网络/安全调查命令/工具等

你好。
我是系统解决方案部门的 Kawa，我的锁骨很重要。

最近，一切都迁移到云端已经成为主流，但我突然想到，基于物理网络创建的技术即使在云环境中仍然被理所当然地使用，我意识到有时会出现这样的情况。我意识到这一点。

例如，确定子网范围时、服务器没有 ping 响应时、要检查端口是否开放等时，所有这些都可以在不自觉了解云服务的情况下进行配置是需要网络知识的部分。

所以这次我想介绍一些可以用于网络调查的命令和工具。

运行环境

使用的操作系统：Ubuntu18.0.4
*以下工具已被确认可在 CentOS 7.9 上运行。安装时请阅读“yum”。

通讯确认、网络测试工具“hping3”

apt安装hping3

一个著名的基于命令的网络调查/测试工具。
不仅可以发送ICMP，还可以发送TCP/UDP数据包，并设置任意标志，可以指定数据大小等，并且可以用于网络测试。当然，滥用是严格禁止的。

■命令示例
▼ 不假思索地发送一次 ping

hping3 -c 1 1.1.1.1 HPING 1.1.1.1 (ens33 1.1.1.1)：未设置标志，40 个标头 + 0 个数据字节 --- 1.1.1.1 hping 统计数据 --- 发送 1 个数据包，接收 0 个数据包，100%往返丢包最小值/平均值/最大值 = 0.0/0.0/0.0 毫秒

▼发送1个SYN包到TCP/443，源端口到TCP/8080，默认网关

hping3 --traceroute -V -S -c 1 -p 443 -s 8080 10.0.0.1 使用 ens33，addr：10.0.0.10，MTU：1500 HPING 10.0.0.1 (ens33 10.0.0.10)：S 集，40 个标头 + 0数据字节 hop=1 TTL 0 在从 ip=10.0.0.2 传输期间 name=_gateway hop=1 hoprtt=4.0 ms --- 10.0.0.1 hping 统计 --- 发送 1 个数据包，接收 1 个数据包，0% 数据包丢失回合-行程最小值/平均值/最大值 = 4.0/4.0/4.0 毫秒

可以看到443端口有响应。

▼也可作为安检用。在下面的示例中，在端口 TCP1-100 到 10.0.0.1 上执行 SYN 扫描。

hping3 -S -8 1-100 10.0.0.1 扫描10.0.0.1(10.0.0.1)，端口1-100 扫描100个端口，使用-V查看所有回复 +----+-------- -----+---------+---+-----+------+-----+ |端口| 标志 |ttl| | 赢 | +----+-----------+--------+---+-----+-----+- - ---+ 22 ssh : .S..A... 128 13078 64240 46 80 http : .S..A... 128 13590 64240 46 已收到所有回复。 完成。 2 nbp) (3 ) (4 echo) (5 ) (6 zip) (7 echo) (8 ) (9 丢弃) (10 ) (11 systat) (12 ) (13 白天) (14 ) (15 netstat) ( 16 ) (17 qotd) (18 msp) (19 chargen) (20 ftp 数据) (21 ftp) (23 telnet) (24 ) (25 smtp) (26 ) (27 ) (28 ) (29 ) (30 ) ( 31 ) (32 ) (33 ) (34 ) (35 ) (36 ) (37 次) (38 ) (39 rlp) (40 ) (41 ) (42 域名服务器) (43 whois) (44 ) (45 ) ( 46 ) (47 ) (48 ) (49 tacacs) (50 重新邮件-ck) (51 ) (52 ) (53 域) (54 ) (55 ) (56 ) (57 ) (58 ) (59 ) (60 ) (61 ) (62 ) (63 ) (64 ) (65 tacacs-ds) (66 ) (67 bootps) (68 bootpc) (69 tftp) (70 gopher) (71 ) (72 ) (73 ) (74 ) ( 75 ) (76 ) (77 ) (78 ) (79 手指) (81 ) (82 ) (83 ) (84 ) (85 ) (86 ) (87 链路) (88 kerberos) (89 ) (90 ) (91 ) (92 ) (93 ) (94 ) (95 supdup) (96 ) (97 ) (98 linuxconf) (99 ) (100 ) 

