1、实验环境：

Centos和kali均处于nat模式，centos联网，centos的ip：192.168.136.142

并且kali可以ping通centos

2、准备开始破解密码，给centos设立一个弱密码，并且kali具有字典wordlist.TXT

3、确定centos支持远程登录ssh（查看端口号，ssh的端口号是22），并且开始对文件进行追踪

输入命令：netstat -antpl （t表示：tcp ， p表示：进程号pid ， l表示：监听）

输入命令：

tail -f /var/log/secure （操作系统的登录日志记录文件，如果有密码错误，用户名错误，等等事件都会记录）

tail -f （是对文件进行跟踪的状态，这个状态不会破坏文件只能观察文件，只有ctrl+c才能退出）

4、利用kali远程爆破centos的密码，使用软件kali的hydra工具

进入桌面，查看文件wordlist.TXT，里边存放的弱密码

开始利用kali爆破：sudo hydra -l root -P wordlist.TXT ssh：//192.168.136.142

破解到密码

成功登录

三、通过对日志secure分析用统计命令统计出 哪个ip地址对我进行了爆破，并且做了多少次爆破。并要求能够看懂日志，分析哪个是成功登陆提示。

1、输入命令：vim /var/log/secure 打开登录日志，查看恶意登录

2、输入命令：grep fail /var/log/secure 过滤登录日志中有fail的行

3、因为发现第二行才是有用的信息，所以重新过滤

输入命令：grep failure/var/log/secure

4、因为这个没用，所以将它过滤

5、输入命令：grep "pam_unix(sshd:auth): authentication failure; " /var/log/secure | awk '{print $14}'（awk '{print $14}'意思是过滤出这些行的第14个字符）

6、输入命令：grep "pam_unix(sshd:auth): authentication failure; " /var/log/secure | awk '{print $14}' | awk -F= '{print $2}'   （这里的F是以等号作为分割符，前面的是$1,后面的是$2，然后过滤出ip）

7、统计爆破次数

三、如何统计次数呢？举个例子来说明

构造一个素材，假设这么多人在对我进行爆破

  

sort进行排序

 

uniq 汇总共有三种

 

uniq -c 汇总并进行计数