第一篇:典型的APT攻击过程详解
典型的APT攻击过程详解
APT攻击是近几年来出现的一种高级攻击,具有难检测、持续时间长和攻击目标明确等特征。本文中,我带你细数一下近年来比较典型的几个APT攻击,分析一下它们的攻击过程。
Google极光攻击
2022年的Google Aurora(极光)攻击是一个十分著名的APT攻击。Google的一名雇员点击即时消息中的一条恶意链接,引发了一系列事件导致这个搜索引擎巨人的网络被渗入数月,并且造成各种系统的数据被窃取。这次攻击以Google和其它大约20家公司为目标,它是由一个有组织的网络犯罪团体精心策划的,目的是长时间地渗入这些企业的网络并窃取数据。
该攻击过程大致如下:
1)对Google的APT行动开始于刺探工作,特定的Google员工成为攻击者的目标。攻击者尽可能地收集信息,搜集该员工在Facebook、Twitter、LinkedIn和其它社交网站上发布的信息。
2)接着攻击者利用一个动态DNS供应商来建立一个托管伪造照片网站的Web服务器。该Google员工收到来自信任的人发来的网络链接并且点击它,就进入了恶意网站。该恶意网站页面载入含有shellcode的JavaScript程序码造成IE浏览器溢出,进而执行FTP下载程序,并从远端进一步抓了更多新的程序来执行(由于其中部分程序的编译环境路径名称带有Aurora字样,该攻击故此得名)。
3)接下来,攻击者通过SSL安全隧道与受害人机器建立了连接,持续监听并最终获得了该雇员访问Google服务器的帐号密码等信息。
4)最后,攻击者就使用该雇员的凭证成功渗透进入Google的邮件服务器,进而不断的获取特定Gmail账户的邮件内容信息
超级工厂病毒攻击(震网攻击)
著名的超级工厂病毒攻击为人所知主要源于2022年伊朗布什尔核电站遭到Stuxnet蠕虫的攻击的事件曝光。
遭遇超级工厂病毒攻击的核电站计算机系统实际上是与外界物理隔离的,理论上不会遭遇外界攻击。坚固的堡垒只有从内部才能被攻破,超级工厂病毒也正充分的利用了这一点。超级工厂病毒的攻击者并没有广泛的去传播病毒,而是针对核电站相关工作人员的家用电脑、个人电脑等能够接触到互联网的计算机发起感染攻击,以此为第一道攻击跳板,进一步感染相关人员的移动设备,病毒以移动设备为桥梁进入“堡垒”内部,随即潜伏下来。病毒很有耐心的逐步扩散,一点一点的进行破坏。这是一次十分成功的APT攻击,而其最为恐怖的地方就在于极为巧妙的控制了攻击范围,攻击十分精准。在2022年,一种基于Stuxnet代码的新型的蠕虫Duqu又出现在欧洲,号称“震网二代”。Duqu主要收集工业控制系统的情报数据和资产信息,为攻击者提供下一步攻击的必要信息。攻击者通过僵尸网络对其内置的RAT进行远程控制,并且采用私有协议与CC端进行通讯,传出的数据被包装成jpg文件和加密文件。
夜龙攻击
夜龙攻击是McAfee在2022年2月份发现并命名的针对全球主要能源公司的攻击行为。
该攻击的攻击过程是:
1)外网主机如Web服务器遭攻击成功,多半是被SQL注入攻击;
2)被黑的Web服务器被作为跳板,对内网的其他服务器或PC进行扫描;
3)内网机器如AD服务器或开发人员电脑遭攻击成功,多半是被密码暴力破解;
4)被黑机器被植入恶意代码,多半被安装远端控制工具(RAT),传回大量机敏文件(WORD、PPT、PDF等等),包括所有会议记录与组织人事架构图;
5)更多内网机器遭入侵成功,多半为高阶主管点击了看似正常的邮件附件,却不知其中含有恶意代码。
RSA SecurID窃取攻击
2022年3月,EMC公司下属的RSA公司遭受入侵,部分SecurID技术及客户资料被窃取。其后果导致很多使用SecurID作为认证凭据建立VPN网络的公司——包括洛克希德马丁公司、诺斯罗普公司等美国国防外包商——受到攻击,重要资料被窃取。在RSA SecurID攻击事件中,攻击方没有使用大规模SQL注入,也没有使用网站挂马或钓鱼网站,而是以最原始的网路通讯方式,直接寄送电子邮件给特定人士,并附带防毒软体无法识别的恶意文件附件。
其攻击过程大体如下:
1)RSA有两组同仁们在两天之中分别收到标题为“2022 Recruitment Plan”的恶意邮件,附件是名为“2022 Recruitment plan.xls”的电子表格;
2)很不幸,其中一位同仁对此邮件感到兴趣,并将其从垃圾邮件中取出来阅读,殊不知此电子表格其实含有当时最新的Adobe Flash的0day漏洞(CVE-2022-0609);
3)该主机被植入臭名昭著的Poison Ivy远端控制工具,并开始自C&C中继站下载指令进行任务;
4)首批受害的使用者并非“位高权重”人物,紧接着相关联的人士包括IT与非IT等服务器管理员相继被黑;
5)RSA发现开发用服务器(Staging server)遭入侵,攻击方随即进行撤离,加密并压缩所有资料(都是rar格式),并以FTP传送至远端主机,又迅速再次搬离该主机,清除任何踪迹
暗鼠攻击
2022年8月份,McAfee/Symantec发现并报告了该攻击。该攻击在长达数年的持续攻击过程中,渗透并攻击了全球多达70个公司和组织的网络,包括美国政府、联合国、红十字会、武器制造商、能源公司、金融公司,等等。
其攻击过程如下:
1)攻击者通过社会工程学的方法收集被攻击目标的信息。
2)攻击者给目标公司的某个特定人发送一些极具诱惑性的、带有附件的邮件例如邀请他参见某个他所在行业的会议,以他同事或者HR部门的名义告知他更新通讯录,请他审阅某个真实存在的项目的预算,等等。
3)当受害人打开这些邮件,查看附件(大部分形如:Participant_Contacts.xls、2022 project budget.xls、Contact List-Update.xls、The budget justification.xls),受害人的EXCEL程序的FEATHEADER远程代码执行漏洞(Bloodhound.Exploit.306)被利用,从而被植入木马。实际上,该漏洞不是0day漏洞,但是受害人没有及时打补丁,并且,该漏洞只针对某些版本的EXCEL有效,可见被害人所使用的EXCEL版本信息也已经为攻击者所悉知。
4)木马开始跟远程的服务器进行连接,并下载恶意代码。而这些恶意代码被精心伪装(例如被伪装为图片,或者HTML文件),不为安全设备所识别。
5)借助恶意代码,受害人机器与远程计算机建立了远程Shell连接,从而导致攻击者可以任意控制受害人的机器
Lurid攻击
2022年9月22日,TrendMicro的研究人员公布了一起针对前独联体国家、印度、越南和中国等国家的政府部门、外交部门、航天部门,还有科研机构APT攻击——Lurid攻击。
攻击者的主要是利用了CVE-2022-4324和 CVE-2022-2883这两个已知的Adobe Reader漏洞,以及被压缩成RAR文件的带有恶意代码的屏幕保护程序。
