《網絡攻擊與防範》第四周學習總結

20169308 2016-2017-2 《網絡攻擊與防範》第4周學習總結

教材學習內容總結

本週主要學習第4章網絡嗅探與協議分析。對攻擊者來講，網絡嗅探和協議分析爲攻擊者進行網絡協議攻擊、口令破解與系統入侵提供了重要的信息來源途徑，做爲被動攻擊技術，很難被察覺，對局域網安全構成了持久的安全威脅。而對防護者而言，網絡嗅探與協議分析技術能夠幫助網絡管理員對網絡的運行狀態、傳輸信息進行實時監控，也是網絡入侵檢測系統、網絡流監控與管理系統等安全管理設備的技術基石。

網絡嗅探

• 網絡嗅探是一種黑客經常使用的竊聽技術，是利用計算機的網絡接口截獲其餘計算機的數據報文，以監聽數據流中所包含的用戶帳戶密碼或私密信息等。實現網絡嗅探技術的工具是網絡嗅探器，嗅探器捕獲的數據報文是通過封包處理以後的二進制數據。
• 網絡嗅探技術按照所監聽的鏈路層網絡進行分類，能夠分爲無線嗅探器和「有線」嗅探器。它們在對數據包實際進行破解和分析的時候徹底沒有區別。
• 網絡嗅探器按實現形式能夠分爲軟件嗅探器和硬件嗅探器。
  • 硬件嗅探器
    硬件嗅探器是經過專用硬件對網絡數據進行捕獲和分析，也稱爲協議分析儀。優勢是速度快，每每被放置在網絡中的關鍵位置，捕獲網絡數據比較全面，一些各族入侵檢測系統、防火牆設備經常基於硬件嗅探器運行。缺點是成本較高，價格昂貴。
  • 軟件嗅探器
    軟件嗅探器通常實現爲不一樣類型操做系統上的應用軟件，經過對網卡編程實現，價格便宜或免費，易於使用，可是速度慢，沒法抓取網絡上全部傳輸數據（好比碎片包），沒法全面瞭解網絡的故障和運行狀況。
• 網絡嗅探器軟件
  • 類UNIX平臺網絡嗅探器軟件
    該平臺上的網絡嗅探器軟件通常都是基於標準接口BPF與libpcap，最經常使用的包括libpcap抓包開發庫、tcpdump以及wireshark嗅探器軟件。其餘著名的還有dsniff、sniffit、linux_sniffer，開源網絡入侵檢測系統Snort也能夠在網絡嗅探軟件模式運行。
  • Windows平臺網絡嗅探器軟件
    類UNIX平臺上的BPF/libpcap/tcpdump標準嗅探接口與程序在Windows平臺上有對應移植版本，即NPF/winpcap/windump，著名開源網絡嗅探軟件wireshark也有Windows版本。商業網絡嗅探軟件SnifferPro，界面友好，統計分析功能強大，有強大的過濾器功能，其餘的還有Buttsniffer、NetMon、Network Associates Sniffer等。

網絡協議分析

• 網絡協議分析是網絡嗅探器進一步解析與理解捕獲數據包必需的技術手段。網絡嗅探器得到二進制格式的原始報文後，要利用網絡協議分析對其進行解析，以恢復出各層網絡協議信息以及傳輸內容。
• 網絡協議分析與主機解包過程原理相似，從底向上逐層地解析網絡協議，進行IP分片包以及TCP會話的重組，解析與保存各個網絡層次上的全部包頭字段信息和最高層的應用層數據內容，並提供給用戶用以瞭解網絡數據包的全方位信息。

• 數據包解包過程 以下圖所示
  

• 網絡協議分析工具Wireshark
  • Wieshark是一款開源的網絡數據包分析工具，主要做用是捕獲網絡數據包，對數據包進行協議分析以儘量顯示詳細的狀況。
  • Wireshark支持類UNIX及Windows平臺，對Mac OS也有第三方的支持包，它在網絡嗅探功能方面支持對多種類型網絡接口，並支持從網絡中截獲數據包和從離線的記錄文件中讀取網絡數據包。在網絡協議分析方面 支持超過750種協議類型，支持超過25種不一樣軟件的捕獲文件，功能更爲強大。

