Jun
7
TCPDUMP数据包分析及在服务器维护过程中的作用。windump用法类似。今天特别为了测试tcpdump架设了两个虚拟机,对所述命令进行测试。以达到完全了解tcpdump的目的。环境centos 5 虚拟机用vmware。
tcpdump的选项介绍
-a 将网络地址和广播地址转变成名字;
-d 将匹配信息包的代码以人们能够理解的汇编格式给出;
-dd 将匹配信息包的代码以c语言程序段的格式给出;
-ddd 将匹配信息包的代码以十进制的形式给出;
-e 在输出行打印出数据链路层的头部信息;
-f 将外部的Internet地址以数字的形式打印出来;
-l 使标准输出变为缓冲行形式;
-n 不把网络地址转换成名字;
-t 在输出的每一行不打印时间戳;
-v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
-vv 输出详细的报文信息;
-c 在收到指定的包的数目后,tcpdump就会停止;
-F 从指定的文件中读取表达式,忽略其它的表达式;
-i 指定监听的网络接口;
-r 从指定的文件中读取包(这些包一般通过-w选项产生);
-w 直接将包写入文件中,并不分析和打印出来;
-T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议;)
tcpdump -nnnv arp 查找ARP攻击时确定攻击原MAC地址时常用。
tcpdump -nnnv udp port 53 DNS服务器53端口受ARP攻击时查看攻击源时用。
tcpdump -nnnv udp and not port 53 可以确定是否有非53端口的大流量UDP攻击
tcpdump -nnnv port 80 and host 192.168.0.1 找出从192.168.0.1的80端口收到或发送的IP包。
tcpdump -nnnv ip host 210.27.48.1 and ! 210.27.48.2 获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包
tcpdump -nnnv host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \) 截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信
tcpdump -nnnv host ! 192.168.15.129 and ! 192.168.15.130 and dst port 80
捕获除了主机192.168.15.129与192.168.15.130 且到本机目标80端口的数据包。
tcpdump -nnnv src 192.168.15.129 and port 53 捕获由192.168.15.129到本机53端口的数据包。不管是UDP还是TCP
信息参考:Tcpdump命令的使用与示例http://tcpdump.anheng.com.cn/news/24/586.html" target="_blank"> http://tcpdump.anheng.com.cn/news/24/586.html
超级详细Tcpdump 的用法 http://course.51cto.com/art/200512/15473.htm
Linux下的Sniffer Tcpdump的安装和使用http://unix-cd.com/vc/www/28/2007-08/8018.html 注此文中部分命令是错的。
TCPDump使用方法小结 http://softtest.chinaitlab.com/qita/746811.html
TCPDUMP高级用法http://blog.csdn.net/linyt/archive/2007/12/14/1936073.aspx
tcpdump的选项介绍
-a 将网络地址和广播地址转变成名字;
-d 将匹配信息包的代码以人们能够理解的汇编格式给出;
-dd 将匹配信息包的代码以c语言程序段的格式给出;
-ddd 将匹配信息包的代码以十进制的形式给出;
-e 在输出行打印出数据链路层的头部信息;
-f 将外部的Internet地址以数字的形式打印出来;
-l 使标准输出变为缓冲行形式;
-n 不把网络地址转换成名字;
-t 在输出的每一行不打印时间戳;
-v 输出一个稍微详细的信息,例如在ip包中可以包括ttl和服务类型的信息;
-vv 输出详细的报文信息;
-c 在收到指定的包的数目后,tcpdump就会停止;
-F 从指定的文件中读取表达式,忽略其它的表达式;
-i 指定监听的网络接口;
-r 从指定的文件中读取包(这些包一般通过-w选项产生);
-w 直接将包写入文件中,并不分析和打印出来;
