amer 2008-9-11 22:52
帮我看看这个日志.提示的是什么意思
[tr=#dfdfdf][td]Sep 11 22:39:18 [/td][td]DOS [TCP]: Attack Outgoing 192.168.0.2->0.0.0.0 [SYN Scan][/td][/tr][tr=#dfdfdf][td]Sep 11 22:39:10 [/td][td]DOS [TCP]: Attack Outgoing 192.168.0.2->0.0.0.0 [SYN Scan][/td][/tr][tr=#dfdfdf][td]Sep 11 22:38:57 [/td][td]DOS [TCP]: Attack Outgoing 192.168.0.2->0.0.0.0 [SYN Scan][/td][/tr][tr=#dfdfdf][td]Sep 11 22:38:53 [/td][td]DOS [TCP]: Attack Outgoing 192.168.0.2->0.0.0.0 [SYN Scan][/td][/tr][tr=#dfdfdf][td]Sep 11 22:38:47 [/td][td]DOS [TCP]: Attack Outgoing 192.168.0.2->0.0.0.0 [SYN Scan][/td][/tr][tr=#dfdfdf][td]Sep 11 22:38:26 [/td][td]DOS [TCP]: Attack Outgoing 192.168.0.2->0.0.0.0 [FIN Scan][/td][/tr][tr=#dfdfdf][td]Sep 11 22:38:20 [/td][td]DOS [UDP]: Attack Outgoing 192.168.0.2->0.0.0.0 [SYN Scan][/td][/tr][tr=#dfdfdf][td]Sep 11 22:38:19 [/td][td]DOS [TCP]: Attack Outgoing 192.168.0.2->0.0.0.0 [SYN Scan][/td][/tr][tr=#dfdfdf][td]Sep 11 22:38:18 [/td][td]DOS [TCP]: Attack Outgoing 192.168.0.2->0.0.0.0 [SYN Scan][/td][/tr][tr=#dfdfdf][td]Sep 11 22:38:13 [/td][td]DOS [TCP]: Attack Outgoing 192.168.0.2->0.0.0.0 [FIN Scan]
为什么ip会是0000[/td][/tr]
花生壳 2008-9-15 07:56
1. ip是iproute2软件包里面的一个强大的网络配置工具,本文将介绍ip命令及其选项。
2. Ip命令的语法:
ip [OPTIONS] OBJECT [COMMAND [ARGUMENTS]]
其中,OPTIONS是一些修改ip行为或者改变其输出的选项。所有的选项都是以-字符开头,分为长、短两种形式。目前,ip支持如下选项:
-V,-Version: 打印ip的版本并退出。
-s,-stats,-statistics: 输出更为详尽的信息。如果这个选项出现两次或者多次,输出的信息将更为详尽。
-f,-family: 这个选项后面接协议种类,包括:inet、inet6或者link,强调使用的协议种类。如果没有足够的信息告诉ip使用的协议种类,ip就会使用默认值inet或者any。link比较特殊,它表示不涉及任何网络协议。
-4 是-family inet的简写。
-6 是-family inet6的简写。
-0 是-family link的简写。
-o,-oneline 对每行记录都使用单行输出,回行用字符代替。如果你需要使用wc、grep等工具处理ip的输出,会用到这个选项。
-r,-resolve 查询域名解析系统,用获得的主机名代替主机IP地址。
OBJECT是你要管理或者获取信息的对象。目前ip认识的对象包括:
link: 网络设备
address: 一个设备的协议(IP或者IPV6)地址
neighbour: ARP或者NDISC缓冲区条目
route: 路由表条目
rule: 路由策略数据库中的规则
maddress: 多播地址
mroute: 多播路由缓冲区条目
tunnel IP:上的通道
另外,所有的对象名都可以简写,例如:address可以简写为addr,甚至是a。
