網絡攻防第四周做業

教材內容學習 網絡嗅探與協議分析

1、網絡嗅探

1.網絡嗅探概述

網絡嗅探利用計算機的網絡接口截獲目的地爲其餘計算機的數據報文，以監聽數據流中所包含的用戶帳戶密碼或私密信息等。實現網絡嗅探技術的工具稱爲網絡嗅探器（Sniffer），嗅 探器捕獲的數據報文是通過封包處理以後的二進制數據，所以一般會結合網絡數據協議分析技術來解析嗅探到的網絡數據，這樣才能恢復出TCP/IP協議棧上各層網絡協議的內容以及實際發送的應用層信息。

網絡嗅探做爲攻擊者常常用的內網滲透技術，一般在攻擊者得到內部網絡中一臺主機的訪問權後實施，可以被動地、靜默地嗅探網絡上傳輸的數據，並從中竊取機密信息（各種用戶名和口令、電子郵件正文及附件、網絡打印的文檔），和底層的網絡協議信息（使用的DNS服務器IP地址、網關IP地址、TCP鏈接序號），經過網絡嗅探得到的數據還能夠爲攻擊者進行中間人攻擊提供幫助。網絡嗅探具備被動性與非干擾性，很強大的隱蔽性，每每難以被人發覺。

以太網與wifi是目前有線局域網與無線局域網最流行的鏈路層協議。也是目前嗅探器主要監聽對象。

網絡嗅探技術能夠按所監聽的鏈路層網絡進行分類。分爲無限嗅探器和有限嗅探器。無限嗅探器能夠讀取和分析符合如IEEE 802.11等無線傳輸協議的數據包。

網絡嗅探技術能夠按實現形式進行分類。分爲軟件嗅探器和硬件嗅探器。硬件嗅探器經過專用硬件對網絡數據進行捕獲和分析，一般也成爲協議分析儀。速度快，每每被放置在網絡的關鍵位置。可是成本高。軟件嗅探器通常實現爲不一樣類型操做系統上的應用軟件，經過對網卡編程實現，價格相對便宜。易於使用，可是速度慢，效果不佳。

2.嗅探技術原理與實現。

處於混雜模式下的網卡可以接受一切經過它鏈接共享通訊媒介的數據幀。爲了嗅探以太網上的流量，須要將網卡設置爲混雜模式。

利用以太網在實際部署有限局域網時根據部署方式不一樣分爲共享式網絡和交換式網絡兩種。共享式網絡主要使用集線器鏈接，其網絡拓撲結構是基於總線，同一集線器上鍊接的全部主機在發送數據包時，都會發往每一臺主機，任一主機都能嗅探整個集線器上的所有網絡流量；而交互式網絡則主要使用交換機，因此數據幀都經過交換機轉發，交換機經過映射表與數據包的目標MAC地址進行轉發，能夠有效的避免網絡廣播風暴，減小網絡數據被嗅探的風險。

網絡嗅探的技術手段：

（1）MAC地址洪泛攻擊：向交換機發送大量含有虛構MAC地址和IP地址的數據包。導致交換機的「MAC地址-端口映射表」溢出沒法處理，使得交換機進入「打開失效」模式，此模式相似於集線器的工做方式

（2）MAC欺騙：假冒要監聽的主機網卡，攻擊者經過源MAC地址僞形成目標地址的源MAC地址，並將這樣的數據包經過交換機發送出去。使得交換機不斷地更新他的映射表，從而讓交換機相信攻擊者主機的MAC地址就是目標主機的MAC地址。

（3）ARP欺騙：利用IP地址與MAC地址之間進行轉換時的協議漏洞，達到MAC地址欺騙。（最經常使用的一種嗅探技術手段）

類unix平臺的網絡嗅探技術主要經過內核態的BPF和用戶態的libpcap抓包工具庫實現。其嗅探捕獲的數據包將保存在pcap記錄文件中。

windows平臺不提供標準的網絡嗅探和抓包接口，所以須要增長一個驅動程序或網絡組件來訪問內核網卡驅動中捕獲的數據包，經常使用於類UNIX平臺上的BPF兼容的NPF，和與libpcap兼容的標準抓包接口WinPcap（主要包含packet.dll和wpcap.dll兩個模塊）。

