《鸟哥的linux私房菜服务器篇》学习小结资料

1、2.网络的基本概念2.1 网络2.1.1 什么是网络1. 网络的发展历史:1) 各自为政的“网络硬件与软件”技术发展：Ethenet&Token-Ring1960后期，为了使自家的产品可以组织起来，施乐公司（Xerox）开发出Ethernet技术，IBM开发出Token-Ring技术，但是这两种技术都是支持自家的硬件。2) 以“软件技术将硬件整合”：ARPANET>TCP/IP为了解决上面的问题，1960后期，美国国防部远景规划局（DARPA）开始研发可以支持不同硬件的网络技术；1975年研发出ARPANET（阿帕网）技术，可以在常见的不同硬件平台上互通数据；1980年，正式推出

2、TCP/IP网络技术，以TCP/IP技术连接的计算机集群，就称之为Internet。3) 没有任何约束的因特网：Internet一旦连上Internet后，全世界任你遨游，不过也可能会遭受到全世界的攻击！4) 软硬件标准制定的成功1 硬件标准：Ethernet（以太网络）Ethernet由施乐公司所构建出来，而后通过与DEC、Intel合作，将以太网进一步规范和标准化，再由IEEE制定出802.3标准。最终在1989年，由国际标准组织ISO编入为以太网ISO8023标准，表示以太网（Ethernet）已经是一项公认的标准接口。2 软件标准:Internet以RFC形式发布的标准文件。2.1.2

3、 计算机网络组成组件2.1.3 计算机网络的范围2.1.4 计算机网络协议：OSI七层协议2.1.5 计算机网络协议：TCP/IP协议族1. TCP/IP工作流程1) 应用程序阶段：将要传输的数据及相关信息封装成一个数据包，向下丢给应用层。2) 应用层：由应用层提供的通信协议，将来自应用程序的数据封装起来，并给予一个应用层报头。3) 传输层：将数据丢TCP/UDP封装，并给予一个TCP/UDP封装报头，向网络层丢去。4) 网络层：将TCP/UDP数据封装到IP数据包内，再给予一个IP报头（主要是来源与目的IP），向网络接口层丢去。5) 网络接口层：依据CSMA/CD协议，封装MAC数据帧中，并

4、给予MAC帧头，再转成比特流后，利用传输介质发送到远程主机上。6) 当接收端收到数据包后，再以相反的方向拆解开来，由接受端应用程序查看数据。7) MAC是不能跨路由的，但MAC帧才是硬件上面传送的最小单位。2.2 TCP/IP的网络接口层的相关协议2.2.1 广域网使用的设备1. 传统电话拨号连接：PPP（Point-to-point protocol）2. 整合服务的数字网络（Integrated Services Digital Network，ISDN）3. 非对称数字用户环路（Asymmetric Digital Subscriber line）：使用PPPoE协议4. 电缆调制解调器

5、（cable Modem）2.2.2 局域网使用的设备- 以太网1. 以太网的速度与标准2. 以太网的网线接口（交叉/直连线）2.2.3 以太网的传输协议：CSMA/CD1. 以太网基于CSMA/CD的传输流程2. MAC数据帧的封装格式3. MTU（最大传输单位）4. 集线器、交换器与相关机制1) 集线器与交换器2) 全双工/半双工3) 自动协调速度机制（auto-negotiation）4) 自动分辨网线的交叉或直连接口（Auto MDI/MDIX）5) 信号衰减问题6) 结构化布线2.3 TCP/IP的网络层相关数据包与数据2.3.1 IP数据包的封装2.3.2 IP地址的组成、种类与分

6、级1. IP的分级1) Class A：0.XX.XX.XX 127.XX.XX.XX 私有网段：552) ClassB：128.XX.XX.XX 191.XX.XX.XX 私有网段：553) Class C：192.XX.XX.XX 239.XX.XX.XX 私有网段：554) Class D：224.XX.XX.XX 239.XX.XX.XX 特殊用处5) Class E：240.XX.XX.XX 255.XX.XX.XX 保留网段2. 特殊的Loopback

7、 IP网段/8这个网段为内部环回网络（Loopback），代表本机IP（localhost）。3. IP的取得方式2.3.4 Network、子网与CIDR（Classless Interdomain Routing）1. 无类别域间路由CIDR（Classless Interdomain Routing）打破原本IP代表等级的方式就被称为无类别域间路由。2.3.5 路由概念1. 路由表：每台主机（路由器）都有一份路由表，记录了和自己相连的主机（路由器）的IP网络信息，当要传输数据时，就可参考这份路由器来传输。2. 路由器：负责不同网段之间的数据传输。2.3

