======Basic Network Monitoring ...Not Edit======
=====netstat=====
顯示localhost網路狀態,位置及遠端的連線ip位置,開啟的port,哪一個程序正在運作等
netstat -tulnp -c 10
t tcp port
u udp port
l 顯示無活動,無new或無established網路狀態(udp :無網路連線狀態)
n 以數字方式顯示 port number and hosts address
p 顯示哪一個pid或程序正在對Port 運作
顯示目前正在連線的網路狀態$ netstat -tunp
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 1 0 10.0.1.11:53199 210.59.229.9:80 CLOSE_WAIT 2818/firefox
tcp 0 0 127.0.0.1:5900 127.0.0.1:46733 ESTABLISHED -
tcp 0 0 10.0.1.11:33788 58.27.86.223:80 ESTABLISHED 2733/clock-applet
~略~
顯示目前Listen狀態(無遠端連線進來)$netstat -tulnp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:5900 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:51825 0.0.0.0:* LISTEN -
tcp 0 0 192.168.122.1:53 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN -
tcp 0 0 :::111 :::* LISTEN -
tcp 0 0 :::22 :::* LISTEN -
tcp 0 0 ::1:631 :::* LISTEN -
tcp 0 0 ::1:25 :::* LISTEN -
tcp 0 0 :::46142 :::* LISTEN -
~略~
=====基本nmap=====
nmap 就是可以很快知道網路上開啟哪些port,是駭客最喜歡用的網路掃描工具。
nmap -A -s[P|T|U]] -p port number 目的ip 或 區段目的IP ip/netmask
P(大寫) ---> nmap -sP 送出一個icmp
T(大寫) ---> nmap -sT 以tcp方式連線
U(大寫) ---> nmap -sU -p port number or -p 80-5535(一個區間的port number) 以udp方式連線
猜測出目的192.168.0.254是哪一種OS$ nmap -A -sT 192.168.0.254
以ping方示查詢192.168.0.0網段的所有存活電腦$nmap -sP 192.168.0.0/24
=====tcpdump=====