❶ 如何排查linux服务器上的恶意发包行为
以下几种方法检测linux服务器是否被攻击:1、检查系统密码文件首先从明显的入手,查看一下passwd文件,ls–l/etc/passwd查看文件修改的日期。2、查看一下进程,看看有没有奇怪的进程重点查看进程:ps–aef|grepinetdinetd是UNIX系统的守护进程,正常的inetd的pid都比较靠前,如果看到输出了一个类似inetd–s/tmp/.xxx之类的进程,着重看inetd–s后面的内容。在正常情况下,LINUX系统中的inetd服务后面是没有-s参数的,当然也没有用inetd去启动某个文件;而solaris系统中也仅仅是inetd–s,同样没有用inetd去启动某个特定的文件;如果使用ps命令看到inetd启动了某个文件,而自己又没有用inetd启动这个文件,那就说明已经有人入侵了系统,并且以root权限起了一个简单的后门。3、检查系统守护进程检查/etc/inetd.conf文件,输入:cat/etc/inetd.conf|grep–v“^#”,输出的信息就是这台机器所开启的远程服务。一般入侵者可以通过直接替换in.xxx程序来创建一个后门,比如用/bin/sh替换掉in.telnetd,然后重新启动inetd服务,那么telnet到服务器上的所有用户将不用输入用户名和密码而直接获得一个rootshell。4、检查网络连接和监听端口输入netstat-an,列出本机所有的连接和监听的端口,查看有没有非法连接。输入netstat–rn,查看本机的路由、网关设置是否正确。输入ifconfig–a,查看网卡设置。5、检查系统日志命令last|more查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程,这已经成为入侵者攻击的重要目标。入侵者通常会停止系统的syslog,查看系统syslog进程的情况,判断syslog上次启动的时间是否正常,因为syslog是以root身份执行的,如果发现syslog被非法动过,那说明有重大的入侵事件。在linux下输入ls–al/var/log检查wtmputmp,包括messgae等文件的完整性和修改时间是否正常,这也是手工擦除入侵痕迹的一种方法。6、检查系统中的core文件通过发送畸形请求来攻击服务器的某一服务来入侵系统是一种常规的入侵方法,典型的RPC攻击就是通过这种方式。这种方式有一定的成功率,也就是说并不能100%保证成功入侵系统,而且通常会在服务器相应目录下产生core文件,全局查找系统中的core文件,输入find/-namecore–execls–l{}\;依据core所在的目录、查询core文件来判断是否有入侵行为。7、检查系统文件完整性检查文件的完整性有多种方法,通常通过输入ls–l文件名来查询和比较文件,这种方法虽然简单,但还是有一定的实用性。但是如果ls文件都已经被替换了就比较麻烦。在LINUX下可以用rpm–V`rpm–qf文件名`来查询,查询的结果是否正常来判断文件是否完整。在LINUX下使用rpm来检查文件的完整性的方法也很多,这里不一一赘述,可以manrpm来获得的格式。
❷ 在Linux系统下使用hping3工具进行发包测试,网上下的都是源码包装不上,
看你什么系统了,redhat/fedora/centos/redflag/suse都是用rpm的,debian/ubuntu/kubuntu都是用deb的,这些包都是事先编译好的,安装后直接就可以用,但通用性很差,比如针对fedora11的rpm很有可能在fedora8上不能安装,因为glibc库版本不同,用编译好的东西会不兼容。
源码包什么系统都可以用,因为是需要自己编译的,但麻烦的是由于linux版本太多,更新太快,编译时经常有很多依赖问题,rpm和deb通过更新自动下载其他依赖包,源码包就需要一个一个编译了,比较麻烦。
❸ Linux 网卡bond的七种模式
网卡bond是通过多张网卡绑定为一个逻辑网卡,实现本地网卡的冗余,带宽扩容和负载均衡,在生产场景中是一种常用的技术。Kernels 2.4.12及以后的版本均供bonding模块,以前的版本可以通过patch实现。可以通过以下命令确定内核是否支持 bonding:
链路负载均衡,增加带宽,支持容错,一条链路故障会自动切换正常链路。交换机需要配置聚合口,思科叫port channel。
这个是主备模式,只有一块网卡是active,另一块是备用的standby,所有流量都在active链路上处理,交换机配置的是捆绑的话将不能清租橡工作,因为交换机往两块网卡发包,有一半包是丢弃的。
表示XOR Hash负载分担,和交换机的聚合强制不协商方式配合。(需要xmit_hash_policy,需要交换机配置port channel)
表示所有包从所有网络接口发出,这个不均衡,只有冗余机制,但过于浪费资源。此模式适用于金融行业,因为他们需要高可靠性的网络,不允许出现任何问题。需要和交换机的聚合强制不协商方式配合。
表示支持802.3ad协议,和交换机的聚合LACP方式配合(需要xmit_hash_policy).标准要求所有设备在聚合操作时,要在同样的速率和双工模式,而且,和除了balance-rr模式外的其它bonding负载均衡模式一样,任何连接都不能使用多于一个接口的带宽。
是根据每个slave的负载情况选择slave进行发送,接收时使用当前轮到的slave。该模式要求slave接口的网络设备驱动有某种ethtool支持;而且ARP监控不可用。
在5的tlb基础上增加了rlb(接收负载均衡receive load balance).不需要任何switch(交换机)的支持。接收负载均衡是通过ARP协商实现的.
