一、使用TcpDump分析网络数据
1、启动TcpDump工具
使用命令tcpdump
Ctrl+C即可停止
2、捕获网络中的数据,但不存储数据
使用命令:tcpdump -v -i eth0
监听网卡eth0, -v表示以verbose mode显示,-i指定
捕获网络中的数据,存储数据到一个文件中
使用命令:tcpdump -v -i eth0 -w cap-20230702.pcap
-w后面为文件名,里面保存的是捕获的数据
Ctrl+C即可停止
二、使用Wireshark进行网络分析
1、启动wireshark工具的方法
(1)命令提示行:
使用命令:wireshark
(2)菜单栏启动
2、Wireshark工具的环境配置
(1)主机上有多块网卡,可以指定一块网卡,屏蔽其他网卡的进出流量:打开菜单Capture(捕获) / Options(选项),在“Capture Interfaes”窗口中选择需要的网卡
(2)工作面板从上到下分三部分
这三个面板相互关联,在数据包列表面板中选中一个数据包之后,在数据包详细信息面板处就可以查看这个数据包的详细信息,在数据包原始信息面板处则可以查看这个数据包的原始信息。
3、Wireshark的显示过滤器使用
案例1:只显示icmp协议的数据包
先ping百度产生数据包用于测试
输入icmp进行过滤
案例2:只显示arp协议的数据包
案例3:只显示所有源地址IP为192.168.158.129(win7)的数据包
输入ip.src192.168.158.129
使用运算符来过滤
案例4:只显示所有源端口不为80的数据包
输入tcp.srcport!=80
这里用了!=这个运算符过滤端口不是80的数据包
三、使用arpspoof进行网络欺骗
1、安装arpsoof
输入命令apt install dsniff
(可能出现问题:未安装binutils的话会显示未满足依赖关系,则需要先安装binutils)
2、arpspoof使用格式:
3、伪装网关截获所有数据
(1)实现涉及主机
攻击者IP:192.168.158.130(kali机)
被欺骗的主机IP:192.168.158.129(win7靶机)
默认网关:192.168.158.2
(2)使用arpspoof完成一次网络欺骗
使用命令:arpspoof -i eth0 -t 192.168.158.129 192.168.158.2
(3)验证:在被欺骗的主机上查看arp表,攻击者和网关的mac地址相同
(4)在攻击者主机上开启转发功能,将截获的数据包再转发出去,不影响被欺骗主机上网
四、使用Ettercap进行网络嗅探
实验涉及主机:
攻击者IP:192.168.158.130
被欺骗主机IP:192.168.158.129
默认网关:192.168.158.2
启动图形化Ettercap工具的方法
(1)菜单栏启动
(2)命令行启动
输入命令ettercap -G
2、Ettercap工具的环境配置
本地有线网卡:eth0
无线网卡:vlan0
3、查看网络中可以欺骗的主机
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-h8PjIJEn-1688278394330)(https://img-log.csdnimg.cn/bfca1ed71798478381a783846ab226c8.png#pic_center)]
4、在“Hosts list”中选择目标主机
选择IP:192.168.158.1主机(网关)作为目标1(单击Add to Target 1按钮)
选择IP:192.168.158.129主机(被欺骗主机)作为目标2(单击Add to Target 2 按钮)
5、查看设置好的目标
6、对目标进行ARP欺骗
7、启动攻击
8、查看目标上的所有连接
实验到此结束!
总结
- 无论什么样的漏洞渗透模块,在网络中都是以数据包的形式传输的,因此如果我们能够对网络中的数据包进行分析。就可以掌握渗透的原理。另外很多网络攻击的方法也都是发送精心构造的数据包来完成的。如常见的arp欺骗。利用这种欺骗方式黑客可以截获受害计算机与外部通信的全部数据。如受害者登录使用的用户名与密码发送的邮件等。
- 本次实验介绍了如何在网络中进行嗅探和欺骗,这是一种比较有效的攻击方式。几乎所有的网络安全机制都是针对外部的。而其少会防御来自内部的攻击。因此在网络内部进行嗅探和欺骗的成功率极高。
- 很多经典渗透案例提到了这种攻击方式。如国内知名的一家it企业的安全主管就曾经提到过。他在进入企业后做的第一件事情就是利用网络监听截获了部门领导的电子邮箱密码。另外随着现在硬件的发展,也出现了有人使用装载了树莓派的无人机进入受保护的区域。然后连接到无线网络进行网络监听的事件。