netstat 實用程式顯示關于本地系統上開放端口的資訊。
# netstat -tulnp
每一行輸出顯示正在 LISTEN 或屬于 ESTABLISHED 連接配接一部分的程序( PID 和程式名) 0.0.0.0 或::本地位址表示程序正在偵聽所有接口。
netstat 選項 : -t – tcp 協定或開放 TCP 端口
-u – udp 協定或開放 UDP 端口
-l – 僅偵聽端口,而非活動、已建立的連接配接
-n – 按編号而非名稱顯示主機和端口
-p – 顯示控制端口的本地程序
檢測遠端服務nmap 實用程式是一個端口掃描器,可探測遠端系統并顯示關于哪些端口處于開放狀态的資訊。這可幫助您确定是否有意外服務正在運作或您管理的系統上是否有可用端口。
# nmap -A -sT server1 1
nmap -sP – 執行 ping 掃描,以确定響應 ICMP ping 請求的主機
-sT – 執行 TCP 連接配接掃描
-sU – 執行 UDP 掃描(可能需要很長時間)
-p – 限制到特定端口,這對于 UDP 掃描尤其有用
-A – 啟用 OS 檢測和版本檢測、腳本掃描和跟蹤路由
-v – 詳細(使用多個 -v 使其更加詳細)
Avahi 服務Avahi 服務被簡單地介紹為許多組織希望禁用的“典型”網絡服務
Avahi 可實施 Zeroconf (零配置網絡)服務。 Zeroconf 允許位于同一廣播域中的計算機進行通信和發現彼此的服務,而無需靜态聯網、 DHCP 或其他明确配置。
avahi-daemon 必須在使用 Avahi 的系統上運作,以聲明或發現本地連結服務。否則, avahi-daemon 不 應處于運作狀态。
檢測本地 Avahi 服務正在偵聽哪些端口:
# netstat -tulnp |grep avahi
使用 nmap 掃描 Avahi 服務偵聽的端口:
# nmap -sU -p 5353,52547 192.168.0.11
永久禁用 Avahi 服務。
# /etc/init.d/avahi-daemon stop
Shutting down Avahi daemon: [OK]
# chkconfig avahi-daemon off
重新掃描 avahi-daemon 端口,确認不可用
捕獲和分析網絡通信網絡嗅探器是允許使用者捕獲網絡通信的工具,可以簡化診斷和調試網絡問題。 Red Hat Enterprise Linux 包括兩個網絡嗅探器,一個是簡單有強大的 tcpdump (隻捕獲封包),另一個是 Wireshark 實用程式(可捕獲并解析網絡通信,以進行更深入的分析)。
通過 tcpdump 捕獲封包列出所有可用捕獲接口:
# tcpdump -D
捕獲所有 SSH 網絡通信:
# tcpdump -nn -l -s 2000 -w packets -i eth0 'port 22'
1. -nn = 顯示為數值的所有内容(包括端口和協定)
2. -l = 對檔案執行行緩沖
3. -s snap_len = 要輸出的每個封包的最大位元組數
4. -w filename = 要寫入輸出的檔案
5. -i interface = 要捕獲的接口
6. filter = 用于過濾封包的關鍵字和邏輯運算符(如‘ host desktopX.example.com and port 25’ )
wireshark 分析網絡封包啟動 httpd 服務
# service httpd start
确定端口 80 的狀态:
# netstat -tulnp |grep ':80'
掃描特定端口 80 :
# nmap -sT 192.168.0.11
使用 tcpdump 捕獲 HTTP 封包:
# tcpdump -nn -l -s 2048 -w /mnt/file -i eth0 'port 80' &
打開浏覽器通路 http 服務:
# firefox http://serverX.example.com &
停止 tcpdump :
# killall tcpdump
安裝 wireshark-gnome 軟體包,并分析 tcpdump 捕獲檔案:
# yum install -y wireshark-gnome
# wireshark /mnt/file