-T 将监听到的包直接解释为指定的类型的报文,常见的类型有rpc (远程过程调用)和snmp(简单网络管理协议;)
tcpdump -nnnv arp 查找ARP攻击时确定攻击原MAC地址时常用。
tcpdump -nnnv udp port 53 DNS服务器53端口受ARP攻击时查看攻击源时用。
tcpdump -nnnv udp and not port 53 可以确定是否有非53端口的大流量UDP攻击
tcpdump -nnnv port 80 and host 192.168.0.1 找出从192.168.0.1的80端口收到或发送的IP包。
tcpdump -nnnv ip host 210.27.48.1 and ! 210.27.48.2 获取主机210.27.48.1除了和主机210.27.48.2之外所有主机通信的ip包
tcpdump -nnnv host 210.27.48.1 and \ (210.27.48.2 or 210.27.48.3 \) 截获主机210.27.48.1 和主机210.27.48.2 或210.27.48.3的通信
tcpdump -nnnv host ! 192.168.15.129 and ! 192.168.15.130 and dst port 80
捕获除了主机192.168.15.129与192.168.15.130 且到本机目标80端口的数据包。
tcpdump -nnnv src 192.168.15.129 and port 53 捕获由192.168.15.129到本机53端口的数据包。不管是UDP还是TCP
信息参考:Tcpdump命令的使用与示例http://tcpdump.anheng.com.cn/news/24/586.html" target="_blank"> http://tcpdump.anheng.com.cn/news/24/586.html
超级详细Tcpdump 的用法 http://course.51cto.com/art/200512/15473.htm
Linux下的Sniffer Tcpdump的安装和使用http://unix-cd.com/vc/www/28/2007-08/8018.html 注此文中部分命令是错的。
TCPDump使用方法小结 http://softtest.chinaitlab.com/qita/746811.html
TCPDUMP高级用法http://blog.csdn.net/linyt/archive/2007/12/14/1936073.aspx
Jun
7
linux下常用的维护管理工作及相关信息:
putty.exe 简单且免费的免费管理工具。http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
putty.exe本地下载。
putty.exe 简单且免费的免费管理工具。http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html
putty.exe本地下载。
Jun
4
今天DNS又再次受攻击。调整了DNS中的mydns.conf配置档中关于 缓存大小及cache时间。亦对攻击无效。
重新调整了DNS服务器各节点顺序。删除部分效率低下节点。
同时发现,在不同的IP上,受攻击时,对监听的其他IP是能正常解析的。
是以。问题不在性能。不在硬件。在配置档。在调整之前的所有旧的DNS设置过程中,发现,即使调整了MYDNS配置档中的多CPU支持。但在实际的运行环境中,除了加重对CPU的负载外。在流量监控上,发现对攻击并没有缓解的迹象。说明即便使用支持多CPU的多线程DNS,也是没用。
今天将昨天测试的那台SUN服务器上架,新增一节点。发现新服务器在使用MYDNS的过程中,数据库进程会随着MYDNS启用的线程而增加。而原来旧的DNS服务器却没有这种情况,其不论DNS的线程多少都只有一个MYSQL进程而已。
同时,今天的的测试结果显示。在注册局中,添加注册IP,其基本可以在半小时或是更短的时间内生效。是以若是再有类似的攻击。只要保证有相应的节点及服务器硬件数量。那多大的攻击都是可以抵挡的。
快下班时,攻击停了。再用nmap进行扫描发现另两台DNS节点的防火墙未开启。重起。解决。
重新调整了DNS服务器各节点顺序。删除部分效率低下节点。
同时发现,在不同的IP上,受攻击时,对监听的其他IP是能正常解析的。
是以。问题不在性能。不在硬件。在配置档。在调整之前的所有旧的DNS设置过程中,发现,即使调整了MYDNS配置档中的多CPU支持。但在实际的运行环境中,除了加重对CPU的负载外。在流量监控上,发现对攻击并没有缓解的迹象。说明即便使用支持多CPU的多线程DNS,也是没用。
