icmp

抓取指定IP地址的数据流: 如果你的抓包环境下有很多主机正在通讯，可以考虑使用所观察主机的IP地址来进行过滤。以下为IP地址抓包过滤示例： host 10.3.1.1：抓取发到/来自10.3.1.1的数据流 host 2406:da00:ff00::6b16:f02d：抓取发到/来自IPv6地址2406:da00:ff00::6b16:f02d的数据流 not host 10.3.1.1：抓取除了发到/来自10.3.1.1以外的所有数据流 src host 10.3.1.1：抓取来自10.3.1.1的数据流 dst host 10.3.1.1：抓取发到10.3.1.1的数据流 host 10.3.1.1 or 10.3.1.2：抓取发到/来自10.3.1.1，以及与之通讯的所有数据流，与10.3.1.2，以及与之通讯的所有数据流 host www.espn.com：抓取发到/来自所有解析为www.espn.com的IP地址的数据流 ip.addr == 10.2.2.2 抓取指定IP地址范围的数据流: 当你需要抓取来自/发到一组地址的数据流，可以采用CIDR(无类别域间路由，Classless Interdomain Routing)格式或使用mask参数。 net 10.3.0.0/16：抓取网络10.3.0.0上发到/来自所有主机的数据流(16表示长度) net 10.3.0

目录 内容总结及实践过程 网络安全属性 网络攻击基本模式 网络接口层 互联层 传输层 应用层 IP 源地址欺骗 ARP 欺骗 ICMP 路由重定向攻击 TCP RST 攻击 TCP 会话劫持攻击 UDP Flood 拒绝服务攻击 实践作业 ARP 缓存欺骗攻击 ICMP 重定向攻击 SYN Flood 攻击 TCP RST 攻击 TCP 会话劫持攻击 学习中遇到的问题及解决 实践总结 参考资料 内容总结及实践过程 网络安全属性 名称 内容 机密性 网络中的信息不被非授权实体获取和使用，通常基于加密算法进行保障 完整性 信息未经授权不能进行改变的特性，即信息在存储和传输过程中保待不被修改、不被破坏和丢失的特性 可用性 指被授权实体访问并按需求使用的特性，即当需要时能够正常地存取和访问所需的信息与服务 真实性 确保通信对方是它所声称的真实实体，而非假冒实体 不可抵赖性 是指在通信中确保任何方无法抵赖自己曾经做过的操作的安全特性，包括对自己行为的不可抵赖及对行为发生时间的不可抵赖，有时也被称为不可否认性和可审查性 (Accountability) 网络攻击基本模式 在网络通信中，攻击者可以采取如下四种基本的攻击模式，包括 截获 、 中断 、 篡改 与 伪造 。 截获是一种被动攻击模式，其目的是获取网络通信双方的通信信息内容，是对机密性的违反，具体攻击技术为嗅探 (Sniffing)

网络层上有IP、ICMP、IGMP等协议。 1、IP地址 在OSI模型中，三层网络层负责IP地址，IP数据报帧头中的源地址和目的地址就是指IP地址。IPV4类型IP地址为32位4个字节，IPV6类型IP地址为128位16个字节，公网IP是全球唯一的。32位的IPV4 IP地址通常用4个十进制的整数来表示，每个整数对应一个字节，如"106.10.21.206"，这种表示方法称为“点分十进制表示法”。 IPV4类IP地址分为五类，如下图为他们各自的地址格式和地址范围： A类IP地址第一个字节为网络地址，剩余三个字节为主机地址，默认子网掩码为255.0.0.0，可用的A类网络有126个（全0和全1的网络地址用作特殊用途，故为128-2），每个网络能容纳1亿多个主机。A类地址适用于具有大量主机（直接个人用户）而局域网络个数较少的大型网络。需要注意的是A类IP地址中以127开头的地址表示本地环回地址。 B类IP地址前两个字节为网络地址，后两个字节为主机地址，默认子网掩码为255.255.0.0,可用的B类网络有16382个，每个网络能容纳6万多个主机 。 C类IP地址前三个字节为网络地址，后一个字节为主机地址，默认子网掩码为255.255.255.0，C类网络可达209万余个，每个网络能容纳254个主机。 D类IP地址被用在多点广播（Multicast）中。 E类IP地址范为将来使用保留。