您可以看到响应的端口（SSH、HTTP）有 SYN-ACK 响应。您可以查看是否打开了不必要的端口等。

稍强一点的traceroute“mtr”版本

用于路由调查的traceroute的进化版本

apt安装地铁

▼基本形态。与普通的traceroute不同，还会显示沿途的平均/最大/最小响应速度，这对于故障排除很有用。也可以使用“-i”选项以任意间隔发送（默认为 1 秒）。

mtr -t 1.1.1.1 主机名 (10.0.0.10) 按键： 帮助 显示模式 重新启动统计 字段顺序 退出 数据包 Pings 主机丢失% Snt 最后平均值 最佳 Wrst StDev 1. _gateway 0.0% 17 0.4 0.5 0.4 1.0 0.1 ... 10.一.一.一.一 0.0% 16 14.6 13.8 12.1 16.1 1.2

▼您还可以对 TCP 数据包使用“-T”，对 UDP 数据包使用“-u”。

地铁-T -t 1.1.1.1 地铁-u -t 1.1.1.1

▼ 使用“-r”选项后台执行后，仅显示结果。

mtr -r Beyondjapan.com 开始：2022-10-11T14:15:33+0900 主机：主机名丢失% Snt 最后平均值最佳最先 StDev 1.|-- _gateway 0.0% 10 0.5 0.5 0.4 0.6 0.1 2.|-- ？ 100.0 10 0.0 0.0 0.0 0.0 0.0

我在路上把它弄丢了。

一个稍微有用的 ARP 命令“arp-scan”

apt安装arp扫描

ARP 命令经常在物理网络中使用，但它允许您检查同一网络中的主机并列出它们，包括它们的 MAC 地址。 arp-scan很有用，因为它还显示供应商信息。

arp-scan -l 接口：eth0，类型：EN10MB，MAC：00:15:5d:e1:28:70，IPv4：192.168.80.77 使用 4096 个主机启动 arp-scan 1.9.7 (https://github.com /royhills/arp-scan) 192.168.80.1 00:15:5d:8f:b3:18 微软公司

网络/安全工具“nmap”

这是一个可以用来调查nmap主要用于端口扫描如果在内部使用的话这不是问题，但如果是对外发布的服务器，就可能成为安全漏洞，因此使用这样的工具进行排查有助于提高安全性（当然，滥用是严禁的。请使用它）。

容易安装 nmap

▼检查TCP/80是否打开

nmap -p 80 10.0.0.1 于 2022 年 10 月 11 日 14:32 JST 启动 Nmap 7.60 ( https://nmap.org ) 10.0.0.1 主机的 Nmap 扫描报告已启动（0.00042 秒延迟）。 tcp 过滤 http...

由于State被“过滤”了，原来TCP/80没有开放。

通过在端口号部分指定连字符，您可以一次检查多个端口。由于执行隐形扫描，因此严格禁止使用第三方资源。

网络工程师必备的抓包工具“tcpdump”

一个标准的数据包捕获工具。
输出文件Wireshark，您可以在 GUI 上查看捕获的数据包。由于未加密数据包的内容是可见的，因此它们仅适用于本地环境。

易于安装 tcpdump

▼基本上，指定并捕获特定的接口或主机。这次，指定接口“ens33”并输出到文件“captured.pcap”。

tcpdump -i ens33 -w 捕获的.pcap

停止捕获后，您可以通过以下选项检查内容

tcpdump -r captored.pcap 14：46：33.494124 ARP，请求谁告诉10.0.0.1 55.250.1900：UDP，长度175 14：46：34.588083 IP 10.0.0.1.54475 > 239.255.255.250.19 00：UDP，长度175

如果您提取文件并将其放入 Wireshark，它将以彩色显示，因此更容易查看。您还可以轻松地对事物进行排序（有一天我想写一篇关于 Wireshark 的文章）。

总结总结

这是对网络/安全相关工具的介绍。

在Beyond，我们主要使用云环境，所以我对此没有太多经验，但是有些领域不能或很难完全迁移到云上，例如内部网络、远程工作环境、访客Wi- Fi当客户来访时，内部安全存在。我这次介绍的工具绝对是云环境故障排除的有用技术，所以我认为如果您借此机会边使用边学习，这将是一个令人耳目一新的变化:)

完全的