

uniqueorgroup

  在16个字符NetBIOS名中,最后一种字节往往有详细含义,由于同一种名可以在同一台计算机上浮现多次。

这表白该名字最后一种字节被转换成了16进制。

  State

  NetBIOS连接将在下列“状态”(任何一种)中显示:

  状态含义:

  Accepting:

进入连接正在进行中。

  Associated:

连接端点已经建立,计算机已经与IP地址联系起来。

  Connected:

这是一种好状态!

它表白您被连接到远程资源上。

  Connecting:

您会话试着解析目地资源名字-IP地址映射。

  Disconnected:

您计算机祈求断开,并等待远程计算机作出这样反映。

  Disconnecting:

您连接正在结束。

  Idle:

远程计算机在当前会话中已经打开,但当前没有接受连接。

  Inbound:

入站会话试着连接。

  Listening:

远程计算机可用。

  Outbound:

您会话正在建立TCP连接。

  Reconnecting:

如果第一次连接失败,就会显示这个状态,表达试着重新连接.

  下面是一台机器NBTSTAT反映样本:

  C:

\>nbtstatCAx.x.x.x

  NetBIOSRemoteMachineNameTable

  NameTypeStatus

  DATARAT<00>UNIQUERegistered

  R9LABS<00>GROUPRegistered

  DATARAT<20>UNIQUERegistered

  DATARAT<03>UNIQUERegistered

  GHOST<03>UNIFQUERegistered

  DATARAT<01>UNIQUERegistered

  MACAddress=00-00-00-00-00-00

  您通过下表能掌握关于该机器哪些知识呢?

  名称编号类型使用:

  00U工作站服务

  01U邮件服务

  \_M好好学习ROWSE_01G主浏览器

  03U邮件服务

  06URAS服务器服务

  1FUNetDDE服务

  20U文献服务器服务

  21URAS客户机服务

  22UExchangeInterchange

  23UExchangeStore

  24UExchangeDirectory

  30U调制解调器共享服务器服务

  31U调制解调器共享客户机服务

  43USMS客户机远程控制

  44USMS管理远程控制工具

  45USMS客户机远程聊天

  46USMS客户机远程传播

  4CUDECPathworksTCP/IP服务

  52UDECPathworksTCP/IP服务

  87UExchangeMTA

  6AUExchangeIMC

  BEU网络监控代理

  BFU网络监控应用

  03U邮件服务

  00G域名

  1BU域主浏览器

  1CG域控制器

  1DU主浏览器

  1EG浏览器服务选取

  1CGInternet信息服务器

  00UInternet信息服务器

  [2B]ULotusNotes服务器

  IRISMULTICAST[2F]GLotusNotes

  IRISNAMESERVER[33]GLotusNotes

  Forte_$ND800ZA[20]UDCAIrmalan网关服务

  Unique(U):

该名字也许只有一种分派给它IP地址。

在网络设备上,一种要注册名字  

该命令使用TCP/IP上NetBIOS显示合同记录和当前TCP/IP连接,使用这个命令你可以得到远程主机NETBIOS信息,例如顾客名、所属工作组、网卡MAC地址等。

在此咱们就有必要理解几种基本参数。

  -a使用这个参数,只要你懂得了远程主机机器名称,就可以得到它NETBIOS信息(下同)。

  -A这个参数也可以得到远程主机NETBIOS信息,但需要你懂得它IP。

  -n列出本地机器NETBIOS信息。

  当得到了对方IP或者机器名时候,就可以使用nbtstat命令来进一步得到对方信息了,这又增长了咱们入侵保险系数。

  

  三、netstat

Netstat用于显示与IP、TCP、UDP和ICMP合同有关记录数据,普通用于检查本机各端口网络连接状况。

    如果你计算机有时候接受到数据报导致出错数据或故障,你不必感到奇怪,TCP/IP可以容许这些类型错误,并可以自动重发数据报。

但如果合计出错状况数目占到所接受IP数据报相称大比例,或者它数目正迅速增长,那么你就应当使用Netstat查一查为什么会浮现这些状况了。

Netstat详细参数列表

(Winxp)

C:

\>netstat/?