8、.6观察主机路由：Route2.3.7 IP与MAC：网络接口层的ARP与RARP协议1. ARP（Address Resolution Protocol，网络地址解析）和RARP（revers ARP）这两个协议是用来确定主机上MAC与IP的对应关系。2. arp命令2.3.8 ICMP协议（Internet Control Message Protocol，因特网信息控制协议）1. ICMP是一个错误检测与报告机制，最大的功能就是确保我们网络连接状态与连接的正确性。2.4 TCP/IP的传输层相关数据包与数据2.4.1 面向连接的 可靠的TCP协议1. TCP数据包1) Source Po

9、rt & Destination Port（源端口&目标端口）2. 通信端口1) 端口的概念2) 特权端口（Privileged Ports）3) Socket Pair：套接字3. TCP的三次握手2.4.2 无连接的UDP协议2.4.3 网络防火墙与OSI七层协议2.5 连上Internet前的准备事项2.5.1 IP地址、主机名与DNS系统2.5.2 连上Internet的必要网络参数3 局域网架构简介3.1 局域网的连接3.1.1 局域网的布线规划3.1.2 网络设备选购建议4 连接Internet4.1 Linux连接Internet前的注意事项4.1.1 linux

10、的网卡1. 认识网卡的名称2. 关于网卡的内核模块（驱动程序）3. 观察内核所捕捉到的网卡信息（dmesg|lspci）4. 观察网卡的模块4.1.2 编译网卡驱动程序4.1.3 linux网络的相关配置文件与启动命令1. 相关配置文件1. /etc/sysconfig/network-script/ifcfg-et0记录了网卡eth0的网卡名称、MAC地址、IP、MTU等参数。2. /etc/sysconfig/network记录了网卡是否使用网络、是否支持IPv6、主机名3. /etc/resolv.conf记录了DNS的IP地址。4. /etc/hosts记录了私有IP、主机名、别名5.

11、 /etc/services记录了TCP/IP协议族上，各种协议对应的端口号6. /etc/protocols记录了IP数据包协议的相关数据2. 网络启动命令1) /etc/init.d/network restart这个script最重要，因为可以一口气重新启动整个网络的参数。它会主动地去读取所有的网络配置文件，所以可以很快地恢复系统默认的参数值。2) ifup eth0（ifdown eth0）启动或关闭某个网络接口4.2 连接Internet的设置方法4.2.1 手动配置固定IP参数1. IP/Netmask/Gateway的配置、启动与查看1) vim /etc/sysconfig/n

12、etwork-script/ifcfg-eth0编辑网卡eth0的网络配置文件，设置各项参数。2) ifconfig eth0：查看网卡eth0的各项参数。3) route n查看路由信息。4) ping 查看与路由之间的连通性2. DNS服务器IP的定义与查看1) vim /etc/resolv.conf：DNS服务器IP的定义，修改完后，网卡重启或系统后，DNS又会改回为默认值。2) dig : 查看DNS服务器IP、以及是否有效。4.2.2 自动取得IP参数（DHCP方法）1. 编辑/etc/sysconfig/network-script/ifcfg-et0文件，将BOOTPROTO选

13、项改为dhcp，注释掉其它设置，避免相互影响。4.2.3 ADSL拨号上网4.3 无线网络-以笔记本电脑为例4.3.1 无线网络所需要的硬件：AP（wireless access point，无线接入点）、无线网卡4.3.2 关于AP的设置：网络安全方面1. 在AP上面使用网卡卡号（MAC）来作为是否可以访问AP的限制。2. 设置你的AP连接加密机制与密钥4.3.3 利用无线网卡开始连接1. 检测无线网卡设备：lsusb可以检测主机上的USB接口硬件。2. 查看模块与相对应的网卡代号1) iwconfig：类似与ifconfig3. 通过无线网卡ra0搜索附近的AP并设定无线网卡的驱动文件1)

