20199101 2019-2020-2 "práctica ataque a la red y la defensa", la cuarta semana de trabajo

Others 2020-03-22 20:14:01 views: null

sniffer de red y analizador de protocolos

1. El contenido de Práctica

contenido Capítulo IV se divide en dos partes, a saber, un analizador de red y el analizador de protocolo de red. Específicamente dividido en la siguiente revisión secciones. Ambos análisis utiliza generalmente en conjunción con los datos interceptados.

  • Sniffing: introducción básica a sniffer de red
  • sniffer de red: Principios e Implementación (Ethernet)
  • Sniffers de red: software de Sniffer
  • tecnología de análisis de protocolo de red

Sniffing: introducción básica a sniffer de red

Usando una interfaz de red de ordenadores de la red sniffer dirección de destino del paquete de datos interceptado se otros ordenadores para supervisar la información privada contenida en el flujo de datos. Herramientas para la red de tecnología de la inhalación llamados sniffer de red . Interceptó un paquete de datos binarios pase, por lo general técnicas analíticas a datos de la red a resolver sniff en conjunción con protocolos de red. Network Sniffer es utilizado a menudo por los atacantes dentro de la tecnología de penetración de la red , por lo general después de obtener el acceso a la red interna implementado en una gran cantidad de los atacantes. Puede silenciar, pasivos datos oler transmiten por la red. Por lo tanto, para la detección y prevención de espionaje en red es bastante difícil. Aquí están algunos métodos básicos de prevención de detección.

  • La detección de un succionador de la red : inspeccionar si la tarjeta se ejecuta en modo promiscuo. Puede ser diferente para el modo promiscuo sabor juzgado por el sistema operativo y la pila de protocolo.
  • Sniffer precauciones : utilizando topología de red segura (red conmutada), en lugar de la dinámica estática ARP, para evitar transmitir el texto en claro, atención a la protección de los nodos en la red (routers, interruptores, etc.).

LAN Ethernet y LAN inalámbrica Wi-Fi y por cable es los protocolos de capa de enlace de la mayoría de los populares, el espionaje en red es el principal objetivo del oyente.

  • Soporte para Ethernet sniffer tcpdump
  • kismet apoya monitor de red WiFi
  • Dos o más diferentes de paquetes LAN sniffer cuando grieta y análisis ninguna diferencia real. La única diferencia es que el sniffer inalámbrico puede leer y analizar los paquetes conformes a un protocolo de transmisión inalámbrica.

rastreadores de red se pueden dividir de acuerdo con la forma de realización de software y hardware de sniffer sniffer:

  • sniffer captura de hardware y análisis de datos de la red a través de una red privada, también conocido como analizadores de protocolo.
  • software sniffer para lograr el software de aplicación general sobre los diferentes bits de tipo de sistemas operativos, que se logra mediante la programación de la tarjeta.

sniffer de red: Principios e Implementación (Ethernet)

En esta sección se trabaja desde la red Ethernet para olfatear compartida y red de conmutación, y finalmente introduce la realización de la red sniffing la tecnología de plataformas Unix y plataformas de Windows.

  • Funciona Ethernet : Ethernet es compartido de datos de canal de comunicación en un marco en unidades de transmisión, transmitir la trama Ethernet comprende una dirección y la dirección MAC de destino MAC de la fuente . Cuando el sitio necesita enviar datos, el paquete de pila de protocolo TCP / IP, la capa de enlace de datos "de montaje" para la cabecera y el extremo trama se transmite al medio de comunicación compartido. controlador de la NIC en el modo normal, sólo aceptan destino de la trama de datos de direcciones MAC y los propios partidos de direcciones MAC. Sin embargo, la tarjeta será el modo promiscuo todas las tramas de datos recibidos a través de un medio de comunicación compartido que está conectado.

  • Compartida de red sniffing : un cubo conectado al concentrador Renyiyitai anfitrión puede oler todo el tráfico de red en todo el centro.

  • Interactiva espionaje en red : la transmisión de datos por MAC tabla de asignación de direcciones. Por lo general hay tres maneras sniffer

    • MAC ataque dirección de la inundación: el conmutador envía un paquete de datos que contiene un gran número de dirección ficticia MAC y la dirección IP de la tabla de asignación de desbordamiento no se puede procesar en las obras de conmutación como un concentrador.
    • suplantación de MAC: control de acceso basado en comúnmente utilizado para romper a través de las direcciones MAC de LAN. Aquí dice la Escritura, de referencia bastante vaga falsificación de direcciones MAC
    • ARP Spoofing: el uso de lagunas en el acuerdo en el momento de la conversión entre la dirección IP y la dirección MAC, MAC spoofing alcance, recomienda aquí en detalle con referencia a los suplantación de escucha y secretos para lograr ARP .