显示合同记录信息和当前TCP/IP网络连接。

NETSTAT[-a][-b][-e][-n][-o][-pproto][-r][-s][-v][interval]

 -a           以机器名字显示所有连接和监听端口。

-n           以数字形式显示地址和端标语。

-b           显示包括于创立每个连接或监听端口可执行组件。

在某些状况下已知可执行组件

               拥有各种独立组件,并且在这些状况下包括于创立连接或监听端口组件序列被显示。

这种状况下,可执行组件名在底部[]中,顶部是其调用组件,等等,直到TCP/IP

某些。

注意此选项也许需要很长时间,如果没有足够权限也许失败。

 -e           显示以太网记录信息。

此选项可以与-s

               选项组合使用。

  -o           显示与每个连接有关所属进程ID。

 -pproto     显示proto指定合同连接;proto可以是

               下列合同之一:

TCP、UDP、TCPv6或UDPv6。

               如果与-s选项一起使用以显示按合同记录信息,proto可以是下列合同之一:

               IP、IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP或UDPv6。

 -r           显示路由表。

(和routeprint命令相似功能)

 -s           显示按合同记录信息。

默认地,显示IP、

               IPv6、ICMP、ICMPv6、TCP、TCPv6、UDP和UDPv6记录信息;

               -p选项用于指定默认状况子集。

 -v           与-b选项一起使用时将显示包括于

               为所有可执行组件创立连接或监听端口

               组件。

 interval     重新显示选定记录信息,每次显示之间

               暂停时间间隔(以秒计)。

按CTRL+C停止重新

               显示记录信息。

如果省略,netstat显示当前

               配备信息(只显示一次)

(Win)

C:

\>netstat/?

DisplaysprotocolstatisticsandcurrentTCP/IPnetworkconnections.

NETSTAT[-a][-e][-n][-s][-pproto][-r][interval]

 -a           Displaysallconnectionsandlisteningports.

 -e           DisplaysEthernetstatistics.Thismaybecombinedwiththe-s

               option.

 -n           Displaysaddressesandportnumbersinnumericalform.

 -pproto     Showsconnectionsfortheprotocolspecifiedbyproto;proto

               maybeTCPorUDP. Ifusedwiththe-soptiontodisplay

               per-protocolstatistics,protomaybeTCP,UDP,orIP.

 -r           Displaystheroutingtable.

 -s           Displaysper-protocolstatistics. Bydefault,statisticsare

               shownforTCP,UDPandIP;the-poptionmaybeusedtospecify

               asubsetofthedefault.

 interval     Redisplaysselectedstatistics,pausingintervalseconds

               betweeneachdisplay. PressCTRL+Ctostopredisplaying

               statistics. Ifomitted,netstatwillprintthecurrent

               configurationinformationonce.

Netstat某些惯用选项 

netstat-s——本选项可以按照各个合同分别显示其记录数据。

如果你应用程序(如Web浏览器)运营速度比较慢,或者不能显示Web页之类数据,那么你就可以用本选项来查看一下所显示信息。

你需要仔细查看记录数据各行,找到出错核心字,进而拟定问题所在。

netstat-e——本选项用于显示关于以太网记录数据。

它列出项目涉及传送数据报总字节数、错误数、删除数、数据报数量和广播数量。

这些记录数据既有发送数据报数量,也有接受数据报数量。

这个选项可以用来记录某些基本网络流量。

netstat-r——本选项可以显示关于路由表信息,类似于背面所讲使用routeprint命令时看到信息。

除了显示有效路由外,还显示当前有效连接。

netstat-a——本选项显示一种所有有效连接信息列表,涉及已建立连接(ESTABLISHED),也涉及监听连接祈求(LISTENING)那些连接,断开连接(CLOSE_WAIT)或者处在联机等待状态(TIME_WAIT)等

(ESTABLISHED)建立连接

(LISTENING)监听连接祈求

(CLOSE_WAIT)断开连接

(TIME_WAIT)联机等待

netstat-n——显示所有已建立有效连接。

 

   微软公司故意将这个功能强大命令隐藏起来是由于它对于普通顾客来说有些复杂。

咱们已经懂得:

Netstat它可以用来获得你系统网络连接信息(使用端口,在使用合同等),收到和发出数据,被连接远程系统端口,Netstat在内存中读取所有网络信息。

   在InternetRFC原则中,Netstat定义是:

Netstat是在内核中访问网络及有关信息程序,它能提供TCP连接,TCP和UDP监听,进程内存管理有关报告。

   对于好奇心极强人来说,紧紧有上面理论是远远不够,接下来咱们来详细解释一下各个参数使用,看看执行之后会发生什么,显示信息又是什么意思,好了,废话不说了,让咱们一起来实践一下吧:

