host -t MX szit.hu
Az eredmény valami ilyesmi:
szit.hu mail is handled by 5 mail.szit.hu.
Ezzel megtudtuk, ha valaki egy szit.hu tartományra küld leveleket, akkor
azokat a mail.szit.hu szerver fogja kezelni, azaz fogadni.
A tartományhoz elérhető zónainformációk lekérdezése:
host -t any szit.hu
Lehetséges eredmény:
szit.hu mail is handled by 5 mail.szit.hu.
szit.hu has SOA record ns.tdns1.net. hostmaster.cpserver.net. 2011102801 10800 3600 3600000 3600
szit.hu name server ns.tdns1.net.
szit.hu name server ns.tdns2.net.
szit.hu has address 84.21.31.224
==== dig ====
A DNS rendszergazdák kiváló eszköze. Megnézhetjük egy DNS szerver mit tud adott tartománynévről mondani.
Telepítés:
apt install knot-dnsutils
vagy:
atp install dnsutils
A '@' karakter után adjuk meg szóközök nélkül a lekérdezett DNS szervert:
dig @szervercim amelydomaintszeretnem
dig szit.hu any +noall +answer
; <<>> DiG 9.7.3 <<>> szit.hu any +noall +answer
;; global options: +cmd
szit.hu. 3600 IN MX 5 mail.szit.hu.
szit.hu. 3600 IN SOA ns.tdns1.net. hostmaster.cpserver.net. 2011102801 10800 3600 3600000 3600
szit.hu. 3600 IN NS ns.tdns2.net.
szit.hu. 3600 IN NS ns.tdns1.net.
szit.hu. 3600 IN A 84.21.31.224
==== nslookup ====
nslookup -ty=any szit.hu
Server: 84.2.44.1
Address: 84.2.44.1#53
Non-authoritative answer:
szit.hu
origin = ns.tdns1.net
mail addr = hostmaster.cpserver.net
serial = 2011102801
refresh = 10800
retry = 3600
expire = 3600000
minimum = 3600
szit.hu nameserver = ns.tdns2.net.
szit.hu nameserver = ns.tdns1.net.
Name: szit.hu
Address: 84.21.31.224
szit.hu mail exchanger = 5 mail.szit.hu.
Authoritative answers can be found from:
mail.szit.hu internet address = 84.21.31.224
Az nslookup paraméter nélkül indítva egy interaktív program, amely parancsokat vár
az indítása után.
===== Hálózat =====
==== socat ====
=== Leírás ===
Több célú kétirányú adatforgalom kezelő. A man socat elég hosszan taglalja a lehetőségeket.
=== Telepítése ===
apt-get install socat
Vagy a legújabb:
* http://www.dest-unreach.org/socat/download/
=== Használat ===
Például tesztelhetjük a levelezőszerverünket:
socat - TCP4:localhost:25
220 evelin ESMTP Postfix (Debian/GNU)
ehlo vagyok
250-evelin
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
quit
221 2.0.0 Bye
Portot irányíthatunk át:
socat TCP4-LISTEN:8000 TCP4:debian.org:www
Persze ez a második kérést már nem szolgálja ki.
Ez utóbbi például a mi gépünk 8000-es portjára érkező minden kérést
átirányít a debian.org IP címéhez tartozó webszerver főoldalára.
socat TCP4-LISTEN:8000,fork TCP4:debian.org:www
Így több kérést is fogad, sőt, minden egyes kérésre újabb socat szállat indít.
Egy démon rögtönzése:
socat - TCP-LISTEN:5555,crlf
Csak szerveroldalon szakítható meg.
Ha csak olvasni akarom a foglalatot:
socat readline TCP-LISTEN:5555,crlf
==== mtr ====
=== Leírás ===
Az mtr egy teljesképernyős ncurses és X11 alapú tracroute program.
Ping paranccsal megvalósított nyomkövetést tesz lehetővé (traceroute).
(A traceroute képes csomagok nyomkövetésére. Kideríthetjük milyen
routereken ment keresztül a csomagunk)
=== Telepítés ===
apt-get install mtr
=== Használat ===
Az mtr X felülete indul el, ha érzékeli a grafikus felületet.
Ellenkező esetben ncurses módban fut. Akármelyik felületen vagyunk
elég beírni mtr:
mtr
A program interaktív, kilépni a "Q" billentyű lenyomásával lehet.
