网络端口

TCPClient主动关闭连接后会残留TIME_WAIT状态，影响到下一次使用同一端口连接时会报“通常每个套接字地址(协议/网络地址/端口)只允许使用一次”异常，TIME_WAIT状态保持30S左右. 解决方法： 1、服务端关闭相应的TCP连接。 来源： https://www.cnblogs.com/fanu/p/12449973.html

子网掩码将一个IP地址的网络位全置为1 ,主机位全置为0 ,这样一个新的地址就是该IP的子网掩码。 以太网交换机是一种具有简化、低价、高性能和高端口密集特点的网络产品。 二层交换机属数据链路层设备,可以识别数据包中的MAC地址信息，根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。 交换机能够无冲突地传输数据,如果端口有大量数据发送,则会先将收到的数据存储到缓存中,再依次发送。 来源： 51CTO 作者： mb5e65c72307c9e 链接： https://blog.51cto.com/14748781/2476579

查看当前网络中，正在使用tcp和utp通讯的应用和端口 查看处于监听状态的端口：-l选项 常看占用端口的应用程序：lsof -I :端口号 查看网卡流量状态： ip命令：替代 ifconfig 和route等 ip 命令添加路由： SS命令：替代Network 查看使用端口号： 路由表写文件保存： 来源： https://www.cnblogs.com/franc/p/12410823.html

标签 : class 原创 normal 分类： Linux防火墙|系统安全 原创作品，允许转载，转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。 我在检查一台Centos5.5服务器的安全环境时，发现很多IP在恶意扫描此服务器的端口，本来想部署snort防入侵环境的，后来发现snort环境部署非常复杂，而以上的恶意扫描完全可以用PortSentry来实现。PortSentry是入侵检测工具中配置最简单、效果最直接的工具之一。PortSentry是Abacus工程的一个组成部分。Abacus工程的目标是建立一个基于主机的网络入侵检测系统，可以从http://www.psonic.com的到关于Abacus工程更为详细的信息。虽然PortSentry被cisco收购后不再开发，但丝毫不影响此软件的强大功能。PortSentry可以实时检测几乎所有类型的网络扫描，并对扫描行为做出反应。一旦发现可疑的行为，PortSentry可以采取如下一些特定措施来加强防范： 给出虚假的路由信息，把所有的信息流都重定向到一个不存在的主机； 自动将对服务器进行端口扫描的主机加到TCP-Wrappers的/etc/hosts.deny文件中去，我个人比较喜欢这种方式，因为线上许多环境并非都能打开iptables，这个选项也是PortSentry默认的功能；

OSSIM架构与组成综述 OSSIM布道师 李晨光 一、背景 如果运维工程师手里没有高效的管理工具支持，就很难快速处理故障。市面上有很多运维监控工具，例如商业版的 Solarwinds、ManageEngine以及WhatsUp等，开源的MRTG、Nagios、Cacti、Zabbix、OpenNMS、Ganglia等。 由于它们彼此之间所生成的数据没有关联，无法共享，即便部署了这些工具，很多运维人员并没有从中真正解脱出来，成千上万条警告信息堆积在一起，很难识别问题的根源，结果被海量日志所淹没，无法解脱出来。 另外在传统运维环境中，当查看各种监控系统时需要多次登录，查看繁多的界面，更新管理绝大多数工作主要是手工操作，即使一个简单的系统变更，需要运维人员逐一登录系统，若遇到问题，管理员便会在各种平台间来回查询，或靠人肉方式搜索故障关键词，不断的重复着这种工作方式。企业需要一种集成安全的运维平台，满足专业化、标准化和流程化的需要来实现运维工作的自动化管理，通过关联分析及时发现故障隐患，这种优秀的开源平台叫做OSSIM即开源安全信息管理系统(Open source Security Information Management)，下面让我们认识一下OSSIM的基本结构和组成 从架构上来看，OSSIM系统是一个开放的框架，它的核心价值在于创新的集成各开源软件之所长，它里面的模块既有C

RHCE-Appache 整理实验环境 rhel7中 思路： 1.配置ip地址为192.168.43.10 2.网关：192.168.0.1 3.子网掩码 PREFIX=24 4.主机名 hostnamectl set-hostname rhel7_node1.westos.com 5.验证：ping 114.114.114.144成功，说明该主机可以连接外网 ping www.baidu.con 若显示不知道baidu是个什么东西，说明DNS没有设置 6.设置DNS DNS1=114.114.114.114 步骤： （1） ifconfig 查看ip情况 （2） vim /etc/sysconfig/network-scripts/ifcfg-ens33 进入配置文件进行编辑 （3）systemctl restart network 重启网络 （4）ifconfig 查看ip是否配置成功 （5）ping 114.114.114.114 查看是否能连接外网 （6）ping -w 3 www.baidu.com 查看DNS是否配置好 图1 2 rhel8中 思路： 1.配置ip地址为192.168.43.11 2.子网掩码 PREFIX=24 3.配置yum源（下载时自动解决软件依赖关系） 配置ip等基本信息 （1）vim /etc/sysconfig/network-scripts

