3.学会使用一些管理命令 ps/top/lsof/netstat/kill/tcpdump/iptables/dd 端口查看

ps -- process status

ps aux 　　观察程序所有程序资料

ps l　　　　显示程序 uid pid ppid 等内容

ps AI　　　显示所有程序 的uid pid ppid

top -- display and update sorted information about processes

不用多说，这个命令观察系统信息进程

top -b -n 2 > top.txt　　保存top信息到top.txt文件中，貌似mac不可以，用linux 测试下才行

lsof -- list open files

lsof -u root | grep hash   查看 属于root hash 的所有进程和它的子进程程序

lsof -u root -a -U　　　　 列出关于root 的所有程序的socket 讯息

lsof +d /dev　　　　　　  列出所部启动的硬件装置

列出所有打开的文件

# lsof

不带任何参数运行lsof会列出所有进程打开的所有文件。

找出谁在使用某个文件

# lsof /path/to/file

只需要执行文件的路径，lsof就会列出所有使用这个文件的进程，你也可以列出多个文件，lsof会列出所有使用这些文件的进程。

你也可以一次制定多个文件：

# lsof /path/to/file1 /path/to/file2

递归查找某个目录中所有打开的文件

# lsof +D /usr/lib

加上+D参数，lsof会对指定目录进行递归查找，注意这个参数要比grep版本慢：

# lsof | grep '/usr/lib'

之所以慢是因为+D首先查找所有的文件，然后一次性输出。

列出某个用户打开的所有文件

# lsof -u pkrumins

-u选项限定只列出所有被用户pkrumins打开的文件，你可以通过逗号指定多个用户：

# lsof -u rms,root

这条命令会列出所有rms和root用户打开的文件。

你也可以像下面这样使用多个-u做同样的事情：

# lsof -u rms -u root

查找某个程序打开的所有文件

# lsof -c apache

-c选项限定只列出以apache开头的进程打开的文件：

所以你可以不用像下面这样写：

# lsof | grep foo

而使用下面这个更简短的版本：

# lsof -c foo

事实上，你可以只制定进程名称的开头：

# lsof -c apa

这会列出所有以apa开头的进程打开的文件

你同样可以制定多个-c参数：

# lsof -c apache -c python

这会列出所有由apache和python打开的文件

列出所有由某个用户或某个进程打开的文件

# lsof -u pkrumins -c apache

你也可以组合使用多个选项，这些选项默认进行或关联，也就是说上面的命令会输入由pkrumins用户或是apache进程打开的文件。

列出所有由一个用户与某个进程打开的文件

# lsof -a -u pkrumins -c bash

-a参数可以将多个选项的组合条件由或变为与，上面的命令会显示所有由pkrumins用户以及bash进程打开的文件。

列出除root用户外的所有用户打开的文件

# lsof -u ^root

注意root前面的^符号，它执行取反操作，因此lsof会列出所有root用户之外的用户打开的文件。

列出所有由某个PID对应的进程打开的文件

# lsof -p 1

-p选项让你可以使用进程id来过滤输出。

记住你也可以用都好来分离多个pid。

# lsof -p 450,980,333

列出所有进程打开的文件除了某个pid的

# lsof -p ^1

同前面的用户一样，你也可以对-p选项使用^来进行取反。

列出所有网络连接

# lsof -i

lsof的-i选项可以列出所有打开了网络套接字（TCP和UDP）的进程。

列出所有TCP网络连接

# lsof -i tcp

也可以为-i选项加上参数，比如tcp，tcp选项会强制lsof只列出打开TCP sockets的进程。

列出所有UDP网络连接

# lsof -i udp

同样udp让lsof只列出使用UDP socket的进程。

找到使用某个端口的进程

# lsof -i :25

:25和-i选项组合可以让lsof列出占用TCP或UDP的25端口的进程。

你也可以使用/etc/services中制定的端口名称来代替端口号，比如：

# lsof -i :smtp

找到使用某个udp端口号的进程

# lsof -i udp:53

同样的，也可以找到使用某个tcp端口的进程：

# lsof -i tcp:80

找到某个用户的所有网络连接

# lsof -a -u hacker -i

使用-a将-u和-i选项组合可以让lsof列出某个用户的所有网络行为。

列出所有NFS（网络文件系统）文件