  • La tecnología Unix-sniffer : por libpcap y herramienta de captura de BPF biblioteca modo de usuario en modo de núcleo aplicación. interfaz original BPF capa de enlace de datos, una capa de enlace proporciona las funciones del transceptor del paquete original. Si la tarjeta está en modo promiscuo recibirá todos los paquetes en la red. y el paquete de modo de núcleo BPF libpcap oler y filtrar los mecanismos de deseo de proporcionar interfaces estándar para la red sniffer aplicaciones en el plataformas Unix, un formato estándar para el PCAP paquetes de red.

  • tecnología de la inhalación de red de Windows : Windows núcleo del sistema operativo no proporciona una interfaz sniffer de red y la captura de paquetes estándar. NPF es un controlador de dispositivo virtual en modo de núcleo, se utiliza para paquetes de filtro, los paquetes pasan al módulo de usuario intacto. WinPcap packet.dll incluyendo módulo de captura de paquetes estándar y wpcap.dll dos interfaces.

Sniffers de red: software de Sniffer

Comúnmente software utilizado sniffer de red se basa generalmente en interfaces estándar BPF y libpcap, las bibliotecas de desarrollo populares, incluyendo la mayoría de libcap etéreo, tcpdump y Wireshark sniffer de software (como las plataformas Unix y Windows).

  • libpcap paquete de captura de desarrollo de la biblioteca : paso básico el desarrollo libpcap es abrir un dispositivo de red, establecer la regla de filtrado, los datos de captura, el dispositivo de red fuera. Para más detalles consulte libpcap explicar . (A pesar de que tiene una gran cantidad de integración de la golpee dos comandos para completar el software, sino a través del desarrollo de una biblioteca de captura de paquetes con su propia continua pertinencia e importancia.)
  • la tcpdump : el tcpdump es un análisis de línea de comandos en general sniffer de red y el protocolo de paquetes. Por src 192.168.199.200 and tcp dst port 80puede ver el caso en que la fuente de acogida está conectado exteriormente HTTP tráfico de red. Por tcpdumpmonitores de todos los paquetes que circulan en la primera interfaz de red.
  • Wireshark sniffer de software : es una herramienta de análisis de paquetes de código abierto, la función principal es la captura de paquetes de red, los paquetes de datos para el análisis de protocolos presentados al usuario en un formato que es más fácil de entender con el fin de mostrar información detallada como sea posible, y.

tecnología de análisis de protocolo de red

Red sniffer es interceptado por el formato del paquete durante el montaje de un contenido original del mensaje binario, con el fin de la información adquieren contiene especificación de protocolo, la pila de acuerdo con los paquetes de datos de protocolo TCP / IP para re-formato y recuperar el contenido de las respectivas capas de protocolo. En la actualidad, herramienta de análisis de protocolo de red es Wireshark. Un proceso típico de análisis de protocolo de red comprende las siguientes etapas (figura Zhang Gaoqing encontrar a):

  • Sniffer datos en bruto obtenidos en los datos binarios enlace de transmisión de paquete de capa.
  • Análisis de la estructura de trama, los campos de cabecera marco estructura obtenida, una red de tipo de protocolo de capa se determina de acuerdo con el campo de encabezado de la trama, y ​​los extractos del contenido de datos contiene la capa de red.
  • paquetes IP analizaron adicionalmente para determinar el tipo de protocolo de capa de transporte, una capa de transporte para extraer el contenido de datos.
  • Puerto OK OK protocolo de capa de aplicación particular TCP o UDP de acuerdo con el objetivo, para dar el contenido de la aplicación interactiva protocolo específico de capa de aplicación.
  • La integración de la recuperación de datos basado en el protocolo de capa de aplicación respectivo, y la transmisión de datos real.

tcp.jpg

2. práctica

tcpdump

Tarea: para visitar el sitio en este proceso www.tianya.cn máquina de aspiración uso de tcpdump. Al acceder a la página Web, el navegador va a acceder al servidor web cuántos, qué dirección IP?