mode5和mode6不需要交换机端的设置,网卡能自动聚合。mode4需要支持802.3ad。mode0,mode2和mode3理论上需要静态聚合方式。
但实测中mode0可以通过mac地址欺骗的方式在交换机不设置的情况下不太均衡地进行接收。
1、首先要看linux是否支持bonding,大部分发行版都支持
如输出以上信息,则说明支持bonding,如果没有,说明内核不支持bonding,需要重新编译内核
2、答旁网卡配置文件
两个物理网口分别是:eth0,eth1 绑定后的虚拟口是:bond0
开机自动加载模块到内核
每100毫秒 (即0.1秒) 监测一次路连接状态,如果有一条线路不通就转入另一条线路; Linux的多网卡绑定功能使用的是内核中的"bonding"模块
如果修改为其它模式,只需要在BONDING_OPTS中指定mode=Number即可。USERCTL=no --是否允许非root用户控制该设备
查看bond0状态:可以看到调用的是哪几个物理网卡
三、扩展
上边是两个网卡(eth0、eth1)绑定成一个bond0,如果我们要设置多个bond口,比如物理网口eth0和eth1组成bond0,eth2和型罩eth3组成bond1,那么网口设置文件的设置方法和上面
是一样的,只是/etc/modprobe.d/dist.conf文件就不能叠加了。正确的设置方法有两种:
1、第一种
这样所有的绑定只能使用一个mode了。
2、第二种
这种方式不同的bond口可以设定为不同的mode,注意开机自动启动/etc/rc.d/rc.local文件的设置
http://lixin15.blog.51cto.com/3845983/1769338
http://linuxnote.blog.51cto.com/9876511/1680315
❹ 如何处理Linux虚拟机网卡只能收包不能发包问题
打开虚拟机,启动Linux系统,启动完成后输入用户名和密码,按回车键登录系统。
配置Linux网络,使其能与主机Window 7正常通讯。注:网络配置可在网上搜索相关文章
在Linux下安装samba服务器,安装命令如下:
$sudo apt-get install samba smbfs samba-common smbclient
创建Samba配置文件
4.1打开配置文件
$sudo vim /etc/samba/smb.conf
4.2在smb.conf最后添加
[username]
path = /home/username
available = yes
browseable = yes
public = yes
writable = yes
(注意:上面设置中,username换成你的用户名,如果在前面有"#",需要把它去掉)
4.3把"#===== Share Definitions====="部分修改成如下图所示:
创建samba账户
$sudo smbpasswd -a USERNAME(USERNAME换成你的用户名)
会要求输入samba账户的密码
New SMB password:
Retype new SMB password:
[如果没有此步骤,当你登录时会提示session setup failed:NT_STATUS_LOGON_FAILURE]
重启samba服务器
$sudo /etc/init.d/samba reload(修改过smb.conf的话要执行一次)
$sudo /etc/init.d/samba restart
测试samba安装是否成功
可以到window下输入ip测试
在文件夹处输入"\\" + "Linux机器的IP或主机名",如图:
在Window下建立“映射网络驱动器”
打开“计算机”,找到如下图标注所示的“映射网络驱动器”,然后点击它
网络驱动器的设置
点击“驱动器”按钮,选择系统所剩甫姬颠肯郯厩奠询订墨下的盘符,如下图所示。这里我们选择“Z”盘
10.1选择需要映射的共享文件夹。在“文件夹”后面的输入框中输入我们Linux中sanba设置的共享文件夹路径,如下图:
[下图中的SHAREDIR输入你自己的共享文件名]
10.2选上登录时重新连接
10.3点击完成【按钮】,系统会为我们映射网络驱动器
打开“计算机”,会看到如下红色框标注图所示。双击网络驱动器,就可以直接访问到我们Linux下设置的共享目录了。