# lsof -N

这个参数很好记，-N就对应NFS。

列出所有UNIX域Socket文件

# lsof -U

这个选项也很好记，-U就对应UNIX。

列出所有对应某个组id的进程

# lsof -g 1234

进程组用来来逻辑上对进程进行分组，这个例子查找所有PGID为1234的进程打开的文件。

列出所有与某个描述符关联的文件

# lsof -d 2

这个命令会列出所有以描述符2打开的文件。

你也可以为描述符指定一个范围：

# lsof -d 0-2

这会列出所有描述符为0，1，2的文件。

-d选项还支持其它很多特殊值，下面的命令列出所有内存映射文件：

# lsof -d mem

txt则列出所有加载在内存中并正在执行的进程：

# lsof -d txt

输出使用某些资源的进程pid

# lsof -t -i

-t选项输出进程的PID，你可以将它和-i选项组合输出使用某个端口的进程的PID，下面的命令将会杀掉所有使用网络的进程：

# kill -9 `lsof -t -i`

循环列出文件

# lsof -r 1

-r选项让lsof可以循环列出文件直到被中断，参数1的意思是每秒钟重复打印一次，这个选项最好同某个范围比较小的查询组合使用，比如用来监测网络活动：

# lsof -r 1 -u john -i -a

lsof + nmap 命令 就可以查询到入侵电脑的黑客进程

netstat -- show network status

netstat

http://linux.vbird.org/linux_basic/0440processcontrol.php#netstat

netstat 列出系统已经建立的网络连接与unix socket 状态

netstat -tlnp 　　　　找出目前系统上已在监听的网络连接及其PID

这样就可以根据PID 来关闭服务进程

kill -- terminate or signal a process

仅仅用到 -9 参数

kill -9 httpd　　　　　　杀死httpd的进程

killall -9 bash　　　　　 杀死关于bash的进程

killall和kill发送的信号基本相同，它们的不同点是kill发送信号的对象是进程ID，killall发送信号的对象是进程名

tcpdump -- dump traffic on a network

黑客专用的命令

tcpdump -i eth0 -nn　　　　以IP与port number 捉下eth0网卡的封包持续3s

• 17:01:47.362139：这个是此封包被撷取的时间，『时:分:秒』的单位；
• IP：透过的通讯协议是 IP ；
• 192.168.1.100.22 > ：传送端是 192.168.1.100 这个 IP，而传送的 port number 为 22，你必须要了解的是，那个大于 (>) 的符号指的是封包的传输方向喔！
• 192.168.1.101.1937：接收端的 IP 是 192.168.1.101， 且该主机开启 port 1937 来接收；
• [P.], seq 196:472：这个封包带有 PUSH 的数据传输标志， 且传输的数据为整体数据的 196~472 byte；
• ack  和  seq  这个计网有学过

tcpdump -i eth0 -nn port 80　　　　监听80端口的所有数据传输

其实就是wireshark 的shell 版本

最强大的参数就是 -X

tcpdump -i en1 -nn -X 'port 80'

监听80端口的所有数据，即使输入的字符也能显示出来

当然 密码也可以（明文）

如果搭建ftp的话  监听21端口可以看到明文的密码

iptables -- administration tool for IPv4 packet filtering and NAT

命令过于强大，主要作为防火墙，可以控制tcp/udp 或者http 的IP控制，可以让指定IP访问主机

敲完iptables 命令后一定要 iptables-save

iptables -A INPUT -i eth1 -s 192.168.155.126 -j ACCEPT

允许 这个IP 访问主机

iptables -A INPUT -i eth1 -s 192.168.155.126 -j DROP

拒绝这个IP访问主机

iptables -A INPUT -i eth0 -p tcp -s 192.168.0/24 --dport ssh -j DROP

dd -- convert and copy a file

最有印象的就是刻苦光盘用到dd 命令

dd if=/etc/passwd of=/tmp/passwd.back

dd if=/dev/hdc1 of=/tmp/boot.while.disk

nmap -- Network exploration tool and seurity / port scanner

nmap -sTU localhost

nmap 192.168.10.0/24 扫描整个网段的端口开放了那些端口