Linux 系统扫描nmap与tcpdump抓包

NMAP扫描

一款强大的网络探测利器工具

支持多种探测技术

--ping扫描

--多端口扫描

-- TCP/IP指纹校验

为什么需要扫描?

以获取一些公开/非公开信息为目的

--检测潜在风险

--查找可攻击目标

--收集设备/主机/系统/软件信息

--发现可利用的安全漏洞

基本用法

nmap [扫描类型] [选项] <扫描目标...>

常用的扫描类型

常用选项

-sS TCP SYN扫描(半开) 该方式发送SYN到目标端口，如果收到SYN/ACK回复，那么判断端口是开放的；如果收到RST包，说明该端口是关闭的。简单理解就是3次握手只完成一半就可以判断端口是否打开,提高扫描速度

-sT TCP 连接扫描(全开)

-sU UDP扫描

-sP ICMP扫描

-sV 探测打开的端口对应的服务版本信息

-A目标系统全面分析 (可能会比较慢)

-p扫描指定端口

1 ) 检查目标主机是否能ping通

2）检查目标主机所开启的TCP服务

3 ) 检查192.168.4.0/24网段内哪些主机开启了FTP、SSH服务

4）检查目标主机所开启的UDP服务

5 ) 探测打开的端口对应的服务版本信息

6）全面分析目标主机192.168.4.100的 *** 作系统信息

tcpdump

命令行抓取数据包工具

基本用法

tcpdump [选项] [过滤条件]

常见监控选项

-i，指定监控的网络接口（默认监听第一个网卡）

-A，转换为 ACSII 码，以方便阅读

-w，将数据包信息保存到指定文件

-r，从指定文件读取数据包信息

常用的过滤条件：

类型：host、net、port、portrange

方向：src、dst

协议：tcp、udp、ip、wlan、arp、……

多个条件组合：and、or、not

案例1

案例2:使用tcpdump分析FTP访问中的明文交换信息

1 ) 安装部署vsftpd服务

2 ) 并启动tcpdump等待抓包

执行tcpdump命令行，添加适当的过滤条件，只抓取访问主机192.168.4.100的21端口的数据通信 ，并转换为ASCII码格式的易读文本。

3 ) case100作为客户端访问case254服务端

4 ) 查看tcpdump抓包

5 ) 再次使用tcpdump抓包，使用-w选项可以将抓取的数据包另存为文件，方便后期慢慢分析。

6 ) tcpdump命令的-r选项，可以去读之前抓取的历史数据文件

推荐5个免费好用的Linux杀毒软件：

1、ClamAV杀毒

是Linux平台最受欢迎的杀毒软件，属于免费、开源的产品，且支持多个平台，如：Linux/Unix、Mac

OS、Windows、OpenVMS，基于病毒扫描的命令行工具，同时也支持图形界面。主要用于邮件服务器扫描邮件，有多重接口从邮件服务器扫描邮件，命令行界面也使ClamAV运行地更流畅，不必以后台进程的方式运行，当使用者想扫描时，只需输入扫描命令指定文件或目录即可。

2、Avast Linux 家庭版

对于计算机来说，它是最好的防病毒方案之一，是免费的，只能用于用户家庭或非商业用途，简单易用的用户界面和其他特性使Avast流行起来，同样支持GUI和命令行两种工具，所有用户都可以轻松地使用。

3、Avria

另一个好用的杀毒软件就是Avria免费杀毒版，提供可扩展配置，控制你的计算机成为可能，它有一些很强大的特性，如：简单的脚本安装方式、命令行扫描器、自动更新(产品、引擎、VDF)、自我完整性程序检查等。

4、AVG 免费版杀毒

现在有很多用户使用AVG杀毒，同样是Linux中不错的杀毒专家，免费版提供的功能比付费版要少，AVG目前还不支持图形界面，但运行速度很快，占用系统资源较少，支持主流的Linux版本，如：Debian、Ubuntu、Red

hat、CentOS等。

5、F-PROT 杀毒

属于Linux中新的杀毒解决方案，对家庭用户免费，有使用克龙工具的任务调度的特性，能在指定时间执行扫描人物，同时还可以扫描USB

HDD、Pendrive、ROM、网络驱动。

---