Azonban grafikus felületen is rávehetjük az ncurses módra:
mtr -t
vagy
mtr --curses
Egyéb paraméter nélkül a localhostra küld folyamatosan pinget.
Ha megadunk számára egy tartománynevet, akkor az adott címre fog
echo request parancsokat küldeni, miközben mutatja az eredményt.
A használatához a célgépnek válaszolni kell a ping parancsra.
==== arp ====
=== Leírás ===
Az ARP tábla lekérdezése, manipulálása.
=== Telepítés ===
Az arp parancs a net-tools csomagban van. Telepítés:
apt-get install net-tools
=== Használat ===
Egyszerűen írjuk be az arp parancsot, amely kiírja az aktuális ARP táblát:
arp
Lehetséges válasz:
Address HWtype HWaddress Flags Mask Iface
192.168.5.1 ether a0:f3:c1:d7:5c:7a C eth0
A -n kapcsoló lebeszéli a programot a host, port és felhasználói nevek feloldásáról.
Az arp -n és arp parancs egyazon kimenetet adja, de a -n gyorsabb. Ha nincs más kapcsoló,
akkor érdemes a -n kapcsolót használni:
arp -n
Lehetséges válasz:
Address HWtype HWaddress Flags Mask Iface
192.168.5.100 ether 08:00:27:98:43:27 C eth0
192.168.5.1 ether 00:14:78:ef:fe:88 C eth0
Más paraméter nélkül lekérdezzük az arp táblánkat.
==== arping ====
=== Telepítés ===
Az arping parancs a vele azonos nevű csomagban van. A telepítés:
apt-get install arping
=== Használat ===
arping 00:14:78:ef:fe:88
Eredmény:
ARPING 00:14:78:ef:fe:88
60 bytes from 111.111.111.111 (00:14:78:ef:fe:88): icmp_seq=0 time=1.649 msec
60 bytes from 111.111.111.111 (00:14:78:ef:fe:88): icmp_seq=1 time=1.234 msec
60 bytes from 111.111.111.111 (00:14:78:ef:fe:88): icmp_seq=2 time=1.231 msec
60 bytes from 111.111.111.111 (00:14:78:ef:fe:88): icmp_seq=3 time=1.209 msec
60 bytes from 111.111.111.111 (00:14:78:ef:fe:88): icmp_seq=4 time=1.234 msec
^C
--- 00:14:78:ef:fe:88 statistics ---
5 packets transmitted, 5 packets received, 0% unanswered (0 extra)
^C
=== Vizsgálat IP cím alapján ===
Adott IP címen elérhető gép?
arping -I enp2s0 -c 3 192.168.5.10
=== Duplikált IP cím kutatás ===
Futtatjuk az arping parancsot:
arping -D -I enp2s0 -c 2 192.168.5.10
Ha duplikálva van az IP cím, akkor 0 érték jelenik meg,
visszatérési értékként. Vizsgálat:
echo $?
Az 1-es érték mutatja, hogy nincs duplikáció.
Kapcsolók:
* -D duplikált címek keresése
* -I interfész megadása
* -c ennyi csomag küldése
==== arp-scan ====
apt install arp-scan
Példa: A hálózatba csatlakoztattam egy új gépet, de nem tudom milyen IP címet kapott.
A következő paranccsal szkennelem a hálózatot:
arp-scan -l
A -l kapcsolóval teljesen ekvivalens a
Interface: eth0, datalink type: EN10MB (Ethernet)
Starting arp-scan 1.6 with 256 hosts (http://www.nta-monitor.com/tools/arp-scan/)
192.168.1.1 d8:5d:4c:85:e4:18 (Unknown)
192.168.1.100 b8:27:eb:d1:f1:a9 (Unknown)
2 packets received by filter, 0 packets dropped by kernel
Ending arp-scan 1.6: 256 hosts scanned in 1.381 seconds (185.37 hosts/sec). 2 responded
Az eredmények egyik az újonnan csatlakoztatott gép IP és Mac címe.
A 172.16.0.0/16 hálózatból szeretném a bekapcsolt gépeket:
arp-scan 172.16.0.0/16
A 172.16.16.0/24 hálózatból szeretném a bekapcsolt gépeket:
arp-scan 172.16.16.0/24
Duplázott IP címek keresése, példa:
arp-scan -I ens32 -l
Az ens32 a hálózati kártya neve.