用户一旦阅读了恶意PDF文件或者打开了恶意屏幕保护程序,就会被植入木马。木马程序会变换多种花样驻留在受害人电脑中,并与C&C服务器进行通讯,收集的信息通常通过HTTP POST上传给C&C服务器。攻击者借助C&C服务器对木马下达各种指令,不断收集受害企业的敏感信息 Nitro攻击
2022年10月底,Symantec发布的一份报告公开了主要针对全球化工企业的进行信息窃取的Nitro攻击。
该攻击的过程也十分典型:
1)受害企业的部分雇员收到带有欺骗性的邮件;
2)当受害人阅读邮件的时候,往往会看到一个通过文件名和图标伪装成一个类似文本文件的附件,而实际上是一个可执行程序;或者看到一个有密码保护的压缩文件附件,密码在邮件中注明,并且如果解压会产生一个可执行程序。
3)只要受害人执行了附件中的可执行程序,就会被植入Poison Ivy后门程序。
4)Poison Ivy会通过TCP 80端口与C&C服务器进行加密通讯,将受害人的电脑上的信息上传,主要是帐号相关的文件信息。
5)攻击者在获取了加密的帐号信息后通过解密工具找到帐号的密码,然后借助事先植入的木马在受害企业的网络寻找目标、伺机行动、不断收集企业的敏感信息。
6)所有的敏感信息会加密存储在网络中的一台临时服务器上,并最终上传到公司外部的某个服务器上,从而完成攻击。
Luckycat攻击
2022年3月份,TrendMicro发布的报告中披露了一个针对印度和日本的航空航天、军队、能源等单位进行长时间的渗透和刺探的攻击行动,并命名为Luckycat。
根据报告显示,这次攻击行动依然是通过钓鱼邮件开始的,例如针对日本目标的钓鱼邮件的内容大都跟福岛核电站的核辐射问题有关。然后就是利用了很多针对 pdf/rtf的漏洞,包括CVE-2022-3333,CVE-2022-2883,CVE-2022-3654,CVE-2022-0611,CVE-2022-2462等。渗透进去之后就是用C&C进行远程控制。而C&C服务器是通过VPS申请到的DNS域名
我语:综合分析以上典型的APT攻击,可以发现,现在的新型攻击主要呈现以下技术特点:
攻击者的诱骗手段往往采用恶意网站,用钓鱼的方式诱使目标上钩。而企业和组织目前的安全防御体系中对于恶意网站的识别能力还不够,缺乏权威、全面的恶意网址库,对于内部员工访问恶意网站的行为无法及时发现;
攻击者也经常采用恶意邮件的方式攻击受害者,并且这些邮件都被包装成合法的发件人。而企业和组织现有的邮件过滤系统大部分就是基于垃圾邮件地址库的,显然,这些合法邮件不在其列。再者,邮件附件中隐含的恶意代码往往都是0day漏洞,邮件内容分析也难以奏效; 还有一些攻击是直接通过对目标公网网站的SQL注入方式实现的。很多企业和组织的网站在防范SQL注入攻击方面缺乏防范;
初始的网络渗透往往使用利用0day漏洞的恶意代码。而企业和组织目前的安全防御/检测设备无法识别这些0day漏洞攻击;
在攻击者控制受害机器的过程中,往往使用SSL链接,导致现有的大部分内容检测系统无法分析传输的内容,同时也缺乏对于可疑连接的分析能力;
攻击者在持续不断获取受害企业和组织网络中的重要数据的时候,一定会向外部传输数据,这些数据往往都是压缩、加密的,没有明显的指纹特征。这导致现有绝大部分基于特征库匹配的检测系统都失效了;
还有的企业部署了内网审计系统,日志分析系统,甚至是SOC安管平台。但是这些更高级的系统主要是从内控与合规的角度来分析事件,而没有真正形成对外部入侵的综合分析。由于知识库的缺乏,客户无法从多个角度综合分析安全事件,无法从攻击行为的角度进行整合,发现攻击路径。
受害人的防范意识还需要进一步提高。攻击者往往不是直接攻击最终目标人,而是透过攻击外围人员层层渗透。例如先攻击HR的人,或者首轮受害人的网 络好 友,再以HR受害人的身份去欺骗(攻击)某个接近最终目标人的过渡目标,再透过过渡目标人去攻击最终目标人(例如掌握了某些机密材料的管理员、公司高管、财务负责人等)。
细心研读这八个案例的话,不免发现,这八个APT攻击案例都有着一个相同的关键词:“邮件”,邮件钓鱼其实就是社会工程学攻击。现今在IT大公司的网络安全防御策略越来越完备,一些非IT行业的大公司也开始重视自己内部的网络安全环境了。现在的“黑客”们,对这些有所防备的大公司做渗透攻击时,纯粹的技术突破已经慢慢加大难度。这时候,社会工程学攻击,这个被历来的黑客们视为旁门左道的“怪侠”悄然上场。从文中这八个APT攻击案例来说,社会工程学扮演着至关重要的角色,甚至是突破防线的关键。
第二篇:Apt求职信
Apt.322, Student BuildingMudanjiang 157012
Nov 8, 2022
Personal Department
Ying jie precision molding Co., LTD
Yao Feng West Road No.66 Suzhou City
Fax: 6543210;
Dear Sir/Madam,I am writing to apply for the position of Sales Representative at your company.And I would like to introduce myself to you briefly.As you can see from the attached resume, I have two-year experience as a secretary, which I believe would be useful..And I have experience as a Sales Representative.I used to perform several tasks at my former company and learned a lot about how to manager my workload well.I had become skillful in interpersonal communication.In addition, I am thoroughly familiar with the use of computer, and with the Internet and E-mail as well.Having majored in Business English for four years ,I have a good command of oral and written English.I believe that I am qualified for the position of Sales Representative in your company.I am looking forward to a personal interview at your convenience, if you decide to follow up on this application.Thank you very much!