14、 iwlist ra0 scan搜索附近无线接入点AP，并可得到附近AP的相关信息，包括AP名称（SSID/ESSID）、加密机制等。2) vim /etc/Wireless/RT2807STA/RT2870.dat根据搜索到的AP信息设定无线网卡驱动文件，包括AP名称（SSID/ESSID）、密钥密码等。4. 设定网卡配置文件1) vim /etc/sysconfig/network-scripts/ifcfg-ra0设定参数包括无线网卡设备名、BOOTPROTO、ESSID等5. 启动与查看无线网卡1) 启动：ifup ra02) 查看无线网卡1 iwconfig2 ifconfig4.4

15、 常见问题说明4.4.1 内部网络使用某些服务（FTP、POP3）所遇到的连接延迟的问题1. 原因：如果两部主机之间无法查询到正确的主机名与IP的对应信息，那么将可能发送持续查询主机名对应的动作，因此，你的此次联机将会持续检测主机名30S，也就造成了延迟的情况。2. 解决方法：当主机需要另外一台主机的主机名与IP对应时，系统就会先到/etc/hosts文件查询对应设置值，如果找不到，才会使用/etc/resolv.f（DNS的IP）去因特网查询。因此，可以修改/etc/hosts，添加内部网络中主机名与IP的对应关系即可。4.4.2 域名无法解析的问题1. DNS设置的问题，修改/etc/re

16、solv.conf，设置正确的DNS即可。4.4.3 默认网关的问题1. 默认网关设置混乱，一个网段里面只能有一个默认网关。5 linux中常用的网络命令5.1 设置网络参数的命令5.1.1 手动/自动配置IP参数与启动/关闭网络接口：ifconfig、ifup、ifdown1. ifconfigifconfig可以暂时手动来设置或修改某个网卡的相关配置，但主机重启或网卡重启后，之前手动的设置数据会全部失效。1) ifconfig：查看所有网络接口的信息2) ifconfig eth0：查看网卡eth0的信息3) ifconfig eth0 IP：暂时给网卡设置IP，并根据IP所在class范

17、围，自动设置netmask、network、broadcast等IP参数，也可通过ifconfig手动设置。4) ifconfig eth0:0 IP：在网卡eth0上虚拟一个网络接口。5) ifconfig eth0 up：启动网卡，但不让其具有IP参数，经常用在无线网卡中。6) ifconfig eth0 down：关闭网卡接口。2. ifup、ifdown1) ifup eth0：以/etc/sysconfig/network-script/ifcfg-eth0设置文件，启动网卡eth0。2) ifdown eth0：关闭网卡eth03) 如果以ifconfig的方式来设置或者修改了网络

18、接口后，那就无法再以ifdown eth0来关闭网卡了，因为ifdown会分析比对当前网络参数无设置文件/etc/ifcfg-eth0是否相符，不符合的话，就会放弃本次操作，应以ifconfig eth0 down来关闭。5.1.2 修改主机路由信息：route1. route ：查看路由信息，route n：destination项不使用主机名，直接使用IP。按顺序来排列与传送的。2. route del net IP netmask IP dev eth0：删除路由，参数要全。3. route add net IP netmask IP dev eth0：增加路由，参数要全。4. rout

19、e add default gw IP：增加默认路由5.1.3 网络参数综合命令：ip option 动作 命令1. 关于接口设备（device）的相关设置：ip link可以设置与设备有关的相关参数，包括MTU以及该网络的MAC等，也可以启动或关闭某个网络接口。1) ip s link show：显示本机所有网卡接口信息，加上-s参数后，网卡的相关统计信息就会被列出来，包括接收（RX）及发送（TX）的数据包数量等，与ifconfig输出一样。2) ip link show eth0：显示网卡eth0的信息。3) ip link set eth0 up|down：启动|关闭网卡设备4) ip

20、link set eth0 mtu 1000：设置MTU5) ip link set eth0 name heiby：修改网卡名称，但需先把网卡关闭，其它类似设置也要注意。6) ip link set eth0 address ：设置网卡硬件MAC地址。2. 关于额外IP的相关设定：ip address可以设置与IP有关的各项参数，包括netmask、broadcast等。1) ip address show：显示所有接口的IP参数2) ip address IP broadcast + dev label eth0:0：在网卡上模拟出一个虚拟接口。 label表示网络接口别名。3. 关于路由

21、器的相关设定：ip route主机路由的查看与设定，ip route与route功能差不多，但是它还有其它更多的功能1) ip route show：显示当前主机的路由信息2) ip route add net dev eth0：与本机（eth0）可直接沟通的网络，无需通过路由器！3) ip route add net via IP dev eth0：本机和net连接，必须 通过IP作为路由来连接。4) ip route add default via IP dev eth0：添加默认路由。5) ip route del net：删除路由5.1.4 无线网络：iwlist，iwconfig1.

