zoukankan      html  css  js  c++  java
  • 《网络攻防》第四周学习总结

    教材内容总结

    网络嗅探

    • 网络嗅探的定义:网络嗅探是一种黑客的窃听技术,嗅探器通过捕获经过封包处理的二进制数据,再结合网络协议分析技术,恢复出相应信息。
    • 在交换式网络中,实现嗅探的方式有:
      • MAC地址洪泛攻击
      • MAC欺骗
      • ARP欺骗
    • Linux平台的网络嗅探技术主要通过内核态的BPF和用户态的libpcap抓包工具库实现
    • windows系统中网络嗅探技术的实现需要与BPF模块兼容的NPF。它可以过滤数据包,并将这些数据包原封不动的传给用户态模块。
    • 类Unix系统中的网络嗅探器软件
      • libpcap抓包开发库
      • tcpdump嗅探器软件
      • wireshark嗅探器软件
      • 其他嗅探器软件
    • 网络嗅探的检测与防范
      • 采用安全的网络拓扑,尽量使用交换式网络,通过交换机上设置VLAN等技术手段,对网络进行合理的分段
      • 用静态ARP或者MAC-端口映射表代替动态机制
      • 重视网络数据传输的集中位置点的安全防范
      • 避免使用明文传输口令或敏感信息的网络协议

     网络协议分析

    • 定义:网络协议分析,是指网络嗅探器进一步解析与理解捕获数据包必须的技术手段。通过对原始报文内容的还原,得出各个协议层上的协议格式及其内容,以及在应用层传输的实际数据
    • 网络协议分析的几个步骤
      • 从链路层获取二进制数据包,大多数情况下是以太网数据帧
      • 根据帧头的Type字段确定网络层协议类型,并提取其中包含的网络层数据内容
      • 进一步对IP数据包进行分析,确定传输层协议类型(TCP或UDP),并提取其中的传输层数据内容
      • 根据TCP或UDP的目标端口确定具体的应用层协议,并对TCP或UDP数据包进行拼接重组,得到应用层特定协议的应用交互内容
      • 根据相应的应用层协议对数据进行整合恢复,得到实际传输的数据。
    • 网络协议分析的技术实现
      • 解析以太网数据帧
      • 解析IP数据包
      • 解析TCP数据包
    • 网络协议分析工具wireshark
      • wireshark:wireshark是一款开源的网络数据包分析工具,其主要作用是捕获网络数据包,并对其进行协议分析。

     

    kali视频学习(11——15)

    openvas的使用

    首先先确定靶机可以ping通,然后在openvas界面中添加一个新的目标,点击new target,如下

    在name和manual里面输入目标主机的IP地址,其他保持默认即可。创建完成后会在target当中显示如下

    创建好目标了,下一步就是新建扫描任务,点击Scan Management——New Task,随意起一个名字,然后IP地址是正确的即可,其他均默认

    主界面显示ok

    下面就是扫描的详细信息

    扫描结束之后还可以生成报告,操作很简单。

    kali中的其他扫描工具

    Golismero

    golismero含有多种插件,输入如下命令可以查看插件列表

    使用scan命令扫描靶机,如下

    Nikto.pl

    Nikto是一款开源的网页服务扫描器,它可以对网页服务进行多种扫描。用如下命令可以扫描靶机

    扫描出的漏洞信息如下

    Lynis系统信息收集整理工具

    这个工具是对Linux详细配置等信息进行枚举收集,生成易懂的报告文件,使用如下

    为了避免交互,可以在末尾添加-Q,枚举出的系统信息如下

    检查一些目录是否存在

    查看一些服务和内核的信息

    unix-privesc-check

    这个工具是一个类似lynis的工具。使用如下命令查看安全设置

    包括record hostname,uname,ip信息,是否存在/etc/password,一些可写的配置文件,/etc/shadow是否可读等等信息

    web爬行

    针对WEB网站的扫描,往往需要对网站路径,页面,账户等进行枚举,这就需要用到web安全中的爬行工具,kali中的web爬行工具如下

    kali中的字典存放于/usr/share/wordlist中,便于调用

    apache-users

    这个工具是枚举apache存在着哪些账号。命令行中,-h加上目标主机的IP地址,-l是加一个用户名的字典,这里使用的是dirbuster中的apache-user-enum-2.0,-p指定端口号,-s看是否有ssl支持,0表示没有。-e表示返回的状态码,-t参数指定线程,比如10个进程