Sincerely yours
Liu Han
Enclosed is a resume.Letters of Application and Resume
求职信及简历
姓名:刘瀚文
班级:2022级商务2班
学号:2022141053
第三篇:思科交换机如何防范典型欺骗和攻击
本文所提到的攻击和欺骗行为主要针对链路层和网络层。在网络实际环境中,其来源可概括为两个途径:人为实施;病毒或蠕虫。人为实施通常是指使用一些黑客的工具对网络进行扫描和嗅探,获取管理帐户和相关密码,在网络上中安插木马,从而进行进一步窃取机密文件。攻击和欺骗过程往往比较隐蔽和安静,但对于信息安全要求高的企业危害是极大的。而来自木马或者病毒及蠕虫的攻击和往往会偏离攻击和欺骗本身的目的,现象有时非常直接,会带来网络流量加大、设备 CPU 利用率过高、二层生成树环路直至网络瘫痪。
目前这类攻击和欺骗工具已经非常成熟和易用,而目前企业在部署这方面的防范还存在很多不足,有很多工作要做。思科针对这类攻击已有较为成熟的解决方案,主要基于下面的几个关键的技术:
• Port Security feature
• DHCP Snooping
• Dynamic ARP Inspection(DAI)
• IP Source Guard
下面部分主要针对目前非常典型的二层攻击和欺骗说明如何在思科交换机上组合运用和部署上述技术,从而实现防止在交换环境中实施“中间人”攻击、MAC/CAM 攻击、DHCP 攻击、地址欺骗等,更具意义的是通过上面技术的部署可以简化地址管理,直接跟踪用户 IP 和对应的交换机端口;防止 IP 地址冲突。同时对于大多数对二层网络造成很大危害的具有地址扫描、欺骗等特征的病毒可以有效的报警和隔离。MAC/CAM攻击的防范
1.1MAC/CAM攻击的原理和危害
交换机主动学习客户端的 MAC 地址,并建立和维护端口和 MAC 地址的对应表以此建立交换路径,这个表就是通常我们所说的 CAM 表。CAM 表的大小是固定的,不同的交换机的 CAM 表大小不同。MAC/CAM 攻击是指利用工具产生欺骗 MAC,快速填满 CAM 表,交换机 CAM 表被填满后,交换机以广播方式处理通过交换机的报文,这时攻击者可以利用各种嗅探攻击获取网络信息。CAM 表满了后,流量以洪泛方式发送到所有接口,也就代表 TRUNK 接口上的流量也会发给所有接口和邻接交换机,会造成交换机负载过大,网络缓慢和丢包甚至瘫痪。
1.2典型的病毒利用MAC/CAM攻击案例
曾经对网络照成非常大威胁的 SQL 蠕虫病毒就利用组播目标地址,构造假目标 MAC 来填满交换机 CAM 表。其特征如下图所示:
1.3使用 Port Security feature 防范MAC/CAM攻击
思科 Port Security feature 可以防止 MAC 和 MAC/CAM 攻击。通过配置 Port Security 可以控制:
• 端口上最大可以通过的 MAC 地址数量
• 端口上学习或通过哪些 MAC 地址
• 对于超过规定数量的 MAC 处理进行违背处理
端口上学习或通过哪些 MAC 地址,可以通过静态手工定义,也可以在交换机自动学习。交换机动态学习端口 MAC,直到指定的 MAC 地址数量,交换机关机后重新学习。目前较新的技术是 Sticky Port Security,交换机将学到的 mac 地址写到端口配置中,交换机重启后配置仍然存在。
对于超过规定数量的 MAC 处理进行处理一般有三种方式(针对交换机型号会有所不同):
• Shutdown。这种方式保护能力最强,但是对于一些情况可能会为管理带来麻烦,如某台设备中了病毒,病毒间断性伪造源 MAC 在网络中发送报文。
• Protect。丢弃非法流量,不报警。
• Restrict。丢弃非法流量,报警,对比上面会是交换机 CPU 利用率上升但是不影响交换机的正常使用。推荐使用这种方式。
1.4配置 port-security 配置选项: Switch(config-if)# switchport port-security ? aging Port-security aging commands mac-address Secure mac address maximum Max secure addresses violation Security violation mode
配置 port-security 最大 mac 数目,违背处理方式,恢复方法
Cat4507(config)#int fastEthernet 3/48 Cat4507(config-if)#switchport port-security Cat4507(config-if)#switchport port-security maximum 2 Cat4507(config-if)#switchport port-security violation shutdown Cat4507(config)#errdisable recovery cause psecure-violation Cat4507(config)#errdisable recovery interval 30
通过配置 sticky port-security学得的MAC
interface FastEthernet3/29 switchport mode access switchport port-security switchport port-security maximum 5 switchport port-security mac-address sticky switchport port-security mac-address sticky 000b.db1d.6ccd switchport port-security mac-address sticky 000b.db1d.6cce switchport port-security mac-address sticky 000d.6078.2d95 switchport port-security mac-address sticky 000e.848e.ea01
1.5使用 其它技术 防范MAC/CAM攻击
除了 Port Security 采用 DAI 技术也可以防范 MAC 地址欺骗。DHCP攻击的防范
2.1采用DHCP管理的常见问题:
采用 DHCP server 可以自动为用户设置网络 IP 地址、掩码、网关、DNS、WINS 等网络参数,简化了用户网络设置,提高了管理效率。但在 DHCP 管理使用上也存在着一些另网管人员比较问题,常见的有:
• DHCP server 的冒充。
• DHCP server 的 Dos 攻击。
• 有些用户随便指定地址,造成网络地址冲突。由于 DHCP 的运作机制,通常服务器和客户端没有认证机制,如果网络上存在多台 DHCP 服务器将会给网络照成混乱。由于用户不小心配置了 DHCP 服务器引起的网络混乱非常常见,足可见故意人为破坏的简单性。通常黑客攻击是首先将正常的 DHCP 服务器所能分配的 IP 地址耗尽,然后冒充合法的 DHCP 服务器。最为隐蔽和危险的方法是黑客利用冒充的 DHCP 服务器,为用户分配一个经过修改的 DNS server,在用户毫无察觉的情况下被引导在预先配置好的假金融网站或电子商务网站,骗取用户帐户和密码,这种攻击是非常恶劣的。
对于 DHCP server 的 Dos 攻击可以利用前面将的 Port Security 和后面提到的 DAI 技术,对于有些用户随便指定地址,造成网络地址冲突也可以利用后面提到的 DAI 和 IP Source Guard 技术。这部分着重介绍 DHCP 冒用的方法技术。
2.2DHCP Snooping技术概况
DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来自不信任区域的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息,如下表所示:
cat4507#sh ip dhcp snooping binding MacAddress IpAddress Lease(sec)Type VLAN Interface 00:0D:60:2D:45:0D 10.149.3.13 600735 dhcp-snooping 100 GigabitEthernet1/0/7
这张表不仅解决了 DHCP用户的IP和端口跟踪定位问题,为用户管理提供方便,而且还供给动态ARP检测DA)和IP Source Guard使用。
2.3基本防范
首先定义交换机上的信任端口和不信任端口,对于不信任端口的 DHCP 报文进行截获和嗅探,DROP 掉来自这些端口的非正常 DHCP 报文,如下图所示:
基本配置示例如下表:
IOS 全局命令: ip dhcp snooping vlan 100,200 /* 定义哪些 VLAN 启用 DHCP 嗅探 ip dhcp snooping 接口命令 ip dhcp snooping trust no ip dhcp snooping trust(Default)ip dhcp snooping limit rate 10(pps)/* 一定程度上防止 DHCP 拒绝服 /* 务攻击 手工添加 DHCP 绑定表 ip dhcp snooping binding 1.1.1 vlan 1 1.1.1.1 interface gi1/1 expiry 1000 导出 DHCP 绑定表到 TFTP 服务器 ip dhcp snooping database tftp:// 10.1.1.1/directory/file
