20169201 2016-2017-2 《网络攻防实践》第四周学习总结

教材学习内容总结

第四章 网络嗅探与协议分析

• 网络嗅探（Sniff）
  利用计算机的网络接口截获目的地为其他计算机的数据报文，以监听数据流中所包含的的用户账户密码或私密信息等。实现网络嗅探技术的工具称为网络嗅探器(sniffer)，嗅探器捕获的数据报文是经过封包处理后的二进制数据，因而还需要结合网络协议分析技术来解析嗅探到的网络数据。
  网络嗅探技术与工具分类
  • 按照所监听的链路层网络进行分类
    • 无线嗅探器（Kismet）
    • 有线嗅探器 (tcpdump)
      区别：无线嗅探器可以读取和分析符号如IEEE802.11等无线传输协议的数据包
  • 按照实现形式
    • 软件嗅探器：不同操作系统上的应用软件，通过对网卡编程实现
    • 硬件嗅探器：通过专用软件对网络数据进行捕获和分析，协议分析仪，速度快、成本高
      1.共享式网络与交换机网络中的嗅探
      MAC地址洪泛攻击
      MAC欺骗
      ARP欺骗
      2.类Unix平台的网络嗅探技术实现
      通过内核态的BPF和用户态的libpcap抓包工具库实现。
      3.windows平台的网络嗅探实现技术
      通过内核态的NPF与用户态的Winpcap实现。
      网络嗅探器软件
      类Unix平台的网络嗅探软件：libpcap抓包开发库、tcpdump以及wireshark；
      Windows平台网络嗅探器软件：wireshark、SnifferPro、Buttsniffer、NetMon等。
• 网络协议分析
  网络协议分析是网络嗅探器进一步解析与理解捕获数据包必须的技术手段。是指对网络上传输的二进制格式数据包进行解析，以恢复出各层网络协议信息以及传输内容的技术方法。从底向上逐层的解析网络协议，同时进行IP分片包以及TCP会话的重组。
  网络协议分析典型过程：
  1.网络嗅探得到原始数据实在链路层传输的二进制数据包，大多数情况下是以太网数据帧。
  2.对以太网数据帧进行结构分析
  3.进一步对IP数据包进行分析
  4.继续根据TCP或UDP的目标端口确定具体的应用层协议
  5.依据相应的应用层协议对数据进行整合恢复，得到实际传输的数据

视频学习

第十一节：OpenVas使用

主要通过openvas新建项目，进行扫描，生成扫描文档

第十二节：扫描工具Golismero

• 1.Web扫描工具
  开源的Web扫描器，采用插件形式的框架结构，集成许多开源的安全工具。插件分为四类：
  a.ImportPlugin(导入插件)
  b.TestingPlugin(测试插件)
  c.ReportPlugin（报表插件）
  d.UIPlugin（界面插件）
  查看插件列表
  
  golismero扫描测试目标主机，此扫描器过于杂乱，扫描报告的生成也不够规范与友好
  
  扫描过程截图：
  
• 漏洞扫描器 Nikto.pl
  Nikto是一款开源的（GPL）网页服务器扫描器，进行全面的多种扫描，包含超过3300多种有潜在危险的文件CGIs；超过230种特定服务器问题。
  
  Nikto进行扫描，相对来说比较整洁
  
  对多个端口进行扫描
  nikto -h -p 80, 88
  更新插件和数据库
  nikto -update
• Lynis系统信息收集整理工具
  对LInux操作系统详细配置等信息进行枚举收集，生成易懂的报告文件。
  
  枚举信息 lynis --check-all -q
  
• unix-privesc-check信息收集工具
  有两种模式："standard"和"detailed"
  

第十三节：漏洞分析之Web爬行

• 1.Apache-users用户枚举脚本
• 2.CutyCapt:网站截图工具
  
  
• 3.DIRB：强大目录扫描工具
  
• 4.Dirbuster:图形化目录扫描器，拥有直观的扫描结果
  

第十四节：漏洞分析之Web漏洞扫描

• 1.Cadaver
  用于浏览和修改WebDAV共享的Unix命令行程序，就像使用FTP程序，适合基本WebDAV调试，以压缩方式上传和下载文件，也会检测属性、拷贝、移动、锁定和解锁文件。
• 2.DAVtest
  测试对支持WebDAV的服务器上传文件等。
• 3.Deblaze
  针对FLASH远程调用等的枚举。
• 4.Grabber
  Web应用漏洞扫描器，可以指定漏洞类型结合爬虫对网站进行安全扫描。

第十五节：漏洞扫描工具

• 1.Joomla Scanner
  类似于Wpscan的扫描器，针对特定的CMS
  
• 2.SkipFish
  Google出品的自动化的网络安全扫描工具，通过HTTP协议处理且占用较低的CPU资源，因此运行速度快，每秒可以处理2000个请求。
  skipfish -o 目录 url地址
  
• 3.Uniscan WVS:
  简单易用的图形界面Web漏洞扫描器
• 4.W3AF
  是一个Web应用程序攻击和检查框架，该项目已超过130个插件，其中包括：检查网站爬虫，SQL注入，跨站（KSS），本地文件包含（LFI），远程文件包含（RFI），很容易使用和扩展。
• 5.Wapiti
  采用黑盒主动地对被测Web应用进行扫描，实现了内置的匹配算法。支持多种格式的安全测试验证报告。
• 6.Webshag:集成调用框架
  调用Nmap、UScan，信息收集，爬虫等功能，是扫描过程更易。
• 7.WebSploit
  主要用于远程扫描和分析系统漏洞，非常容易和快速的发现系统中存在的问题，并用于深入分析。

WireShark使用

使用的是Kali自带的WireShark，找到网络嗅探目录

访问百度页面，抓取一下数据包

第一条：本机在向DNS询问域名www.baidu.com在Internet上的IPV4地址。

第二条：表示本机在向DNS询问域名的IPV6地址。

第三条：表示DNS向本机回复，百度指向别名www.a.shifen.com，并给出权威DNS服务器 ns1.a.shifen.com

第四条：得到百度的IP地址

之后进行三次握手协议，在进行信息交互

学习进度条

教材第四章
Kali视频11-15
wireshark使用