一、教材第四章学习总结

4.1网络嗅探

网络嗅探技术概述

定义：
网络嗅探（Sniff)是一种黑客常用的窃听技术,以传统的电话窃听在电话线路上对特别号码的通话内容进行监听类似，网络嗅探利用计算机的网络接口截获目的地为其他计算机的数据报文，以监听数据流中所包含的用户账户密码或私密信息等。实现网络嗅探技术的工具成为嗅探器Sniffer。
网络嗅探的危害与作用：
网络嗅探是一把双刃剑。其嗅探的被动性与非干扰性，使其具有很强的隐蔽性，让网络信息泄漏者难以察觉。网络管理员可以利用它来查看网络故障。
网络嗅探技术与工具分类：
网络嗅探技术可以按照所监听的链路层网络进行分类。以太网（Ethernet）与Wi-Fi是目前有线局域网与无线局域网最流行的链路层协议，也是目前的网络嗅探器主要监听对象。网络嗅探器可以按照实现形式分为软件嗅探器和硬件嗅探器。

网络嗅探器的原理与实现：

以太网工作原理：
在以太网的共享通信媒介中，网络上的站点使用在信道上的广播机制来发送自己的数据，这就意味着计算机能够接收到在共享媒介上发送给其他计算机的信息。为了嗅探以太网上的流量，就需要将网卡设置为混杂模式。
共享式网络与交换式网络中的嗅探：
在交换机与集线器混合连接的网络中，网络嗅探仍能够捕获交换机同一端口上链接的主机通信。即使在纯交换的网络中，使本应达不到的数据包到达本地而实现嗅探的技术手段有：1 MAC地址洪泛攻击 2 MAC欺骗 3 ARP欺骗
类UNIX平台的网络嗅探技术实现：
类UNIX平台的网络嗅探技术主要通过内核态的BPF和用户态的lipcap抓包工具实现。
Windows平台的网络嗅探实现技术
Windows操作系统内核并不提供标准的网络嗅探与抓包接口，因此需要增加一个驱动程序或网络组件来访问内核网卡驱动中捕获的数据包。而目前最常用的是与类UNIX平台上的BPF模块兼容的NPF。NPF是一个内核态虚拟设备驱动程序，他的功能是过滤数据包，并将这些数据包原封不动的传给用户态模块。

网络嗅探器的软件

类UNIX平台上的网络嗅探其软件：
一般是基于接口标准BPF与lipcap最常用的包括：lipcap抓包开发库、tcpdump以及wireshark嗅探器软件。还有一些其他的嗅探器软件：如dsniff、sniffit、和linux_sniffer.
windows平台的网络嗅探器软件：
类unix平台上的BPF/libpcap/tcpdump标准嗅探接口与程序在WINDOWS平台上也有相应的移植版本，即NPF/wincap/windump。著名的开源网络嗅探软件wireshark也有window版本。还有SnifferPro、Buttsniffer、NetMon、NetworkAssociates Sniffer.
tcpdump 嗅探软件：
tcpdump是通用的命令行网络嗅探与数据包分析程序，允许用户能够从主机所在网络上截取和显示特定的TCP/IP数据包。tcpdump软件在大多数类UNIX平台如Linux、Solaris、BSD、Mac OS和AIX等操作系统上都可以运行，利用libpcap库捕获数据。

网络嗅探的检测与防范

网络嗅探的检测：
在同一主机上可以通过检查网卡是否是否运行在混杂模式下，来发现正在监听的嗅探器。在网络中进行探测与识别嗅探器的工具软件:AntiSniff.其扫描策略包括:DNS测试、ARP测试、以及以太网Ping测试、ICMP时间延时测试、ping丢包率测试。
网络嗅探的防范措施：
1 采用安全的网络拓扑，尽量将共享式升级为交换式网络，并通过在交换机上设置VLAN等技术手段，对网络进行合理的分段，从而是网络包只转发到目的主机上。
2 用静态ARP或者MAC-端口映射表代替动态机制。
3 重视网络数据传输的集中位置点的安全防范。
4 避免使用明文传输口令或敏感信息的网络协议，而是使用加密及安全增强的网络协议进行替代。

4.2 网络协议分析

网络协议分析技术

网络协议分析技术的原理
网络协议分析原则与主机的解包过程类似，需要从底向上逐层解析网络协议。网络协议的典型过程包括一下5步。参考教材《网络攻击技术与实现》P128.
网络协议分析技术与实现
Snort是1998年用C语言开发的开源网络入侵检测系统，基于网络嗅探开发库lipcap,发展至今，已经成为一个多平台的网络入侵检测/防御系统。也支持基本的网络数据嗅探与协议分析特性。过程如下:(1)解析以太网数据帧（2）解析IP数据包（3）解析TCP数据包。详细参考教材P132。

