网络嗅探与协议分析
基础内容
1.网络嗅探Sniff
网络监听、网络窃听
类似于传统的电话线窃听
网络嗅探技术定义:利用计算机网络接口截获目的地为其他计算机的数据报文 ,监听网络流中所包含的用户账户密码或私密信息等
网络嗅探器(Sniffer):
实现嗅探的软件或硬件设备
嗅探获得数据->二进制格式数据报文
解析和理解二进制数据,获取各层协议字段和应用层传输数据->网络协议分析
2.以太网的工作原理
载波侦听/冲突检测(CSMA/CD: 802.3, carrier sense multiple access with collision detection)技术
载波侦听:是指在网络中的每个站点都具有同等的权利, 在传输自己的数据时,首先监听信道是否空闲
如果空闲,就传输自己的数据
如果信道被占用,就等待信道空闲
冲突检测则是为了防止发生两个站点同时监测到网络 没有被使用时而产生冲突
以太网采用了CSMA/CD技术,由于使用了广播 机制,所以,所有在同一媒介信道上连接的工作站 都可以看到网络上传递的数据
3.以太网卡的工作模式
网卡的MAC地址(48位) :
通过ARP来解析MAC与IP地址的转换
用ipconfig/ifconfig可以查看MAC地址
正常情况下,网卡应该只接收这样的包
MAC地址与自己相匹配的数据帧
广播包
网卡完成收发数据包的工作,两种接收模式
混杂模式:不管数据帧中的目的地址是否与自己的地址匹配, 都接收下来
非混杂模式:只接收目的地址相匹配的数据帧,以及广播数据 包(和组播数据包)
为了监听网络上的流量,必须设置为混杂模式
4.交换式网络中的嗅探攻击
MAC地址洪泛攻击
向交换机发送大量虚构MAC地址和IP地址数据包
致使交换机“MAC地址-端口映射表”溢出
交换机切换入所谓的“打开失效”模式- “共享式”
MAC欺骗
假冒所要监听的主机网卡,将源MAC地址伪造成目标主机的 MAC地址
交换机不断地更新它的“MAC地址-端口映射表”
交换机就会将本应发送给目标主机的数据包发送给攻击者
ARP欺骗
利用IP地址与MAC地址之间进行转换时的协议漏洞
5.应用程序抓包的技术
Unix:BPF,libpcap,tcpdump
Windows:NPF,winpcap,windump
p137实践练习
1.使用Tcpdump
2.使用Wireshark
3.解码网络扫描/网络扫描攻防对抗
攻击方kali:192.168.214.128
防守方seed:192.168.157.129
攻击方分别使用nmap -sT/-sS/-sU进行TCP connect()扫描、TCP SYN扫描、UDP端口扫描;
防守方使用sudo tcpdump host 192.168.157.129 嗅探,并将三个抓包文件拖入wireshark进行分析。
Kali 视频学习
1、openVAS是实施漏洞分析与扫描的工具,可以检测远程系统和应用程序中的安全问题。最初作为Nessus的一个子工具,称为Gnessus。OpenVAS包括一个中央服务器和图形化的前端。这个服务器允许用户运行集中各不同的网络漏洞测试。
2、OpenVAS的使用:
首先在靶机上面确保ping通攻击机,ping通以后在攻击机上面登录openvas,然后创建一个扫描目标,之后创建一个针对扫描目标的任务,成功之后开始扫描,扫描期间可以查看扫描状态细节,扫描结束后查看扫描结果,结果中包含漏洞详细信息,亦可导出pdf文件。在pdf报告里面可以看到目标主机的每个服务存在的漏洞信息。
3、漏洞分析的一系列扫描工具:Golismero是一款开源的web扫描器,它不但自带不少的安全测试工具,还可导入其他扫描工具的扫描结果,并且自动分析。
Nikto.pl是一款网页服务器扫描器。
Lynis系统信息收集整理工具可以对linux操作系统详细配置等信息进行枚举收集,生成报告文件。
4、漏洞分析之WEB爬行:
针对web网站的扫描,往往需要对网站路径、页面、账户进行枚举,这涉及到web安全中的爬行工具。
工具如下:
cutycapt工具可以使用如下命令对一个网站进行截图到home文件夹中:
cutycapt --url=http:www.baidu.com/ --out=baidu.png
Dirbuster是kali下的图形化目录扫描器,拥有直观的扫描结果。
5、漏洞分析之WEB漏洞扫描工具:Joomla Scanner、SkipFish、Uniscan、w3af、Wapiti、webshag、Websoloit