1.curl 地址 或者 wget url地址 [hxxxx@iZ23vy2msooZ ~]$ curl www.baidu.com <!DOCTYPE html> <!--STATUS OK--><html> <head><meta http-equiv=content-type content=text/html;charset=utf-8><meta http-equiv=X-UA-Compatible content=IE=Edge><meta content=always name=referrer><link rel=stylesheet type=text/css href=http://s1.bdstatic.com/r/www/cache/bdorz/baidu.min.css><title>鐧惧害涓€涓嬶紝浣犲氨鐭ラ亾</title></head> <body link=#0000cc> <div id=wrapper> <div id=head> <div class="head_wrapper"> <div class="s_form"> <div class="s_form_wrapper"> <div id=lg> <img hidefocus=true src=//www.baidu.com/img/bd_logo1.png width=270

某厂面试归来，发现自己落伍了！>>> 前言 从字面意义上讲，有人可能会认为TCP/IP是指TCP和IP两种协议。实际生活当中有时也确实就是指这两种协议。然而在很多情况下，它只是利用IP进行通信时所必须用到的协议群的统称。具体来说，IP或ICMP、TCP或UDP、TELNET或FTP、以及HTTP等都属于TCP/IP协议。 该文章主要为《TCP-IP详解卷1：协议》归纳笔记 1. 网络的分层 网络协议通常分不同层次进行开发，每一层分别负责不同的通信功能。一个协议族，比如TCP/IP，是一组不同层次上的多个协议的组合。TCP/IP通常被认为是一个四层的协议系统。 链路层 有时也称作 数据链路层或网络接口层 ，通常包括操作系统中的设备驱动程序和计算机中对应的网络接口卡。它们一起处理与电缆（或其他任何传输媒介）的物理接口细节。 网络层 有时也称作互联网层，处理分组在网络中的活动，例如分组的选路。在TCP/IP协议族中，网络层协议包括 IP 协议（网际协议）， ICMP协议 （Internet互联网控制报文协议），以及 IGMP协议 （Internet组管理协议）。 运输层 主要为两台主机上的应用程序提供端到端的通信。在TCP/IP协议族中，有两个互不相同的传输协议： TCP（传输控制协议）和UDP（用户数据报协议）。 TCP为两台主机提供高可靠性的数据通信

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 vsftpd丶NFS丶SAMBA nfs基于rpc samba基于cifs(smb) DRBD： ftp:File Transfer protocol 文件传输协议 两个连接： tcp：命令连接 tcp：数据连接 在被动模式下数据传输端口是随机的除非自己指定 主动模式：服务器端通过20端口主动连接客户端， 被动模式：客户端使用自己与服务器端建立连接。 默认情况下FTP协议使用TCP端口中的 20和21这两个端口其中20用于传输数据，21用于传输控制信息。但是，是否使用20作为传输数据的端口与FTP使用的传输模式有关，如果采用主动模式，那么数据传输端口就是20；如果采用被动模式，则具体最终使用哪个端口要服务器端和客户端协商决定。 防火墙上连接追踪 数据要流式化 文本：文件流 二进制 c/s Server： wu-ftpd（华盛顿大学的fdtp） proftpd pureftp vsftpd Very Secure ftpd iis ServU Client： GUI windows flashfxp cuteftp filezilla(开源) linux gftp CLI ftp lftp wget lftpget 用户认证： 系统用户 虚拟用户 hash file mysql 匿名用户 数据传输安全 sftp

为了提高IP数据报交付成功的机会，在网络层使用了网际控制报文协议（Internet Control Message Protocol ，ICMP）来允许主机或者路由器报告差错和异常情况。ICMP报文作为IP层数据报的数据，加上数据报的首部，组成IP数据报发送出去。 ICMP是IP层协议 CIMP报文的类型 有两种， 即ICMP差错报告报文和ICMP询问报文。 ICMP差错报文类型： 终点不可达 源点抑制 时间超过 参数问题 改变路由（重定向） ICMP询问报文类型： 回送请求和回答报文 时间戳请求和回答报文 掩码地址请求和回答报文 路由器询问和通告报文 ICMP应用： PING（分组网间探测）： 用途：用来测试两个主机之间的连通性； ICMP的应用：使用了ICMP回送请求和回答报文； 工作在应用层； traceroute（Unix中的名字，在win中是tracert）： 用途：用来跟踪分组经过的路由； ICMP的应用：使用了ICMP时间超过报文； 工作在网络层； 来源： CSDN 作者： Lex_lht 链接： https://blog.csdn.net/lht_521/article/details/104745784

