《网络攻击与防范》第四周学习总结

20169308 2016-2017-2 《网络攻击与防范》第4周学习总结

教材学习内容总结

本周主要学习第4章网络嗅探与协议分析。对攻击者来讲，网络嗅探和协议分析为攻击者进行网络协议攻击、口令破解与系统入侵提供了重要的信息来源途径，做为被动攻击技术，很难被察觉，对局域网安全构成了持久的安全威胁。而对防护者而言，网络嗅探与协议分析技术能够帮助网络管理员对网络的运行状态、传输信息进行实时监控，也是网络入侵检测系统、网络流监控与管理系统等安全管理设备的技术基石。

网络嗅探

• 网络嗅探是一种黑客经常使用的窃听技术，是利用计算机的网络接口截获其余计算机的数据报文，以监听数据流中所包含的用户帐户密码或私密信息等。实现网络嗅探技术的工具是网络嗅探器，嗅探器捕获的数据报文是通过封包处理以后的二进制数据。
• 网络嗅探技术按照所监听的链路层网络进行分类，能够分为无线嗅探器和“有线”嗅探器。它们在对数据包实际进行破解和分析的时候彻底没有区别。
• 网络嗅探器按实现形式能够分为软件嗅探器和硬件嗅探器。
  • 硬件嗅探器
    硬件嗅探器是经过专用硬件对网络数据进行捕获和分析，也称为协议分析仪。优势是速度快，每每被放置在网络中的关键位置，捕获网络数据比较全面，一些各族入侵检测系统、防火墙设备经常基于硬件嗅探器运行。缺点是成本较高，价格昂贵。
  • 软件嗅探器
    软件嗅探器通常实现为不一样类型操做系统上的应用软件，经过对网卡编程实现，价格便宜或免费，易于使用，可是速度慢，没法抓取网络上全部传输数据（好比碎片包），没法全面了解网络的故障和运行状况。
• 网络嗅探器软件
  • 类UNIX平台网络嗅探器软件
    该平台上的网络嗅探器软件通常都是基于标准接口BPF与libpcap，最经常使用的包括libpcap抓包开发库、tcpdump以及wireshark嗅探器软件。其余著名的还有dsniff、sniffit、linux_sniffer，开源网络入侵检测系统Snort也能够在网络嗅探软件模式运行。
  • Windows平台网络嗅探器软件
    类UNIX平台上的BPF/libpcap/tcpdump标准嗅探接口与程序在Windows平台上有对应移植版本，即NPF/winpcap/windump，著名开源网络嗅探软件wireshark也有Windows版本。商业网络嗅探软件SnifferPro，界面友好，统计分析功能强大，有强大的过滤器功能，其余的还有Buttsniffer、NetMon、Network Associates Sniffer等。

网络协议分析

• 网络协议分析是网络嗅探器进一步解析与理解捕获数据包必需的技术手段。网络嗅探器得到二进制格式的原始报文后，要利用网络协议分析对其进行解析，以恢复出各层网络协议信息以及传输内容。
• 网络协议分析与主机解包过程原理相似，从底向上逐层地解析网络协议，进行IP分片包以及TCP会话的重组，解析与保存各个网络层次上的全部包头字段信息和最高层的应用层数据内容，并提供给用户用以了解网络数据包的全方位信息。

• 数据包解包过程 以下图所示
  

• 网络协议分析工具Wireshark
  • Wieshark是一款开源的网络数据包分析工具，主要做用是捕获网络数据包，对数据包进行协议分析以尽量显示详细的状况。
  • Wireshark支持类UNIX及Windows平台，对Mac OS也有第三方的支持包，它在网络嗅探功能方面支持对多种类型网络接口，并支持从网络中截获数据包和从离线的记录文件中读取网络数据包。在网络协议分析方面 支持超过750种协议类型，支持超过25种不一样软件的捕获文件，功能更为强大。

