2017-2018-2 20179207 《網絡攻防技術》第四周作業
網絡嗅探與協議分析
基礎內容
1.網絡嗅探Sniff
- 網絡監聽、網絡竊聽
- 類似於傳統的電話線竊聽
網絡嗅探技術定義:利用計算機網絡接口截獲目的地為其他計算機的數據報文 ,監聽網絡流中所包含的用戶賬戶密碼或私密信息等
網絡嗅探器(Sniffer):
- 實現嗅探的軟件或硬件設備
- 嗅探獲得數據->二進制格式數據報文
- 解析和理解二進制數據,獲取各層協議字段和應用層傳輸數據->網絡協議分析
2.以太網的工作原理
- 載波偵聽/沖突檢測(CSMA/CD: 802.3, carrier sense multiple access with collision detection)技術
- 載波偵聽:是指在網絡中的每個站點都具有同等的權利, 在傳輸自己的數據時,首先監聽信道是否空閑
- 如果空閑,就傳輸自己的數據
- 如果空閑,就傳輸自己的數據
- 如果信道被占用,就等待信道空閑
- 如果信道被占用,就等待信道空閑
- 沖突檢測則是為了防止發生兩個站點同時監測到網絡 沒有被使用時而產生沖突
- 以太網采用了CSMA/CD技術,由於使用了廣播 機制,所以,所有在同一媒介信道上連接的工作站 都可以看到網絡上傳遞的數據
3.以太網卡的工作模式
- 網卡的MAC地址(48位) :
- 通過ARP來解析MAC與IP地址的轉換
- 用ipconfig/ifconfig可以查看MAC地址
- 正常情況下,網卡應該只接收這樣的包
- MAC地址與自己相匹配的數據幀
- 廣播包
- 網卡完成收發數據包的工作,兩種接收模式
- 混雜模式:不管數據幀中的目的地址是否與自己的地址匹配, 都接收下來
- 非混雜模式:只接收目的地址相匹配的數據幀,以及廣播數據 包(和組播數據包)
- 為了監聽網絡上的流量,必須設置為混雜模式
4.共享式網絡和交換式網絡
5.交換式網絡中的嗅探攻擊
MAC地址洪泛攻擊
- 向交換機發送大量虛構MAC地址和IP地址數據包
- 致使交換機“MAC地址-端口映射表”溢出
- 交換機切換入所謂的“打開失效”模式- “共享式”
MAC欺騙
- 假冒所要監聽的主機網卡,將源MAC地址偽造成目標主機的 MAC地址
- 交換機不斷地更新它的“MAC地址-端口映射表”
- 交換機就會將本應發送給目標主機的數據包發送給攻擊者
ARP欺騙
- 利用IP地址與MAC地址之間進行轉換時的協議漏洞
6.應用程序抓包的技術
Unix:BPF,libpcap,==tcpdump==
Windows:NPF,winpcap,windump
6.網絡協議分析
實踐動手
1.使用Tcpdump
2.使用Wireshark
3.解碼網絡掃描/網絡掃描攻防對抗
攻擊方kali:192.168.11.68
防守方seed:192.168.11.214
攻擊方分別使用nmap -sT/-sS/-sU進行TCP connect()掃描、TCP SYN掃描、UDP端口掃描;
防守方使用sudo tcpdump -i eth6 host 192.168.11.68 -w 1.pcapng/2.pcapng/3.pcapng嗅探,並將三個抓包文件拖入wireshark進行分析。
kali視頻(12-15)
漏洞分析之掃描工具
掃描工具集:golosmero、lynis、nikto、unix-privatsc-check、nmap、zenmap
golismero是一款開源的web掃描器,純python編寫。插件式框架結構,提供接口,進行漏洞掃描。
查看插件:
golismero plugins
importplugin(導入插件)
testingplugin(測試插件)
reportplugin(報表插件)
uiplugin(界面插件)
掃描器過於雜亂
代碼:
golismero scan 靶機ip
3.Nikto.pl
開源網頁服務器掃描器,對網頁服務器進行多種掃描
perl nikto.pl -h 靶機ip
nikto -h 192.168.200.125
4.lynis系統信息收集整理工具
對linux操作系統詳細配置等信息進行枚舉收集,生成報告文件。
lynis --check-all -q
-q避免交互,快速掃描。
5.unix-privesc-check 腳本文件
unix-privesc-check standard
標準模式看信息收集。
漏洞分析之web爬行
1.apache-users
apache-users -h 192.168.200.125 -l /usr/share/wordlists/dirbuster/
用戶枚舉腳本
2.burpsuite
3.cutycapt
網站截圖工具
cutycapt --url=http://www.baidu.com/ --out=baidu.png
4.dirb目錄掃描工具
dirb http://192.168.200.125
還可以制定後置名
5.dirbuster圖形化
6.owasp-zap
7.vega
kali下的一個web漏洞掃描器,只需要點scan,輸入ip地址即可掃描
8.webscarab
主要用於爆破攻擊
9.webslayer
這個工具在web中間代理的章節再做介紹
漏洞分析之web漏洞掃描(一)(二)
1.Cadaver
用來瀏覽和修改webdav共享的unix命令行程序。
2.davtest
davtest -url http://192.168.200.125/dav/
3.deblaze
針對flash遠程調用
4.fimap
5.Grabber
web應用漏洞掃描器
6.Joomla Scanner
類似與Wpscan的掃描器,針對特定CMS
7.SkipFish
掃描結束之後,打開之前創建的report123目錄,在目錄下找到index.html文件,用瀏覽器打開,就可以看到這個頁面
8.uniscan
這個工具可以勾選一些選項,然後加上url,然後直接開始掃描就行了
9.w3af
w3af是一個web應用程序攻擊和檢查框架,包括檢查網站爬蟲,SQL註入,跨站(XSS),本地文件包含(LFI),遠程文件包含(RFI)等。該項目的目標是要建立一個框架,以尋找和開發web應用安全漏洞,所以很容易使用和擴展
10.wapiti
wapiti的工作方式與nikto類似,也采用黑盒的方式主動對被測web應用進行掃描,尋找其中潛在的安全缺陷。
它掃描的方式就是
python wapiti.py http://www.xxxxxx.com -v 2
11.webshag
集成調用框架,調用nmap、uscan、信息收集、爬蟲等功能
12.websploit
主要用於遠程掃描和分析系統漏洞,使用它可以非常容易和快速發現系統中存在的問題,並用於深入分析
2017-2018-2 20179207 《網絡攻防技術》第四周作業