第四周網絡攻防總結

1、教材內容總結

　　網絡嗅探與協議分析爲攻擊者進行網絡協議攻擊、口令破解與系統入侵提供了重要的信息來源途徑，做爲被動攻擊技術，很難被察覺，對局域網安全構成了持久的安全威脅。而對防護者而言，網絡嗅探與協議分析技術能夠幫助網絡管理員對網絡的運行狀態、傳輸信息進行實時監控，也是網絡入侵檢測系統、網絡流量監控與管理系統等安全管理設備的技術基石。

　　網絡嗅探

　　網絡嗅探技術是一種竊聽技術，與傳統的電話竊聽在電話線路上對特定號碼的通話內容進行監聽相似，網絡嗅探利用計算機的網絡接口截獲目的地爲其餘計算機的數據報文，以監聽數據流中所包含的用戶帳號或私密信息等。實現網絡嗅探技術的工具稱爲網絡嗅探器，嗅探器捕獲的數據報文是通過封包處理以後的二進制數據，所以一般會結合網絡協議分析技術來解析嗅探到的網絡數據，這樣才能恢復出TCP/IP協議棧上各層網絡協議的內容，以及實際發送的應用層信息。網絡嗅探器也能夠按照實現形式分爲軟件嗅探器和硬件嗅探器，其中硬件嗅探器是經過專用硬件對網絡數據進行捕獲和分析的，一般也成爲協議分析儀，其速度快可是價格昂貴；軟件嗅探器則通常實現爲不一樣類型操做系統上的應用軟件，經過對網卡編程實現，易於實現，可是速度慢。

      在交換機與集線器混合鏈接的網絡中，網絡嗅探仍可以捕獲交換機同一端口上鍊接的主機通訊。即便在純交換的網絡中，也能夠採用以下技術手段使得本不該到達的數據包到達本地，就能實現嗅探。

     （1）MAC地址洪泛攻擊：是指向交換機發送大量含有虛構MAC地址和IP地址的數據包，導致交換機「MAC地址－端口映射表溢出」沒法處理，使得交換機進入所謂的「打開失效」模式。
     （2）MAC欺騙：MAC欺騙的目的是假冒所要監聽的主機網卡，攻擊者經過將源MAC地址僞形成目標地址的源MAC地址，並將這樣的數據包經過交換機發送出去，使得交換機相信攻擊者主機的MAC地址就是目標主機的MAC地址。
     （3）ARP欺騙：ARP欺騙是利用IP地址與MAC地址之間進行轉換時的協議漏洞，達到MAC地址欺騙，這是目前交換式網絡中最經常使用的嗅探技術手段。

       類UNIX平臺網絡嗅探器軟件

       類UNIX平臺網絡嗅探器軟件通常都是基於標準接口BPF與libpcap，最經常使用的包括libpcap抓包開發庫、tcpdump以及wireshark嗅探器軟件。

       網絡協議分析

  網絡協議分析是對網絡上傳輸的二進制格式數據包進行解析，以恢復出各層網絡協議信息以及傳輸內容的技術方法。最多見的網絡協議分析工具就是wireshark。

2、教材做業

  攻擊方用nmap掃描，防守方用tcpdump嗅探，用Wireshark分析

  攻擊機ip: 192.168.11.253. 靶機 ip：192.168.11.152.

         

         

 

         

      進行ping 通

 

      

    使用tcpdump嗅探

     

攻擊機使用nmap掃描

靶機使用wireshark分析

 三、視頻學習

1.漏洞分析之OpenVAS使用

瞭解漏洞分析工具openvas的使用

查看所選靶機的ip地址

查看連通性

首先訪問本地https://localhost：9392/登陸openvas的web管理界面

建立掃描目標target


5.建立掃描任務task

開始任務

查看掃描狀態細節
查看掃描結果，包含漏洞詳細信息，也可導出PDF文件
導出掃描結果報告文件
快速掃描可以使用QuickStart

2.漏洞分析之掃描工具

本節主要介紹Kali Linux下漏洞分析工具中掃描工具的使用。除openvas外，還有如下漏洞分析掃描工具：WEB漏洞掃描器Golismero與Nikto，以及系統信息掃描收集工具Lynis與unix-privese-check。

WEB掃描工具Golismero

Golismero採用了插件式的框架結構，提供了一系列接口，用戶只要繼承並實現這些插口，就能夠定義本身的插件。根據插件的功能，可分爲四類，每一個類別的插件的接口都不一樣。
（1）ImportPlugin（導入插件）：導入插件主要是用來加載其餘安全工具的掃描結果；
（2）TestingPlugin（測試插件）：測試插件主要用來測試或者滲透入侵的插件；
（3）ReportPlugin（報表插件）：報表插件主要是對測試結果生成報表。
（4）UIPlugin（界面插件）：界面插件主要是用於和用戶交互的，顯示當前系統的運行狀況。
查看插件命令：golismero plugins





命令的使用：golismero scan http://192.168.30.130/
掃描器進行掃描的過程截圖：


此掃描的掃描過程比較雜亂，對掃描報告的生成也不夠規範和友好。

漏洞掃描器Nikto.pl

掃描百度的命令：nikto -h http://baidu.cn.com/
掃描器掃描過程截圖：

對多個端口掃描：

Lynis系統信息收集整理工具

對Linux操做系統詳細配置等信息進行枚舉收集，生成易懂的報告文件。
掃描工具的使用：


使用-Q避免交互：

unix-privesc-check信息收集工具

使用命令：

漏洞分析之WEB爬行

瞭解漏洞分析工具中WEB爬行工具的使用。
1.用戶枚舉腳本apache-users
2.網站截圖工具cutycapt

3.強大的目錄掃描工具DIRB


4.Dirbuster：Kali下的圖形化目錄掃描器，擁有直觀的掃描效果



5.Vega：Kali下的WVS，使用簡單易懂

6.WebSlayer：由WFuzz發展出來的Web爆破工具

漏洞分析之WEB漏洞掃描（一）

瞭解Kali下的漏洞分析工具中WEB漏洞掃描的使用
1.cadaver

2.DAVTest：測試對支持WebDAV的服務器上傳文件等。
3.Deblaze：針對FLASII遠程調用等的枚舉
4.Fimap：文件包含漏洞利用工具
5.Grabber

漏洞分析之WEB漏洞掃描（二）

1.Joomla Scanner：相似於Wpscan的掃描器，針對特定CMS（Joomla）


2.SkipFish

skipfish -o ~/report123 http://www.163.com/


生成報告文件


3.Uniscan WVS：簡單易用的WEB漏洞掃描器


4.W3AF


5.Wapiti


6.webshag:集成調用框架：調用nmap，Uscan，信息收集，爬蟲等功能，使掃描過程更易。
7.WebSploit：是一個開源項目，主要用於遠程掃描和分析系統漏洞。使用它能夠很是容易和快速發現系統中存在的問題，並用於深刻分析。