     

    cutycapt

    这个工具是用来截图的,使用方法如下

    这会生成一个图片在当前目录下面

    DIRB

    一个强大的web目录扫描工具,命令行输入dirb可以得到下面的使用示例

    dirbuster

    这是kali下的图形化web目录扫描器,拥有直观的的扫描结果

    vega

    kali下的一个web漏洞扫描器

    只需要点scan,输入ip地址即可扫描

    webslayer

    主要用于爆破攻击

    这个工具在web中间代理的章节再做介绍

    WEB漏洞扫描

    cadaver

    这个工具是一个用来浏览和修改WebDAV共享的Unix命令行程序。这种工具就是以一种客户端,命令行的格式链接webdav

    DAVtest

    测试对支持WebDAV的服务器上传文件等

    语法:davtest -url http://222.28.136.226/dav/

    deblaze

    针对FLASH远程调用等的枚举,一般在xss或者较深入的web安全中可能会用到

    Fimap

    文件包含漏洞利用工具

    Grabber

    Grabber是一个WEB应用漏洞扫描器,可以指定扫描漏洞类型结合爬虫对网站进行安全扫描

    joomscan

    类似于Wpscan的扫描器,针对特定CMS

    SkipFish

    skipfish是谷歌出品的一款自动化的网络安全扫描工具,与Nikto,Nessus等工具有相似的功能。它的语法如下:

    执行完之后开始发包扫描

    扫描结束之后,打开之前创建的report123目录,在目录下找到index.html文件,用浏览器打开,就可以看到这个页面

    uniscan

     这个工具可以勾选一些选项,然后加上url,然后直接开始扫描就行了

    W3AF

    w3af是一个web应用程序攻击和检查框架,包括检查网站爬虫,SQL注入,跨站(XSS),本地文件包含(LFI),远程文件包含(RFI)等。该项目的目标是要建立一个框架,以寻找和开发web应用安全漏洞,所以很容易使用和扩展

    wapiti

    wapiti的工作方式与nikto类似,也采用黑盒的方式主动对被测web应用进行扫描,寻找其中潜在的安全缺陷。

    它扫描的方式就是,python wapiti.py http://www.xxxxxx.com -v 2

    webshag

    一个综合性的调用框架,可以调用Nmap,UScan,信息收集,爬虫等功能,是扫描过程更简单

    websploit

    主要用于远程扫描和分析系统漏洞,使用它可以非常容易和快速发现系统中存在的问题,并用于深入分析

    wireshark的使用

    首先是wireshark的界面,在interface list 中选取etho这块网卡,点击Start,即可开始抓包。

    从左向右,第一列是编号,第二列是抓包的时间。第三列是所抓报文的源,源地址若是二层报文,则显示的是MAC地址,如果是三层以上的报文,会显示一个IP地址。第四列是目标,同第三列相同,要么是目标MAC,要么是目标IP。第五列是报文的协议。最后一列是关于报文信息的描述。

    我们随便点击一个,ARP请求报文,可以看到底部有如下图所示的详细信息。

    可以看到,它的目标mac是全f,源mac是00:e0:4c:68:01:20,等等其他的信息

    再下面就是报文中的原始字段,为16进制表示。点击就可以看到中间栏中对该字段的解释。

    接下来就是wireshark的一个很强大的报文过滤功能。,例如需要按照协议来过滤,只需要在filter中输入协议名称即可

    如果想按照目标地址进行过滤,就在filter中输入ip.dst==222.28.136.223,即可筛选出,如下图

    需要按照源地址进行过滤,就用如下的操作命令

    也可以根据端口号进行过滤,比如需要过滤80端口的数据,就这样输入

    需要过滤二层报文,输入的条件需要为eth.addr==mac地址

    三层报文的过滤是ip.addr

    如果需要搜索更复杂的条件,就需要使用逻辑表达式来进行搜索,常用的逻辑表达式有三种,分别是与,或,非。

    例如,我们想同时显示ARP报文或HTTP报文,则用or连接即可

    例如,我们想过滤一个源ip是222.28.136.223,同时还是TCP协议的报文,只需使用and连接

    例如,我们想显示除ip报文以外的所有报文,就要用到非。

    这些表达式也可以组合运用,就不再演示了。

    然后就是wireshark另一个很强大的功能——流分析

    首先我们打开wireshark开始抓包,然后用telnet命令去查看靶机222.28.136.226,这时telnet的过程就被全部捕捉到了。我们用之前介绍的过滤功能来查看捕捉到的内容

     这时,我们点击Analyze——Follow TCP Stream,弹出如下窗口

    其中蓝色字段显示的是远程主机回显的数据,红色部分表示我们输入的部分,其中可以看到我们输入的密码等许多信息。

    通过这个例子可以看出,telnet是一种明文的传输方式。不够安全。

    wireshark可以根据我们产生的一个完整的流来做一些分析,甚至包括用户名密码等字段。

  • 相关阅读:
    06 is和==的区别 encode()编码 decode()解码
    05 dic的增删改查 字典的嵌套 考试题dic.get()的相关使用
    03 编码 int ,bool,str的常用操作 主要讲str
    01 基本数据类型 变量 if语句
    04 列表的增删改查 常用方法 元祖 range
    02 while循环 格式化输出 运算符
    多校2 Harmonious Army hdu6598 网络流
    P3159 [CQOI2012]交换棋子 网络流
    P2172 [国家集训队]部落战争 最大流
    P2402 奶牛隐藏 网络流
  • 原文地址:https://www.cnblogs.com/zehaowang/p/6601487.html
Copyright © 2011-2022 走看看