Step one : 熟悉Unix/Linux Shell 常见命令行 (三)

3.学会使用一些管理命令 ps/top/lsof/netstat/kill/tcpdump/iptables/dd 端口查看

 

ps -- process status

ps aux   观察程序所有程序资料

ps l    显示程序 uid pid ppid 等内容

ps AI   显示所有程序 的uid pid ppid 

 

top -- display and update sorted information about processes

不用多说,这个命令观察系统信息进程

top -b -n 2 > top.txt  保存top信息到top.txt文件中,貌似mac不可以,用linux 测试下才行

 

lsof -- list open files

lsof -u root | grep hash   查看 属于root hash 的所有进程和它的子进程程序

lsof -u root -a -U     列出关于root 的所有程序的socket 讯息

lsof +d /dev        列出所部启动的硬件装置

列出所有打开的文件

# lsof

不带任何参数运行lsof会列出所有进程打开的所有文件。

找出谁在使用某个文件

# lsof /path/to/file

只需要执行文件的路径,lsof就会列出所有使用这个文件的进程,你也可以列出多个文件,lsof会列出所有使用这些文件的进程。

你也可以一次制定多个文件:

# lsof /path/to/file1 /path/to/file2

递归查找某个目录中所有打开的文件

# lsof +D /usr/lib

加上+D参数,lsof会对指定目录进行递归查找,注意这个参数要比grep版本慢:

# lsof | grep '/usr/lib'

之所以慢是因为+D首先查找所有的文件,然后一次性输出。

列出某个用户打开的所有文件

# lsof -u pkrumins

-u选项限定只列出所有被用户pkrumins打开的文件,你可以通过逗号指定多个用户:

# lsof -u rms,root

这条命令会列出所有rms和root用户打开的文件。

你也可以像下面这样使用多个-u做同样的事情:

# lsof -u rms -u root

查找某个程序打开的所有文件

# lsof -c apache

-c选项限定只列出以apache开头的进程打开的文件:

所以你可以不用像下面这样写:

# lsof | grep foo

而使用下面这个更简短的版本:

# lsof -c foo

事实上,你可以只制定进程名称的开头:

# lsof -c apa

这会列出所有以apa开头的进程打开的文件

你同样可以制定多个-c参数:

# lsof -c apache -c python

这会列出所有由apache和python打开的文件

列出所有由某个用户或某个进程打开的文件

# lsof -u pkrumins -c apache

你也可以组合使用多个选项,这些选项默认进行或关联,也就是说上面的命令会输入由pkrumins用户或是apache进程打开的文件。

列出所有由一个用户与某个进程打开的文件

# lsof -a -u pkrumins -c bash

-a参数可以将多个选项的组合条件由或变为与,上面的命令会显示所有由pkrumins用户以及bash进程打开的文件。

列出除root用户外的所有用户打开的文件

# lsof -u ^root

注意root前面的^符号,它执行取反操作,因此lsof会列出所有root用户之外的用户打开的文件。

列出所有由某个PID对应的进程打开的文件

# lsof -p 1

-p选项让你可以使用进程id来过滤输出。

记住你也可以用都好来分离多个pid。

# lsof -p 450,980,333

列出所有进程打开的文件除了某个pid的

# lsof -p ^1

同前面的用户一样,你也可以对-p选项使用^来进行取反。

列出所有网络连接

# lsof -i

lsof的-i选项可以列出所有打开了网络套接字(TCP和UDP)的进程。

列出所有TCP网络连接

# lsof -i tcp

也可以为-i选项加上参数,比如tcp,tcp选项会强制lsof只列出打开TCP sockets的进程。

列出所有UDP网络连接

# lsof -i udp

同样udp让lsof只列出使用UDP socket的进程。

找到使用某个端口的进程

# lsof -i :25

:25和-i选项组合可以让lsof列出占用TCP或UDP的25端口的进程。

你也可以使用/etc/services中制定的端口名称来代替端口号,比如:

# lsof -i :smtp

找到使用某个udp端口号的进程

# lsof -i udp:53

同样的,也可以找到使用某个tcp端口的进程:

