《网络攻击与防范》第四周学习总结

20169308 2016-2017-2 《网络攻击与防范》第4周学习总结

教材学习内容总结

本周主要学习第4章网络嗅探与协议分析。对攻击者来说，网络嗅探和协议分析为攻击者进行网络协议攻击、口令破解与系统入侵提供了重要的信息来源途径，作为被动攻击技术，很难被察觉，对局域网安全构成了持久的安全威胁。而对防御者而言，网络嗅探与协议分析技术可以帮助网络管理员对网络的运行状态、传输信息进行实时监控，也是网络入侵检测系统、网络流监控与管理系统等安全管理设备的技术基石。

网络嗅探

• 网络嗅探是一种黑客常用的窃听技术，是利用计算机的网络接口截获其他计算机的数据报文，以监听数据流中所包含的用户账户密码或私密信息等。实现网络嗅探技术的工具是网络嗅探器，嗅探器捕获的数据报文是经过封包处理之后的二进制数据。
• 网络嗅探技术按照所监听的链路层网络进行分类，可以分为无线嗅探器和“有线”嗅探器。它们在对数据包实际进行破解和分析的时候完全没有区别。
• 网络嗅探器按实现形式可以分为软件嗅探器和硬件嗅探器。
  • 硬件嗅探器
    硬件嗅探器是通过专用硬件对网络数据进行捕获和分析，也称为协议分析仪。优点是速度快，往往被放置在网络中的关键位置，捕获网络数据比较全面，一些各族入侵检测系统、防火墙设备常常基于硬件嗅探器运行。缺点是成本较高，价格昂贵。
  • 软件嗅探器
    软件嗅探器一般实现为不同类型操作系统上的应用软件，通过对网卡编程实现，价格便宜或免费，易于使用，但是速度慢，无法抓取网络上所有传输数据（比如碎片包），无法全面了解网络的故障和运行情况。
• 网络嗅探器软件
  • 类UNIX平台网络嗅探器软件
    该平台上的网络嗅探器软件一般都是基于标准接口BPF与libpcap，最常用的包括libpcap抓包开发库、tcpdump以及wireshark嗅探器软件。其他著名的还有dsniff、sniffit、linux_sniffer，开源网络入侵检测系统Snort也可以在网络嗅探软件模式运行。
  • Windows平台网络嗅探器软件
    类UNIX平台上的BPF/libpcap/tcpdump标准嗅探接口与程序在Windows平台上有对应移植版本，即NPF/winpcap/windump，著名开源网络嗅探软件wireshark也有Windows版本。商业网络嗅探软件SnifferPro，界面友好，统计分析功能强大，有强大的过滤器功能，其他的还有Buttsniffer、NetMon、Network Associates Sniffer等。

网络协议分析

• 网络协议分析是网络嗅探器进一步解析与理解捕获数据包必需的技术手段。网络嗅探器获得二进制格式的原始报文后，要利用网络协议分析对其进行解析，以恢复出各层网络协议信息以及传输内容。

• 网络协议分析与主机解包过程原理类似，从底向上逐层地解析网络协议，进行IP分片包以及TCP会话的重组，解析与保存各个网络层次上的所有包头字段信息和最高层的应用层数据内容，并提供给用户用以了解网络数据包的全方位信息。

• 数据包解包过程 如下图所示
  

• 网络协议分析工具Wireshark

  • Wieshark是一款开源的网络数据包分析工具，主要作用是捕获网络数据包，对数据包进行协议分析以尽可能显示详细的情况。
  • Wireshark支持类UNIX及Windows平台，对Mac OS也有第三方的支持包，它在网络嗅探功能方面支持对多种类型网络接口，并支持从网络中截获数据包和从离线的记录文件中读取网络数据包。在网络协议分析方面 支持超过750种协议类型，支持超过25种不同软件的捕获文件，功能更为强大。