需要注意的是 DHCP 绑定表要存在本地存贮器(Bootfalsh、slot0、ftp、tftp)或导出到指定 TFTP 服务器上,否则交换机重启后 DHCP 绑定表丢失,对于已经申请到 IP 地址的设备在租用期内,不会再次发起 DHCP 请求,如果此时交换机己经配置了下面所讲到的 DAI 和 IP Source Guard 技术,这些用户将不能访问网络。
2.3高级防范
通过交换机的端口安全性设置每个 DHCP 请求指定端口上使用唯一的 MAC 地址,通常 DHCP 服务器通过 DHCP 请求的报文中的 CHADDR 段判断客户端 MAC 地址,通常这个地址和客户端的真是 IP 相同,但是如果攻击者不修改客户端的 MAC 而修改 DHCP 报文中 CHADDR,实施 Dos 攻击,Port Security 就不起作用了,DHCP 嗅探技术可以检查 DHCP 请求报文中的 CHADDR 字段,判断该字段是否和 DHCP 嗅探表相匹配。这项功能在有些交换机是缺省配置的,有些交换机需要配置,具体需要参考相关交换机的配置文档。ARP欺骗/ MITM(Man-In-The-Middle)攻击原理和防范
3.1 MITM(Man-In-The-Middle)攻击原理
按照 ARP 协议的设计,为了减少网络上过多的 ARP 数据通信,一个主机,即使收到的 ARP 应答并非自己请求得到的,它也会将其插入到自己的 ARP 缓存表中,这样,就造成了“ ARP 欺骗”的可能。如果黑客想探听同一网络中两台主机之间的通信(即使是通过交换机相连),他会分别给这两台主机发送一个 ARP 应答包,让两台主机都“误”认为对方的 MAC 地址是第三方的黑客所在的主机,这样,双方看似“直接”的通信连接,实际上都是通过黑客所在的主机间接进行的。黑客一方面得到了想要的通信内容,另一方面,只需要更改数据包中的一些信息,成功地做好转发工作即可。在这种嗅探方式中,黑客所在主机是不需要设置网卡的混杂模式的,因为通信双方的数据包在物理上都是发送给黑客所在的中转主机的。
这里举个例子,假定同一个局域网内,有 3 台主机通过交换机相连: A 主机: IP 地址为 192.168.0.1,MAC 地址为 01:01:01:01:01:01 ; B 主机: IP 地址为 192.168.0.2,MAC 地址为 02:02:02:02:02:02 ; C 主机: IP 地址为 192.168.0.3,MAC 地址为 03:03:03:03:03:03。
B 主机对 A 和 C 进行欺骗的前奏就是发送假的 ARP 应答包,如图 所示
在收到 B主机发来的ARP应答后,A主机应知道:
到 192.168.0.3 的数据包应该发到 MAC 地址为 020222022202 的主机; C 主机也知道:到 192.168.0.1 的数据包应该发到 MAC 地址为 020222022202 的主机。这样,A 和 C 都认为对方的 MAC 地址是 020222022202,实际上这就是 B 主机所需得到的结果。当然,因为 ARP 缓存表项是动态更新的,其中动态生成的映射有个生命期,一般是两分钟,如果再没有新的信息更新,ARP 映射项会自动去除。所以,B 还有一个“任务”,那就是一直连续不断地向 A 和 C 发送这种虚假的 ARP 响应包,让其 ARP缓存中一直保持被毒害了的映射表项。
现在,如果 A 和 C 要进行通信,实际上彼此发送的数据包都会先到达 B 主机,这时,如果 B 不做进一步处理,A 和 C 之间的通信就无法正常建立,B 也就达不到“嗅探”通信内容的目的,因此,B 要对“错误”收到的数据包进行一番修改,然后转发到正确的目的地,而修改的内容,无非是将目的 MAC 和源 MAC 地址进行替换。如此一来,在 A 和 C 看来,彼此发送的数据包都是直接到达对方的,但在 B 来看,自己担当的就是“第三者”的角色。这种嗅探方法,也被称作“ Man-In-The-Middle ”的方法。如图 所示。
3.2攻击实例
目前利用 ARP原理编制的工具十分简单易用,这些工具可以直接嗅探和分析FTP、POP3、SMB、SMTP、HTTP/HTTPS、SSH、MSN等超过30种应用的密码和传输内容。下面是测试时利用工具捕获的 TELNET 过程,捕获内容包含了 TELNET 密码和全部所传的内容 :
不仅仅是以上特定应用的数据,利用中间人攻击者可将监控到数据直接发给 SNIFFER等嗅探器,这样就可以监控所有被欺骗用户的数据。
还有些人利用 ARP原理 开发出网管工具,随时切断指定用户的连接。这些工具流传到捣乱者手里极易使网络变得不稳定,通常这些故障很难排查。3.3防范方法
思科 Dynamic ARP Inspection(DAI)在交换机上提供IP地址和MAC地址的绑定,并动态建立绑定关系。DAI 以 DHCP Snooping绑定表为基础,对于没有使用DHCP的服务器个别机器可以采用静态添加ARP access-list实现。DAI配置针对VLAN,对于同一VLAN内的接口可以开启DAI也可以关闭。通过DAI可以控制某个端口的ARP请求报文数量。通过这些技术可以防范“中间人”攻击。
3.3配置示例
IOS 全局命令:
ip dhcp snooping vlan 100,200 no ip dhcp snooping information option ip dhcp snooping ip arp inspection vlan 100,200 /* 定义对哪些 VLAN 进行 ARP 报文检测 ip arp inspection log-buffer entries 1024 ip arp inspection log-buffer logs 1024 interval 10
IOS 接口命令:
ip dhcp snooping trust ip arp inspection trust /* 定义哪些接口是信任接口,通常是网络设备接口,TRUNK 接口等 ip arp inspection limit rate 15(pps)/* 定义接口每秒 ARP 报文数量
对于没有使用 DHCP 设备可以采用下面办法:
arp access-list static-arp permit ip host 10.66.227.5 mac host 0009.6b88.d387 ip arp inspection filter static-arp vlan 201
3.3配置DAI后的效果:
• 在配置 DAI技术的接口上,用户端不能采用指定地址地址将接入网络。
• 由于 DAI检查 DHCP snooping绑定表中的IP和MAC对应关系,无法实施中间人攻击,攻击工具失效。下表为实施中间人攻击是交换机的警告:
3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs(Req)on Fa5/16,vlan 1.([000b.db1d.6ccd/192.168.1.200/0000.0000.0000/192.168.1.2 • 由于对 ARP请求报文做了速度限制,客户端无法进行认为或者病毒进行的IP扫描、探测等行为,如果发生这些行为,交换机马上报警或直接切断扫描机器。如下表所示:
3w0d: %SW_DAI-4-PACKET_RATE_EXCEEDED: 16 packets received in 184 milliseconds on Fa5/30.******报警 3w0d: %PM-4-ERR_DISABLE: arp-inspection error detected on Fa5/30, putting Fa5/ 30 in err-disable state ******切断端口 I49-4500-1#.....sh int f.5/30 FastEthernet5/30 is down, line protocol is down(err-disabled)Hardware is Fast Ethernet Port , address is 0002.b90e.3f 4d(bia 0002.b90e.3f 4d)MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 I49-4500-1#......• 用户获取 IP地址后,用户不能修改IP或MAC,如果用户同时修改IP和MAC必须是网络内部合法的IP和MAC才可,对于这种修改可以使用下面讲到的 IP Source Guard技术来防范。下表为手动指定IP的报警:
3w0d: %SW_DAI-4-DHCP_SNOOPING_DENY: 1 Invalid ARPs(Req)on Fa5/30, vlan 1.([000d.6078.2d95/192.168.1.100/0000.0000.0000/192.168.1.100/01:52:28 UTC Fri Dec 29 2000 ])IP/MAC欺骗的防范