3.網絡嗅探器軟件

（1）類UNIX平臺網絡嗅探器軟件

a.libpcap抓包開發庫

b.tcpdump：最老、最通用，維護最好http://www.tcpdump.org/

c.wireshark:之前名叫ethereal。基於圖形界面的嗅探器軟件。http://www.wireshark.org/

（2）Windows平臺網絡嗅探器軟件

對應UNIX裏的BPF/libpcap/tcpdump

Windows裏有NPF/winpcap/windump，還有wireshark的Windows版本，還有商業的具備友好界面及很強統計分析能力的SniffPro軟件，還有Buttsniffer、NetMon、Network Associates Sniff等。

4.網絡嗅探的撿測與防範

檢測

• 同一主機上能夠經過檢查網卡是否運行到混雜模式下，來發現正在監聽的嗅探器
• 基於混雜模式下操做系統和協議棧的不一樣特性，來檢測處網絡中其餘主機上的嗅探器
• antisniff

防範

• 採用安全的網絡拓撲，儘可能採用交換式網絡系統
• 用靜態ARP或者MAC端口映射表代替動態機制：針對滲透嗅探
• 重視網絡數據傳輸的集中位置點的安全防範，如網關、路由器和交換機等。
• 避免使用明文傳輸口令或敏感信息的網絡協議，使用加密及安全加強的網絡協議進行替代

2、網絡協議分析

網絡嗅探截獲在經過封包過程組裝的二進制格式原始報文內容，爲了獲取其中包含的信息，須要根據TCP/IP協議站的協議規範，從新還原處數據包在各個協議層上的協議格式及其內容，以及在應用層傳輸的實際數據。

1.網絡協議分析技術

原理

對網絡傳輸的二進制格式數據包進行解析，以恢復出各層網絡協議信息（包括網絡層、傳輸層、鏈路層撒協議類型及全部包頭字段信息）以及傳輸的內容。

技術實踐

Snort 開源網絡入侵檢測系統，基於網絡嗅探開發庫libpcap,Snort有三種工做模式：嗅探器、數據包記錄器、網絡入侵檢測系統。嗅探器模式僅僅是從網絡上讀取數據包並做爲接二連三的流顯示在終端上。數據包記錄器模式把數據包記錄到硬盤上。網絡入侵檢測模式是最複雜的，並且是可配置的。咱們可讓snort分析網絡數據流以匹配用戶定義的一些規則，並根據檢測結果採起必定的動做。

snort工做過程

• 解析以太網數據幀http://blog.sina.com.cn/s/blog_65db99840100kpph.html
• 解析IP數據包
• 解析TCP數據包

2.網絡協議分析工具Wireshark

以前稱爲ethereal,開源的網絡協議分析工具，能夠用來解決網絡故障，進行系統管理和安全管理，學習網絡協議。a 可用於網絡嗅探方面，支持對多種類型網絡接口，包括以太網、802.11無線網絡，並支持從網絡中截獲數據包及從離線的記錄文件中讀取網絡數據包。b 在網絡協議分析方面，經過網絡協議解析框架支持開源社區提交網絡協議的解析插件。

Wireshark 是當今世界上被應用最普遍的網絡協議分析工具。用戶一般使用Wireshark來學習網絡協議，分析網絡問題，檢測攻擊和木馬等。

爲了安全考慮，wireshark只能查看封包，而不能修改封包的內容，或者發送封包。

wireshark能獲取HTTP，也能獲取HTTPS，可是不能解密HTTPS，因此wireshark看不懂HTTPS中的內容

處理HTTP,HTTPS用Fiddler，其餘協議好比TCP，UDP就用wireshark

視頻內容學習

漏洞評估系統openvas的安裝

OpenVAS是一款免費的開放式風險評估工具，能夠檢測遠程系統和應用程序中的安全問題。最初做爲Nessus一個子工具，被稱爲 GNessUs。其特色就是容許繼續免費開發。最先是由Portcullis Computer security公司的滲透測試人員發佈的，以後由Slashdot網站的Tim Brown發佈。

