Linux入侵检测学习笔记2

news2024/11/24 0:52:38

查看异常流量:

iftop:动态显示网络接口流量信息:

iftop工具是一款实时流量监控工具,可用于监控TCP/IP连接等,必须以root用户的身份运行。

安装方法:

yum install -y epel-release
yum install -y iftop


# 使用方法;
iftop -i ens33


# iftop -nNBP

iftop命令的使用: 

 中间两个左右箭头,表示的是流量的方向。

TX:发送流量

RX:接收流量

TOTAL:总流量

Cum:运行iftop到目前时间的总流量,对流量进行汇总

peak:流量峰值

rates:分别表示过去2s、10s、40s的平均流量

流量监控:

Cacti、Zabbix 、Canglia、open-falcon、Prometheus + grafana等

数据包抓取:

Wireshark tcpdump  sniffer(路由器交换机的流量,是整个网络的流量。)

tcpdump是一个截获网络数据包的包分析工具。

安装:

yum provides *bin/tcpdump

yum install -y tcpdump
man tcpdump

-n: 不进行DNS解析,加快显示进度。

-nn: 不将协议和端口数字等转换成名字。

-v:

-vv:

-vvv:显示命令执行的详细信息。

-t:

-ttttt: 显示当前行与前一行的延迟。

-q: 精简输出信息,例如:tcpdump -q

条件:

host: 监听指定主机:    例如:tcpdump -n host 10.0.0.1 

src: 关键字源地址,例如:tcpdump -n src host 10.0.0.1

dst:关键字目的地址:例如:tcpdump -n dst host 10.0.0.1

port: 关键字指定端口: 例如:tcpdump -nn port 22

net: 指定网段:例如:tcpdump -i eth0 -nnv net 192.168.0.0/24

not: 非     例如:tcpdump -i eth0 -nnv not port 80

协议作为条件:

arp

icmp

udp:udp协议

tcp:tcp协议,三次握手,四次断开

ip

vrrp: keepalive的使用协议

多条件:与关系、或关系、非关系

and

or

not

条件为TCP仅为SYN标记的:

 

tcpdump -i eth0 -nnv
tcpdump -i eth0 -nnv -c 100
tcpdump -i etho -nnv -w /file1.tcpdump
tcpdump -nnv -r /file1.tcpdump

检查可疑进程:

基本工具:

ps:

        ps aux | grep less

pstree:查看进程树,以树型结构显示进程与进程之间的关系。

        pstree mysql

        pstree -c -p mysql

        pstree -u   # 显示进程所属的用户

        pstree -a:显示启动每个进程对应的完整指令,包含启动进程的路径、参数等。

        pstree -p: 显示进程号

        pstree -h: 对现在执行的程序进行特别标注

        

top:

        进程名不认识的时候,百度确认下,可能是一个木马病毒。

        top -d -1

netstat:

        netstat -anput:

        可能有可疑的进程。

ss:查看某个协议或端口的监听状态

        ss -an |grep tcp

        ss -an |grep 22

        ss -an |grep ":22"  如果别人连接22端口,要警惕下,分析tos的状态,看看密码是否正确登录。

根据文件或者端口查看进程:

根据某文件查看正在被某些进程使用:

        lsof /usr/sbin/vsftpd

        fuser /usr/local/nginx/sbin/nginx

根据某个端口查看对应的进程:

lsof -i TCP:22

fuser -v 22/tcp

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/649279.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

云服务器docker方式部署JAVA微服务

党建后端java微服务部署步骤(采用docker部署) 开通dua 开通端口号:8848、6379、8000 - 8010、9848、9849 step1:安装必要的一些系统工具 sudo apt-get update sudo apt-get install ca-certificates curl gnupg step2&#xff1a…

Spark SQL典型案例

文章目录 一、实现任务1、准备数据文件2、创建Maven项目3、修改源程序目录4、添加依赖和设置源程序目录5、创建日志属性文件6、创建HDFS配置文件7、创建词频统计单例对象 一、实现任务 1、准备数据文件 在/home目录创建words.txt hello scala world hello spark world scala…

使用 docker 搭建 mongodb 6 单节点副本集

1、拉取 mongodb 镜像 docker pull mongo 2、启动一个 mongodb 的容器,通过副本集的形式运行 docker run --name mongoRs -d -p 27017:27017 mongo --replSet rs0 --name 创建容器的名称。 自定义 -d 以守护进程方式启动容器 -p 2701:27017:MongoD…

Dockerfile 使用介绍

我们使用 Dockerfile 定义镜像,依赖镜像来运行容器,因此 Dockerfile 是镜像和容器的关键,Dockerfile 可以非常容易的定义镜像内容,同时在我们后期的微服务实践中,Dockerfile 也是重点关注的内容,今天我们就…

Android系统的问题分析笔记(9) - Android 中的 Uri 如何使用呢 ?

问题 Android 中常用的 uri 如何使用呢 ?(此篇分析基础为Android 7.1.1系统源码),参看Android官方说明:https://developer.android.com/reference/android/net/Uri,代码可在此查看:https://git…

python 模块, 包

C# 中模块,就好像要using dll文件 python 中模块 就是python文件 包括类、方法、变量等 from 模块名 import 功能名 功能名() import 模块名 和 from 模块名 import * 模块名都引入了,但使用有所区别 import 模块名 使用 模块名.功能名 from 模块名 impo…

天天使用MySQL,你知道MySQL数据库能抗多少压力吗?附(真实案例)

今天给大家分享一个知识点,是关于MySQL数据库架构演进的,因为很多兄弟天天基于mysql做系统开发,但是写的系统都是那种低并发压力、小数据量的,所以哪怕上线了也就是这么正常跑着而已,但是你知道你连接的这个MySQL数据库…

关于HTTP头部的重要事项,你可能不知道的!