4.1常见的欺骗攻击的种类和目的
常见的欺骗种类有 MAC欺骗、IP欺骗、IP/MAC欺骗,其目的一般为伪造身份或者获取针对IP/MAC的特权。当目前较多的是攻击行为:如Ping Of Death、syn flood、ICMP unreacheable Storm,另外病毒和木马的攻击也具有典型性,下面是木马攻击的一个例子。
4.2攻击实例
下图攻击为伪造源地址攻击,其目标地址为公网上的 DNS服务器,直接目的是希望通使DNS服务器对伪造源地址的响应和等待,造成DDOS攻击,并以此扩大攻击效果。该攻击每秒钟上万个报文,中档交换机2分钟就瘫痪,照成的间接后果非常大。
4.3IP/MAC欺骗的防范 IP Source Guard 技术配置在交换机上仅支持在 2 层端口上的配置,通过下面机制可以防范 IP/MAC 欺骗:
• IP Source Guard 使用 DHCP sooping 绑定表信息。
• 配置在交换机端口上,并对该端口生效。
• 运作机制类似 DAI,但是 IP Source Guard不仅仅检查ARP报文,所有经过定义IP Source Guard检查的端口的报文都要检测。
• IP Source Guard检查 接口 所通过的流量的IP地址和MAC地址是否在DHCP sooping绑定表,如果不在绑定表中则阻塞这些流量。注意如果需要检查MAC需要DHCP服务器支持Option 82,同时使路由器支持Option 82信息。
通过在交换机上配置 IP Source Guard:
• 可以过滤掉非法的 IP地址,包含用户故意修改的和病毒、攻击等造成的。
• 解决 IP地址冲突问题。
• 提供了动态的建立 IP+MAC+PORT的对应表和绑定关系,对于不使用DHCP的服务器和一些特殊情况机器可以采用利用全局命令静态手工添加对应关系到绑定表中。
• 配置 IP Source Guard的接口初始阻塞所有非DHCP流量。
• 不能防止“中间人攻击”。
对于 IP欺骗在路由器上也可以使用urpf技术。
4.4配置示例:
检测接口上的 IP MAC
IOS 全局配置命令:
ip dhcp snooping vlan 12,200 ip dhcp snooping information option ip dhcp snooping 接口配置命令:
ip verify source vlan dhcp-snooping port-security switchport mode access switchport port-security switchport port-security limit rate invalid-source-mac N /* 控制端口上所能学习源 MAC 的速率,仅当 IP MAC 同时检测时有意义。检测接口上的 IP
IOS 全局配置命令
ip dhcp snooping vlan 12,200 no ip dhcp snooping information option ip dhcp snooping
接口配置命令:
ip verify source vlan dhcp-snooping 不使用 DHCP 的静态配置 IOS 全局配置命令: ip dhcp snooping vlan 12,200 ip dhcp snooping information option ip dhcp snooping ip source binding 0009.6b88.d387 vlan 212 10.66.227.5 interface Gi4/5 IP地址管理和病毒防范的新思路
5.1IP地址管理
综上所述通过配置思科交换机的上述特征,不仅解决了一些典型攻击和病毒的防范问题,也为传统 IP地址管理提供了新的思路。
通过上面的几项技术解决了传统的利用DHCP服务器管理客户端IP地址的问题:
• 故意不使用手工指定静态 IP地址和DHCP分配地址冲突
• 配置 DHCP server
• 使用静态指定 IP遇到的问题
• 不使用分配的 IP地址和服务器或其他地址冲突
• 不容易定位 IP地址和具体交换机端口对应表 使用静态地址的重要服务器和计算机,可以进行静态绑定 IP MAC、IP MAC PORT,手工配置DAI和 IP Source Guard绑定表项,来保护这些设备,同时也防止来自这些设备的攻击。
目前对于网络病毒的不断爆发,越来越多的用户开始重视对 PC的管理,用户关注谁能访问网络、访问以后能做什么、做了哪些事情、这就是我们常说的AAA认证,除了这些用户希望能够很快定位到用户在哪台交换机、哪个端口、以哪个IP和MAC登陆,这样有有了”AAA A”(Authenticate, Authorize,Account , Address)的概念。
通过上面的配置我们在网络层面已经可以定位用户了,加上 802.1X认证我们可以在网络层面根据用户的身份为用户授权,从而实现”AAA A”。
更进一步要审计用户所使用电脑具备的条件,如系统补丁、所装杀毒软件及补丁、等条件可以考虑采用思科网络准入控制 NAC。
5.2使用DHCP Snooping、DAI、IP Source Guard技术能解决的有关病毒问题
由于大多数对局域网危害较大的网络病毒都具有典型的欺骗和扫描,快速发包,大量 ARP 请求等特征,采用上述技术一定程度上可以自动切断病毒源,及时告警,准确定位病毒源。
第四篇:APT管理模式学习心得师
APT管理模式学习心得
结合公司“APBE”(0133)安全管理模式基本构架,通过认真学习集团公司煤气安全防护“APT”管理模式(034),主要了解了管理模式的基本架构及各个项目的释义。经过几天的学习和思考,我觉得很受用,现将我的一点心得体会表述如下:
“APT”管理模式由A(Aim)目标0~中毒、着火、爆炸三大事故为零的目标;P(Prevent)防范3~(技防、物防、人防);T(To)至4~四至(煤气所至、责任所至、管理所至、防护所至)三大方面组成。
“安全第一、预防为主”是党和国家安全工作的方针,煤气安全是公司安全工作的重要组成方面,以遏制群死群伤事故为重任,群策群力,群防群治,以安全10个“零”理念落实为支撑,将煤气三大事故为零的责任目标,层层分解至班组及岗位。
要达到煤气安全防护的目标,可以从三大方面着手工作,即技术、物品、人力,就是三防中所说的“技防、物防、人防”。
有了强大的煤气安全技术,再加上先进的煤气设备设施、仪器、仪表及报警、防护、救护器材硬件,但是没有人力的安全操作与执行,这一切也将是空谈。
公司在人防方面,主要从以下几方面做起,1、严格执行煤气制度,完善煤气岗位操作规范及标准化作业手册,严明严肃煤气操作,推行操作票,严格煤气危险作业,动火作业审批 程序。
1)根据煤气设备设施工艺流程科学制定《安全操作规程》、《工艺技术操作规程》、《设备维护保养规程》、《标准化作业指导书》、《危险因素辨识及预防控制措施》并将岗位落实执行情况作为现场检查的重要内容。
2)严格执行公司煤气安全防护管理制度,结合生产实际,完善煤气安全管理制度,修订煤气岗位的操作规范及标准化作业手册。
3)煤气放散、管道排污、煤气阀门等煤气关键设备设施的操作必须参照作业标准推行操作工作票制度,规范指令性信息的管理,理顺信息的传递渠道,杜绝信息失真,操作失误,引发不安全事故。
4)煤气危险作业及动火作业必须严格执行申请、审批程序,有效落实安全措施,作业前煤气防护措施到位。
2、强化教育培训,以煤气教材为纲,培训考试,取证上岗。
1)将煤气知识教育培训纳入员工日常四级安全教育培训,从员工入厂到上岗整个环节,严格要求,防止不懂业务,不懂操作的人员上岗。
2)编写了《员工技术技能培训教材《煤气分册》》、《冶金煤气安全》、《民用煤气安全》、《生命代价》系列教材,建立考试考核题库,分层组织煤气从业人员技术培训,进行理论、实践双项考核,经考试合格的人员才能上岗工作。
3)煤气从业人员必须持证上岗,理论知识与实践操作技能双项考核合格后方可取得上岗证,定期进行考核复审,考核不合格人员要重 点进行岗前再培训,公司煤气从业人员在国家划定的从事煤气生产、储存、输送、使用、维护检修的作业人员持特种证的基础上,内部对所有煤气从业人员实行持证上岗资格管理。
4)煤气安全培训教育要根据管理动态突出做好煤气设备操作人员,检修人员、作业监护人员实行持证上岗,煤气技术人员,新调转人员的教育培训工作。
3、对煤气岗位及班组的管理提出具体标准要求。
1)公司制定了《煤气专业班组建设精细质量管理细则》,每月进行达标验收、排名、考核考评。
2)严格煤气岗位班组长任职条件:①必须取得煤气从业人员上岗证;②五年以上煤气岗位操作经验;③工作岗位未发生因自身原因造成自身或他人煤气事故伤害。
3)煤气岗位从业人员必须具备以下要求①熟悉岗位煤气设备设施工艺流程;②取证考核双项合格,持证上岗;③熟练掌握岗位标准化操作规范;④对煤气检测、防护器材做到懂性能,会检查,会使用,会保养;⑤具备基本的防护技能和处臵煤气事故的能力。
4)加强煤气班组的管理,建立健全各项管理制度、台账,落实专人进行日常管理,每月进行考评,后进班组要重点帮扶,通过班组互学互访,交流学习,整体推进煤气班组的专业水平。
4、完善煤气应急救援预案适时进行模拟演练,强化意识,提高应急处臵能力。
