網絡嗅探與協議分析

基礎內容

1.網絡嗅探Sniff

• 網絡監聽、網絡竊聽
• 類似於傳統的電話線竊聽

網絡嗅探技術定義：利用計算機網絡接口截獲目的地為其他計算機的數據報文 ，監聽網絡流中所包含的用戶賬戶密碼或私密信息等

網絡嗅探器(Sniffer)：

• 實現嗅探的軟件或硬件設備
• 嗅探獲得數據->二進制格式數據報文
• 解析和理解二進制數據，獲取各層協議字段和應用層傳輸數據->網絡協議分析

2.以太網的工作原理

• 載波偵聽/沖突檢測(CSMA/CD: 802.3, carrier sense multiple access with collision detection)技術
• • 載波偵聽：是指在網絡中的每個站點都具有同等的權利， 在傳輸自己的數據時，首先監聽信道是否空閑
• • • 如果空閑，就傳輸自己的數據
      
• • • 如果信道被占用，就等待信道空閑
      
• • 沖突檢測則是為了防止發生兩個站點同時監測到網絡 沒有被使用時而產生沖突
• 以太網采用了CSMA/CD技術，由於使用了廣播 機制，所以，所有在同一媒介信道上連接的工作站 都可以看到網絡上傳遞的數據

3.以太網卡的工作模式

• 網卡的MAC地址(48位) ：
• • 通過ARP來解析MAC與IP地址的轉換
• • 用ipconfig/ifconfig可以查看MAC地址
• 正常情況下，網卡應該只接收這樣的包
• • MAC地址與自己相匹配的數據幀
• • 廣播包
• 網卡完成收發數據包的工作，兩種接收模式
• • 混雜模式：不管數據幀中的目的地址是否與自己的地址匹配， 都接收下來
• • 非混雜模式：只接收目的地址相匹配的數據幀，以及廣播數據 包(和組播數據包)
• 為了監聽網絡上的流量，必須設置為混雜模式

4.共享式網絡和交換式網絡

5.交換式網絡中的嗅探攻擊

MAC地址洪泛攻擊

• 向交換機發送大量虛構MAC地址和IP地址數據包
• 致使交換機“MAC地址-端口映射表”溢出
• 交換機切換入所謂的“打開失效”模式- “共享式”

MAC欺騙

• 假冒所要監聽的主機網卡，將源MAC地址偽造成目標主機的 MAC地址
• 交換機不斷地更新它的“MAC地址-端口映射表”
• 交換機就會將本應發送給目標主機的數據包發送給攻擊者

ARP欺騙

• 利用IP地址與MAC地址之間進行轉換時的協議漏洞

6.應用程序抓包的技術

Unix：BPF,libpcap，==tcpdump==

Windows：NPF，winpcap，windump

6.網絡協議分析

實踐動手

1.使用Tcpdump

2.使用Wireshark

3.解碼網絡掃描/網絡掃描攻防對抗

攻擊方kali:192.168.11.68
防守方seed:192.168.11.214

攻擊方分別使用nmap -sT/-sS/-sU進行TCP connect()掃描、TCP SYN掃描、UDP端口掃描；
防守方使用sudo tcpdump -i eth6 host 192.168.11.68 -w 1.pcapng/2.pcapng/3.pcapng嗅探，並將三個抓包文件拖入wireshark進行分析。

kali視頻（12-15）

漏洞分析之掃描工具

1. 掃描工具集：golosmero、lynis、nikto、unix-privatsc-check、nmap、zenmap

2. golismero是一款開源的web掃描器，純python編寫。插件式框架結構，提供接口，進行漏洞掃描。

查看插件：

golismero plugins

importplugin（導入插件）

testingplugin（測試插件）

reportplugin（報表插件）

uiplugin（界面插件）

掃描器過於雜亂

代碼：

golismero scan 靶機ip

3.Nikto.pl

開源網頁服務器掃描器，對網頁服務器進行多種掃描

perl nikto.pl -h 靶機ip

nikto -h 192.168.200.125

4.lynis系統信息收集整理工具

對linux操作系統詳細配置等信息進行枚舉收集，生成報告文件。

lynis --check-all -q

-q避免交互，快速掃描。

5.unix-privesc-check 腳本文件

unix-privesc-check standard

標準模式看信息收集。

漏洞分析之web爬行

1.apache-users

apache-users -h 192.168.200.125 -l /usr/share/wordlists/dirbuster/

用戶枚舉腳本

2.burpsuite

3.cutycapt
網站截圖工具

cutycapt --url=http://www.baidu.com/ --out=baidu.png

4.dirb目錄掃描工具

dirb http：//192.168.200.125

還可以制定後置名

5.dirbuster圖形化

6.owasp-zap

7.vega

kali下的一個web漏洞掃描器，只需要點scan，輸入ip地址即可掃描

8.webscarab

主要用於爆破攻擊

9.webslayer

這個工具在web中間代理的章節再做介紹

漏洞分析之web漏洞掃描（一）（二）

1.Cadaver

用來瀏覽和修改webdav共享的unix命令行程序。

2.davtest

davtest -url http://192.168.200.125/dav/

3.deblaze

針對flash遠程調用

4.fimap

5.Grabber

web應用漏洞掃描器

6.Joomla Scanner

類似與Wpscan的掃描器，針對特定CMS

7.SkipFish

掃描結束之後，打開之前創建的report123目錄，在目錄下找到index.html文件，用瀏覽器打開，就可以看到這個頁面

8.uniscan

這個工具可以勾選一些選項，然後加上url，然後直接開始掃描就行了

9.w3af

w3af是一個web應用程序攻擊和檢查框架，包括檢查網站爬蟲，SQL註入，跨站（XSS），本地文件包含（LFI），遠程文件包含（RFI）等。該項目的目標是要建立一個框架，以尋找和開發web應用安全漏洞，所以很容易使用和擴展

10.wapiti

wapiti的工作方式與nikto類似，也采用黑盒的方式主動對被測web應用進行掃描，尋找其中潛在的安全缺陷。
它掃描的方式就是

python wapiti.py http://www.xxxxxx.com -v 2

11.webshag

集成調用框架，調用nmap、uscan、信息收集、爬蟲等功能

12.websploit

主要用於遠程掃描和分析系統漏洞，使用它可以非常容易和快速發現系統中存在的問題，並用於深入分析

2017-2018-2 20179207 《網絡攻防技術》第四周作業