❶ 如何排查linux伺服器上的惡意發包行為
以下幾種方法檢測linux伺服器是否被攻擊:1、檢查系統密碼文件首先從明顯的入手,查看一下passwd文件,ls–l/etc/passwd查看文件修改的日期。2、查看一下進程,看看有沒有奇怪的進程重點查看進程:ps–aef|grepinetdinetd是UNIX系統的守護進程,正常的inetd的pid都比較靠前,如果看到輸出了一個類似inetd–s/tmp/.xxx之類的進程,著重看inetd–s後面的內容。在正常情況下,LINUX系統中的inetd服務後面是沒有-s參數的,當然也沒有用inetd去啟動某個文件;而solaris系統中也僅僅是inetd–s,同樣沒有用inetd去啟動某個特定的文件;如果使用ps命令看到inetd啟動了某個文件,而自己又沒有用inetd啟動這個文件,那就說明已經有人入侵了系統,並且以root許可權起了一個簡單的後門。3、檢查系統守護進程檢查/etc/inetd.conf文件,輸入:cat/etc/inetd.conf|grep–v「^#」,輸出的信息就是這台機器所開啟的遠程服務。一般入侵者可以通過直接替換in.xxx程序來創建一個後門,比如用/bin/sh替換掉in.telnetd,然後重新啟動inetd服務,那麼telnet到伺服器上的所有用戶將不用輸入用戶名和密碼而直接獲得一個rootshell。4、檢查網路連接和監聽埠輸入netstat-an,列出本機所有的連接和監聽的埠,查看有沒有非法連接。輸入netstat–rn,查看本機的路由、網關設置是否正確。輸入ifconfig–a,查看網卡設置。5、檢查系統日誌命令last|more查看在正常情況下登錄到本機的所有用戶的歷史記錄。但last命令依賴於syslog進程,這已經成為入侵者攻擊的重要目標。入侵者通常會停止系統的syslog,查看系統syslog進程的情況,判斷syslog上次啟動的時間是否正常,因為syslog是以root身份執行的,如果發現syslog被非法動過,那說明有重大的入侵事件。在linux下輸入ls–al/var/log檢查wtmputmp,包括messgae等文件的完整性和修改時間是否正常,這也是手工擦除入侵痕跡的一種方法。6、檢查系統中的core文件通過發送畸形請求來攻擊伺服器的某一服務來入侵系統是一種常規的入侵方法,典型的RPC攻擊就是通過這種方式。這種方式有一定的成功率,也就是說並不能100%保證成功入侵系統,而且通常會在伺服器相應目錄下產生core文件,全局查找系統中的core文件,輸入find/-namecore–execls–l{}\;依據core所在的目錄、查詢core文件來判斷是否有入侵行為。7、檢查系統文件完整性檢查文件的完整性有多種方法,通常通過輸入ls–l文件名來查詢和比較文件,這種方法雖然簡單,但還是有一定的實用性。但是如果ls文件都已經被替換了就比較麻煩。在LINUX下可以用rpm–V`rpm–qf文件名`來查詢,查詢的結果是否正常來判斷文件是否完整。在LINUX下使用rpm來檢查文件的完整性的方法也很多,這里不一一贅述,可以manrpm來獲得的格式。
❷ 在Linux系統下使用hping3工具進行發包測試,網上下的都是源碼包裝不上,
看你什麼系統了,redhat/fedora/centos/redflag/suse都是用rpm的,debian/ubuntu/kubuntu都是用deb的,這些包都是事先編譯好的,安裝後直接就可以用,但通用性很差,比如針對fedora11的rpm很有可能在fedora8上不能安裝,因為glibc庫版本不同,用編譯好的東西會不兼容。
源碼包什麼系統都可以用,因為是需要自己編譯的,但麻煩的是由於linux版本太多,更新太快,編譯時經常有很多依賴問題,rpm和deb通過更新自動下載其他依賴包,源碼包就需要一個一個編譯了,比較麻煩。
❸ Linux 網卡bond的七種模式
網卡bond是通過多張網卡綁定為一個邏輯網卡,實現本地網卡的冗餘,帶寬擴容和負載均衡,在生產場景中是一種常用的技術。Kernels 2.4.12及以後的版本均供bonding模塊,以前的版本可以通過patch實現。可以通過以下命令確定內核是否支持 bonding:
鏈路負載均衡,增加帶寬,支持容錯,一條鏈路故障會自動切換正常鏈路。交換機需要配置聚合口,思科叫port channel。
這個是主備模式,只有一塊網卡是active,另一塊是備用的standby,所有流量都在active鏈路上處理,交換機配置的是捆綁的話將不能清租橡工作,因為交換機往兩塊網卡發包,有一半包是丟棄的。
表示XOR Hash負載分擔,和交換機的聚合強制不協商方式配合。(需要xmit_hash_policy,需要交換機配置port channel)
表示所有包從所有網路介面發出,這個不均衡,只有冗餘機制,但過於浪費資源。此模式適用於金融行業,因為他們需要高可靠性的網路,不允許出現任何問題。需要和交換機的聚合強制不協商方式配合。
表示支持802.3ad協議,和交換機的聚合LACP方式配合(需要xmit_hash_policy).標准要求所有設備在聚合操作時,要在同樣的速率和雙工模式,而且,和除了balance-rr模式外的其它bonding負載均衡模式一樣,任何連接都不能使用多於一個介面的帶寬。
是根據每個slave的負載情況選擇slave進行發送,接收時使用當前輪到的slave。該模式要求slave介面的網路設備驅動有某種ethtool支持;而且ARP監控不可用。
在5的tlb基礎上增加了rlb(接收負載均衡receive load balance).不需要任何switch(交換機)的支持。接收負載均衡是通過ARP協商實現的.