1)公司设立煤气报警电话,醒目区域设立报警电话号码警示牌; 煤气防护站24小时值班,各单位设立煤气应急小组,构建了公司应急网络;
2)对煤气生产、回收、贮存、输配、使用工艺、工序所有环节进行风险辨识,分项制定应急措施,分级分层完善单位、部位、岗位煤气事故应预案,通过事故预想,定期组织应急训练、应急演练、事故应急防护救护知识培训、应急防护技能现场测试,提高全员应急防护技能,按照“以防为主,防救结合,防要严密,救要及时”的工作要求建立健全煤气应急预控体系。
3)严格细致管理报警仪、报警器、长管呼吸器、背板呼吸器防护器材及救护器材,确保完好无损,资源共享,常备不懈。
4)提高个体防护意识与技能,实施岗位防护技能的培训、煤气事故应急处臵模拟训练。通过定期组织应急预案的模拟演练强化意识,提高整体应急处臵能力。
在我们的日常工作中,要使“人防”达到“四至”标准,我们一定要强化责任,管理到位,本质安全是安全生产管理预防为主的根本体现,“隐患险于明火,防范胜于救灾,责任重于泰山”,这是江泽民同志安全生产管理工作的谆谆教诲,他道出了安全管理的关键—“防范”。
公司已经制定了详细的煤气安全防护管理制度,在具体的工作执行中,提高员工的安全意识,强化职工安全教育,大力加强企业安全文化建设,保障煤气安全管理绩效的发挥,这是“防”的原点。企业安全文化是指人们为了安全生活和安全生产所创造的文化,是安 全价值观和安全行为准则的总合,是保证安全生产最持久的因素。正是安全文化使每一个社会成员都能意识到安全的涵义、对安全的责任、应具有的道德,从而自觉地规范自己的安全行为,并能帮助他人规范安全行为,在日常工作中,对各种容易造成失误的行为,如果不进行教育和训练,往往会使措施收效降低。
加强企业安全文化建设,可以使管理和技术部门能真正领悟和意识到安全设计基本思想的重要性,可以提高职工的安全意识,消除职工对安全工作、安全教育的厌倦情绪和麻痹思想,增强每名职工的自我防护能力,是发动群众,实施群策、群查、群防、群治的基础。安全是尊重人,爱惜生命的具体体现,是保证生产、经营顺利进行的关键。保障工人的人身安全,更是保护家庭生活幸福的根本。经济的发展需要我们把有限的人力、物力合理的投入,正确处理好安全与效益,安全与进度,安全与其他工作的关系,只有全体人员牢固树立安全设计基本思想,走本质安全化道路,大家关心安全,注意安全,不论是在工厂里、任何岗位上,还是在家庭及社会活动中都把安全思想放在第一位,才能真正保护自己,保护他人,保护生产力。突出安全生产的基础地位,减少事故经济损失,以期达到企业在市场竞争中求得生存和发展,这也就是安全工作所追求的最佳状态。
机动车间 师锋
第五篇:apt的用法详解
apt的用法详解
Debian apt
apt-get用法
apt-get upgrade 和 apt-get dist-upgrade升级
Debian 在同一个版本编号下,依套件成熟度又分 stable、testing、unstable。
若我们现在用的是 Debina 3.0r2 stable,apt-get upgrade 就可以升级for stable 的软件,apt-get dist-upgrade 则可以选择将系统由 stable 升级到 testing 或是 unstable apt-get upgrade 和 apt-get dist-upgrade 的结果,基本上是一样的,apt-get
dist-upgrade 在升级的同时会为了解决相依性而安装新套件,apt-get upgrade 并不会,因此要升级的话,建议还是用 apt-get dist-upgrade apt-cache search 搜寻:我们可以用这个指令来搜寻升级包 例如:apt-cache search httpd apt-cache depends 相依性:我们可以用这个指令来看到软件包的所有相依性档案 例如:apt-cache depends httpd apt-get install 安装:安装软件包 例如:apt-get install httpd 这样 apt 就会自动上网下载httpd 回来安装,若httpd 有相依性套件的时候,apt 也会自动下载安装
apt-get clean 清除:
当使用 apt-get install 指令安装套件,下载下来的 deb 会放置於 /var/cache/apt/archives,使用 apt-get clean 指令可以将之清除,避免占用硬碟空间
apt-get remove 移除:
例如:apt-get remove httpd,就会移除 httpd 了,假如有相依性套件的时候,apt 也会一并移除 以上这几个指令应该就够用了,若想要得到更进一步的指令,请用 man apt-get update 更新:
这指令是用来取得记录在 /etc/apt/sources.list 内的远端服务器的套件档案清单 在使用 「apt-get dist-upgrade」指令升级套件前,一定要记得先用这条指令将套件档案清单更新 apt-get dist-upgrade 升级:这里的升级主要是根据已有的软件包更新而言,并不是更新整个系统,也可以使用图形界面的新立得包管理器 如果没有安装这个管理器的话,可以执行以下指令 apt-get install synaptic 另附apt-get命令大全 安装完毕后,直接在命令行上敲入synaptic就可以启动了。apt-get update——更新源,在修改/etc/apt/sources.list或者/etc/apt/preferences之后运行该命令。此外您需要定期运行这 一命令以确保您的软件包列表是最新的。
apt-get install #------(package 安装包)apt-get install #-----(package--reinstall 重新安装包)apt-get-f install #-----(强制安装, “-f =--fix-missing”当是修复安装吧...)apt-get remove # ——卸载一个已安装的软件包(保留配置文件)
apt-get remove--purge # ——卸载一个已安装的软件包(删除配置文件)
apt-get autoremove--purge #----(package 删除包及其依赖的软件包 配置文件等(只对6.10有效,强烈推荐))dpkg--force-all--purge # —— 有些软件很难卸载,而且还阻止了别的软件的应用,就可以用这个,不过有点冒险。
apt-get autoclean apt——会把已装或已卸的软件都备份在硬盘上,所以如果需要空间的话,可以让这个命令来删除你已经删掉的软件
apt-get clean—— 这个命令会把安装的软件的备份也删除,不过这样不会影响软件的使用的。
apt-get upgrade——更新所有已安装的软件包
apt-get dist-upgrade——将系统升级到新版本
apt-get dselect-upgrade #------使用 dselect 升级 apt-cache search string——在软件包列表中搜索字符串
dpkg-l package-name-pattern——列出所有与模式相匹配的软件包。如果您不知道软件包的全名,您可以使用“*package-name-pattern*”。
aptitude——详细查看已安装或可用的软件包。与apt-get类似,aptitude可以通过命令行方式调用,但仅限于某些命令——最常见的有安 装和卸载命令。由于aptitude比apt-get了解更多信息,可以说它更适合用来进行安装和卸载。
apt-cache depends #-------(package 了解使用依赖)apt-cache rdepends #------(package 了解某个具体的依赖,当是查看该包被哪些包依赖吧...)apt-cache showpkg pkgs——显示软件包信息。
apt-cache show pkgs——显示软件包记录,(package 获取包的相关信息,如说明、大小、版本等)类似于dpkg--print-avail。
apt-cache pkgnames——打印软件包列表中所有软件包的名称。
apt-cache dumpavail——打印可用软件包列表。apt-get build-dep #------(package 安装相关的编译环境)apt-get source #------(package 下载该包的源代码)apt-get clean && apt-get autoclean #--------清理下载文件的存档 && 只清理过时的包
apt-get check #-------检查是否有损坏的依赖 dpkg-S file——这个文件属于哪个已安装软件包。dpkg-L package——列出软件包中的所有文件。
apt-file search filename——查找包含特定文件的软件包(不一定是已安装的),这些文件的文件名中含有指定的字符串。apt-file是一个独立的软件包。您必须 先使用apt-get install来安装它,然后运行apt-file update。如果apt-file search filename输出的内容太多,您可以尝试使用apt-file search filename | grep-w filename(只显示指定字符串作为完整的单词出现在其中的那些文件名)或者类似方法,例如:apt-file search filename | grep /bin/(只显示位于诸如/bin或/usr/bin这些文件夹中的文件,如果您要查找的是某个特定的执行文件的话,这样做是有帮助的)。