22、 iwlist：利用无线网卡进行无线AP的检测与取得相关的数据。2. iwconfig：设置无线网卡的相关参数。5.1.5 DHCP客户端命令：dhclient1. dhclient eth0：让网卡eth0以DHCP协议驱动IP，而无需修改ifcf-eth0文件。5.2 网络排错与查看命令5.2.1 两台主机的两点沟通：pingping是很重要的命令，主要通过ICMP数据包来进行整个网络的状态报告，最重要的就是ICMP type 0、8两个类型，分别要求回送与主动回送网络状态是否存在的信息。ICMP数据也是装在IP数据包里的。1. ping c n IP：与IP连接n次，判断两台主机间的连通

23、性。2. ping s n M do IP：-s参数接ICMP数据包的大小，默认大小为56byte，-M do代表数据包不允许重新拆包与打包，以MTU的大小。需要注意IP报头占用20bytes，ICMP报头占有8bytes，不包括在n中。5.2.2 两主机间各节点分析：traceroute1. traceroute n IP|host：1) 检测本机到IP|host去的各节点的连接状态，每个节点检测三次，返回节点回复的耗时。2) -n参数使得可以不必进行主机名称解析，单纯用IP，速度较快。2. traceroute w n n T IP|host：1) -w n：等待n秒钟，如果没有回应就声明

24、不通，默认是5秒2) T：使用TCP协议来进行检测，一般使用port80，默认是使用-U（UDP）协议。目前针对UDP/ICMP的攻击层出不穷。5.2.3 查看本机的网络连接与后门：netstat1. netstat -rn：列出当前的路由信息，与route n一样。2. netstat an：列出当前的所有网络连接状态，分为TCP/IP网络接口部分和传统的Unix socket部分。3. netstat tulnp：显示目前已经启动的网络服务，包括TCP、UDP、EN协议连接，且仅列出处于Listen状态的连接。4. netstat atunp：查看本机上所有的网络连接状态，包括TCP、UD

25、P、EN、Unix Socket等协议连接，列出处于所有状态（LISTEN/ESTABLISHED等）的连接。5.2.4 检测主机名与IP的对应：host、nslookup1. host1) host host：列出主机host的IP地址。2) host host DNS_IP：使用DNS为IP的查询主机host的IP2. nslookup1) nslookup host：列出主机host的IP地址。2) nslookup IP：列出IP的主机名。5.3 远程连接命令与即时通信软件5.3.1 终端机与BBS连接：telnettelnet是早期我们在个人计算机上面要连接到服务器工作时，最重要的一

26、个软件了。它不但可以直接连接到服务器上，还可以用来连接BBS站点。不过，telnet本身的数据在传输过程中使用的是明文，所以在INTERNET上传输时，会比较危险。1. telnet name.cc：连接BBS站点。2. telnet localhost port：连接在本地端的某个端口，检测本地主机是否正确启动。5.3.2 FTP连接软件：ftp、lftp1. ftpftp这个命令很简单，用于处理FTP服务器的下载数据1) ftp ftp_hostname：连接到ftp服务器上，登陆后便可使用如下命令。1 help：提供可用命令的说明2 dir：显示服务器的目录内容。3 cd：切换目录4 g

27、et filename：下载服务器上的单一文件。5 mget filename*：下载服务器上的多个文件，使用通配符*。6 put filename：上传本机上的文件到服务器。7 delete filename：删除本机上的文件8 mkdir dir：创建目录。9 lcd：在本地主机中切换目录。10 passive：关闭或启动passive模式。11 binary：数据传输模式设置为binary格式。12 bye：结束ftp软件的使用。2) ftp hostname port：默认是从FTP服务器的20、21端口进行连接，如果服务器使用其它端口的话，可这样进行连接。2. lftp（自动化脚本）

28、1) lftp f filename：在文件filename内中，将要执行的命令书写在其中，通过这样就可一次性执行多个命令。2) lftp c “commands”：在script脚本中写下上述命令，在执行脚本便可。如果将这个脚本写入crontab当中，就可以定时地用FTP进行上传和下载了。5.3.3 图像接口的即时通信软件：Pidgin包括MSN、QQ等图像接口通信软件，登陆使用即可。5.4 文字接口网页浏览：links、wget5.4.1 文字浏览器：links1. links URL：以文件界面浏览网站，浏览过程中还可使用一系列子命令。2. links filename.html：浏览网

