20169306《网络攻击与防范》第四周学习总结
教材学习:网络嗅探与协议分析
网络嗅探
网络嗅探的概念是就是与传统的电话窃听在电话线路上对特定的通话内容进行监听类似,利用计算机的网络接口截获目的地为其他计算机的数据报文,以监听数据流中所包含的用户账户密码或私密信息等。网络嗅探技术可以按照所监听的链路层网络进行分类,以太网与Wi-Fi是目前有线局域网与无线局域网最流行的链路层协议;网络嗅探器也可按照实现形式分为软件嗅探器和硬件嗅探器两种,硬件嗅探器通过专用硬件对网络数据进行捕获和分析,软件探测器则通过对网卡编程实现,价格相对硬件便宜。书中以以太网为例,对网络嗅探技术的原理以及在类UNIX、Windows平台上的实现方式进行了介绍。
网络协议分析
网络嗅探截获的是在通过封包过程组装的二进制格式原始报文内容,为了获取去中包含的信息,就需要根据TCP/IP协议栈的协议规范,重新还原出数据报在各个协议层上的协议格式及其内容,以及在应用传输的实际数据,所以说网络协议分析是网络嗅探其进一步分析与理解捕获数据包必须的技术和手段。
网络协议分析的典型过程包括以下几步:
1.首先网络嗅探得到的原始数据是在链路层传输的二进制数据包,大多数情况下是以太网数据帧;
2.对以太网数据帧进行结构分析,定位出针头各字段结构,根据帧头的Type字段确定网络层协议类型,大多数情况下是IP协议,并提取数据帧中包含的网络层数据内容;
3.进一步对IP数据包进行分析,根据IP协议头中的Protocol字段,确定传输层协议类型,提取IP数据包中的传输层数据内容;
4.继续根据TCP或UDP的目标端口确定具体的应用层协议,得到应用层特定协议的应用交互内容。
5.依据相应的应用层协议对数据进行整合恢复,得到实际传输的数据。
网络协议分析工具Wireshark
Wireshark
Wireshark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。Wireshark不是入侵侦测系统,对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。然而,仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。
安装Wireshark,安装完成界面如下:
如图Wireshark主窗口包含菜单栏、快速工具栏、过滤器栏、总览窗口、协议树窗口、数据查看窗口、状态栏。菜单栏、快速工具栏提供了对wireshark的操作,如捕获数据包、打开文件、保存监听结果、设置监听规则等。
教材实践练习
1.搜索了我的名字,结果在第二页出现了我的博客
2.使用nmap扫描特定靶机
视频学习
视频十一:OenVAS的使用
1.访问OpenVAS的web管理界面:https://localhost:9392/
2.创建目标Target,作为要扫描的目标
首先在metasploitable下ifconfig查看ip再创建。
3.创建扫描任务Task
4.开始任务
可点击task details查看当前扫描的详细信息,而且可以导出扫描结果报告文件
5.Quick Start 快速扫描
视频十二:Kali漏洞分析之扫描工具
1.WEB扫描工具Golismero:是一款开源的web扫描器,自带很多安全测试工具外还可导入分析市面流行的扫描工具的结果例如OpenVAS,Wfuzz等,并能够自动分析。
查看插件列表命令:golismero plugins
2.漏洞扫描器Nikto.pl:Nikto是一款开源的网页服务扫描器,可以对网页服务器进行全面的多种扫描,包含超过3300种有现在危险的文件CGls;超过625中服务器版本,超过230种特定的服务器问题。
3.Lynis系统信息收集 整理工具
对Linux操作系统详细配置等信息进行枚举收集,生成易懂的报告文件。
4.unix-privesc-check信息收集工具
视频十三:Kali漏洞分析之WEB爬行
1.Apache-users用户枚举脚本
2.CutyCapt:网站截图工具
3.DIRB:强大的目录扫描工具
4.Dirbuster:Kali下的图形化目录扫描器,拥有直观的扫描结果
5.Vega:kali下的wvs,使用简单易懂
视频十四
1.Cadaver:一个用来浏览和修改WebDAV共享的Unix命令行程序,使用cadaver就像使用命令行的FTP程序,因此它很适合基本的WebDAV调试。它可以以压缩的方式上传和下载,也会检验属性、拷贝、移动、锁定和解锁文件。
2.DAVTest:测试对支持WebDAV的服务器上传文件等 。
3.Dablaze:针对FLASH远程调用等的枚举
4.Fimap:文件包含漏洞利用工具
5.Grabber:Grabber是一个WEB应用漏洞扫描器,可以指定扫描漏洞类型结合爬虫对网站进行安全扫描,其支持以下漏洞扫描:
Cross-Site Scripting
SQL Injection
File Inclusiom
视频十五
1.Joomla Scanner:类似于Wpscan的扫描器,针对特定CMS
2.SkipFish:由google出品的一款自动化的网络安全扫描工具,谷歌工程师Michal Zalewski称,尽管Skipfish与Nikto和Nessus等其他开源扫描工具有相似功能,但Skipfish还具备一些独特的优点。Skipfish通过HTTP协议处理且占用较低的CPU资源,因此它的运行速度比较快。
3.Uniscan WVS:简单易用的WEB漏洞扫描器
4.W3AF:一个Web应用程序攻击和检查框架,该项目已超过130个插件,其中包括检查网站爬虫,SQL注入,跨站,本地文件包含,远程文件包含等。该项目的目标是要建立一个框架,以寻找和开发Web应用安全漏洞,所以很容易使用和扩展。
5.Wapiti:工作方式与nikto类似,采用黑盒的方式主动的对被测Web应用进行扫描,寻找其中潜在的安全缺陷,可实现内置的匹配算法。
6webshag:集成调用框架,调用Nmap,USscan,信息收集,爬虫等功能,是扫描过程更易。
7.WebSploit:一个开源项目,主要用于远程扫描和分析系统漏洞。使用它可以非常容易和快速发现系统中存在的问题,并深入分析。