...
10.1.0.1 00:50:56:93:c8:b7 VMware, Inc. (DUP: 2)
10.1.0.1 00:50:56:93:be:58 VMware, Inc. (DUP: 3)
10.1.100.219 f8:94:c2:f9:ba:05 (Unknown)
10.1.0.1 00:50:56:93:c8:b7 VMware, Inc. (DUP: 4)
Két különböző hardvercím tartozik egyazon IP címhez.
Lásd még az nmap programot.
==== jnettop ====
=== Leírás ===
Hálózati forgalom figyelése. A jnettop egy interaktív felületen biztosítja
a forgalom valósidejű figyelését.
=== Telepítés ===
apt-get install jnettop
=== Használat ===
jnettop
Kilépés: Q
Beállíthatunk konkrét hálózati kártyát. Például:
jnettop -i eth1
Alkalmas szippantó tevékenységre (promiscuous mód) is.
jnettop -p
vagy
jnettop --promiscuous
A -x vagy --filter kapcsolókkal szűrési szabályokat adhatunk meg.
A szűrési szabályok szintaxisa megegyezik a tcpdump szintaktikájú.
Használatához lásd a tcpdump(1) kézikönyvet.
==== iptraf ====
=== Leírás ===
Az iptraf egy menüs csomag és kapcsolatmonitorozó eszköz,
ncurses alapokon.
=== Telepítés ===
apt-get install iptraf
=== Indítás ===
iptraf
==== traceroute ====
=== Leírás ===
Csomagok nyomonkövetése a hálózaton.
=== Futtatás ===
Szeretnénk megnézni a szit.hu domainig, hány csomóponton megy át a csomagunk.
traceroute -I szit.hu
Eredmény:
traceroute to szit.hu (195.21.31.224), 30 hops max, 60 byte packetes
1 * * *
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 zold.and (195.21.31.224) 30.308 ms 32.644 ms 35.827 ms
* A -I ICMP csomagokat küld.
* A -T syn jelzős TCP csomagokat küld.
==== tcptracroute ====
A tcptraceroute TCP kapcsolaton keresztül követi a csomagok útját csomópontokon keresztül.
tcptraceroute szit.hu 80
Selected device eth0, address 192.168.1.4, port 36547 for outgoing packets
Tracing the path to szit.hu (195.21.31.224) on TCP port 80 (www), 30 hops max
1 192.168.1.1 0.403 ms 0.220 ms 0.171 ms
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
9 zold.and (195.21.31.224) [open] 9.527 ms 9.547 ms 10.291 ms
==== netstat ====
Hálózati kapcsolatok, routing tábla,
hálózati eszközök, maszkolt kapcsolatok,
csoportos átvitel megjelenítése.
netstat -nt
A fenti példában, például nem szeretném feloldani a
számokat nevekké (-n kapcsoló), és csak TCP kapcsolatokat
szeretném látni (-t kapcsoló).
A MySQL milyen porton hallgatózik:
netstat -tap | grep mysql
Az eredmény ilyen lehet:
tcp 0 0 localhost:mysql *:* LISTEN
1026/mysqld
Milyen program/programok generálnak forgalmat?
netstat -np | grep -v ^unix
A -n kapcsoló hatására nem szeretnénk névfeloldást. A -p kapcsoló hatására szeretnénk megjeleníteni azon programok neveit és PID számait, amelyek forgalmat generálnak.
==== iptstate ====
=== Leírás ===
A iptstate egy top szerű program az iptables kapcsolatkövető táblájának (state tábla) megtekintéséhez.
=== Telepítés ===
apt-get install iptstate
=== Használat ===
iptstate
=== Honlap ===
* http://www.phildev.net/iptstate/
==== tcpdump ====
A hálózati forgalom figyelése
A echo request kéréseket szeretnénk:
tcpdump 'icmp[icmptype] == icmp-echo'
Minden olyan csomagot szeretnék, amely nem visszhang kérés és nem visszhang válasz:
tcpdump 'icmp[icmptype] != icmp-echo and icmp[icmptype] != icmp-echoreply'
A helyi géről a 192.168.5.1-es gépekre haladó csomagok:
tcpdump net 192.168.5.1
A webes forgalom figyelése:
tcpdump -A -s 0 port 80
DHCP ellenőrzése:
tcpdump -i eth0 port bootps -vvv
Elkapjuk az ICMP csomagokat az eth0 eszközön, és nem kérünk névfeloldást (-n):
tcpdump -ni eth0 icmp
A helyi teszteléshez a lo interfészt kell figyelnünk, hiába írunk a telnet program után külső IP címet, a csomag a loopback interfészen fog utazni.