COMMAND设置针对指定对象执行的操作,它和对象的类型有关。一般情况下,ip支持对象的增加(add)、删除(delete)和展示(show或者list)。有些对象不支持所有这些操作,或者有其它的一些命令。对于所有的对象,用户可以使用help命令获得帮助。这个命令会列出这个对象支持的命令和参数的语法。如果没有指定对象的操作命令,ip会使用默认的命令。一般情况下,默认命令是list,如果对象不能列出,就会执行help命令。
ARGUMENTS是命令的一些参数,它们倚赖于对象和命令。ip支持两种类型的参数:flag和parameter。flag由一个关键词组成;parameter由一个关键词加一个数值组成。为了方便,每个命令都有一个可以忽略的默认参数。例如,参数dev是ip link命令的默认参数,因此ip link ls eth0等于ip link ls dev eth0。我们将在后面的章节详细介绍每个命令的使用,命令的默认参数将使用default标出。
几乎所有的关键词都可以简写为前几个字母。在交互工作时,简写的方式非常方便,但是我们不建议在脚本中使用简写形式。另外,在讲述过程中,所有的“官方”简写方式都会在文章中列出。
3.ip的错误信息
由于以下原因,ip可能会操作失败:
命令行语法错误:一个未知的关键词(an unknown keyword);错误的IP地址格式(incorrectly formated IP address)。在这种情况下,ip会打印出错误信息然后退出,在错误信息中会包含失败的原因。有时ip也会打印帮助信息。
参数不能通过一致性校验。由于用户没有提供足够的信息,造成ip无法从参数中编译出内核请求。
内核返回某些系统调用的错误。ip使用perror(3)输出错误信息,因此输出的错误信息包含一段注释以及系统调用号。
内核返回RTNETLINK请求错误。这类错误信息以"RTNETLIK answers"开头。
ip的所有操作都是原子操作。例如,如果ip执行失败,它不会系统的任何东西,ip link command例外,它会修改某些设备参数。
我们无法列出所有的错误信息,尤其是语法错误。不过,错误信息的意思都非常明确。下面,我们列举一些经常出现的错误信息:
内核不支持netlink(netlink用于在内核模块和用户之间传递信息),会出现以下错误信息:
Cannot open netlink socket: Invalid value
内核不支持RTNETLINK,会出现以下错误信息:
Cannot talk to rtnetlink: Connect refused
Cannot send dump request: Connect refused
如果在编译内核时没有配置CONFIG_IP_MULTIPLE_TABLES选项。在使用ip规则时会出现和下面的信息类似的错误信息:
kuznet@kaise $ ip rule list
RTNETLINK error: Invalid argument
dump terminated
4.ip link--配置网络设备
对象 link由网络设备,对应的命令显示以及设备的状态变化组成。
命令 set和show(或者list)
4.1.ip link set--改变设备的属性
缩写:set、s
参数:
dev NAME(default) 指定进行操作的网络设备
up/down 起动/关闭设备。
例如:ip link set dev eth0 up
arp on/off 改变网络设备的NOARP选项。
如果设备处于UP状态,不允许进行这个操作。不过,内核和ip都不会对在这种情况下的这个操作进行检查。在设备处于运行状态下改变这个选项会造成无法预料的后果。
multicast on/off 改变网络设备的MULTICAST选项。
dynamic on/off 改变网络设备的DYNAMIC选项。
name NAME 把设备的名字改为NAME(例如:eth0)。如果设备处于运行状态或者已经配置了地址,建议不要进行这个操作。
txqueuelen NUMBER或者txqlen NUMBER 改变设备传输队列的长度。
例如:ip link set dev eth0 txqueuelen 100
mtu NUMBER 改变网络设备MTU(最大传输单元)的值。
例如:ip link set dev eth0 mtu 1500
address LLADDRESS 修改网络设备的MAC地址。