多生成树（MST）是把IEEE802.1w 的快速生成树（RST）算法扩展而得到的，多生成树协议定义文档是IEEE802.1S。 多生成树提出了域的概念，在域的内部可以生成多个生成树实例，并将VLAN关联到相应的实例中，每个VLAN只能关联到一个实例中。这样在域内部每个生成树实例就形成一个逻辑上的树拓扑结构，在域与域之间由CIST实例将各个域连成一个大的生成树。各个VLAN内的数据在不同的生成树实例内进行转发，这样就提供了负载均衡功能。 MSTP（Multiple Spanning Tree Protocol，多生成树协议） 将存在环路的网络修剪成为一个无环的树型网络，避免报文在环路网络中的增生和无限循环，同时还提供了数据转发的多个冗余路径，在数据转发过程中实现VLAN 数据的负载均衡。MSTP 兼容STP 和RSTP，并且可以弥补STP 和RSTP 的缺陷。它既可以快速收敛，也能使不同VLAN 的流量沿各自的路径分发，从而为冗余链路提供了更好的负载分担机制。 MSTP与其他几种生成树协议对比： 实验模拟 实验拓扑如上图所示。设PC8、9、10为vlan 10中的设备，PC11、12/13为vlan 20中的设备，使SW-1成为vlan 10的根桥交换机，SW-2成为vlan 20的交换机。要求：运行MSTP，防止环路存在，同时实现负载均衡。 注意

端口安全（Port Security），从基本原理上讲，Port Security特性会通过MAC地址表记录连接到交换机端口的以太网MAC地址（即网卡号），并只允许某个MAC地址通过本端口通信。其他MAC地址发送的数据包通过此端口时，端口安全特性会阻止它。使用端口安全特性可以防止未经允许的设备访问网络，并增强安全性。另外，端口安全特性也可用于防止MAC地址泛洪造成MAC地址表填满。 要实现端口安全，可以用地址绑定的方式来实现。即在某一端口绑定一台设备的网卡MAC地址，绑定后仅允许这台设备来进行访问。若存其他设备进行访问，便会触发惩罚机制（如限制，关闭端口等），从而拒绝未经允许的设备的访问请求。 GW GW(config)#interface g0/0 GW(config-if)#ip address 192.168.1.1 255.255.255.0 GW(config-if)#no shutdown GW(config-if)#exit SW SW(config)#interface g0/1 SW(config-if)#switchport mode access SW(config-if)#exit SER SER(config)#interface g0/0 SER(config-if)#ip address 192.168.1.10 255.255.255.0 SER

信息收集 服务器的相关信息（真实ip，系统类型，版本，开放端口，WAF等） 网站指纹识别（包括，cms，cdn，证书等），dns记录 whois信息，姓名，备案，邮箱，电话反查（邮箱丢社工库，社工准备等） 子域名收集，旁站，C段等 google hacking针对化搜索，pdf文件，中间件版本，弱口令扫描等 扫描网站目录结构，爆后台，网站banner，测试文件，备份等敏感文件泄漏等 传输协议，通用漏洞，exp，github源码等 漏洞挖掘 浏览网站，看看网站规模，功能，特点等 端口，弱口令，目录等扫描,对响应的端口进行漏洞探测，比如 rsync,心脏出血，mysql,ftp,ssh弱口令等。 XSS，SQL注入，上传，命令注入，CSRF，cookie安全检测，敏感信息，通信数据传输，暴力破解，任意文件上传，越权访问，未授权访问，目录遍历，文件 包含，重放攻击（短信轰炸），服务器漏洞检测，最后使用漏扫工具等 漏洞利用 | 权限提升 mysql提权，serv-u提权，oracle提权 windows 溢出提权 linux脏牛,内核漏洞提权e 清除测试数据 | 输出报告 日志、测试数据的清理 总结，输出渗透测试报告，附修复方案 复测 验证并发现是否有新漏洞，输出报告，归档 问题 在渗透过程中，收集目标站注册人邮箱对我们有什么价值？ 丢社工库里看看有没有泄露密码

修改防火墙名称 config# hostname xxxx 配置特权密码 config# enable password xxxx 远程登陆密码 config# password xxxx 配置接口名称 config-if # nameif xxxx 配置接口安全级别 config-if # security-level xxxx(0-100) 访问控制列表ACL分很多种，不同场合应用不同种类的ACL。其中最简单的就是 《标准访问控制列表》 ，标准访问控制列表是通过使用IP包中的源IP地址进行过滤，使用访问控制列表号1到99来创建相应的ACL。 它的具体格式： access-list access-list-number [permit | deny ] [sourceaddress][wildcard-mask] access-list-number 为1-99 或者 1300-1999之间的数字，这个是访问列表号。 例如：access-list 10 deny host 192.168.1.1这句命令是将所有来自192.168.1.1地址的数据包丢弃。 当然我们也可以用网段来表示，对某个网段进行过滤。命令如下：access-list 10 deny 192.168.1.0 0.0.0.255 通过上面的配置将来自192.168.1.0/24的所有计算机数据包进行过滤丢弃