Linux网络安全-防火墙 >防火墙 > 1. iptables 四表五链 2. iptables 语法详解 3. 替换规则 4. 场景练习 5. 其他 1. iptables 四表五链 raw表 确定是否对该表进行状态跟踪 mangle表 为数据包设置标记, 修改数据包，改变包头中内容（TTL, TOS, MARK） nat表 修改数据包中的源，目标ip地址或端口。 地址转发。 filter表 确定是否放行数据包（过滤）. 访问控制。 规则匹配。 INPUT OUTPUT FORWARD POSTROUTING PREROUTING 2. iptables 语法详解 iptables 【-t 表名]】管理选项 【链名】【条件匹配】 【-j 目标动作或跳转】 iptables 规则组成： 数据包访问控制： ACCEPT, DROP, REJECT 数据包改写：SNAT, DNAT 信息记录： LOG iptables -t 表 动作 链名 匹配条件 目标动作（跳转） 所有源，目标禁用 ping： iptables -t filter -A INPUT -p icmp -j DROP 删除刚刚的规则： iptables -t filter -D INPUT -p icmp -j DROP # 删除单条（笨方法） sudo iptables -L -n --line-numbers #

第9章 IP选路 9.3 ICMP主机与网络不可达差错 当路由器收到一份I P数据报但又不能转发时，就要发送一份 I C M P“主机不可达”差错报文（I C M P主机不可达报文的格式如图 6 - 1 0所示）。可以很容易发现，在我们的网络上把接在路由器s u n上的拨号S L I P链路断开，然后试图通过该 S L I P链路发送分组给任何指定 s u n为默认路由器的主机。 较老版本的B S D产生一个主机不可达或者网络不可达差错，这取决于目的端是否处于一个局域子网上。4.4 BSD只产生主机不可达差错。 我们在上一节通过在路由器 s u n上运行n e t s t a t命令可以看到，当接通 S L I P链路启动时就要在路由表中增加一项使用 S L I P链路的表项，而当断开 S L I P链路时则删除该表项。这说明当S L I P链路断开时，s u n的路由表中就没有默认项了。但是我们不想改变网络上其他主机的路由表，即同时删除它们的默认路由。相反，对于 s u n不能转发的分组，我们对它产生的I C M P主机不可达差错报文进行计数。 在主机s v r 4上运行p i n g程序就可以看到这一点，它在拨号 S L I P链路的另一端（拨号链路已被断开）： 在主机b s d i上运行t c p d u m p命令的输出如图9 - 2所示。 当路由器s u

一、实验拓扑 F0/0 E1/0 R1 10.1.88.1 14.1.88.1 R2 10.1.88.2 / R3 10.1.88.3 / R4 / 14.1.88.4 二、配置步骤 1.配置拒绝外网主动访问内网 （1）配置允许ICMP可以不用标记就可以进入内网，其他的必须标记才返回 R1(config)#ip access-list extended come R1(config-ext-nacl)#permit icmp any any //被允许的ICMP是不用标记就可以进入内网的 R1(config-ext-nacl)#evaluate abc //其他要进入内网的，必须是标记为abc的 （2）应用ACL R1(config)#interface ethernet 1/0 R1(config-if)#ip access-group come in 2.测试结果 （1）测试外网R4的ICMP访问内网 可见ICMP是可以任意访问的 （2）测试外网R4telnet内网 可见除了ICMP之外，其他流量进入不了内网 （3）测试内网R2的ICMP访问内网 可见内网发送的ICMP包正常从外网返回 （4）测试内网R2telnet到外网 可见，除ICMP之外其他流量通过不了 配置内网向外网发起的telnet被返回 （1）配置内网出去时，telnet被记录为abc，将会被允许返回 R1