【正文】 pts/2 secs Wed Jan 27 07:27ls root pts/2 secs Wed Jan 27 07:26ls root pts/2 secs Wed Jan 27 07:26ls root pts/2 secs Wed Jan 27 07:18ls root pts/2 secs Wed Jan 27 06:10ls root pts/0 secs Wed Jan 27 06:08ls user1 pts/0 secs Wed Jan 27 06:05ls user1 pts/0 secs Wed Jan 27 06:04ls root pts/2 secs Wed Jan 27 05:52ls root pts/2 secs Wed Jan 27 05:34ls root pts/0 secs Wed Jan 27 05:32ls root pts/0 secs Wed Jan 27 05:32ls root pts/0 secs Wed Jan 27 05:32ls root pts/0 secs Wed Jan 27 05:28第三步：統(tǒng)計(jì)記帳信息可以使用sa命令打印過去執(zhí)行命令的統(tǒng)計(jì)信息。 學(xué)習(xí)重點(diǎn)和難點(diǎn)178。 lastm——命令顯示系統(tǒng)執(zhí)行的命令.178。因此系統(tǒng)中存在網(wǎng)絡(luò)分析工具主要不是對本機(jī)安全的威脅，而是對網(wǎng)絡(luò)上的其他計(jì)算機(jī)的安全存在威脅。F 從指定的文件中讀取表達(dá)式，忽略命令行中給出的表達(dá)式。只輸出較少的協(xié)議信息。如果沒有指定類型，缺省的類型是host。124。五、舉例(1) 的主機(jī)收到的和發(fā)出的所有的分組： tcpdump host (2) ，使用命令（注意：括號(hào)前的反斜杠是必須的）： tcpdump host and \( or \)(3) ，使用命令： tcpdump ip host and ! (4) ，并且不轉(zhuǎn)換主機(jī)名使用如下命令： tcpdump nn n src host and port 22 and tcp(5) ，并把mac地址也一同顯示： tcpdump e src host and port 22 and tcp n –nn(6) ：tcpdump src host and dst net (7) 過濾源主機(jī)物理地址為XXX的報(bào)頭：tcpdump ether src 00:50:04:BA:9B and dst……（為什么ether src后面沒有host或者net？物理地址當(dāng)然不可能有網(wǎng)絡(luò)嘍）。124。如果沒有給出任何條件，則網(wǎng)絡(luò)上所有的信息包 將會(huì)被截獲。P 不將網(wǎng)絡(luò)接口設(shè)置成混雜模式。E 用spiipaddr algo:secret解密那些以addr作為地址，并且包含了安全參數(shù)索引值spi的IPsec ESP分組。tcpdump提供了源代碼，公開了接口，因此具備很強(qiáng)的可擴(kuò)展性，對于網(wǎng)絡(luò)維護(hù)和入侵者都是非常有用的工具。178。 sa命令178。而且sa還提供每一個(gè)用戶的統(tǒng)計(jì)信息， 這些信息保存在一個(gè)叫做usracct的文件當(dāng)中。d 將匹配信息包的代碼以人們能夠理解的匯編格式給出。nn 不進(jìn)行端口名稱的轉(zhuǎn)換。u 輸出未解碼的NFS句柄。 39。 0:90:27:58:af:1a是主機(jī) ICE的MAC地址。 ip 是表明該分組是IP分組，60 是分組的長度， ICE. telnet 表明該分組是從主機(jī)H219的33357端口發(fā)往主機(jī)ICE的 TELNET(23)端口。Fddi指明是在FDDI (分布式光纖數(shù)據(jù)接口網(wǎng)絡(luò))上的特定的網(wǎng)絡(luò)協(xié)議，實(shí)際上它是”ether”的別名，fddi和ether 具有類似的源地址和目的地址，所以可以將fddi協(xié)議包當(dāng)作ether的包進(jìn)行處理和分析。 t 不在每一行中輸出時(shí)間戳。該參數(shù)可以被使用多次，以導(dǎo)入多個(gè)MIB模塊。c 在收到指定的數(shù)量的分組后，tcpdump就會(huì)停止?？傆?jì)時(shí)間也可以打印出來，如果你執(zhí)行沒有任何參數(shù)的ac命令， 屏幕將會(huì)顯示總計(jì)的連線時(shí)間。 學(xué)習(xí)要求理解:審計(jì)對主機(jī)安全的重要性。 sa——命令統(tǒng)計(jì)系統(tǒng)進(jìn)程記帳的情況. 注意事項(xiàng)在使用psacct程序進(jìn)行審計(jì)時(shí)，需要查看其是否安裝，如果沒有安裝要手動(dòng)進(jìn)行安裝。它支持針對網(wǎng)絡(luò)層、協(xié)議、主機(jī)、網(wǎng)絡(luò)或端口的過濾，并提供and、or、not等邏輯語句來幫助你去