mode5和mode6不需要交換機端的設置,網卡能自動聚合。mode4需要支持802.3ad。mode0,mode2和mode3理論上需要靜態聚合方式。
但實測中mode0可以通過mac地址欺騙的方式在交換機不設置的情況下不太均衡地進行接收。
1、首先要看linux是否支持bonding,大部分發行版都支持
如輸出以上信息,則說明支持bonding,如果沒有,說明內核不支持bonding,需要重新編譯內核
2、答旁網卡配置文件
兩個物理網口分別是:eth0,eth1 綁定後的虛擬口是:bond0
開機自動載入模塊到內核
每100毫秒 (即0.1秒) 監測一次路連接狀態,如果有一條線路不通就轉入另一條線路; Linux的多網卡綁定功能使用的是內核中的"bonding"模塊
如果修改為其它模式,只需要在BONDING_OPTS中指定mode=Number即可。USERCTL=no --是否允許非root用戶控制該設備
查看bond0狀態:可以看到調用的是哪幾個物理網卡
三、擴展
上邊是兩個網卡(eth0、eth1)綁定成一個bond0,如果我們要設置多個bond口,比如物理網口eth0和eth1組成bond0,eth2和型罩eth3組成bond1,那麼網口設置文件的設置方法和上面
是一樣的,只是/etc/modprobe.d/dist.conf文件就不能疊加了。正確的設置方法有兩種:
1、第一種
這樣所有的綁定只能使用一個mode了。
2、第二種
這種方式不同的bond口可以設定為不同的mode,注意開機自動啟動/etc/rc.d/rc.local文件的設置
http://lixin15.blog.51cto.com/3845983/1769338
http://linuxnote.blog.51cto.com/9876511/1680315
❹ 如何處理Linux虛擬機網卡只能收包不能發包問題
打開虛擬機,啟動Linux系統,啟動完成後輸入用戶名和密碼,按回車鍵登錄系統。
配置Linux網路,使其能與主機Window 7正常通訊。註:網路配置可在網上搜索相關文章
在Linux下安裝samba伺服器,安裝命令如下:
$sudo apt-get install samba smbfs samba-common smbclient
創建Samba配置文件
4.1打開配置文件
$sudo vim /etc/samba/smb.conf
4.2在smb.conf最後添加
[username]
path = /home/username
available = yes
browseable = yes
public = yes
writable = yes
(注意:上面設置中,username換成你的用戶名,如果在前面有"#",需要把它去掉)
4.3把"#===== Share Definitions====="部分修改成如下圖所示:
創建samba賬戶
$sudo smbpasswd -a USERNAME(USERNAME換成你的用戶名)
會要求輸入samba賬戶的密碼
New SMB password:
Retype new SMB password:
[如果沒有此步驟,當你登錄時會提示session setup failed:NT_STATUS_LOGON_FAILURE]
重啟samba伺服器
$sudo /etc/init.d/samba reload(修改過smb.conf的話要執行一次)
$sudo /etc/init.d/samba restart
測試samba安裝是否成功
可以到window下輸入ip測試
在文件夾處輸入"\\" + "Linux機器的IP或主機名",如圖:
在Window下建立「映射網路驅動器」
打開「計算機」,找到如下圖標注所示的「映射網路驅動器」,然後點擊它
網路驅動器的設置
點擊「驅動器」按鈕,選擇系統所剩甫姬顛肯郯廄奠詢訂墨下的盤符,如下圖所示。這里我們選擇「Z」盤
10.1選擇需要映射的共享文件夾。在「文件夾」後面的輸入框中輸入我們Linux中sanba設置的共享文件夾路徑,如下圖:
[下圖中的SHAREDIR輸入你自己的共享文件名]
10.2選上登錄時重新連接
10.3點擊完成【按鈕】,系統會為我們映射網路驅動器
打開「計算機」,會看到如下紅色框標注圖所示。雙擊網路驅動器,就可以直接訪問到我們Linux下設置的共享目錄了。