http://www.openvas.org/

包括一箇中央服務器和一個圖形化前端。用這個服務器運行不一樣的網絡漏洞測試（採用的是Nessus攻擊腳本語言）並且會常常性更新。

kali和BackTrack默認已經安裝好了OpenVAS，也可經過

$ sudo apt-get install openvas

進行安裝，kali沒有對openvas進行完整配置，因此爲了很好的運行openvas，必須手動配置。

openvas-manager：負責與客戶端Greebone程序通訊，完成掃描任務、檢測報告的提交等工做，默認端口爲9390  

openvas-scanner：實際執行掃描的主服務，默認端口爲9391  

gsad：負責提供Web訪問界面，默認監聽地址爲127.0.0.1，端口爲9392 

openvas-administrator   ：負責與openvas-manager、gsad通訊，完成用戶和配置管理等操做，默認監聽地址爲127.0.0.1，端口爲9393。

先進行一下檢查

我獲得的檢查結果我以爲非常樂觀，看到kali視頻十講的，從step1就出現了error，可是第一次進行openvas-check-step，只是在第七步出現了error，以下圖，除下圖以外，還有ERROR:openvas scanner is not running.以後我打開了openvas scanner,再進行openvas-check-step就獲得下圖.

下一步就是解決的問題

下面就是進行嘗試解決這個問題。

沒有效果

查閱資料，再嘗試

$ openvasmd --database=/usr/local/var/lib/openvas/mgr/tasks.db --slisten=192.168.129.1 --sport=9391 --listen=0.0.0.0 --port=9390

再嘗試。。爲OpenVAS manager建立一個客戶端證書

$ openvas-mkcert-client -n om -i

如今須要利用最新更新的NVTs從新建立一下數據庫，這一步要是不作以後頗有可能會出錯的。。

$ openvas-nvt-sync --wget

更新數據庫須要很長時間，晚上的網真是讓人捉急，等啊等，等等等等。。。。

下面兩幅圖是在沒網的狀況下更新數據庫的「傑做」，我真是對本身無語了，走過的錯誤的路也要記下來。。記下來。。

再一次openvas-check-step

openvas manager成功

再來解決以下問題

service greenbone-security-assistant start

再一次openvas-check-step

Greenbone Security Assistant配置成功

再來解決以下問題。

openvasad -start

啓動OpenVAS administrator：administraor配置是安裝過程當中的大工程。。要先建立一個管理員用戶，固然這個能夠在圖形界面配置，命令行配置方式以下：

openvasad –c wyq –n openvasadmin –r Admin

（-n 爲名字 -r爲角色）

再一次openvas-check-step

kali提示：It seems like your OpenVAS-6 installation is OK.

暫時看起來好像是弄好了。

** 啓動OpenVAS服務 **

一般狀況下，更新完插件後，OpenVAS服務對應的幾個程序都會啓動。因此，用戶在啓動服務以前，可使用netstat命令查看該服務是否已經啓動。默認，OpenVAS服務將會監聽9390、9391和9392三個端口。因此，用戶能夠執行以下命令：

root@localhost:~# netstat -antp | grep 939*

能夠看到939開頭的三個端口都已經被監聽，並且監聽的主機地址爲127.0.0.1。這說明OpenVAS服務已啓動，而且僅容許本地迴環地址127.0.0.1訪問。若是沒有看到以上信息輸出，則表示該服務沒啓動。此時，用戶可使用openvas-start命令啓動該服務，以下所示：

root@localhost:~# openvas-start

看到以上信息，則表示OpenVAS服務成功啓動。若是OpenVAS服務已經啓動的話，執行以上命令時將會出現錯誤。以下所示

但是我本身運行這個的時候出現的是如下

** 中止OpenVAS服務 **

當用戶修改一些配置時，每每須要從新啓動服務，使配置生效。因此，在從新啓動服務以前，首先要中止該服務，才能夠從新啓動。中止OpenVAS服務，執行命令以下所示：

root@localhost:~# openvas-stop

從輸出信息中，能夠看到OpenVAS相關服務都已中止。而後執行openvas-start命令，從新啓動OpenVAS服務。

使用openvas-stop或openvas-start命令，將同時中止或啓動OpenVAS服務中的三個程序，即Greenbone Security Assistant、OpenVAS Scanner和OpenVAS Manager。若是            用戶想要啓動或中止單個服務時，可使用service命令實現。語法格式以下所示：