Tesztelés helyben:
tcpdump -i lo "port 25"
telnet 192.168.5.4 25
Csak adott port esetén jelenítse meg:
tcpdump port 80
Csak adott forrsáportról érkező csomagok:
tcpdump src port 80
Csak adott forrsáportról érkező csomagok:
tcpdump src port 80
Irodalom:
* https://danielmiessler.com/study/tcpdump/
==== netcat ====
Írás és olvasás a hálózati forgalomba.
Például kapcsolódjunk egy SMTP szerverhez:
nc localhost 25
A példa további folytatásához az [[http://www.ietf.org/rfc/rfc2821.txt|SMTP kommunikáció]] ismerete szükséges.
Levélküldő script:
#!/bin/bash
(
echo "ehlo gep1"
echo "mail from: juci@gep1"
echo "rcpt to: joska@gep2.zold.and"
echo "data"
echo "From: Juci"
echo "To: Joska"
echo "Subject: Teszt level"
echo "Teszt levél"
echo "."
echo "quit"
) | nc 192.168.5.6 25
Másik példa:
#!/bin/bash
function mail_input
{
echo "ehlo gep1"
echo "mail from: ica@gep1"
echo "rcpt to: joska@gep2.zold.and"
echo "data"
echo "From: Ica"
echo "To: Joska"
echo "Subject: Teszt level"
echo "Teszt level ujra"
echo "."
echo "quit"
}
mail_input | nc 192.168.5.6 25
==== cryptcat ====
apt install cryptcat
cryptcat -h
man cryptcat
==== lnstat ====
A hálózatról ad információkat.
A /proc/net/stat/ állományait lehet vele listázni fájl és kulcsok alapján.
A fájlok és kulcsok listája:
lnstat -d
Fájlok és kulcsok megadásával szűrhetünk:
lnstat -k arp_cache:entries, rt_cache:in_hit,arp_cache:destroys
==== nstat ====
Hálózati statisztika.
Az nstat futtatása önmagában ehhez hasonló eredményeket produkál:
IpInReceives 65816 0.0
IpInAddrErrors 2 0.0
IpInDelivers 65794 0.0
IpOutRequests 54342 0.0
...
==== routel ====
A routing kiíratása szebb formában. Legalábbis szándék szerint.
Az iproute csomag része (Ebben a csomagban találhatók a következő
parancsok is: ip, rtacct, rtmon, ss, tc, lnstat, nstat, routef).
routel
routel local
Az utóbbi eredménye:
target gateway source proto scope dev tbl
192.168.1.0 broadcast 192.168.1.4 kernel link eth0
127.255.255.255 broadcast 127.0.0.1 kernel link lo
192.168.1.4 local 192.168.1.4 kernel host eth0
192.168.1.255 broadcast 192.168.1.4 kernel link eth0
127.0.0.0 broadcast 127.0.0.1 kernel link lo
127.0.0.1 local 127.0.0.1 kernel host lo
127.0.0.0/ 8 local 127.0.0.1 kernel host lo
==== ss ====
A socketek vizsgálata.
Az összes socket megtekintése:
ss -a
Hallgatózó socketek:
ss -l
A hallgatózó socketeket milyen folyamat tartja fent:
ss -l -p
==== route ====
A routingtábla kiíratása és változtatása.
Paraméter nélkül kiírja a routing táblát:
route
Lehetséges eredmény:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.5.0 * 255.255.255.0 U 1 0 0 eth0
default 192.168.5.1 0.0.0.0 UG 0 0 0 eth0
Az eredményből látjuk, hogy az alapértelmezett átjáró a 192.168.5.1, vagyis
ezen keresztül érjük az internetet.
==== ip ====
A routing tábla kezelése.
Az ip parancsnak meg kell adni egy objektumot.