29、页文件。3. links dump URL> filename.html：将网页内容整个抓下来存储。4. links dump URL?name=：利用网页的GET功能取得各项变量数据。5.4.2 文字接口下载器:wget1. wget URL/filename：下载网页中的文件。5.5 数据包捕获功能5.5.1 文字接口数据包捕获器：tcpdump、1. tcpdump i eth0 nn：以IP与port number获取eth0这张网卡上的数据包，持续3s。2. tcpdump i eth0 nn port 21：只捕获21端口的数据。3. tcpdump I eth0 nn X

30、port 21：对本机的内部网卡lo的TCP（21）端口进行监听，如果再以ftp登录本机，输入帐号和密码时，就可以截获帐号和密码了！4. tcpdump I eth0 nn port 22 and src host 01：监听网卡eth0通信端口为22，且数据包来源为01的数据包数据。5.5.2 图形接口数据包捕获器：wiresharkwireshark是一款图形界面的数据包捕获和分析工具，操作简单好用。5.5.3 任意启动TCP/UDP数据包的端口连接：nc、netcat1. ncnc命令可以用来作为某些服务的检测，因为它可以连接到某个port来进

31、行通信，此外，还可以自动启动一个port来监听其它用户的连接。1) nc localhost port：与telnet一样，查看本地端port是否正确启动。2) 建立两个连接来传递信息：1 nc l localhost port：在本地端启动一个端口来进行监听。2 nc localhost port：到另外一台终端机上，连接到监听端口，两台终端机便可传递信息了。6 linux网络排错6.1 无法连接网络的原因分析6.1.1 硬件问题：网线、网络设备、网络布线等1. 网线的问题2. 网卡、hub及route等网络设备的问题。3. 设备配置的规则。6.1.2 软件问题：IP参数设置、路由设置、服务

32、器与防火墙设置等。1. 网卡的IP/Netmask设置错误。2. 路由的问题。3. 通信协议不相符。4. 网络负荷的问题5. 其他问题。6.1.3 问题的处理6.2 处理流程6.2.1 步骤1：网卡工作确认1. 确定网卡已经驱动成功2. 确定可以手动直接建立IP参数。6.2.2 步骤2：局域网内各项连接设备检测1. 关于网段的概念。2. 关于Gateway与DNS的设置。3. 关于Windows端的工作组与计算机名称。6.2.3 步骤3：取得正确的IP参数。6.2.4 步骤4：确认路由表的规则。6.2.5 步骤5：主机名与IP查询的DNS。6.2.6 步骤6：Linux的NAT服务器或IP路由

33、器出问题。6.2.7 步骤7：Internet的问题。6.2.8 步骤8：服务器的问题。7.网络完全与主机基本防护：限制端口、网络升级与SElinux7.1 网络数据包进入主机的流程7.1.1 数据包进入主机的流程1. 两层防火墙：IP Filtering/Net Filter和TCP Wrappers1) 数据包过滤防火墙：IP Filtering或Net Filter由iptables软件提供的功能，主要针对TCP/IP数据包头部进行分析和过滤，包括MAC、IP、ICMP、TCP、UDP的端口和状态。2) TCP Wrappers由/etc/hosts.allow与/etc/hosts.d

34、eny配置文件提供的功能，制定规则来规定：哪些IP可以使用本机上的哪些服务（程序、命令）。2. 服务的基本功能通过权限以及服务器软件提供的相关功能，对某些服务的基本功能进行限制，使其无法取得主机资源。3. SElinux对网络服务的详细权限控制SElinux（Security Enhanced Linux，安全强化的linux），以程序和服务为主体，以文件系统为目标，通过指定某些策略，使得程序和服务拥有的功能有限。4. 使用主机的文件系统资源文件系统的权限设置。7.1.2 常见的攻击手法与相关保护1. 取得账户信息后猜密码1) 攻击：通过E-mail等互联网方式，或以常见帐号方式取得帐号后，再

35、猜密码。2) 防护：1 减少帐号信息的在互联网上曝光机会。2 建立较严格的密码设置规则，如定期变更密码等。3 完善权限设置，对一般用户权限设为较低，减小风险。2. 利用系统的程序漏洞主动攻击1) 攻击：当某些系统的网络程序出现问题时，Cracker就会利用漏洞来攻击主机，继而取得系统root权限。2) 防护：1 关闭不需要的网络服务。2 随时保持更新。3 关闭不需要的软件功能。3. 利用社会工程学4. 利用程序功能的“被动”攻击1) 攻击：由于很多浏览器会主动答应对方WWW主机所提供的各项程序功能，或者是自动安装来自对方的软件，有时浏览器还可能由于程序发生问题，让对方的WWW服务器得以发送恶意

