第四周 《網絡攻防實踐作業》

第一節。網絡攻防技術與實踐

1. 網絡嗅探

l 定義：網絡嗅探是利用計算機的網絡端口解惑目的地為其他的計算機的數據報文，以監聽數據流中所包含的信息。

l 攻擊方式：攻擊者獲得內部某一臺主機的訪問權後，能夠被攻的聽取網絡上正在傳輸的數據，從中獲取信息和用戶口令，協議信息，為發起深層次攻擊做好充足準備。同時通過這種方式，也可以發起中間人攻擊，由於具有非幹擾性，所以很難被發現。

l 防禦方式：網絡嗅探可以被防禦者用來捕獲與分析網絡的流量信息，以便找出網絡中的而問題所在，並加以解決。

l 嗅探技術與分類：

有線網局域網---TCP dump

無線局域網---Kismet

兩種嗅探器唯一區別再約Kismet可以讀取IEEE 802.11等無線傳輸協議的數據包。

還可以分為軟件與硬件嗅探器。

l 原理：

以太網工作是一種混雜模式：該模式下的網卡能夠i扼守一切通過它連接共享通信媒介的數據幀，而不管數據幀是否是傳給他。

l 攻擊方式：

實現：類UNIX平臺，內核態的BPF和用戶態的libpcap抓包工具庫實現

Windows平臺下，內核態的NPF和用戶態的winpcap.

軟件： 類unix平臺，libpcap、tcpdump、wireshar等等

Windows平臺：wireshark、snifferpro、windump

l 檢測

同一主機上，可以通過檢查網卡是否運行在混雜模式下來判斷嗅探。

可以通過基於混雜模式下操作系統與協議棧的不同特性，來檢測出網絡中其他主機上的嗅探器。

l 防範

采用安全的網絡拓撲，升級為交換式網絡，合理分段； 用靜態ARP或者MAC-端口映射表代替動態機制； 重視網絡數據傳輸的集中位置點的安全防範，如網關、路由器和交換機等； 避免使用明文傳輸口令或敏感信息的網絡協議，使用加密及安全增強的網絡協議。

2. 網絡協議分析

l 原理：對網絡上傳輸的二進制數據包進行解析，恢復出各層網絡協議信息以及傳輸內容。與解包原理類似但又有不同。本節還介紹了協議分析的典型過程及步驟。

l 技術：tcpdump,wireshark

第二節，嗅探分析攻防實踐

實驗內容：

攻擊方通過NMAP對靶機進行TCP、UDP端口掃描

防守方通過TCPDUMP和wires hark對抓包文件進行分析

攻擊方IP：192.168.1.114

防守方IP：192.168.1.115

攻擊機nmap掃描靶機

tcpdump抓包成功

wireshark捕獲成功

wireshark對抓包進行分析

第三節。Kali視頻學習

嘗試裝了幾遍的openvas都沒有成功，將同學那直接拷已經裝好的虛擬機來完成實驗。在下次作業中補上openvas,

l 漏洞分析掃描之golismero

golismero對Linux操作系統詳細配置等信息進行枚舉收集，生成報告

Golismero scan 192.168.8.102

l 漏洞分析掃描之Nikto

Nikto是一個分析網頁文件、GCI安全問題的工具，開源

Nikto -h 192.168.8.102

3.漏洞分析之Lynis

用於對linux操作系統詳細配置等信息進行枚舉收集，分類整理，比較直觀。

lynis --check-all

lynis --check-all -Q 避免交互

4.漏洞分析之unix-privesc-check

unix-privesc-check是一個Shell文件，可以檢測所在系統的錯誤配置，以發現可以用於提權的漏洞。unix-privesc-check並不會檢測所有提權漏洞的潛在情況。它只是快速進行檢測，並以簡潔的方式給出提權漏洞相關的建議，大大減少用戶在文件權限檢測方面的枯燥工作的量。它有兩種模式：

standard標準模式：速度優化檢查大量的安全設置。命令為unix-privesc-check standard 標準模式掃描本地主機

detailed詳細模式：與標準模式相同，但也檢查打開文件的perms句柄和被調用的文件。速度很慢，容易出錯，但可能會幫助你找到更微妙的缺陷

Web漏洞掃描

1.cadaver

cadaver是一個用來瀏覽和修改webdav共享的Unix命令行程序。

.2。DAVTest

該工具利用WebDAV漏洞，會自動檢測權限，尋找可執行文件的權限。一旦發現，用戶就可以上傳內置的後門工具，對服務器進行控制。同時，該工具可以上傳用戶指定的文件，便於後期利用。

.3.deblaze

主要針對flash等遠程調用枚舉

4.grabber

grabber是一款web漏洞應用掃描器，可以指定掃描漏洞類型結合爬蟲對網站進行安全掃描，可以針對性地對漏洞進行測試。

第四周網絡攻防實踐作業