Lehetséges objektumok:
* link
* addr
* addrlabel
* route
* rule
* neigh
* tunnel
* maddr mroute
* monitor
ip route show
Lehetséges eredmény:
192.168.5.0/24 dev eth0 proto kernel scope link src 192.168.5.4 metric 1
default via 192.168.5.1 dev eth0 proto static
Az eth0 linkjének megtekintése:
ip link show eth0
Lehetséges eredmény:
2: eth0: mtu 1500 qdisc pfifo_fast state UNKNOWN qlen 1000
link/ether 00:50:8d:7c:ab:04 brd ff:ff:ff:ff:ff:ff
==== nmap ====
Nyitott portok keresése.
apt-get install nmap
nmap 172.16.1.130
Starting Nmap 6.47 ( http://nmap.org ) at 2016-03-22 16:57 CET
Nmap scan report for zold.and (172.16.1.130)
Host is up (0.00013s latency).
Not shown: 997 filtered ports
PORT STATE SERVICE
25/tcp open smtp
80/tcp open http
995/tcp closed pop3s
MAC Address: 08:00:27:5C:A5:76 (Cadmus Computer Systems)
Ha kimenetben egyik sorában a closed szó szerepel, az adott
port nyitva van ugyan, de folyamat nem fut mögötte.
Nincs telepítve, vagy le van állítva, vagy más dolog miatt
nem üzemel.
Grafikus felülettel:
apt-get install zenmap
Rootként futtatható zenmap paranccsal.
Használat:
nmap localhost
Nézzük meg, hogy a 192.168.16.0 hálózatban van-e 445-ös part nyitva.
nmap -sT 192.168.16.1-254 -p 445
UDP portok keresése:
nmap -sU 192.168.1.112
DHCP szerver felderítése:
nmap -sU 192.168.1.112 -p 67-68
Milyen gépek vannak a hálózatban, milyen portokkal:
nmap 192.168.1.1-255
Bekapcsolt gépek a hálózaton:
nmap -sP 192.168.5.0/24
Van-e 172.16.1.1 -- 172.16.1.1 gépek között, olyan amelyiken a 22 port van nyitva:
nmap 172.16.1.1-200 -p 22
==== openvas ====
apt-get openvas-client openvas-server
Nem biztonságos portok keresése.
==== iftop ====
=== Leírás ===
A hálózati eszköz forgalmának figyelése.
=== Telepítés ===
apt-get install iftop
=== Használat ===
iftop
{{:oktatas:linux:iftop.png|}}
Kilépés: q
A "h" billentyűvel újabb használható billentyűket tekinthetünk meg.
Kisbetű és nagybetű különböző!
A "P" (nagy P billentyű) megállítja a képernyőt. Ez hasznos lehet, mivel
a program valós időben mutatja a történéseket.
A "p" (kis p billentyű) a port megjelenítést kapcsolja ki vagy be.
==== nload ====
Hálózati eszköz forgalmának figyelése folyamatában.
Telepítés:
apt-get install nload
Indítás:
nload
{{:oktatas:linux:nload.png?400|}}
Kilépés:
q
Az F2 billentyűvel megtekinthetjük az érvényes opciókat.
==== tshark ====
Parancssoros hálózati analizátor program.
A tshark program a tshark csomag része:
apt-get install tshark
Telepítéskor megkérdezi, szeretnénk-e beállítani, hogy a rendszergazdán
kívül más felhasználó is használhassa programot. Erre ajánlott igennel
válaszolni, mivel biztonságosabb, ha csak felhasználóként futtatjuk.
A felhasználó automatikusan nem használhatja a programot. Ha igennel válaszoltunk
a telepítéskor, akkor létrejött egy wireshark nevű csoport. Ha a csoportba felveszünk
egy felhasználót, ez a felhasználó használhatja a tshark programot.
A thsark a wireshark programmal közös beállításokat és könyvtárakat használ.
Ezért kell a wireshark csoprotot használni.
Használata:
tshark 'port ftp or ftp-data'
tshark -d tcp.port==80,http
==== wireshark ====
A hálózati forgalmat tudjuk analizálni.
