Linux入侵检测学习笔记2

查看异常流量：

iftop：动态显示网络接口流量信息：

iftop工具是一款实时流量监控工具，可用于监控TCP/IP连接等，必须以root用户的身份运行。

安装方法：

yum install -y epel-release
yum install -y iftop


# 使用方法；
iftop -i ens33


# iftop -nNBP

iftop命令的使用： 

 中间两个左右箭头，表示的是流量的方向。

TX：发送流量

RX：接收流量

TOTAL：总流量

Cum：运行iftop到目前时间的总流量，对流量进行汇总

peak：流量峰值

rates：分别表示过去2s、10s、40s的平均流量

流量监控：

Cacti、Zabbix 、Canglia、open-falcon、Prometheus + grafana等

数据包抓取：

Wireshark tcpdump  sniffer（路由器交换机的流量，是整个网络的流量。）

tcpdump是一个截获网络数据包的包分析工具。

安装：

yum provides *bin/tcpdump

yum install -y tcpdump

man tcpdump

-n: 不进行DNS解析，加快显示进度。

-nn: 不将协议和端口数字等转换成名字。

-v：

-vv：

-vvv：显示命令执行的详细信息。

-t：

-ttttt: 显示当前行与前一行的延迟。

-q: 精简输出信息，例如：tcpdump -q

条件：

host: 监听指定主机:    例如：tcpdump -n host 10.0.0.1 

src: 关键字源地址，例如：tcpdump -n src host 10.0.0.1

dst：关键字目的地址：例如：tcpdump -n dst host 10.0.0.1

port: 关键字指定端口： 例如：tcpdump -nn port 22

net： 指定网段：例如：tcpdump -i eth0 -nnv net 192.168.0.0/24

not: 非     例如：tcpdump -i eth0 -nnv not port 80

协议作为条件：

arp

icmp

udp：udp协议

tcp：tcp协议，三次握手，四次断开

ip

vrrp: keepalive的使用协议

多条件：与关系、或关系、非关系

and

or

not

条件为TCP仅为SYN标记的：

 

tcpdump -i eth0 -nnv
tcpdump -i eth0 -nnv -c 100
tcpdump -i etho -nnv -w /file1.tcpdump
tcpdump -nnv -r /file1.tcpdump

检查可疑进程：

基本工具：

ps：

        ps aux | grep less

pstree：查看进程树，以树型结构显示进程与进程之间的关系。

        pstree mysql

        pstree -c -p mysql

        pstree -u   # 显示进程所属的用户

        pstree -a：显示启动每个进程对应的完整指令，包含启动进程的路径、参数等。

        pstree -p: 显示进程号

        pstree -h： 对现在执行的程序进行特别标注

        

top：

        进程名不认识的时候，百度确认下，可能是一个木马病毒。

        top -d -1

netstat：

        netstat -anput：

        可能有可疑的进程。

ss：查看某个协议或端口的监听状态

        ss -an |grep tcp

        ss -an |grep 22

        ss -an |grep ":22"  如果别人连接22端口，要警惕下，分析tos的状态，看看密码是否正确登录。

根据文件或者端口查看进程：

根据某文件查看正在被某些进程使用：

        lsof /usr/sbin/vsftpd

        fuser /usr/local/nginx/sbin/nginx

根据某个端口查看对应的进程：

lsof -i TCP:22

fuser -v 22/tcp