网络协议分析工具：Wireshark

Wireshark简介：
Wireshark是一款开源的网络数据包分析工具，其主要作用是捕获数据包，对数据包进行协议分析以尽可能的显示详细的信息，并以更容易的理解的格式呈现给用户。它被用于解决网络故障，进行系统管理与安全管理，学习网络协议等多个方面。
Wireshark功能介绍：
Wireshark在网络嗅探功能方面支持对多种类型的网络接口，包括以太网、802.11无线网等，并支持从网络中截获数据包及从离线的记录文件中读取网络数据包；在网络协议分析方面，Wireshark通过网络协议解析框架支持开源社区提交网络协议的解析插件；对于输入的文件数据，支持超过25种不同软件的捕获文件，同样具有多种不同格式的输出文件类型。

总结：网络嗅探与协议分析是攻击者实施网络协议攻击的一件利器，也是进行口令破解等其他主动性攻击所依赖的基础技术。同时，对于防御者来讲，网络嗅探与协议分析也是他们能够成功发现网络攻击行为并进行深入分析所必须掌握的基本技能。

二、课本实践作业

1）攻击方用nmap扫描（给出特定目的的扫描命令）
2）防守方用tcpdump嗅探，用Wireshark分析（保留Wireshark的抓包数据），分析出攻击方的扫描目的和nmap命令
3) 提交抓包数据和截图
攻击机ip: 192.168.33.133 ；靶机 ip：192.168.33.130
进行ping通；
使用tcpdump嗅探；
攻击机使用nmap扫描；
靶机使用wireshark分析。

三、kali视频学习

漏洞分析之OpenVAS使用

OpenVAS是一款免费的开放式风险评估工具，可以检测远程系统和应用程序中的安全问题。最初作为Nessus一个子工具，被称为 GNessUs。其特点就是允许继续免费开发。最早是由Portcullis Computer security公司的渗透测试人员发布的，之后由Slashdot网站的Tim Brown发布。
新建target:
1.点击Configuration 然后点击Targets，或者点击左上角的五角星新建target。
2.输入目标名称，扫描目标的ip地址。
3.选择扫描的端口范围和扫描类型（通常选择ALL TCP and Nmap 5.51 top 100 UDP）
4.其他选项默认就可，然后点击create就可。
新建Tsak:
1.选择sacns然后点击Tasks，或者点击左上方的五角星新建Task。
2.输入名称，选择扫描目标，使用刚刚新建的Target。
3.选择扫描配置，一般默认就可。然后点击创建即可。
4.在下面新生成的Task中点击绿色的启动扫描即可。
5.等待一段时间即可扫描结束查看结果。
注意：如果长时间扫描不出，比如长至五六个小时那就是配置出错了，具体检查配置然后DEBUG。一般的扫描时间都在一个小时之内（以分配2g的虚拟机为例）。

漏洞分析之扫描工具

1.Golismero 新兴开源web扫描器
2.Nikto.pl 开源网页服务器扫描器
3.Lynis 系统信息收集工具：对Linux操作系统详细配置等信息进行枚举，生成易懂的报告文件。即开始自动枚举一些信息
4.unix-privesc-check 信息收集工具

漏洞分析之WEB爬行

1.Apache-users 用户枚举脚本
2.CutyCapt 网站截图工具
3.DIRB 强大的目录扫描工具（1）
4.Dirbuster 图形化目录扫描工具（2），拥有直观地扫描效果，
界面简单，输入目标网站地址，选定字典，配置参数，操作简单
5.vega kali下的WVS，开源漏洞扫描工具：创建一个扫描地址，归类整理危险档信息
6.WebSlayer：主要用于爆破攻击

漏洞分析之WEB漏洞扫描

与爬行密切相关，对url进行测试

1.cadaver 类似shell的一个界面,需要主机名和路径，用来浏览和修改Unix命令行程序。
2.DAVTest 测试对支持WebDAV的服务器上自动上传应用、随机目录文件等
3.Deblaze 针对FLASH远程调用等的枚举
4.Fimap 远程和本地文件包含工具和漏洞利用工具
5.Grabber是一个WEB应用漏洞扫描器，可以制定扫描漏洞类型结合爬虫对网站进行安全扫描，可针对性进行测试。
6.joomscan，针对一个CMS进行扫描，-u 《ip地址》
7.skipfish ——google的一款自动化的网络安全扫描工具，通过http协议处理，占有较少CPU资源，运行速度很快
8.Uniscan -gui 有图形界面，输入URL，勾选图形工具
9.W3AF web应用程序工具和检查框架，建立一个框架，以寻求安全漏洞。
10.Wapiti 和nikto类似，用黑客方式主动对被测WEB进行扫描，寻找其中的漏洞，也可以导出一些html报告。
11.webshag ：集成调用框架，调用Nmap、UScan、信息收集、爬虫等功能，使扫描过程更容易。
12.websploit 主要用于远程扫描和分析系统漏洞。

20189310《网络攻防》第四周作业