第四周 《网络攻防实践作业》
第一节。网络攻防技术与实践
1. 网络嗅探
l 定义:网络嗅探是利用计算机的网络端口解惑目的地为其他的计算机的数据报文,以监听数据流中所包含的信息。
l 攻击方式:攻击者获得内部某一台主机的访问权后,能够被攻的听取网络上正在传输的数据,从中获取信息和用户口令,协议信息,为发起深层次攻击做好充足准备。同时通过这种方式,也可以发起中间人攻击,由于具有非干扰性,所以很难被发现。
l 防御方式:网络嗅探可以被防御者用来捕获与分析网络的流量信息,以便找出网络中的而问题所在,并加以解决。
l 嗅探技术与分类:
有线网局域网---TCP dump
无线局域网---Kismet
两种嗅探器唯一区别再约Kismet可以读取IEEE 802.11等无线传输协议的数据包。
还可以分为软件与硬件嗅探器。
l 原理:
以太网工作是一种混杂模式:该模式下的网卡能够i扼守一切通过它连接共享通信媒介的数据帧,而不管数据帧是否是传给他。
l 攻击方式:
实现:类UNIX平台,内核态的BPF和用户态的libpcap抓包工具库实现
Windows平台下,内核态的NPF和用户态的winpcap.
软件: 类unix平台,libpcap、tcpdump、wireshar等等
Windows平台:wireshark、snifferpro、windump
l 检测
同一主机上,可以通过检查网卡是否运行在混杂模式下来判断嗅探。
可以通过基于混杂模式下操作系统与协议栈的不同特性,来检测出网络中其他主机上的嗅探器。
l 防范
采用安全的网络拓扑,升级为交换式网络,合理分段; 用静态ARP或者MAC-端口映射表代替动态机制; 重视网络数据传输的集中位置点的安全防范,如网关、路由器和交换机等; 避免使用明文传输口令或敏感信息的网络协议,使用加密及安全增强的网络协议。
2. 网络协议分析
l 原理:对网络上传输的二进制数据包进行解析,恢复出各层网络协议信息以及传输内容。与解包原理类似但又有不同。本节还介绍了协议分析的典型过程及步骤。
l 技术:tcpdump,wireshark
第二节,嗅探分析攻防实践
实验内容:
攻击方通过NMAP对靶机进行TCP、UDP端口扫描
防守方通过TCPDUMP和wires hark对抓包文件进行分析
攻击方IP:192.168.1.114
防守方IP:192.168.1.115
攻击机nmap扫描靶机
tcpdump抓包成功
wireshark捕获成功
wireshark对抓包进行分析
第三节。Kali视频学习
尝试装了几遍的openvas都没有成功,将同学那直接拷已经装好的虚拟机来完成实验。在下次作业中补上openvas,
l 漏洞分析扫描之golismero
golismero对Linux操作系统详细配置等信息进行枚举收集,生成报告
Golismero scan 192.168.8.102
l 漏洞分析扫描之Nikto
Nikto是一个分析网页文件、GCI安全问题的工具,开源
Nikto -h 192.168.8.102
3.漏洞分析之Lynis
用于对linux操作系统详细配置等信息进行枚举收集,分类整理,比较直观。
lynis --check-all
lynis --check-all -Q 避免交互
4.漏洞分析之unix-privesc-check
unix-privesc-check是一个Shell文件,可以检测所在系统的错误配置,以发现可以用于提权的漏洞。unix-privesc-check并不会检测所有提权漏洞的潜在情况。它只是快速进行检测,并以简洁的方式给出提权漏洞相关的建议,大大减少用户在文件权限检测方面的枯燥工作的量。它有两种模式:
standard标准模式:速度优化检查大量的安全设置。命令为unix-privesc-check standard 标准模式扫描本地主机
detailed详细模式:与标准模式相同,但也检查打开文件的perms句柄和被调用的文件。速度很慢,容易出错,但可能会帮助你找到更微妙的缺陷
Web漏洞扫描
1.cadaver
cadaver是一个用来浏览和修改webdav共享的Unix命令行程序。
.2。DAVTest
该工具利用WebDAV漏洞,会自动检测权限,寻找可执行文件的权限。一旦发现,用户就可以上传内置的后门工具,对服务器进行控制。同时,该工具可以上传用户指定的文件,便于后期利用。
.3.deblaze
主要针对flash等远程调用枚举
4.grabber
grabber是一款web漏洞应用扫描器,可以指定扫描漏洞类型结合爬虫对网站进行安全扫描,可以针对性地对漏洞进行测试。
