在網路和主機管理過程中,通過查看網路埠的狀態,可以了解計算機的很多信息.例如,本機為外界提供了那些服務,那些客戶機正在使用本機的服,當前狀態下,計算機與哪些計算機存在網路連接等,在Linux系統中可以用netstat和nmap等工具來了解埠的狀態.
首先先介紹netstat
使用方法:netstat [-option1] [-option2] 有關協議類的選項如下: -A<地址類型>:只列出指定地址類型的埠狀態,可以是inet,unix,ipx等 -t:只顯示與TCP協議有關的連接和埠監聽狀態 -u:只顯示與UDP協議有關的埠監聽狀態 -w:只顯示原始套介面狀態 如果不加以上選項,表示所有地址類型和協議的連接和埠狀態都要列出,一般情況下,Linux系統中存在著許多UNIX套接字,他們用於UNIX進程之間的通信,如果只關心TCP/IP協議有關的狀態,在執行netstat命令時,可以加上-tu選項,表示只列出與TCP和UDP協議有關的狀態,或者加上-A inet選項,表示只列出INET地址類的網路狀態,默認情況下,當執行netstat命令時,只列出TCP連接,但下面兩個選項可以改變默認狀態 -l:顯示正在監聽的TCP和UDP埠 -a:顯示所有活動的TCP連接,以及正在監聽的TCP和UDP埠 還有幾個常用的netstat命令選型如下: -n:以數字形式表示地址和埠號,不試圖去解析其名稱 -s:顯示所有協議的統計信息 -r:顯示IP路由表的內容 -p:顯示每一個活動連接或埠的監聽是由哪一個進程發動的 -i:顯示網路介面的統計信息
查看特定埠的監聽和連接情況 如: netstat -anp |grep :22
上面介紹的netstat命令可以查看本機的網路埠狀態,只要具有root許可權,則可以查看所有感興趣的內容,但如果想通過網路了解其他計算機埠的狀態,
沒有那台計算機的賬號是,問題就沒有那麼簡單了,此時需要通過埠掃描工具才能做到,但這是一種不可靠的方法,經常會被對方的防火牆擋住,或者了解到的是虛假的信息,埠掃描工具有很多種類,Linux平台下常用的是nmap工具
nmap埠掃描工具是一個開放源代碼的自由軟體,rhel5髮型版本中也提供了nmap的RPM包, 安裝方法:rpm -ivh nmap-4.11-1.1.i386.rpm 使用方法:nmap [掃描類型] [掃描選項] <目標> 其中,掃描類型可以使以下幾種: -sT :TCP connect掃描,是最基本的TCP掃描方式,在執行時不需要root許可權 -sS :TCP SYN掃描,通過想目標的某一埠發送TCP SYN包,然後根據對方的不同回應來判斷該埠是否處於監聽狀態 -SA :TCP ACK掃描,只用於確定防火牆的規則集,本身並不掃描目標主機的埠 以及 -sW -sF -sX -sN -sP -sU -sR 等
注意:目標可以使某一主機的ip地址,也可以是IP範圍,或者整個子網 namp 10.10.1.124 nmap -sP 10.10.91.0/24
另外nmaph還有一個很實用的功能,就是能根據掃描到的某些線索猜測目標主機的操作系統類型,相當準確.可以通過-O選項使用這項功能,他可以和一種掃描選項結合使用,但不能和ping掃描結合使用 nmap -O 192.168.1.121
nmap也是一種常用的網路安全工具,黑客在進行網路攻擊前,一般要使用這類工具來搜索攻擊目標,搜集目標主機的埠信息,然後在進一步採用其他手段進行攻擊.網路管理員也可以使用這類工具對網路的安全性能進行檢測,防止攻擊.
本文出自 「奔跑的螞蟻」 博客,請務必保留此出處http://antrun.blog.51cto.com/4824092/853704
