来源:网友投稿 浏览数:3539 关注:159人
大家好,近很多小伙伴在关注攻击ip,以下是(www.liyan0123)小编整理的与攻击ip相关的内容分享给大家,一起来看看吧。
本文目录一览:
简单的说就是用一些黑客工具去扫描你的IP看看是否有漏洞.然后利用空会话去试图跟你连接.并猜解你的高*作权限随后植入木马获取你电脑上的信息或植入程序对你进行远程*做.更有甚者利用你的电脑去办坏事.去攻击别的IP~~不过别怕~~够这样水平的人不会对你的IP感兴趣的!
如果知道ip地址,可以用ping命令进行攻击。方法如下。
1,按下键盘的win+r键,打开运行窗口。输入cmd,然后回车。
2,打开命令行之后,输入“ping -l 6550 -t ip地址”这行指令,将ip地址替换成你需要进行*作的ip地址。
3,输入之后,点击回车,就会看到源源不断的反馈。这种攻击就可以通过占用网络资源让目标ip造成网络堵塞。
、先了解攻击IP和被攻击IP的业务访问,还有被攻击IP的服务。
相关的防火墙、WAF、IPS、IDS等等一些流量网络监控设备。可以在网络安全设备中排查封堵。
2、查看攻击IP
2.1 查看历史命令,防止新输入的命令覆盖历史命令。
用到的命令是:
history
cat .bash_history
查看UID为0的帐号:awk -F: '{if($3==0)print $1}' /etc/passwd
查看能够登录的帐号:cat /etc/passwd | grep -E "/**n/bash$"
PS:UID为0的帐号也不一定都是可疑帐号,Freebsd默认存在toor帐号,且uid为0.(toor 在BSD**解释为root替代帐号,属于可信帐号)
查看系统用户登录信息:
a) 使用lastlog命令,系统中所有用户近一次登录信息。
b) 使用lastb命令,用于显示用户错误的登录列表
c) 使用last命令,用于显示用户近登录信息(数据源为/var/log/wtmp,var/log/btmp)
utmp文件中保存的是当前正在本系统中的用户的信息。
wtmp文件中保存的是登录过本系统的用户的信息。
/var/log/wtmp 文件结构和/var/run/utmp 文件结构一样,都是引用/usr/include/**ts/utmp.h 中的struct utmp
2.2 查看网络连接状态: 分析可疑端口、可疑IP、可疑PID及程序进程
netstat-antlp | grep ESTABLISH
根据端口查看进程:
lsof -i:port
2.3 查看是否存在异常进程:
ps-aux | head -n6
2.4 查看是否存在异常计划任务:
crontab -l
2.5 使用ls 以及 stat 查看系统命令是否被替换。
两种思路:第一种查看命令目录近的时间排序,第二种根据确定时间去匹配。
ls -alt /usr/**n | head -10
ls -al /**n /usr/**n /usr/s**n/ /s**n/ | grep "Jan 15"
PS:如果日期数字10,中间需要两个空格。比如1月1日,grep “Jan 1”
2.6 隐藏进程查看: 对比是不是存在异常的隐藏进程
ps -ef | awk '{print}' | sort -n | uniq 1
ls /proc | sort -n |uniq 2
diff 1 2
2.7 日志分析:
定位有多少IP在*破主机的root帐号
grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more
登录成功的IP有哪些
grep "Accepted " /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more
3、文件分析()
1、敏感目录的文件分析:(类/tmp目录 命令/usr/s**n /usr/**n)
查看tmp目录下的文件:ls -alt /tmp/
查看开机启动项内容:ls -alt /etc/init.d/查看rc.local文件(/etc/init.d/rc.local /etc/rc.local)
(可以联想Nessus启动命令:./etc/inin.d/nessusd start)
查看指定目录下的文件时间的排列:ls -alt | head -n 10
针对可疑文件可以使用stat进行创建修改时间、访问时间的详细查看,若修改时间距离**日期接近,有线性关联,说明可能被篡改或者其他。
stat + 对于文件名
2、新增文件分析
查找24小时的被修改的jsp文件:find ./ -mtime 0 -name "*.jsp"
(后一次修改发生在距离当前时间n*24小时至(n+1)*24 小时)
查找72小时内新增的文件 find / -ctime -2
PS:-ctime 内容未改变权限改变时候也可以查出
根据时间反推修改的对应的文件:
ls -al /tmp | grep "Feb 27"
3、特殊权限文件
查找777权限的文件: find / *.jsp -perm 4777
4. 隐藏的文件(以 "."开头的具有隐藏属性的文件)
5. 在文件分析过程中,手工排查频率较高的命令是 find grep ls 核心目的是为了关联推理出可疑文件。
1.OOB攻击
这是利用NETBIOS中一个OOB
(Out
of
Band)的漏洞而来进行的,它的原理是通过TCP/IP协议传递一个数据包到计算机某个开放的端口上(一般是137、138和139),当计算机收到这个数据包之后就会瞬间死机或者蓝屏现象,不重新启动计算机就无法继续使用TCP/IP协议来访问网络。
2.DoS攻击
这是针对Windows
9X所使用的ICMP协议进行的DOS(Denial
of
Service,拒绝服务)攻击,一般来说,这种攻击是利用对方计算机上所安装协议的漏洞来连续发送大量的数据包,造成对方计算机的死机。
3.WinNuke攻击
目前的WinNuke系列工具已经从初的简单选择IP攻击某个端口发展到可以攻击一个IP区间范围的计算机,并且可以进行连续攻击,还能够验证攻击的效果,还可以对检测和选择端口,所以使用它可以造成某一个IP地址区间的计算机全部蓝屏死机。
4.SSPing
这是一个IP攻击工具,它的工作原理是向对方的计算机连续发出大型的ICMP数据包,被攻击的机器此时会试图将这些文件包合并处理,从而造成系统死机。
5.TearDrop攻击
这种攻击方式利用那些在TCP/IP堆栈实现中信任IP碎片中的包的标题头所包含的信息来实现自己的攻击,由于IP分段中含有指示该分段所包含的是原包哪一段的信息,所以一些*作系统下的TCP/IP协议在收到含有重叠偏移的**分段时将崩溃。TeadDrop大的特点是除了能够对Windows
9X/NT进行攻击之外,连Linux也不能幸免。
以上就是攻击ip的相关介绍,希望能对大家有所帮助。
获赞:725 | 收藏:66 | 发布时间:2024-05-11 00:49:09
原文链接:http://www.liyan0123.com/39925.html
=========================================
特别声明:以上内容来源于网友投稿,编辑整理发布,如有不妥之处,请与我方联系删除处理。