Kā pārbaudīt tīkla veiktspēju, drošību un problēmu novēršanu Linux - 12. daļa


Datoru tīkla pareiza analīze sākas ar izpratni par to, kādi ir pieejamie rīki uzdevuma veikšanai, kā izvēlēties pareizo (-os) katram solim un, visbeidzot, ar ko sākt.

Šī ir sērijas LFCE ( Linux Foundation Certified Engineer ) pēdējā daļa. Šeit mēs pārskatīsim dažus labi zināmus rīkus, lai pārbaudītu tīkla veiktspēju un palielinātu tīkla drošību , un ko darīt, ja viss notiek ne tā, kā cerēts.

Lūdzu, ņemiet vērā, ka šis saraksts neliekas visaptverošs, tāpēc nekautrējieties komentēt šo ziņu, izmantojot veidlapu apakšā, ja vēlaties pievienot vēl kādu noderīgu utilītu, kuras mums varētu pietrūkt.

Viena no pirmajām lietām, kas sistēmas administratoram jāzina par katru sistēmu, ir tas, kādi pakalpojumi darbojas un kāpēc. Tā kā šī informācija ir rokā, ir gudrs lēmums atspējot visus tos, kas nav noteikti nepieciešami, un izvairīties no pārāk daudz serveru mitināšanas vienā fiziskajā mašīnā.

Piemēram, jums ir jāatspējo FTP serveris, ja tīkls to neprasa (starp citu, ir daudz drošākas metodes, kā koplietot failus tīklā). Turklāt jums vajadzētu izvairīties no tīmekļa servera un datu bāzes servera vienā un tajā pašā sistēmā. Ja kāds no komponentiem kļūst apdraudēts, arī pārējie riskē tikt apdraudēti.

ss tiek izmantots, lai izspiestu kontaktligzdu statistiku, un parāda informāciju, kas līdzīga netstat, lai gan tā var parādīt vairāk TCP un stāvokļa informācijas nekā citi rīki. Turklāt tas ir iekļauts man netstat kā aizstājošs netstat, kas ir novecojis.

Tomēr šajā rakstā mēs koncentrēsimies tikai uz informāciju, kas saistīta ar tīkla drošību.

Visi pakalpojumi, kas darbojas noklusējuma ostās (t.i., http uz 80, mysql uz 3306), ir norādīti ar to attiecīgajiem nosaukumiem. Citi (šeit privātuma apsvērumu dēļ ir aizklāti) tiek parādīti ciparu formā.

# ss -t -a

Pirmajā slejā tiek rādīts stāvoklis TCP , savukārt otrajā un trešajā slejā tiek parādīts datu daudzums, kas pašlaik ir rindā saņemšanai un pārsūtīšanai. Ceturtajā un piektajā kolonnā ir parādītas katra savienojuma avota un galamērķa ligzdas.
Sānu piezīmē, iespējams, vēlēsities pārbaudīt RFC 793, lai atsvaidzinātu atmiņu par iespējamiem TCP stāvokļiem, jo jums ir jāpārbauda arī atvērto TCP savienojumu skaits un stāvoklis, lai uzzinātu par (D) DoS uzbrukumiem.

# ss -t -o

Augšējā izvadē jūs varat redzēt, ka ir izveidoti 2 SSH savienojumi. Ja pamanāt taimera otrā lauka vērtību:, pirmajā savienojumā pamanīsit vērtību 36 minūtes. Tas ir laiks, līdz tiks nosūtīta nākamā zonde.

Tā kā tas ir savienojums, kas tiek uzturēts dzīvs, varat droši pieņemt, ka tas ir neaktīvs savienojums un tādējādi var nogalināt procesu pēc tam, kad ir noskaidrots tā PID .

Attiecībā uz otro savienojumu var redzēt, ka tas pašlaik tiek izmantots (kā norādīts ar ieslēgtu).

Pieņemsim, ka vēlaties filtrēt TCP savienojumus pēc kontaktligzdas. No servera viedokļa jums jāpārbauda savienojumi, ja avota ports ir 80.

# ss -tn sport = :80

Rezultāts ..

Ostu skenēšana ir izplatīta tehnika, ko krekeri izmanto, lai identificētu aktīvos resursdatorus un atvērtu ostas tīklā. Kad ir atklāta ievainojamība, tā tiek izmantota, lai iegūtu piekļuvi sistēmai.

Gudram sistadminam jāpārbauda, kā viņa vai viņas sistēmas redz nepiederīgi cilvēki, un jāpārliecinās, ka nekas nav atstāts nejaušības ziņā, bieži tos pārbaudot. To sauc par “ aizsardzības ostu skenēšanu ”.

Lai skenētu, kuri porti ir atvērti sistēmā vai attālajā resursdatorā, varat izmantot šo komandu:

# nmap -A -sS [IP address or hostname]

Iepriekš minētā komanda meklēs resursdatoru OS un versijas noteikšanai, ostas informācijai un izsekošanas maršrutam ( -A ). Visbeidzot, -sS nosūta TCP SYN skenēšanu, novēršot nmap, lai pabeigtu trīsvirzienu TCP rokasspiedienu, un tādējādi mērķa mašīnā parasti neatstāj žurnālus.

Pirms turpināt nākamo piemēru, lūdzu, ņemiet vērā, ka ostu skenēšana nav nelikumīga darbība. Tas, kas IR nelikumīgi, izmanto rezultātus ļaunprātīgiem mērķiem.

Piemēram, iepriekš minētās komandas, kas palaista pret vietējās universitātes galveno serveri, iznākums atgriež šādu rezultātu (īsuma labad tiek parādīta tikai daļa no rezultāta):

Kā redzat, mēs atklājām vairākas anomālijas, par kurām mums būtu labi jāziņo sistēmas administratoriem šajā vietējā universitātē.

Šī īpašā ostas skenēšanas darbība nodrošina visu informāciju, ko var iegūt arī ar citām komandām, piemēram:

# nmap -p [port] [hostname or address]
# nmap -A [hostname or address]

Varat arī skenēt vairākas ostas (diapazonu) vai apakštīklus šādi:

# nmap -p 21,22,80 192.168.0.0/24 

Piezīme. Iepriekš minētā komanda skenē portus 21, 22 un 80 visos resursdatoros šajā tīkla segmentā.

Lai iegūtu sīkāku informāciju par citu veidu ostu skenēšanu, varat pārbaudīt cilvēka lapu . Nmap patiešām ir ļoti jaudīga un daudzpusīga tīkla kartētāja utilīta, un jums tas ir ļoti labi jāzina, lai aizsargātu sistēmas, par kurām esat atbildīgs, no uzbrukumiem, kas radušies pēc ļaunprātīgas ostu skenēšanas no nepiederīgo puses.