今天将昨天测试的那台SUN服务器上架,新增一节点。发现新服务器在使用MYDNS的过程中,数据库进程会随着MYDNS启用的线程而增加。而原来旧的DNS服务器却没有这种情况,其不论DNS的线程多少都只有一个MYSQL进程而已。
同时,今天的的测试结果显示。在注册局中,添加注册IP,其基本可以在半小时或是更短的时间内生效。是以若是再有类似的攻击。只要保证有相应的节点及服务器硬件数量。那多大的攻击都是可以抵挡的。
快下班时,攻击停了。再用nmap进行扫描发现另两台DNS节点的防火墙未开启。重起。解决。
Jun
3
摘选自:http://zkyliufeng.blog.ccidnet.com/blog-htm-itemid-310344-uid-33670-do-showone-type-blog.html
关于此SQL注入。我所服务的公司每天几乎都至少有5例相似案例。可以证实,以下新闻有一定的依据。当然。入侵字段有所变化。
有等进一步统计得出结论。
据IDG新闻服务5月19日报道,中国大陆和中国台湾地区数以千计的网站正在遭受大规模的SQL注入攻击。由于采用了非常强的SQL注入攻击手段,因此将会给很多目标网站带来不可逆转的破坏,数以千计的网站被卷入到了这次攻击中,截止上周五已经有超过1万个服务器被植入了恶意代码,而其中的大部分都位于中国大陆,还有一少部分位于中国台湾地区。搜房网和深圳汽车大世界网都沦为了上周五的攻击目标。
关于此SQL注入。我所服务的公司每天几乎都至少有5例相似案例。可以证实,以下新闻有一定的依据。当然。入侵字段有所变化。
有等进一步统计得出结论。
据IDG新闻服务5月19日报道,中国大陆和中国台湾地区数以千计的网站正在遭受大规模的SQL注入攻击。由于采用了非常强的SQL注入攻击手段,因此将会给很多目标网站带来不可逆转的破坏,数以千计的网站被卷入到了这次攻击中,截止上周五已经有超过1万个服务器被植入了恶意代码,而其中的大部分都位于中国大陆,还有一少部分位于中国台湾地区。搜房网和深圳汽车大世界网都沦为了上周五的攻击目标。
Jun
3
测试inter平台与AMD SUN平台的DNS响应速度。
硬件配置:inter平台dell 1750 双至强 2.80GHz *2 2G内存。
AMD平台sun Processor 250 2*2.4G 2G内存
DNS平台:mysql+mydns 其中设置mydns的配置档分别对应CPU个数时的效率情况。
multicpu qps time lost completed Queries sent
77->81 1 2923 342 0 100.00% 1000000
sun->inter 4 6220 160 3 100.00% 1000000
相当4CPU 8 6318 158 3 100.00% 1000000
81->77 1 4458 224 0 100.00% 1000000
intel->sun 2 7692 130 17 100.00% 1000000
相当2CPU 4 7591 131 17 100.00% 1000000
测试工具bind-9.4.2的 queryperf 工具。用100万个域名进行测试。
从上面的测试结果显示。用sun平台的效率明显高于inter平台。
mysql:4.0.27
mydns: mydns1.1.0
目前我操作过的DNS节点数为9个节点。以mysql4.0.27做数据库。并使之在各节点间同步。可应对的查询估计为7亿次/天。负责近百万的域名查询。
硬件配置:inter平台dell 1750 双至强 2.80GHz *2 2G内存。
AMD平台sun Processor 250 2*2.4G 2G内存
DNS平台:mysql+mydns 其中设置mydns的配置档分别对应CPU个数时的效率情况。
multicpu qps time lost completed Queries sent
77->81 1 2923 342 0 100.00% 1000000
sun->inter 4 6220 160 3 100.00% 1000000
相当4CPU 8 6318 158 3 100.00% 1000000
81->77 1 4458 224 0 100.00% 1000000
intel->sun 2 7692 130 17 100.00% 1000000
相当2CPU 4 7591 131 17 100.00% 1000000
测试工具bind-9.4.2的 queryperf 工具。用100万个域名进行测试。
从上面的测试结果显示。用sun平台的效率明显高于inter平台。
mysql:4.0.27
mydns: mydns1.1.0
目前我操作过的DNS节点数为9个节点。以mysql4.0.27做数据库。并使之在各节点间同步。可应对的查询估计为7亿次/天。负责近百万的域名查询。