例如:ip link set dev eth0 address 00:01:4f:00:15:f1
broadcat LLADDRESS或者brd LLADDRESS 修改数据链路层广播地址。
注意:对于大多数的网络设备(例如:以太网),修改链路层广播地址会对网络造成破坏。因此,如果对此没有很深的理解,最好不要使用这个操作。
peer LLADDRESS 当使用点对点连接时,使用这个操作可以修改对端的数据链路层地址。
注意:ip不能修改PROMISC或者ALLMULTI选项。这两个选项已经比较陈旧,而且也不应该随便修改。
如果同时修改多个参数,任何一个修改失败,ip都会立即取消操作。这种情况可能使系统进入无法预料的状态。为了避免出现这种情况,尽量不要使用ip link set同时修改多个参数,例如:ip link set dev eth0 mtu 1500 txqueuelen 100。
4.2.ip link show--显示设备属性
缩写:show、list、lst、sh、ls、l
参数
dev NAME(default) NAME指定网络设备名称,例如:eth0。如果省略了这个参数,所有的设备属性就都会被列出。
up 只显示处于活动状态网络接口的信息。
输出格式
kuznet@alisa:~ $ ip link ls eth0
3: eth0: mtu 1500 qdisc cbq qlen 100
link/ether 00:a0:cc:66:18:78 brd ff:ff:ff:ff:ff:ff:
kuznet@alisa:~ $ ip link ls sit0
5: sit0@NOME: mtu 1480 qdisc noqueue
link/sit 0.0.0.0 brd 0.0.0.0
kuznet@alisa:~ $ ip link ls dummy
2: dummy: mtu 1500 qdisc noop
link/ether 00:00:00:00:00:00 brd ff:ff:ff:ff:ff:ff
kuznet@alisa:~ $
在显示的信息中,每个引号之前的数字是一个接口索引,用于识别网络接口。这个数字后面是网络接口的名字(例如:eth0、dummy等),它也和网络接口一一对应。不过,在某些情况下,例如:驱动模块被卸载,对应的接口名就会从列表中消失,而其它新创建的接口就会使用相同的名字。系统管理员可以ip link set name修改接口的名字。
接口名可以是别的,或者是@NONE。这意味着这个设备被绑定到其它的设备,例如数据包被发送到这个设备,由这个设备封装,并从master设备发出。如果设备名字是NONE,就表示master设备是未知的。
接着,我们看到的是mtu(Maximal Transfer Unit,最大传输单元)。它决定这个接口单个数据包能够传输多少数据。
qdisc(queuing discipline)显示这个网络接口使用的排队算法。noqueue表示不对数据包进行排队;noop表示这个网络接口出于黑洞模式,也就是所有进入本网络设备的数据会直接被丢弃。qlen是网络接口传输队列的默认长度。
网络接口可以有如下标志:
UP: 这个设备处于运行状态,可以接收、发送数据包。
LOOPBACK: 这个接口不能用于和其它的主机通讯,所有发送到这个接口的数据包都会返回,而且这种接口只能接收反弹回来的数据包。
BROADCAST: 这个设备具有把数据包发送到所有主机的能力。以太网连接是一个很典型的例子。
POINTTOPOINT: 两个节点之间是直接连接的。某个接点发出的所有数据包都会发到对端节点,接收到的所有数据包也都是从对端节点发过来的。
MULTICAST: 这个标志表示设备具有多播能力,能够把数据包发送到某些相邻的网络节点。实际上,广播是多播的一个特例,它的多播组包括连接上的所有节点。
从定义上,POINTTOPOINT和BROADCAST连接都属于多播。
如果网络接口的标志不属于LOOPBACK、BROADCAST和POINTTOPOINT的任何一个,就假定是NMBA(Non-Broadcast Multi-Access)类型。这是最为普遍的一个标志。
PROMISC: 设备处于混杂模式,接收连接上的所有数据,不管目的地址是否是自己。通常,这种模式主要用于网桥和网络监视。
ALLMULTI: 设备接收连接上的所有多播数据包,多播路由器(muliticast router)使用这种模式。