實踐練習

• tcpdump的使用
  1 截獲主機hostname發送的全部數據
  tcpdump -i eth0 src host hostname
  2 監視全部送到主機hostname的數據包
  tcpdump -i eth0 dst host hostname

• Wireshark的使用
  在使用Wireshark進行嗅探時，Wireshark出現了閃退的狀況，查詢發現多是由於Wireshark跟系統版本不兼容，下載了其餘版本安裝，結果也不理想，因此沒有進行這一實踐，會利用下一週的時間繼續跟進。

視頻學習內容總結

本週主要學習KaliSecurity-漏洞分析的前五個視頻。

掃描工具

• Golismero WEB掃描工具
  Golismero是一種開源Web掃描器，無系統依賴性，可運行在多種操做系統上，由python編寫。可自定義插件，按功能可分爲四類：a、ImportPlugin（導入插件）b、TestingPlugin（測試插件）c、ReportPlugin（報表插件）d、UIPlugin（界面插件）。缺點是掃描過於雜亂，對於掃描報告的生成不夠友好與規範。
  
  

• Nikto 網頁服務掃描器
  Nikto能夠對網頁服務器進行全面的多種掃描，簡單掃描、目標基本WEB配置信息、服務器、PHP解析器等版本信息。它的生成報告相對規範，也更爲明瞭。
  

• Lynis 系統信息收集整理工具
  對Linux操做系統詳細配置等信息進行枚舉收集，生成易懂的測試報告。
  
  -Q 避免交互

• unix-privesc-check 信息收集工具
  利用腳本編寫，方便運行。
  
  

WEB爬行

• Web爬行工具目錄
  

• Kali內置字典存放目錄
  利用字典的幫助對網站路徑和頁面進行枚舉掃描。
  

• Apache-users 用戶枚舉腳本
  apach -users -h 主機地址 -l 字典地址 指定txt文件 -p 端口名 -s ssl支持

• CutyCapt 網站截圖工具
  
  

• DIRB 強大的目錄掃描工具
  

• Dirbuster kali下圖形化目錄掃描器，直觀的掃描結果
  
  

• VEGA kali下的WVS
  

• WebSlayer 由WFuzz發展出來的WEB爆破工具
  

WEB漏洞掃描

• Cadaver 用來瀏覽和修改WEBDAV共享的unix命令行程序，客戶端命令行的格式，適合基本的webDAV調試。能夠以壓縮方式上傳和下載文件，也會檢驗屬性、拷貝、移動、鎖定和解鎖文件。
  cadaver http：//hostname /path/

• DavTest 測試對支持webDAV服務器上傳文件
  davtest -url http：//hostname /path/

• Dablaze 針對FLASH遠程調用等枚舉

• Fimap 文件包含漏洞利用工具

• Grabber WEB漏洞應用掃描器，可指定掃描漏洞類型結合爬蟲對網站進行安全掃描

• Joomla scanner 相似wpscan掃描器，針對特定CMS(Joomla)

• SkipFish 自動化網絡安全掃描工具
  經過http協議處理，佔用較低cpu資源，運行速度快。
  skipfish -o/tmp/1.report http://url/

• Uniscan WVS 簡單易用的web漏洞掃描器

• W3AF web應用程序攻擊和檢查框架
  有超過130個插件，包括檢查網站爬蟲、SQL注入，跨站（XSS）、本地文件包含、遠程文件包含，目標是創建一個框架以尋找漏洞。

• Wapiti
  工做方式與nikto相似，實現內置匹配算法，python 語言開發，支持平臺普遍。

• webshag 集成調用框架
  調用nmap、uscan，信息收集、爬蟲等功能，使掃描過程更易。

• WebSploit
  開源，主要用於遠程掃描和分析系統漏洞，能夠容易而快速地發現系統問題並深刻分析。

學習進度條

• 學習教材第4章
• 學習視頻11-15

參考資料

Linux tcpdump命令詳解 - ggjucheng - 博客園 http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html
Tcpdump的詳細用法 - chao_yu - 博客園 http://www.cnblogs.com/yc_sunniwell/archive/2010/07/05/1771563.html