service [服務名] start|stop

以上三個程序分別對應的服務名是greenbone-security-assistant、openvas-scanner和openvas-manager。

kali漏洞分析工具

1.Golismero 新興開源web掃描器

掃描結果過於雜亂，掃描界面不夠友好,報告生成不夠規範

2.Nikto.pl 開源網頁服務器掃描器

root@localhost:~# nikto -h <目標ip>

3.Lynis 系統信息收集工具

對Linux操做系統詳細配置等信息進行枚舉，生成易懂的報告文件

root@localhost:~#  lynix --check-all -Q

即開始自動枚舉一些信息

4.unix-privesc-check 信息收集工具

root@localhost:~# unix-privesc-check standard

漏洞分析之web爬行

對網站的路徑、頁面、帳戶等進行枚舉，須要「字典」的幫助。kali內置字典存放在、文件系統/主文件夾/usr/share/wordlists裏，以後的操做若是用到字典，根據這個路徑進行調用，，即用到了爬行

1.Apache-users 用戶枚舉腳本

root@localhost:~# apache-users -h <ip地址> -l <字典路徑>

root@localhost:~# apache-users -h 192.168.129.150 -l /usr/share/wordlists/dirbuster/

2.CutyCapt 網站截圖工具

kali中打開

root@localhost:~# cutcapt --url=http://www.baidu.com/ --out=baidu.png

3.DIRB 強大的目錄掃描工具（1）

root@localhost:~# dirb http://192.168.129.150（目標網站地址）

4.Dirbuster 圖形化目錄掃描工具（2），擁有直觀地掃描效果

界面簡單，輸入目標網站地址，選定字典，配置參數，操做簡單

5.vega kali下的WVS，開源漏洞掃描工具

建立一個掃描地址，歸類整理危險檔信息

6.WebSlayer

主要用於爆破攻擊

漏洞分析之web漏洞掃描

與爬行密切相關，對url進行測試

1.cadaver 相似shell的一個界面,須要主機名和路徑，用來瀏覽和修改Unix命令行程序。

root@localhost:~# cadaver --help

ssh遠程鏈接管理

2.DAVTest 測試對支持WebDAV的服務器上自動上傳應用、隨機目錄文件等

root@localhost:~# davtest --url <掃描地址>

3.Deblaze 針對FLASH遠程調用等的枚舉

4.Fimap 遠程和本地文件包含工具和漏洞利用工具

5.Grabber是一個WEB應用漏洞掃描器，能夠制定掃描漏洞類型結合爬蟲對網站進行安全掃描，可針對性進行測試。

6.joomscan，針對一個CMS進行掃描，-u 《ip地址》

7.skipfish ——google的一款自動化的網絡安全掃描工具，經過http協議處理，佔有較少CPU資源，運行速度很快

root@localhost:~# skipfish -o <目標存放地址> <掃描網站>（-o爲output）

ctrl+c結束會自動生成一個報告。

8.Uniscan -gui 有圖形界面，輸入URL，勾選圖形工具

9.W3AF web應用程序工具和檢查框架，創建一個框架，以尋求安全漏洞。

root@localhost:~# w3af_gui  （打開）

10.Wapiti 和nikto相似，用黑客方式主動對被測WEB進行掃描，尋找其中的漏洞，也能夠導出一些html報告。

root@localhost:~# wapiti <掃描地址>

11.webshag ：集成調用框架，調用Nmap、UScan、信息收集、爬蟲等功能，使掃描過程更容易。

輸入ip地址，開始爬蟲

12.websploit 主要用於遠程掃描和分析系統漏洞。

本週學習內容如上，openvas非常讓人焦灼，原本裝好了，可是出了一些問題，打不開，放置了兩天以後，OPENVAS manner is not running。。

調了好久沒有成果。以後有時間會繼續試着調一下。