36、代码给你的主机来执行，从而使你的主机中招。2) 防护：1 不要连接到不明主机和网站上。2 及时更新浏览器等软件。3 较小化浏览器的软件功能。5. 蠕虫或木马1) 攻击：1 蠕虫：是病毒的一种，可以通过互联网快速传播，会让主机一直发送数据包向外攻击，结果会主机的网络带宽被吃光。2 木马程序：是恶意软件的一种，不具备传播性和自我复制，非病毒。具有隐蔽性和欺骗性，一旦主机被控制，木马就会在主机上开启后门，木马程序控制端就会窃取主机的很多权限，继而绑架和入侵主机。2) 防护：1 不要安装来源不明程序。2 定期用RKHunter之类的杀毒软件来追查。6. DDos攻击法（Distributed Deni

37、al of Service，分布式拒绝服务攻击）1) 攻击：1 SYN Flood攻击法：当主机接收到一个带有SYN的TCP数据包后，就会启用对方要求的Port来等待连接，并且发送出回应数据包，等待Client端才再次响应。如果Client端在发送出SYN数据包后，却在将来自Server端的确认数据包丢弃，那你的Server端就会一直空等。而且Client端可以通过软件功能或僵尸网络，在短时间内持续发送出这样的SYN数据包，那么Sever端就会持续地发送确认数据包，并开启大量的Port空等，等到全部Port都启用完毕，那么系统就挂了。2) 防护：1 不要得罪人？3) ping攻击（ping f

38、looding及ping of death）7. 其他：上面提到的都是比较常见的攻击方法，还有一些高等级的攻击法，如IP欺骗等。7.1.3 主机能执行的保护操作：软件更新、减少网络服务（）、启动SELinux1. 软件更新的重要性。2. 认识减少网络服务的重要性。3. 权限与SElinux的辅助。7.2 网络自动升级软件7.2.1 如何进行软件升级7.2.2 CentOS的yum软件更新、镜像站点使用的原理7.2.3 yum的功能：安装软件组、全系统更新7.3 限制连接端口（port）7.3.1 什么是port1. 服务器端启动的监听端口所对应的服务是固定的WWW服务器 - port 80；F

39、TP服务器 - port 21；E-Mail - port 25；等都是通信协议上的规范。2. 客户端启动程序时，随机启动一个大于1024以上的端口。3. 一台服务器可以同时提供多种服务。4. 共65536个port（port占16位）1) 小于1024的端口用于系统服务，只有root权限才能打开，大于1024的端口，主要用于Client端的激活端口。5. 是否需要三次握手6. 通信协议可以启用在非正规的port上7. 所谓的port安全性没有所谓的port安全性，真正影响网络安全的并不是Port，而是启动port的那个软件。7.3.2 端口的查看：netstat、nmap1. netstat

40、1) netstat tunl：列出正在监听的网络服务。2) netstat tun：列出已连接的网络连接状态。3) 删除已建立或正在监听当中的连接（粗暴的方法）1 netstat tunp：找到网络连接的启动程序对应的PID（进程号）。2 kill -9 PID：杀掉进程，就可删除连接。2. nmap（Network exploration tool and security /port scanner）1) nmap localhost：使用默认参数扫描本机所启用的port（仅TCP）。2) nmap sTU localhost：同时扫描本机的TCP/UDP端口。3) nmap sP 19

41、/24：通过数据包的检测，分析局域网内有几台主机是启动的。4) nmap /24：对局域网中所有主机的Port进行检测。7.3.3 端口与服务的启动、关闭与重启及开机时状态设定1. stand alone与super daemon进程（服务）的启动、关闭及重启。1) stand alone：直接执行该服务的可执行文件，让该执行文件直接加载到内存当中运行。一般来说，这种服务的启动script都会放置到/etc/init.d这个目录下面，所以通常可以使用“/etc/init.d/sshd restart”之类的方式来重新启动。2) super daemon：