Rootként kell futtatni.
apt-get install wireshark
Debian GNU/Linuxon alapértelmezetten a felhasználók nem
nézegethetik a hálózati kártya forgalmát. Rendszergazdaként
pedig nem illik használni programot. Ezért konfiguráljuk
újra a wireshark programot, ekkor létrejön a wireshark
csoport, amelybe felvehetjük azokat a felhasználókat, akiknek
engedélyezni szeretnénk a hálózati kártyák monitorozását.
Ha egy felhasználót felvettünk egy csoportba, akkor az adott
felhasználóval ki kell lépni és vissza. Mindezek együtt a telepítéssel:
apt-get install wireshark
dpkg-reconfigure wireshark-common
usermod -a -G wireshark $USER
A dpkg-reconfigure kérdezi:
...
A rendszergazdán kívül más felhazsnálók is képesek legyenek lahallgatni
a hálózati forgalmat?
Kérdésére a válasz
ngrep -l -q -d eth0 "^GET |^POST " tcp and port 80
Telepítés:
apt-get install ngrep
==== nast ====
=== Leírás ===
Hálózat analizáló
=== Telepítés ===
apt-get isntall nast
=== Használat ===
nast
Promiscuous módban indul. Ennél több nem szükséges.
A -i kapcsolóval megadható hálózati eszköz is.
nast -i eth1
A -f vagy
important: `man 8 tcpick' explains all options available
Starting tcpick 0.2.1 at 2013-05-18 08:21 CEST
Timeout for connections is 600
tcpick: listening on eth0
1 SYN-SENT 192.168.1.4:50109 > 173.194.39.137:www
2 SYN-SENT 192.168.1.4:51803 > 84.2.2.103:www
3 SYN-SENT 192.168.1.4:35007 > 84.2.2.99:www
4 SYN-SENT 192.168.1.4:40292 > 84.2.2.99:https
1 SYN-RECEIVED 192.168.1.4:50109 > 173.194.39.137:www
1 ESTABLISHED 192.168.1.4:50109 > 173.194.39.137:www
2 SYN-RECEIVED 192.168.1.4:51803 > 84.2.2.103:www
2 ESTABLISHED 192.168.1.4:51803 > 84.2.2.103:www
3 SYN-RECEIVED 192.168.1.4:35007 > 84.2.2.99:www
3 ESTABLISHED 192.168.1.4:35007 > 84.2.2.99:www
...
==== netsniff-ng ====
Hálózat analizálás:
apt-get install netsniff-ng
==== dsniff ====
Hálózati sniffer
apt-get install dsniff
Telepítés után a következő parancsok vannak:
* arpspoof - Csomag átirányítása egy cél (vagy az összes) hosztról a lokális hálózatra.
* dnsspoof -
* dsniff - Jelszó szimatoló
* filesnarf
* macof
* mailsnarf
* msgsnarf
* sshmitm
* sshow
* tcpkill
* tcpnice
* urlsnarf
* webmitm
* webspy
Több információért látogasd meg a következő állományt: /usr/share/doc/dsniff/README és
a parancsok kézikönyveit.
==== ettercap ====
Sniffer és tartalomszűrő közbeékelődős tevékenységhez.
apt-get install ettercap
Indításhoz felhasználói felületet kell választani:
-T, --text
-C, --curses
-G, --gtk
A curses használata ajánlott. a text az minden ömleszt a képernyőre, a gtk meg fagyogat.
A curses felületen az egyes ablakokat Ctrl + Q billentyűkombinációval lehet bezárni, ekkor visszakapjuk a menüt.
==== hunt ====
Hálózatbiztonsági analizátor.
apt-get install hunt
Indítás:
hunt
Az eredmény ehhez hasonló:
/*
* hunt 1.5
* multipurpose connection intruder / sniffer for Linux
* (c) 1998-2000 by kra
*/
starting hunt
--- Main Menu --- rcvpkt 0, free/alloc 64/64 ------
l/w/r) list/watch/reset connections
u) host up tests
a) arp/simple hijack (avoids ack storm if arp used)
s) simple hijack
d) daemons rst/arp/sniff/mac
o) options
x) exit
->
Egy menü várja, hogy válasszunk.
Az u) menüpontot választva például megnézhetjük milyen hosztok vannak bekapcsolva.