apt-file list packagename-----列出软件包的内容 apt-file update –更新apt-file的数据库
apt-file search command
//search this command included in which package apt-get autoclean——定期运行这个命令来清除那些已经卸载的软件包的.deb文件。通过这种方式,您可以释放大量的磁盘空间。如果您的需求十分迫切,可以使用apt-get clean以释
放更多空间。这个命令会将已安装软件包裹的.deb文件一并删除。echo “ hold” | dpkg--set-selections 设置的状态为 hlod(命令行方式)dpkg--get-selections “" 取的的当前状态(命令行方式)支持通配符,如: Debian:~# dpkg--get-selections *wine* 支持通配符,如:
Debian:~# dpkg--get-selections *wine* libwine hold libwine-alsa hold libwine-arts hold libwine-dev hold libwine-nas hold libwine-print hold libwine-twain hold wine hold wine hold wine-doc hold wine-utils hold 例如:
大家现在用的都是 gaim-0.58 -plugin,为了防止 gaim 被升级,我们可以采用如下方法: 方法一:
Debian:~# echo ”gaim hold“ | dpkg--set-selections 然後用下面命令检查一下:
Debian:~# dpkg--get-selections ”gaim“ gaim hold 现在的状态标志是 hold,就不能被升级了。如果想恢复怎么办呢? Debian:~# echo ”gaim install“ | dpkg--set-selections Debian:~# dpkg--get-selections ”gaim“ gaim install 这时状态标志又被重置为 install,可以继续升级了。同志们会问,哪个这些状态标志都写在哪个文件中呢? 在 /var/lib/dpkg/status 里,你也可以通过修改这个文件实现 hold。有时你会发现有的软件状态标志是 purge,不要奇怪。如:事先已经安装了 amsn,然後把它卸了。apt-get remove--purge amsn 那么状态标志就从 install 变成 purge。方法二:
在/etc/apt 下手动建一个 preferences 文件 内容: Package: gaim Pin: version 0.58* 保存
-------------Debian的软件包管理工具命令不完全列表-------------Debian系统中所有的包信息都在/var/lib/dpkg下.其中/var/lib/dpkg/info目录中保存了各个软件包的信息及管理文件.每个文件的作用如下: 以 ”.conffiles“ 结尾的文件记录软件包的配置列表.以 ”.list“
结尾的文件记录了软件包的文件列表,用户可在文件当中找到软件包文件的具体安装位置.以 ”.md5sums“ 结尾的文件记录了md5信息,用来进行包的验证的.以 ”.config“
结尾的文件是软件包的安装配置角本.以 ”.postinst“
脚本是完成Debian包解开之后的配置工作,通常用来执行所安装软件包相关的命令和服务的重新启动.以 ”.preinst“
脚本在Debain解包之前运行,主要作用是是停止作用于即将升级的软件包服务直到软件包安装或和升级完成.以 ”.prerm“
脚本负责停止与软件包关联的daemon服务,在删除软件包关联文件之前执行.以 ”.postrm“
脚本负责修改软件包链接或文件关联,或删除由它创建的文件./var/lib/dpkg/available是软件包的描述信息.包括当前系统中所有使用的Debian安装源中所有的软件包,还包括当前系统中已经安装和未安装的软件包.1.dpkg包管理工具 dpkg--info ”软件包
名“--列出软件包解包后的包名称.dpkg-l
--列出当前系统中所有的包.可以和参数less一起使用在分屏查看.dpkg-l |grep-i ”软件包名“--查看系统中与”软件包名“相关联的包.dpkg-s
查询已安装的包的详细信息.dpkg-L
查询系统中已安装的软件包所安装的位置.dpkg-S
查询系统中某个文件属于哪个软件包.dpkg-I
查询deb包的详细信息,在一个软件包下载到本地之后看看用不用安装(看一下呗).dpkg-i 手动安装软件包(这个命令并不能解决软件包之前的依赖性问题),如果在安装某一个软件包的时候遇到了软件依赖的问题,可以用apt-get-f install在解决信赖性这个问题.dpkg-r 卸载软件包.不是完全的卸载,它的配置文件还存在.dpkg-P 全部卸载(但是还是不能解决软件包的依赖性的问题)dpkg-reconfigure 重新配置 普通 Dpkg 用法
dpkg-i
安装一个 Debian 包文件,如你手动下载的文件。dpkg-c 列出 的内容。dpkg-I 从中提取包信息。dpkg-r
移除一个已安装的包。dpkg-P 完全清除一个已安装的包。和 remove 不同的是,remove 只是删掉数据和可执行文件,purge 另外还删除所有的配制文件。
dpkg-L 列出 安装的所有文件清单。同时请看 dpkg-c 来检查一个.deb 文件的内容。dpkg-s 显示已安装包的信息。同时请看 apt-cache 显示 Debian 存档中的包信息,以及 dpkg-I 来显示从一个.deb 文件中提取的包信息。dpkg-reconfigure 重 新配制一个已经安装的包,如果它使用的是 debconf(debconf 为包安装提供了一个统一的配制界面)。你能够重新配制 debconf 它本身,如你想改变它的前端或提问的优先权。例如,重新配制 debconf,使用一个 dialog 前端,简单运行:
dpkg-reconfigure--frontend=dialog debconf(如果你安装时选错了,这里可以改回来哟:)2.apt高级包管理工具
(1)GTK图形的”synaptic“,这是APT的前端工具.(2)”aptitude“,这也是APT的前端工具.用APT管理工具进行包的管理,可以有以下几种方法做源:(1)拿安装盘做源,方法如下: apt-cdrom ident
扫描光盘的信息 apt-cdrom add
添加光盘源
(2)这也是最常用的方法就是把源添加到/etc/apt/source.list中,之后更新列apt-get update APT管理工具常用命令
apt-cache 加上不同的子命令和参数的使用可以实现查找,显示软件,包信息及包信赖关系等功能.apt-cache stats 显示当前系统所有使用的Debain数据源的统计信息.apt-cache search ”包名“,可以查找相关的软件包.apt-cache show
”包名“,可以显示指定软件包的详细信息.apt-cache depends ”包名“,可以查找软件包的依赖关系.apt-get upgrade
更新系统中所有的包到最新版 apt-get install
安装软件包 apt-get--rei
nstall install 重新安装软件包 apt-get remove 卸载软件包
apt-get--purge remove 完全卸载软件包 apt-get clean 清除无用的软件包
在用命令apt-get install之前,是先将软件包下载到/var/cache/apt/archives中,之后再进行安装的.所以我们可以用apt-get clean清除/var/cache/apt/archives目录中的软件包.源码包安装
apt-cache showsrc 查找看源码包的文件信息(在下载之前)apt-get source 下载源码包.apt-get build-dep ”包名“ 构建源码包的编译环境.3.从源码建立deb packages apt-get source [-b] 下载一个源码的包并解开。
你必须在你的/etc/apt/sources.list文件里写入一条 deb-src 的记录才能完成这项工作。如果你输入了一个-b参数,并且是以root的身份,deb包会被自动的创建。apt-get build-dep
自动下载并安装通过源码创建
时需要的包。只有apt 0.5以上版本才支持这个功能。现在woody和以上版本包含了这个功能。
如果你使有一个旧版本的apt,查找依赖性最简单的方法是查看源码包中 debian/control 这个文件,注意这个路径是相对的,是包内的路径。