NOARP: 这个标志和其它的标志不同,它的含义和涉及的网络协议有关。它一般表示这个设备无需地址解析,软件或者硬件不必借助于系统协议栈的帮助就知道如何把数据包投递到目的地。
DYNAMIC: 这个标志表示这个网络接口是动态建立和撤消的。
SLAVE: 表示这个接口被绑定到其它的网络接口。
除此之外,还有其它一些标志。这些标志或者已经过时(例如:NOTRAILERS),或者还没有实现(如:DEBUG),或者只是特定于某些设备(例如:MASTER、AUTOMEDIA、PORTSEL)。因此,在此我们不作讨论。
对于PROMISC和ALLMULTI标志,ifconfig和ip显示的值是不同的。ip link ls命令显示的是设备的真正状态,而ifconfig显示的是自己设置的虚拟设备状态。
显示信息的第二行包含和链路层地址(MAC地址)相关的信息。其中,第一个词(ether、sit)定义接口的硬件类型。而接口的硬件类型又决定MAC地址的格式和语法。默认的格式是硬件的MAC地址和广播地址(如果是点对点连接方式,就是对端的地址),地址是用冒号隔开的16进制数字。不过,默写类型的连接有其特定的地址格式,例如:IP通道的地址格式是用点分开的IP地址。
NBMA(Non-Broadcast Multi-Access)连接没有明确定义的广播地址和对端地址。不过,这个域包含一些有用的信息,例如:倚赖于ARP服务器的广播地址。
使用这个命令不会显示多播地址,需要使用ip maddr ls命令。详情请参考第9节ip maddr ls。
统计信息
使用-statistics选项,ip命令会打印出网络接口的统计信息,例如:
kuznet@alisa:~ $ ip -s link ls eth0
3: eth0: mtu 1500 qdisc cbq qlen 100
link/ether 00:a0:cc:66:18:78 brd ff:ff:ff:ff:ff:ff
RX: bytes packets errors dropped overrun mcast
2449949362 2786187 0 0 0 0
TX: bytes packets errors dropped carrier collsns
178558497 1783946 332 0 332 35172
kuznet@alisa:~ $
RX:和TX:分别是接收和发送统计信息的开头。得到的统计信息包括:
bytes 网络接口发送或者收到的字节数。如果字节数超过数据类型能够表示的最大数值,就会造成回卷。因此,你如果想连续监视这个指标,
需要一个用户空间的监控进程周期性地保存这个数据。
packets 网络接口收到或者发送的数据包个数。
errors 发生错误的次数。
dropped 由于系统资源限制,而丢弃数据包的数量。
overrun 由于发生堵塞,收到的数据包被丢弃的数量。如果接口发生堵塞,就意味着内核或者你的机器太慢,无法处理收到的数据。
mcast 收到的多播数据包数量,只有很少的设备支持这个选项。
carrier 连接介质出现故障的次数,例如:网线接触不好。
collsns 以太网类型介质发生冲突的事件次数。
compressed 压缩
51question 2008-10-18 16:03
好!
顶!!
[url=http://www.yzjptcz.com/][color=white]腰椎间盘突出www.yzjptcz.com[/color][/url]
[url=http://www.188ktv.com/][color=white]KTV管理公司www.188ktv.com[/color][/url]
[url=http://www.chwlol.com/][color=white]成都吃喝玩乐www.chwlol.com[/color][/url]
[url=http://www.howseo.cn/][color=white]成都seowww.howseo.cn[/color][/url]
[url=http://www.130tv.com/][color=white]成都卫星电视www.130tv.com[/color][/url]
喇叭头 2008-12-23 14:16
设置为自动获取不怎么好,因为当你开机的时候电脑还要去搜索DHCP服务器,如果你用的是AD,那就自己设置个静态IP。 不过你电脑怎么不可以自己设定IP的,好怪噢。! 先在本地连接设下IP,再AD拨号试下。