HTTP请求就像向服务器请求某些内容,而HTTP响应则是服务器的回复。就像发送一条消息并收到回复一样。 HTTP请求头部是在发出请求时包含的额外信息,比如你要发送的数据类型或你的身份信息。在响应头部中,服务器提供有关发送给你的响应的信息&am…

【大学物理实验】示波器

文章目录 选择题选择题 函数信号发生器产生的电信号调节频率和调整幅度大小的旋钮是: A. 1,2 B. 2,3 C. 3,4 D. 1,4 正确答案: D 信号输入示波器Y2通道后,示波器面板上工作方式和内触发的选择应该是: A. 工作方式选Y1,内触发选Y2 B. 工作方式选Y2,内触发选Y2 C. 工作方…

day22--哈希

两数之和 哈希表的思想 以空间换时间&#xff0c;这是由于哈希表保存了键值对&#xff0c;其查找复杂度为O(1)。 解题思路为 定义哈希表hashmap&#xff0c;其存放的键值对为<取值&#xff0c;下标>。 从开始处遍历数组&#xff0c;对于第i个位置&#xff0c;在哈希表…

【字符串part02】| 28.实现strStr()、459.重复的子字符串

目录 ✿LeetCode28.实现strStr()❀ ✿LeetCode459.重复的子字符串❀ ✿LeetCode28.实现strStr()❀ 链接&#xff1a;28.实现strStr() 给你两个字符串 haystack 和 needle &#xff0c;请你在 haystack 字符串中找出 needle 字符串的第一个匹配项的下标&#xff08;下标从 0 …

C++ gets函数与strlen函数详解

引言 今天在看y总视频师对下面这串代码颇感兴趣&#xff1a; #include <iostream> #include <string.h> using namespace std; int main() {char s[1000];gets(s);int n strlen(s);for (int i 0; i < n; i){int j i;while (j < n && s[j] ! ){…

【MyBatis】什么是MyBatis?

MyBatis 是一款优秀的持久层框架&#xff0c;用于简化JDBC的开发。 说人话就是连接数据库并执行SQL的框架。 文章目录 0 JDBC简介及流程0.1 DriverManager / Connection0.2 ResultSet0.3 PreparedStatement1 SQL注入2 流程 1 MyBatis通过注解执行SQL语句1.1 MyBatis入门&…

简要介绍 | 神经辐射场(NeRF):原理、挑战与未来展望

神经辐射场(NeRF)&#xff1a;原理、挑战与未来展望 1. 背景介绍 随着深度学习和计算机图形学的不断发展&#xff0c;人工智能和图形学领域的交叉研究越来越多地受到关注。神经辐射场(NeRF)是其中一个极具潜力的研究方向&#xff0c;它结合了计算机图形学和深度学习&#xff0…

STM32驱动INMP441麦克风实现左右通道声音采集

一、参考原理图 1、INMP441 2、STM32 注意INMP441的第4引脚&#xff0c;用来选择左声道还是右声道。 二、代码生成 代码使用cubemx生成 1、iis设置 2、DMA设置 3、生成代码 三、代码修改 1、首先定义一个数组 #define BUFFER_SIZE (4)static uint32_t simpleBuf[BUFFER_S…

金属表面缺陷检测类的实践项目

【说明】&#xff1a;下面仅以Pytorch CNN Transfer Learning: Image Classifier 关于金属表面缺陷检测类的实践项目为例介绍如何创建虚拟环境以及在JuypterLab中使用对应的内核 项目已开源在https://github.com/astudent2020/Metal_Surface_Defects 提供数据集及相关代码 …

【IMDB】IMDB数据集导入PostgreSQL和join order benchmark(JOB)查询生成

目录 简述join order benchmark(JOB)查询获取IMDB导入数据到PG 简述 IMDB数据库是一个很大的&#xff0c;被广泛使用的电影&#xff0c;电视节目和演员信息的数据库&#xff0c;它包括了有关电影、电视节目、演员、制作公司、编剧、导演等信息。IMDB数据集可以为电影评论、分类…

【源码分析】Mybatis 的配置解析过程

博主介绍&#xff1a; ✌博主从事应用安全和大数据领域&#xff0c;有8年研发经验&#xff0c;5年面试官经验&#xff0c;Java技术专家✌ Java知识图谱点击链接&#xff1a;体系化学习Java&#xff08;Java面试专题&#xff09; &#x1f495;&#x1f495; 感兴趣的同学可以收…

Hadoop(CentOS)安装及MapReduce实现数据去重

Hadoop&#xff08;CentOS&#xff09;安装及MapReduce实现数据去重 1. JDK安装 1.1 资源下载&#xff1a; 下载地址&#xff1a;https://pan.quark.cn/s/17d7266205f9 hadoop的安装 包 java jdk安装包 eclipse连接hadoop工具 所学其他工具可自行在官网下载 centos下载地…

Verilog 高级知识点

目录 Verilog 高级知识点 1、阻塞赋值&#xff08;Blocking&#xff09; 2、非阻塞赋值&#xff08;Non-Blocking&#xff09; 3 、assign 和 always 区别 4、什么是 latch Verilog 高级知识点 本节给大家介绍一些高级的知识点。高级知识点包括阻塞赋值和非阻塞赋值、assi…