# lsof -i tcp:80

找到某个用户的所有网络连接

# lsof -a -u hacker -i

使用-a将-u和-i选项组合可以让lsof列出某个用户的所有网络行为。

列出所有NFS(网络文件系统)文件

# lsof -N

这个参数很好记,-N就对应NFS。

列出所有UNIX域Socket文件

# lsof -U

这个选项也很好记,-U就对应UNIX。

列出所有对应某个组id的进程

# lsof -g 1234

进程组用来来逻辑上对进程进行分组,这个例子查找所有PGID为1234的进程打开的文件。

列出所有与某个描述符关联的文件

# lsof -d 2

这个命令会列出所有以描述符2打开的文件。

你也可以为描述符指定一个范围:

# lsof -d 0-2

这会列出所有描述符为0,1,2的文件。

-d选项还支持其它很多特殊值,下面的命令列出所有内存映射文件:

# lsof -d mem

txt则列出所有加载在内存中并正在执行的进程:

# lsof -d txt

输出使用某些资源的进程pid

# lsof -t -i

-t选项输出进程的PID,你可以将它和-i选项组合输出使用某个端口的进程的PID,下面的命令将会杀掉所有使用网络的进程:

# kill -9 `lsof -t -i`

循环列出文件

# lsof -r 1

-r选项让lsof可以循环列出文件直到被中断,参数1的意思是每秒钟重复打印一次,这个选项最好同某个范围比较小的查询组合使用,比如用来监测网络活动:

# lsof -r 1 -u john -i -a

lsof + nmap 命令 就可以查询到入侵电脑的黑客进程 

 

netstat -- show network status

 netstat

http://linux.vbird.org/linux_basic/0440processcontrol.php#netstat

netstat 列出系统已经建立的网络连接与unix socket 状态

netstat -tlnp     找出目前系统上已在监听的网络连接及其PID

这样就可以根据PID 来关闭服务进程

 

kill -- terminate or signal a process 

仅仅用到 -9 参数

kill -9 httpd      杀死httpd的进程

killall -9 bash      杀死关于bash的进程

killall和kill发送的信号基本相同,它们的不同点是kill发送信号的对象是进程ID,killall发送信号的对象是进程名

 

tcpdump -- dump traffic on a network 

黑客专用的命令

tcpdump -i eth0 -nn    以IP与port number 捉下eth0网卡的封包持续3s

  • 17:01:47.362139:这个是此封包被撷取的时间,『时:分:秒』的单位;
  • IP:透过的通讯协议是 IP ;
  • 192.168.1.100.22 > :传送端是 192.168.1.100 这个 IP,而传送的 port number 为 22,你必须要了解的是,那个大于 (>) 的符号指的是封包的传输方向喔!
  • 192.168.1.101.1937:接收端的 IP 是 192.168.1.101, 且该主机开启 port 1937 来接收;
  • [P.], seq 196:472:这个封包带有 PUSH 的数据传输标志, 且传输的数据为整体数据的 196~472 byte;
  • ack  和  seq  这个计网有学过

tcpdump -i eth0 -nn port 80    监听80端口的所有数据传输

其实就是wireshark 的shell 版本

最强大的参数就是 -X

tcpdump -i en1 -nn -X 'port 80'

监听80端口的所有数据,即使输入的字符也能显示出来 

当然 密码也可以(明文)

如果搭建ftp的话  监听21端口可以看到明文的密码

 

iptables -- administration tool for IPv4 packet filtering and NAT

命令过于强大,主要作为防火墙,可以控制tcp/udp 或者http 的IP控制,可以让指定IP访问主机

敲完iptables 命令后一定要 iptables-save

iptables -A INPUT -i eth1 -s 192.168.155.126 -j ACCEPT

允许 这个IP 访问主机

iptables -A INPUT -i eth1 -s 192.168.155.126 -j DROP

拒绝这个IP访问主机

iptables -A INPUT -i eth0 -p tcp -s 192.168.0/24 --dport ssh -j DROP

 

dd -- convert and copy a file 

最有印象的就是刻苦光盘用到dd 命令

dd if=/etc/passwd of=/tmp/passwd.back

dd if=/dev/hdc1 of=/tmp/boot.while.disk

 

nmap -- Network exploration tool and seurity / port scanner

nmap -sTU localhost

nmap 192.168.10.0/24 扫描整个网段的端口开放了那些端口

 

 

 

posted @ 2013-07-10 11:17  Levi.duan  阅读(239)  评论(0编辑  收藏  举报