普通的用法,结合 apt-get source-b,例子(as root): apt-get build-dep apt-get source-b
会下载源码包,建立依赖性,然后尝试编译源码。dpkg-source-x
如果你手工下载了一个程序的源码包,其中包含了几个类 似.orig.tar.gz ,.dsc , 以及.diff.gz 之类的文件,那么你就可以对.dsc 文件使用这个命令来 unpack 源码包。dpkg-buildpackage 从 Debian 源码树建立一个deb包。你必须在source tree的主目录才能生效。例 如:
dpkg-buildpackage-rfakeroot-uc-b 这里 '-rfakeroot' 指定命令使用 fakeroot 程序来模仿 root 权限(来实现所有 者(ownership)目的),'-uc' 表示 ”Don't cryptographically sign the changelog“, '-b' 代表只建立 二进制包.debuild 一个快速打包脚本类似 dpkg-buildpackage ,能自动的识别是否使用 fakeroot, 同时为你运行 lintian 和 gpg 修正倚赖关系
dpkg--configure--pending 如果dpkg在apt-get install upgrade dist-uptradeing 的时候出错退出,尝试使用此命令来配置已经unpack的包。
然后再用 apt-get install,upgrade, or dist-upgrade-f,然后再用 apt-get install, upgrade, or dist-upgrade.可能会重复多次,这样通常可以解决大多数的依赖性问题。
(同时,如果提示由于某种原因需要某个特定的包裹,你可以常识安装或卸载这个包)apt-get install-f apt-get upgrade-f apt-get dist-upgrade-f 尝试修正上述过程中出现依赖性关系 注意 apt-get install-f 不需要
作为参数。
(一)基本配置
1.1, /etc/apt/sources.list文件
Ubuntu对网络的依赖性很强,它的许多软件安装、系统更新都要在线进行,那么,新的软件包从哪里下载来的呢?软件包
的来源就列在/etc/apt/sources.list文件中。在该list文件中,会出现类似的格式:
下面是Ubuntu5.10安装后系统默认的源列表文件:
deb cdrom:[Ubuntu 5.10 _Breezy Badger_-Release i386(20221012)]/ breezy main restricted ## Uncomment the following two lines to fetch updated software from the network # deb http://cn.archive.ubuntu.com/ubuntu breezy main restricted #
## Uncomment the following two lines to fetch major bug fix updates produced ## after the final release of the distribution.deb http://cn.archive.ubuntu.com/ubuntu breezy-updates main restricted deb-src http://cn.archive.ubuntu.com/ubuntu breezy-updates main restricted ## Uncomment the following two lines to add software from the 'universe' ## repository.## N.B.software from this repository is ENTIRELY UNSUPPORTED by the Ubuntu ## team, and may not be under a free licence.Please satisfy yourself as to ## your rights to use the software.Also, please note that software in ## universe WILL NOT receive any review or updates from the Ubuntu security ## team.# deb http://cn.archive.ubuntu.com/ubuntu breezy universe # deb-src http://cn.archive.ubuntu.com/ubuntu breezy universe ## Uncomment the following two lines to add software from the 'backports' ## repository.## N.B.software from this repository may not have been tested as ## extensively as that contained in the main release, although it includes ## newer versions of some applications which may provide useful features.## Also, please note that software in backports WILL NOT receive any review ## or updates from the Ubuntu security team.# deb http://cn.archive.ubuntu.com/ubuntu breezy-backports main restricted universe multiverse # deb-src http://cn.archive.ubuntu.com/ubuntu breezy-backports main restricted universe multiverse # deb http://security.ubuntu.com/ubuntu breezy-security main restricted # deb-src http://security.ubuntu.com/ubuntu breezy-security main restricted # deb http://security.ubuntu.com/ubuntu breezy-security universe # deb-src http://security.ubuntu.com/ubuntu breezy-security universe NOTES
(1)以#开头的语句是解释。(2)每行的开头定义了来源的类型,deb
: 已经编译好的二进制软件包。
deb-src: 源代码包,含有原始的源代码、Debian控制文件(.dsc)、标记须针对Debian所做的改动的diff.gz文件。
(3)每行紧接deb, deb-src之后定义了源的类型,apt支持http, ftp, file(本地文件,比如含有加载iso文件系统的目录)和ssh。
(4)针对cdrom,使用apt-cdrom管理工具,而非apt-get。
(5)对sources.list作出改动后,运行”apt-get update“使 apt从你设定的源获取软件包列表。
1.2, 确定最优的源
用户在sources.list中加入源(一般为离开用户比较近的镜像),那么,哪个源更好呢? 有人写一个脚本,测量各镜像的ping延时。其实可以使
用netselect工具:
(1)若未安装netselect, ”sudo apt-get install netselect".(2)使用netselect找出多个源中随度最快的源,添加到sources.list中。
另外还有使用本地化源、使用光驱中的源。这里就不做介绍了,可参考debian.org的apt-howto。谁会不愿意用网上最新的源呢?:)
----------------------------------------------------------- 用apt-cdrom-d /media/cdrom0 add 加载光驱,/dev/hdc /cdrom iso9660 user,noauto 0 0 用编辑器修改一下存盘,重启,应该可以了。然后,apt-cdrom-d /cdrom add apt-get install(你要装的软件名:《例如gcc》)gcc相关的软件会自动装入。昨天,刚试过,很爽。
注意:apt不会认你手动挂载的光驱,如果fstab中设置不对apt不会正常工作。用apt-cdrom-d /media/cdrom0 add 加载光驱,需要使用#mkdir /media/cdrom0 否则会错误提示说“无法读取文件系统挂载点/media/cdrom的状态-stat(2 没有那个文件或目录)”