第四章 网络嗅探与协议分析
网络嗅探是一种常用的窃听技术,它利用计算机的网络接口截获目的地为其他计算机的数据报文,以监听数据流中所包含的用户账户密码或私密信息等。
网络嗅探具有很强的隐蔽性,往往让网络信息泄露很难被发觉。
实现网络嗅探技术的工具称为网络嗅探器,网络嗅探器的主要监听对象包括以太网和Wi-Fi,也是目前最流行的链路层协议。(也可分为软件嗅探和硬件嗅探)
然后大体的介绍了网络嗅探的原理与实现,在UNIX、Windows平台上实现方式介绍。
随后教材介绍了一些常用的网络嗅探软件,例如libpcap,tcpdump,wireshark等软件。
网络协议分析是网络嗅探器进一步解析与理解捕获数据包必须的技术手段,需要识别出各个网络层次上所使用的网络协议类型。并且重点介绍了网络协议分析工具wireshark。
网络协议分析分析的典型步骤:
(一)网络嗅探得到的是原始数据链路层传输的二进制数据包,大多情况下是以太网帧数据。
(二)对以太网进行帧结构分析,定位帧头各字段结构,确定网络层协议类型,大多数是IP(0800)协议,并提取数据帧中包含的网络层数据内容。
(三)进一步对IP数据包进行分析,根据IP协议头中的Protocol字段,确定传输类型。
(四)继续根据TCP或UDP的目标端口确定具体的应用层协议。
(五)根据相应的应用层协议对数据进行整合恢复,得到实际传输的数据。
动手实践:tcpdump
在终端查看本机IP地址
tcptcpdump -n src 本机IP地址 and tcp port 80 and "tcp[13] & 18 == 2"
在本机上访问www.tianya.cn网站
记录监听结果
动手实践:Wireshark
攻防对抗实践:攻击方用nmap扫描,防守方用tcpdump嗅探,用Wireshark分析,并分析出攻击方的扫描目的以及每次使用的nmap命令。
攻击方用nmap扫描靶机,靶机IP地址为192.168.110.131
nmap -sP 192.168.110.131
nmap -sS 192.168.110.131
nmap -O 192.168.110.131
nmap -sV 192.168.110.131
防守方用tcpdump嗅探,并用Wireshark进行分析
Kali视频学习(11-15)
漏洞分析之OpenVAS使用
打开openvas
查看靶机IP地址
新建扫描任务
查看任务详细信息
漏洞分析之扫描工具
Golismero
Golismero采用了插件式的框架结构,提供了一系列的接口,用户只要继承并且实现这些接口,就可以自定义自己的插件。根据插件的功能,可分为四类:
- ImportPlugin(导入插件):导入插件主要是用来加载其他安全工具的扫描结果
- TestingPlugin(测试插件) :测试插件主要是用来测试或者渗透入侵的插件
- ReportPlugin(报表插件):报表插件主要是对测试结果生成报表。
- UIPlugin(界面插件):界面插件主要是用于和用户交互的,显示当前系统的运行情况。
使用命令: golismero scan IP
Nikto
Nikto 是一款开放源代码的、功能强大的WEB扫描评估软件,能对web服务器多种安全项目进行测试的扫描软件,去寻找已知有名的漏洞。
使用命令:nikto -h IP
Lynis
Lynis是针对Unix/Linux的安全检查工具,可以发现潜在的安全威胁。这个工具覆盖可疑文件监测、漏洞、恶意程序扫描、配置错误等。
使用命令:lynis --check-all -Q
unix-privesc-check
在UNIX系统上检测权限提升向量的shell脚本。它可以在UNIX和Linux系统上运行。寻找那些错误的配置可以用来允许未授权用户提升对其他用户或者本地应用的权限。
使用命令:unix-privesc-check standard
漏洞分析之WEB爬行
Apache-users用户枚举
apache-users -h IP -l /usr/share/wordlists/metasploit/unix_users.txt -p 80 -s 0 -e 403 -t 10
CutyCapt网站截图工具
进行截图
cutycapt --url=http://www.baidu.com/ --out=baidu.png
在Home文件夹下找到baidu.png
dirb目录扫描工具
dirbuster图形化目录扫描器
漏洞分析之WEB漏洞扫描
cadaver
cadaver是一个用来浏览和修改webdav共享的Unix命令行程序。使用cadaver就像使用命令行的FTP程序,因此他很适合基本的webdav调试。它可以以压缩的方式上传和下载文件,也会检验属性,拷贝,移动和锁定和检索文件。
davatest
davtest可以自动上传一个漏洞文件,一些木马文件。
deblaze
xss或者web会用到,针对FLASH远程调用等枚举。
fimap
fimap 远程文件和本地的漏洞扫描文件,会检测一些远程和本地包含漏洞测试。
Grabber web漏洞扫描器
指定扫描漏洞类型结合爬虫对网站进行安全扫描。
skipfish
skipfish通过http协议处理,占用较低cpu资源,运行速度快。
skipfish -o ~/report123 http://www.163.com
在主文件夹的report123文件夹中生成很多文件。
打开index.html查看详细信息
uniscan-gui
一款图形化界面
点击open log file查看详细信息
W3af
W3af支持许多插件,是web应用程序攻击和检查框架,包括检查网站爬虫、sql注入,跨站(xss)、本地文件包含、远程文件包含。
Wapiti
Wapiti是Web应用程序漏洞错误检查工具。它具有“暗箱操作”扫描,即它不关心Web应用程序的源代码,但它会扫描网页的部署,寻找使其能够注入数据的脚本和格式。它用于检测网页,看脚本是否脆弱的。
webshag
集成调用框架,调用Nmap、UScan、信息收集、爬虫等功能,使扫描过程更容易。
websploit
主要用于远程扫描和分析系统漏洞。