42、用一个超级服务（如xinetd）作为总管来统一管理服务，一般重启超级服务就可重启超级服务管理的子服务，但设置完毕后需要以“/etc/init.d/xinetd restart”来重新启动才行，xinetd也是一种stand alone服务。2. 端口的关闭：最好是不直接使用kill1) stand alone服务开启的端口关闭步骤。1 netstat tnlp | grep port：找到开启端口的服务名称fuwu及PID。2 which fuwu：找到服务对应执行文件的路径fuwu_dir，一般服务名称与执行文件名相同。3 rpm qf dir：查询文件是属于那个已安装软件ruanjian的

43、。4 rpm qc ruanjian | grep init：列出软件的所有设置文件，从中找到启动脚本（stand alone）。5 通过启动脚本将服务（程序、软件）关闭。2) super daemon服务开启的端口开启步骤。1 通过查看/etc/services文件，找到端口和服务的对应。2 编辑/etc/xinetd.d/fuwu这个文件，将其中的“disable=yes”改为“disable = no”。3 /etc/init.d/xinetd.d restart：重新super deamon。3. 默认启动的服务1) 如何查阅rpcbind这个程序是否开机启动？1 chkconfig

44、list | grep rpcbind：查询到程序的runlevel，通过runlevel就可以知道是否开机启动。2) 如果已启动，那如何将它改为开机不启动？1 chkconfig level 35 rpcbind off：设置开机不要启动。3) 如何关闭rpcbind服务？1 /etc/init.d/rpcbind stop（stand alone服务）7.3.4 安全性考虑 - 关闭网络服务端口将所有服务器用不到的网络服务关掉，并且设置为开机不启动。7.4 SElinux管理原则详细内容，参考书本。7.5 被攻击后的主机修复工作7.5.1 网管人员应具备的技能1. 了解什么是需要保护的内容

45、。2. 预防黑客（Black Hats）的入侵。3. 主机环境安全化。4. 防火墙规则的制订。5. 实时维护主机。6. 良好的教育训练课程。7. 完善的备份计划。7.5.2 主机受攻击后恢复的工作流程。1. 立即拔出网线。2. 分析日志文件信息，查找可能的入侵途径。3. 重要数据备份。4. 重新安装。5. 软件的漏洞修补。6. 关闭或删除不需要的服务。7. 数据恢复与恢复服务设置。8. 连上Internet。8 路由的概念与路由器设置8.1 路由8.1.1 路由表表产生的类型1. 依据网络接口的IP而存在的路由1) 例如如果网络接口为IP为99，就存在1292.168.1

46、.0/24这个路由，以表示99可以和本网段内的主机直接网卡对网卡进行通信，严格上不应称为路由。2. 手动或默认路由（Default Route）1) 你所规划的路由必须要是你的设备或IP可以直接沟通（通过broadcast沟通）的情况。3. 动态路由1) 一种通过路由器与路由器之间的协商以实现动态路由的环境，需要如zebra、Quagga等软件的支持。8.1.2 一个网卡绑多个IP：IP Alias的用途1. 测试用途2. 在一个实体网络中含有多个IP网络。3. 既有设备无法提供更多实体网卡时。8.1.3 重复路由的问题1. 不应设置同一网段的不同IP在同一台主机上面。8

47、.2 路由器配置1. 在局域网中主机可以通过CSMA/CD协议，以广播的方式来进行网络数据包的传送，但在不同的网段内的主机想要互相连接时，就需要通过路由器。8.2.1 什么是路由器与IP路由器1. IP路由器相对普通路由器而言，多了一个IP转换的功能，当路由器两端的网络分别是Public IP与Private IP时，可以通过IP转换实现两个网段的通信。2. IP路由器就是一种NAT（Network Address Translation）服务器（网络地址转换器） 8.2.2 何时需要路由器1. 实际线路的布线及效能的考虑1) 为了布线管理方便和网络性能的提高，通常将大楼里各楼层的网段用路由器

48、连接起来。2. 部门独立与保护数据的考虑8.2.3 静态路由的路由器1. 参考书籍8.3 动态路由器架设1. 参考书籍8.4 特殊状况-路由器两边界面是同一IP网段：ARP Proxy1. 参考书籍9 防火墙与NAT服务器9.1 认识防火墙1. 防火墙就是通过定义一些有顺序的规则，管理进入到网络内的主机数据数据包的一种机制，更广义的来说，只要能够分析与过滤进出我们管理的网络的数据包的数据，就可以称为防火墙。9.1.1 学习本章所需基础9.1.2 为何需要防火墙1. 切割被信任（如子域）与不被信任（如Internet）的网段。2. 划分出可提供Internet的服务与必须受保护的服务。3. 分析