C:

\>netstat-a

ActiveConnections

 Proto LocalAddress         ForeignAddress       State

 TCP   Eagle:

ftp             Eagle:

0               LISTENING

 TCP   Eagle:

telnet          Eagle:

0               LISTENING

 TCP   Eagle:

smtp            Eagle:

0               LISTENING

 TCP   Eagle:

http            Eagle:

0               LISTENING

 TCP   Eagle:

epmap           Eagle:

0               LISTENING

 TCP   Eagle:

https           Eagle:

0               LISTENING

 TCP   Eagle:

microsoft-ds    Eagle:

0               LISTENING

 TCP   Eagle:

1030            Eagle:

0               LISTENING

 TCP   Eagle:

6059            Eagle:

0               LISTENING

 TCP   Eagle:

8001            Eagle:

0               LISTENING

 TCP   Eagle:

8005            Eagle:

0               LISTENING

 TCP   Eagle:

8065            Eagle:

0               LISTENING

 TCP   Eagle:

microsoft-ds    localhost:

1031        ESTABLISHED

 TCP   Eagle:

1031            localhost:

microsoft-ds ESTABLISHED

 TCP   Eagle:

1040            Eagle:

0               LISTENING

 TCP   Eagle:

netbios-ssn     Eagle:

0               LISTENING

 TCP   Eagle:

1213            218.85.139.65:

9002    CLOSE_WAIT

 TCP   Eagle:

2416            219.133.63.142:

https  CLOSE_WAIT

 TCP   Eagle:

2443            219.133.63.142:

https  CLOSE_WAIT

 TCP   Eagle:

2907            192.168.1.101:

2774    CLOSE_WAIT

 TCP   Eagle:

2916            192.168.1.101:

telnet  ESTABLISHED

 TCP   Eagle:

2927            219.137.227.10:

4899   TIME_WAIT

 TCP   Eagle:

2928            219.137.227.10:

4899   TIME_WAIT

 TCP   Eagle:

2929            219.137.227.10:

4899   ESTABLISHED

 TCP   Eagle:

3455            218.85.139.65:

9002    ESTABLISHED

 TCP   Eagle:

netbios-ssn     Eagle:

0               LISTENING

 UDP   Eagle:

microsoft-ds    *:

*

 UDP   Eagle:

1046            *:

*

 UDP   Eagle:

1050            *:

*

 UDP   Eagle:

1073            *:

*

 UDP   Eagle:

1938            *:

*

 UDP   Eagle:

2314            *:

*

 UDP   Eagle:

2399            *:

*

 UDP   Eagle:

2413            *:

*

 UDP   Eagle:

2904            *:

*

 UDP   Eagle:

2908            *:

*

 UDP   Eagle:

3456            *:

*

 UDP   Eagle:

4000            *:

*

 UDP   Eagle:

4001            *:

*

 UDP   Eagle:

6000            *:

*

 UDP   Eagle:

6001            *:

*

 UDP   Eagle:

6002            *:

*

 UDP   Eagle:

6003            *:

*

 UDP   Eagle:

6004            *:

*

 UDP   Eagle:

6005            *:

*

 UDP   Eagle:

6006            *:

*

 UDP   Eagle:

6007            *:

*

 UDP   Eagle:

6008            *:

*

 UDP   Eagle:

6009            *:

*

 UDP   Eagle:

6010            *:

*

 UDP   Eagle:

6011            *:

*

 UDP   Eagle:

1045            *:

*

 UDP   Eagle:

1051            *:

*

 UDP   Eagle:

netbios-ns      *:

*

 UDP   Eagle:

netbios-dgm     *:

*

 UDP   Eagle:

netbios-ns      *:

*

 UDP   Eagle:

netbios-dgm     *:

*

 

咱们拿其中一行来解释吧:

Proto LocalAddress         ForeignAddress       State

TCP   Eagle:

2929            219.137.227.10:

4899   ESTABLISHED

 

合同(Proto):

TCP,指是传播层通讯合同(什么?

不懂?

请用XX搜索"TCP",OSI七层和TCP/IP四层可是基本^_^)

本地机器名(Local  Address):

Eagle,俗称计算机名了,安装系统时设立,可以在“我电脑”属性中修改,

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 经管营销 > 金融投资

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1