实践练习

• tcpdump的使用
  1 截获主机hostname发送的全部数据
  tcpdump -i eth0 src host hostname
  2 监视全部送到主机hostname的数据包
  tcpdump -i eth0 dst host hostname

• Wireshark的使用
  在使用Wireshark进行嗅探时，Wireshark出现了闪退的状况，查询发现多是由于Wireshark跟系统版本不兼容，下载了其余版本安装，结果也不理想，因此没有进行这一实践，会利用下一周的时间继续跟进。

视频学习内容总结

本周主要学习KaliSecurity-漏洞分析的前五个视频。

扫描工具

• Golismero WEB扫描工具
  Golismero是一种开源Web扫描器，无系统依赖性，可运行在多种操做系统上，由python编写。可自定义插件，按功能可分为四类：a、ImportPlugin（导入插件）b、TestingPlugin（测试插件）c、ReportPlugin（报表插件）d、UIPlugin（界面插件）。缺点是扫描过于杂乱，对于扫描报告的生成不够友好与规范。
  
  

• Nikto 网页服务扫描器
  Nikto能够对网页服务器进行全面的多种扫描，简单扫描、目标基本WEB配置信息、服务器、PHP解析器等版本信息。它的生成报告相对规范，也更为明了。
  

• Lynis 系统信息收集整理工具
  对Linux操做系统详细配置等信息进行枚举收集，生成易懂的测试报告。
  
  -Q 避免交互

• unix-privesc-check 信息收集工具
  利用脚本编写，方便运行。
  
  

WEB爬行

• Web爬行工具目录
  

• Kali内置字典存放目录
  利用字典的帮助对网站路径和页面进行枚举扫描。
  

• Apache-users 用户枚举脚本
  apach -users -h 主机地址 -l 字典地址 指定txt文件 -p 端口名 -s ssl支持

• CutyCapt 网站截图工具
  
  

• DIRB 强大的目录扫描工具
  

• Dirbuster kali下图形化目录扫描器，直观的扫描结果
  
  

• VEGA kali下的WVS
  

• WebSlayer 由WFuzz发展出来的WEB爆破工具
  

WEB漏洞扫描

• Cadaver 用来浏览和修改WEBDAV共享的unix命令行程序，客户端命令行的格式，适合基本的webDAV调试。能够以压缩方式上传和下载文件，也会检验属性、拷贝、移动、锁定和解锁文件。
  cadaver http：//hostname /path/

• DavTest 测试对支持webDAV服务器上传文件
  davtest -url http：//hostname /path/

• Dablaze 针对FLASH远程调用等枚举

• Fimap 文件包含漏洞利用工具

• Grabber WEB漏洞应用扫描器，可指定扫描漏洞类型结合爬虫对网站进行安全扫描

• Joomla scanner 相似wpscan扫描器，针对特定CMS(Joomla)

• SkipFish 自动化网络安全扫描工具
  经过http协议处理，占用较低cpu资源，运行速度快。
  skipfish -o/tmp/1.report http://url/

• Uniscan WVS 简单易用的web漏洞扫描器

• W3AF web应用程序攻击和检查框架
  有超过130个插件，包括检查网站爬虫、SQL注入，跨站（XSS）、本地文件包含、远程文件包含，目标是创建一个框架以寻找漏洞。

• Wapiti
  工做方式与nikto相似，实现内置匹配算法，python 语言开发，支持平台普遍。

• webshag 集成调用框架
  调用nmap、uscan，信息收集、爬虫等功能，使扫描过程更易。

• WebSploit
  开源，主要用于远程扫描和分析系统漏洞，能够容易而快速地发现系统问题并深刻分析。

学习进度条

• 学习教材第4章
• 学习视频11-15

参考资料

Linux tcpdump命令详解 - ggjucheng - 博客园 http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html
Tcpdump的详细用法 - chao_yu - 博客园 http://www.cnblogs.com/yc_sunniwell/archive/2010/07/05/1771563.html