教材学习
网络嗅探与协议分析为攻击者进行网络协议攻击、口令破解与系统入侵提供了重要的信息来源途径,作为被动攻击技术,很难被察觉,对局域网安全构成了持久的安全威胁。而对防御者而言,网络嗅探与协议分析技术可以帮助网络管理员对网络的运行状态、传输信息进行实时监控,也是网络入侵检测系统、网络流量监控与管理系统等安全管理设备的技术基石。
网络嗅探
网络嗅探技术是一种窃听技术,与传统的电话窃听在电话线路上对特定号码的通话内容进行监听类似,网络嗅探利用计算机的网络接口截获目的地为其他计算机的数据报文,以监听数据流中所包含的用户账号或私密信息等。实现网络嗅探技术的工具称为网络嗅探器,嗅探器捕获的数据报文是经过封包处理之后的二进制数据,因此通常会结合网络协议分析技术来解析嗅探到的网络数据,这样才能恢复出TCP/IP协议栈上各层网络协议的内容,以及实际发送的应用层信息。网络嗅探器也可以按照实现形式分为软件嗅探器和硬件嗅探器,其中硬件嗅探器是通过专用硬件对网络数据进行捕获和分析的,通常也成为协议分析仪,其速度快但是价格昂贵;软件嗅探器则一般实现为不同类型操作系统上的应用软件,通过对网卡编程实现,易于实现,但是速度慢。
在交换机与集线器混合连接的网络中,网络嗅探仍能够捕获交换机同一端口上连接的主机通信。即使在纯交换的网络中,也可以采用如下技术手段使得本不应到达的数据包到达本地,就能实现嗅探。
- MAC地址洪泛攻击:是指向交换机发送大量含有虚构MAC地址和IP地址的数据包,致使交换机“MAC地址-端口映射表溢出”无法处理,使得交换机进入所谓的“打开失效”模式。
- MAC欺骗:MAC欺骗的目的是假冒所要监听的主机网卡,攻击者通过将源MAC地址伪造成目标地址的源MAC地址,并将这样的数据包通过交换机发送出去,使得交换机相信攻击者主机的MAC地址就是目标主机的MAC地址。
- ARP欺骗:ARP欺骗是利用IP地址与MAC地址之间进行转换时的协议漏洞,达到MAC地址欺骗,这是目前交换式网络中最常用的嗅探技术手段。
类UNIX平台网络嗅探器软件
类UNIX平台网络嗅探器软件一般都是基于标准接口BPF与libpcap,最常用的包括libpcap抓包开发库、tcpdump以及wireshark嗅探器软件。
网络协议分析
网络协议分析是对网络上传输的二进制格式数据包进行解析,以恢复出各层网络协议信息以及传输内容的技术方法。最常见的网络协议分析工具就是wireshark。
实践练习
攻击机使用nmap扫描
靶机使用wireshark分析
视频学习
漏洞分析之OpenVAS使用
查看所选靶机的ip地址
ping通
首先访问本地登录openvas的web管理界面
进行扫描
漏洞分析之扫描工具
golismero
查看插件
Nikto
Lynis系统信息收集整理工具
使用-Q避免交互
unix-privesc-check信息收集工具
漏洞分析之WEB爬行
Apache-users用户枚举脚本
DIRB
Dirbuster
漏洞分析之WEB漏洞扫描(一)
1.cadaver
2.DAVTest:测试对支持WebDAV的服务器上传文件等。
3.Deblaze:针对FLASII远程调用等的枚举
4.Fimap:文件包含漏洞利用工具
5.Grabber
漏洞分析之WEB漏洞扫描(二)
- Joomla Scanner:类似于Wpscan的扫描器,针对特定CMS(Joomla)
- SkipFish
-
Uniscan WVS:简单易用的WEB漏洞扫描器
-
W3AF
-
Wapiti
-
webshag:集成调用框架:调用nmap,Uscan,信息收集,爬虫等功能,使扫描过程更易。
-
WebSploit:是一个开源项目,主要用于远程扫描和分析系统漏洞。使用它可以非常容易和快速发现系统中存在的问题,并用于深入分析。