==== darkstat ====
Hálózati forgalom gyűjtése.
apt-get install darkstat
mcedit /etc/darkstat/init.cfg
START_DARKSTAT=yes
invoke-rc.d darkstat start
netstat -tap | grep 667
==== snort ====
Hálózatfigyelő
apt-get install snort
Telepítéskor rákérdez a hálózatra. Alapértelmezésként a következő van beállítva:
192.168.0.0/16
Virtuális gépen teszteltem, így a következőre javítottam:
192.168.1.0/24
Teszteljük a működést. Egy nmap programmal "másik gépről" szkenneljük végig a
portokat:
nmap 192.168.1.112
A gép amire feltelepítettem a snort, annak az IP címe a 192.168.1.112.
Nézzük meg a /var/log/snort/ könyvtár tartalmát. Két naplóállomány fogunk
találni, bennük a szkennelésről feljegyzés.
Ui.: A scanlogd nevű program, sajnos semmit nem vett észre az nmap-ból.
==== lsof ====
Az lsof a nyitott fájlok listázására való, de megmondja, azt is
melyik portot mi tartja nyitva -i kapcsolóval:
lsof -i
Milyen TCP kapcsolatok vannak a gépünkön:
lsof -i tcp
==== fuser ====
Az fuser parancs a psmisc csomagban található.
Segítségével beazonosítható, melyik folyamat használ
egy adott portot. Az eredményt PID számban kapjuk.
Mely folyamatok használják a 80-as portot?
fuser www/tcp
www/tcp: 1474 10284 22123 22124 22125 22126 22127
==== nbtscan ====
Az nbtscan csommaggal telepszik:
apt-get install nbtscan
NetBIOS nevek keresése. NetBIOS státusz kérést küld minden címre a megadott hálózatban,
majd a kapott információt olvasható formában közli. Kapunk egy IP címet, egy
NetBIOS számítógépnevet, a bejelentkezett felhasználó nevét és a MAC címet.
Például:
nbtscan -r 192.168.16.0/24
Eredmény:
Doing NBT name scan for addresses from 192.168.16.0/24
IP address NetBIOS Name Server User MAC address
---------------------------------------------------------------------------------------------------
192.168.16.0 Sendto failed: Permission denied
192.168.16.21
192.168.16.20 C16-20 00:19:66:ef:58:cc
192.168.16.255 Sendto failed: Permission denied
192.168.16.252 FILESERVER FILESERVER 00:00:00:00:00:00
192.168.16.253 SERVER SERVER 00:00:00:00:00:00
==== sntop ====
Curses alapú hálózati top program.
(sntop) simple network top
HOST STATUS COMMENT
Gator DOWN local linux/alpha server
Yahoo UP something on the outside
localhost UP does loopback even work?
3 hosts polled: 2 up, 1 down
==== netdiscover ====
Hálózati címkereső, amely arp kérésekkel kérdezi le a hálózatokat.
# apt install netdiscover
# netdiscover
Az eredmény ehhez hasonló lehet:
Currently scanning: Finished! | Screen View: Unique Hosts
2 Captured ARP Req/Rep packets, from 2 hosts. Total size: 120
_____________________________________________________________________________
IP At MAC Address Count Len MAC Vendor / Hostname
-----------------------------------------------------------------------------
192.168.5.1 a0:f3:c1:d7:5c:7a 1 60 TP-LINK TECHNOLOGIES CO.,LTD
192.168.5.100 88:83:22:fd:92:0e 1 60 Samsung Electronics Co.,Ltd
==== xprobe ====
Távoli rendszer operációs rendszerének lekérdezése.
Telepítés:
apt-get install xprobe
Használat:
xprobe2 localost
A program többféle csomagot küld a hálózaton a távoli gépnek, a válaszokból megpróbálja
megsaccolni, milyen operációs rendszer lehet. Az eredményt százalékosan jeleníti meg.
==== httest ====
Webszerver és kliens tesztelő, teljesítménymérő.
apt-get install httest
A httest használatához írnunk kell egy scriptet, amelyben leírjuk mit kell tenni.
Egy egyszerű példa:
CLIENT
_REQ localhost 80
__GET / HTTP/1.1
__Host: localhost
__
_EXPECT . "HTTP/1.1 200 OK"
_WAIT
END
A példában a helyi webszervertől lekérünk egy weboldalt.
A kimenet ehhez hasonló lehet:
>GET / HTTP/1.1
>Host: localhost
>
It works!
<This is the default web page for this server.
<The web server software is running but no content has been added, yet.
<