49、出可接受与不可接受的数据包状态。9.1.3 Linux系统上防火墙的主要类别1. Netfilter（数据包过滤机制）1) 主要是分析数据包头部数据，包括硬件地址（MAC）、软件地址（IP）、TCP、UDP、ICMP等数据包信息都可以进行过滤分析。2. TCP Wrappers（程序管理）3. 主要是通过分析服务器程序来管理，通过规则去规定：哪些IP可以使用本机上的哪些服务（程序、命令）。4. Proxy（代理服务器）9.1.4 防火墙的一般网络布线示意图1. 防火墙除了可以保护防火墙机制本身所在的那台主机之外，还可以保护防火墙后面的主机，因此防火墙可以架设在路由器上面借以控制进出本地端网络的

50、网络数据包。1) 单个网络，仅有一个路由器。2) 内部网络包含安全性更高的子网，需内部防火墙切开子网。3) 在防火墙的后面架设网络服务器主机。9.1.5 防火墙的功能和使用限制1. 拒绝让Internet的数据包进入主机的某些端口。2. 拒绝让某些来源IP的数据包进入。3. 分析硬件地址（MAC）来决定连接与否。4. 防火墙并不能有效得阻挡病毒或木马程序。5. 防火墙对于来自内部LAN的攻击无能为力。9.2 TCP Wrappers9.2.1 哪些服务有支持1. 由super daemon（xinetd）所管理的服务。1) 配置文件在/etc/xinetd.d里面的服务就是xinetd所管理的

51、。2. 支持libwrap.so模块的服务9.2.2 /etc/host.allow|deny的设置方式1. TCP Wrapeers防火墙的规则顺序1) 先以/etc/hosts.allow进行比对，该规则符合就予以放行。2) 再以/etc/hosts.deny比对，规则符合就予以抵挡。3) 若不在这两个文件内，即规则对不符合，则予以放行。9.3 linux的数据包过滤软件：iptables9.3.1 不同linux内核版本的防火墙软件9.3.2 数据包进入流程：规则顺序的重要性9.3.3 iptables的表格（table）与链（chain）1. Filter（过滤器）：主要跟Linux本

52、机的数据包有关，是默认的table。1) INPUT：主要与想要进入Linux本机的数据包有关。2) OUTPUT：主要与Linux本机所要送出的数据包有关。3) FORWARD：与linux本机没有关系，它可以传递数据包到后端的计算机中，与NAT的table相关性较高。2. NAT（地址转换）：是Network Address Translation的缩写，这个表格主要用来进行来源与目的地的IP或Port转换，与Linux本机无关，主要与Linux主机后的局域网内计算机有关。1) PREROUTING：在进行路由器判断之前所要进行的规则（DNAT/REDIRECT）。2) POSTROUTI

53、NG：在进行路由判断之后所要进行的规则（SNAT/MASQUERADE）。3) OUTPUT：与发送出去的数据包有关。3. Mangle（破坏者）：较少使用。9.3.4 本机的iptables语法1. 规则的查看与清除：1) iptable L n：列出Filter table的3条链的规则。2) iptable t nat L n：列出nat table的3条链规则，默认是Filter table。1 target：代表进行的操作，ACCEPT是放行，而REJECT则是拒绝，DROP是拒绝。2 prot：代表使用的数据包协议，主要有TCP、UDP、ICMP3种数据包格式。3 opt：额外的选

54、项说明。4 source：代表此规则针对哪个来源IP进行限制。5 destination：代表此规则是针对哪个目标IP进行限制。3) iptables-save：列出完整的防火墙规则，默认是查看Filter，-t可进行选择。4) iptables-FXZ：清除本机防火墙的所有规则。2. 定义默认策略（policy）1) 将Filter内的INPUT设为DROP、OUTPUT设为ACCEPT、FORWARD设为ACCEPT，将上参数-t NAT则可以设置NAT。1 iptables p INPUT DROP2 iptables p OUTPUT ACCEPT3 iptables p FOEWARD ACCEPT3. 数据包的基础比对：IP、网络及接口设备1) 使lo成为受信任设备，不论数据包来自何处何处或去到哪里，只要是想进入到lo这个接口，就予以接受，一般防火墙只是针对想要连接到内部主机的数据包进行限制。