教材学习内容总结
学习了课本第四章网络嗅探与协议分析。网络嗅探是一种窃听技术,实现网络嗅探技术的工具称为网络嗅探器(sniffer),嗅探器捕获的数据报文是经过封包处理之后的二进制数据。网络嗅探是攻击者常用的内网渗透技术,也可以用来维护网络与防范入侵。为了嗅探以太网上的流量需要将网卡设置为混杂模式。在交换网络中可以采用如下手段使不应到达本地数据包到达本地:(1)MAC地址泛洪攻击(2)MAC欺骗(3)ARP欺骗。类UNIX平台的网络嗅探技术主要通过内核态的BPF和用户态的libpcap抓包工具库实现;WIN操作系统内核并不提供标准的网络嗅探与抓包接口,需要增加一个驱动程序或网络组件来访问内核网卡驱动中捕获的数据包,常用的是NPF和WinPcap
网络协议分析分析的典型步骤:
网络嗅探得到的是原始数据链路层传输的二进制数据包,大多情况下是以太网帧数据;
对以太网进行帧结构分析,定位帧头各字段结构,确定网络层协议类型,大多数是IP(0800)协议,并提取数据帧中包含的网络层数据内容;
进一步对IP数据包进行分析,根据IP协议头中的Protocol字段,确定传输类型;
继续根据TCP或UDP的目标端口确定具体的应用层协
议;
根据相应的应用层协议对数据进行整合恢复,得到实际传输的数据。
视频学习中的问题和解决过程
openvas安装过程中,由于KALI版本问题添加用户指令 openvasad -c add_user -n admin -r Admin无法识别,改用KALI1.0.8版本。
练习cadaver,准备的安装的Metasploitable靶机没有需要的web环境,重新下载了Metasploitable2。