实践练习

• tcpdump的使用
  1 截获主机hostname发送的所有数据
  tcpdump -i eth0 src host hostname
  2 监视所有送到主机hostname的数据包
  tcpdump -i eth0 dst host hostname

• Wireshark的使用
  在使用Wireshark进行嗅探时，Wireshark出现了闪退的情况，查询发现可能是因为Wireshark跟系统版本不兼容，下载了其他版本安装，结果也不理想，所以没有进行这一实践，会利用下一周的时间继续跟进。

视频学习内容总结

本周主要学习KaliSecurity-漏洞分析的前五个视频。

扫描工具

• Golismero WEB扫描工具
  Golismero是一种开源Web扫描器，无系统依赖性，可运行在多种操作系统上，由python编写。可自定义插件，按功能可分为四类：a、ImportPlugin（导入插件）b、TestingPlugin（测试插件）c、ReportPlugin（报表插件）d、UIPlugin（界面插件）。缺点是扫描过于杂乱，对于扫描报告的生成不够友好与规范。
  
  

• Nikto 网页服务扫描器
  Nikto可以对网页服务器进行全面的多种扫描，简单扫描、目标基本WEB配置信息、服务器、PHP解析器等版本信息。它的生成报告相对规范，也更为明了。
  

• Lynis 系统信息收集整理工具
  对Linux操作系统详细配置等信息进行枚举收集，生成易懂的测试报告。
  
  -Q 避免交互

• unix-privesc-check 信息收集工具
  利用脚本编写，方便运行。
  
  

WEB爬行

• Web爬行工具目录
  

• Kali内置字典存放目录
  利用字典的帮助对网站路径和页面进行枚举扫描。
  

• Apache-users 用户枚举脚本
  apach -users -h 主机地址 -l 字典地址 指定txt文件 -p 端口名 -s ssl支持

• CutyCapt 网站截图工具
  
  

• DIRB 强大的目录扫描工具
  

• Dirbuster kali下图形化目录扫描器，直观的扫描结果
  
  

• VEGA kali下的WVS
  

• WebSlayer 由WFuzz发展出来的WEB爆破工具
  

WEB漏洞扫描

• Cadaver 用来浏览和修改WEBDAV共享的unix命令行程序，客户端命令行的格式，适合基本的webDAV调试。可以以压缩方式上传和下载文件，也会检验属性、拷贝、移动、锁定和解锁文件。
  cadaver http：//hostname /path/

• DavTest 测试对支持webDAV服务器上传文件
  davtest -url http：//hostname /path/

• Dablaze 针对FLASH远程调用等枚举

• Fimap 文件包含漏洞利用工具

• Grabber WEB漏洞应用扫描器，可指定扫描漏洞类型结合爬虫对网站进行安全扫描

• Joomla scanner 类似wpscan扫描器，针对特定CMS(Joomla)

• SkipFish 自动化网络安全扫描工具
  通过http协议处理，占用较低cpu资源，运行速度快。
  skipfish -o/tmp/1.report http://url/

• Uniscan WVS 简单易用的web漏洞扫描器

• W3AF web应用程序攻击和检查框架
  有超过130个插件，包括检查网站爬虫、SQL注入，跨站（XSS）、本地文件包含、远程文件包含，目标是建立一个框架以寻找漏洞。

• Wapiti
  工作方式与nikto类似，实现内置匹配算法，python 语言开发，支持平台广泛。

• webshag 集成调用框架
  调用nmap、uscan，信息收集、爬虫等功能，使扫描过程更易。

• WebSploit
  开源，主要用于远程扫描和分析系统漏洞，可以容易而快速地发现系统问题并深入分析。

学习进度条

• 学习教材第4章
• 学习视频11-15

参考资料

Linux tcpdump命令详解 - ggjucheng - 博客园 http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html
Tcpdump的详细用法 - chao_yu - 博客园 http://www.cnblogs.com/yc_sunniwell/archive/2010/07/05/1771563.html