Tcpdump是的基本。tshark是大名鼎鼎的开源wireshark （原名叫ethereal）的命令行版本，wireshark可对多达千余种网络协议进行解码分析。Wireshark和tcpdump均使用libpcap库（参见libpcap编程教程）进行网络截包。 TCPDUMP 详细manpage参见tcpdump网站。 基本用法 Tcpdump的参数基本分为两块:选项（options）和过滤器表达式（filter_expression）。 # tcpdump [options] [filter_e...

sysctl是一个允许您改变正在运行中的Linux的接口。它包含一些 TCP/IP 堆栈和虚拟内存的高级选项， 这可以让有经验的管理员提高引人注目的系统。用sysctl可以读取设置超过五百个系统变量。基于这点，sysctl(8) 提供两个功能：读取和修改系统设置。 查看所有可读变量： % sysctl -a 读一个指定的变量，例如 kern.maxproc： % sysctl kern.maxproc kern.maxproc: 1044 要设置一个指定的变量，直接用 variable=value 这样...

用netstat -ant|grep TIME_WAIT|wc -l查看发现有700多的等待请求，原来是TCP/IP 栈引起的。 对于多数人来说，配置 TCP/IP 栈是邪恶的魔术，但是如果您运行高负载的 Web ，那么有选择地更改 Red Hat 的一些缺省值能明显提高系统响应速度。TCP/IP 配置值被存储在 /proc/sys/net/ipv4 目录中，通常可以是某个值或用0(关)和1(开)来分别表示禁用和启用。linux缺省值如下： tcp_fin_timeout 180 tcp_keepali...

一：Linux工作原理 众所周知，在安装过程中Linux首先需要一个引导程序来让安装光盘启动，再实行配置与安装。但目前转化为安装那么就需要我们的安装程序能够地通过传送给客户端。因此在搭建远程Linux安装服务器时候首先要值得注意以下几个问题: 1.远程客户端属于裸机。在这里所定义的裸机是除了标准硬件之外没有任何的操作与软件程序。当然也可以拥有操作或者是软件，之所以告诉大家是裸机是主要说明最简单的一种思维方式。 2.远程客户端必须能够支持网络启动。在这里所说明的问题是远程客户端为了能够发送安装请求必须能够...

问题 如何在Linux上S.M.A.R.T.硬盘检测 解决方案 什么是S.M.A.R.T. 随着硬盘容量、速度的快速发展，硬盘的可靠性问题越来越重要 90年代如果一块硬盘故障，可能损失掉几百MB或者几个GB的数据 而今，单块硬盘存储容量可轻松达到500GB，硬盘损坏带来的影响非常巨大 SMART是一种磁盘自我分析检测技术，早在90年代末就基本得到了普及 每一块硬盘（包括IDE、SCSI）在运行的时候，都会将自身的若干参数记录下来 这些参数包括型号、容量、温度、密度、扇区、寻道时间、传输、误码率等 硬盘运...

所周知，Linux可以通过编写iptables规则对进出Linux主机的数 据包进行过滤等操作，在一定程度上可以提升Linux主机的 性，在新版本内核中，新增了recent模块，该模块可以根据源地址、目的地址统计最近一段时间内经过本机的数据包的情况，并根据相应的规则作出相应的决 策，详见： 1、通过recent模块可以防止穷举猜测Linux主机用户口令，通常可以通过iptables限制只允许某些网段和主机连接Linux机器的 22/TCP端口，如果管理员IP地址经常变化，此时iptables就很难适用这...

今天在折腾64位linux localroot本地提权exp的时候，发现成功提权之后（具体哪个exp有兴趣的同学自己去验证），dmesg信息里会出现PPP generic driver version 2.4.2这条信息。如果你知道这个信息本应该在啥时候出现的话，就可以判断在一个生产系统里出现这个信息绝大多数是异常的。另外在提权失败的时候，还会 有一些其他印迹。 HIDS的设计需要足够灵活以加入这个逻辑。 搞嘿嘿同学们也注意了，擦脚印得擦的干净些，清理dmesg的命令是dmesg -c，得到root之后...

简单介绍几款Linux下的IDS入侵检测 psad、Apparmor、SELinuxu等.在之前的文章里也曾对入侵检测简介进行过介绍 。先去了解一下入侵检测原理和实践。 如果你只有一台电脑，那么对你而言花费大量的工夫仔细审查系统的弱点和问题是完全可能的。可能你并不真得希望这样，但却有此可能。不过，在现实世界中，我们需要一些好的工具来帮助我们监视系统，并向我们发出警告，告诉我们哪里可能出现问题，因此我们可以经常地轻松一下。入侵检测可能是一种令我们操心的问题之一。不过，事情总有两方面，幸好Linux的管理员...

特别值得一提的是 有很多值得学习的地方，这里我们主要介绍 ，包括介绍CentOS SYN 等方面。CentOS SYN Flood利用的是IPv4中协议的三次握手（Three-Way Handshake）过程进行的攻击。 一：什么是CentOS SYN Flood攻击 CentOS SYN Flood攻击利用的是IPv4中TCP协议的三次握手（Three-Way Handshake）过程进行的攻击。这个协议规定，如果一端想向另一端发起TCP连接，它需要首先发送TCP SYN (synchronize)包...

在计算机制造业中，只要涉及到计算机性要求非常重要高的地方，总要提起入侵检测和如何处理黑客的入侵。在这个方面的主要讨论焦点是：在入侵者进 行完成入侵后发现并记录入侵，还不如在他们入侵之前就发现并阻止他们对的入侵。我们可以检测每进程，这样我们就可以在入侵者实行入侵攻击的时 候实现入侵的防御，因为这样就可以即时阻止恶意的系统命令的执行。实际上，最严重的破坏都是通过在被攻击系统上执行的恶意系统调用带来的。 这篇文章提供了设计和实现这种对敏感的系统调用的监视功能。我们的目的主要是在类UNIX系统内核上通过截获系统...

：Ubuntu 9.10 kernel 2.6.31 gcc版本：4.4.1 这个是csapp 《深入理解计算机系统》的一道题，直接在原程序运行的时候实现缓存区溢出已经不可能实现了，除非你是用的版本很低的内核和gcc，如gcc 3.4.3。 先是王珑珑同学做这道题，我也跟着做了下，花了挺长时间，这期间很感谢王珑珑同学的耐心讲解，thanks~~~ 原题如下： /* Bomb program that is solved using a buffer overflow attack */ #include...

平台：Ubuntu 2.6.28-11-Server 实现如下： 一、chkrootkit rootkit，是一类者经常的工具。这类工具通常非常的隐秘、令用户不易察觉，通过这类工具，者 建立了一条能够总能够入侵，或者说对进行实时控制的途径。所以，我们用自由chkrootkit来建立入侵监测系统，来保证对系统是否被安装了 rootkit进行监测。--IWMS_AD_BEGIN-- --IWMS_AD_END-- chkrootkit在监测rootkit是否被安装的过程中，需要使用到一些操作系统本身的命令。...