Solución
visita final de la página principal Mundial, utilice el comando
tcpdump -nn '(tcp[tcpflags] & tcp-syn !=0 and tcp[tcpflags] & tcp-ack!=0) and (host 192.168.3.7
para explicar el comando, especifique la IP 192.168.3.7, los criterios de búsqueda son: tcp-syn !=0y tcp-ack!=0que no es igual a 0 y el paquete SYN ACK agarre no es igual a cero. Hay muchas instrucciones sobre tcpdump host tianya.cntcpdump, por ejemplo , tcpdump src 192.168.3.7 and tcp dst port 80y así sucesivamente. Puede capturar ejemplo tcpdump aprender comando tcpdump más.

tcpdump.png

Mediante la observación de la figura, que se encuentra principalmente a través del servidor web son los siguientes:

221.182.218.238 
221.182.218.244 
221.182.218.151 
39.156.66.179
124.225.214.214
52.94.234.174
54.240.131.213

manos Wireshark

Tarea: Uso de Wireshark a telnet para iniciar sesión en los BBS locales oler y análisis de protocolo.

  1. dirección IP y el puerto del servidor BBS?
  2. Cómo telnet protocolo transmite el nombre de usuario que ha ingresado a la contraseña del servidor y de acceso?
  3. Cómo utilizar un analizador de paquetes de Wireshark análisis, y para obtener un nombre de usuario y contraseña de acceso?

Solución
En primer lugar, explicar a cielo sus propios problemas : mi avión de ataque kali para los chinos es ilegible, por lo que me refiero Kali chino ilegible instalar las fuentes chinas, etc., que era también el terminal puede mostrar fuentes chinas, que incluso cambió el sistema de al chino, pero en el BBS, o la siguiente tabla se parece a este fantasma. Más tarde, después de incansables buscar, finalmente encontré la instrucción original para resolver el problema luit -encoding gbk telnet bbs.fudan.edu.cn(especificar el formato de codificación).
bbs1.png

El siguiente texto comenzó:
volver a la Universidad de Fudan ejemplo bbs. En primer lugar, abrir el Wireshark, a continuación, introduzca en un terminal luit -encoding gbk telnet bbs.fudan.edu.cnintroduzca bbs foro de la Universidad de Fudan. Mediante la captura de Wireshark, nos encontramos con su dirección IP 202.120.225.9, su puerto 23.
bbs2.png
bbs4.png

Cuando protocolo Telnet sin cifrar utilizado en la transmisión del nombre de usuario y contraseña , podemos ver que nuestro nombre de usuario mediante el seguimiento del flujo TCP guest. Seleccione la siguiente conversación es de su anfitrión para bbs Universidad de Fudan, se pueden encontrar en el nombre de usuario guest, contraseña está en blanco.
bbs5.png
bbs6.png

la práctica análisis forense

artefactos tarea a un anfitrión honeypot de cinco tipos diferentes de escaneo de puertos.

  • ¿Cuál es la dirección IP de la máquina atacante
  • ¿Qué dirección IP de destino es la exploración de la red
  • El caso es el uso de herramientas que iniciaron estos escaneo de puertos escanear? ¿Cómo determinó
  • Inicia una sesión de archivos analizados, el atacante utiliza un método de exploración que, lo que el puerto de destino de escaneo, y describir cómo funciona
  • ¿Qué puerto en el honeypot resultó ser abierto
  • ¿Qué sistema operativo está atacando anfitrión

Solución

¿Cuál es la dirección IP de la máquina de ataque? ¿Qué dirección IP de destino de la exploración de la red es? El caso es el uso de herramientas que iniciaron estos escaneo de puertos escanear?
  1. Podemos utilizar los archivos de registro binario de Snort de detección de intrusos. Por primera sudo apt-get install snortresoplido de montaje, y dados snort.conflos permisos de ejecución de lectura-escritura sudo chmod 777 /etc/snort/snort.conf, la operación de comando sudo snort -A console -q -u snort -c /etc/snort/snort.conf -r ~/listen.pcapresultados de la consulta son los siguientes ( la instrucción Descripción detallada resoplido , se usa aquí, -Aestá en el modo de alarma, -qno mostrar el informe de estado, -rse leen desde el formato de archivo pcap se ha podido recuperar paquete).
  2. Al mismo tiempo, también se puede analizar usando Wireshark (Después de importar los archivos de conversaciones abiertas observadas en las estadísticas).
  3. Mediante el análisis de los dos anteriores de software, podemos llegar a atacar IP de la máquina 172.31.4.178, el objetivo de escaneado en red IP es 172.31.4.188. Como se puede ver por resoplido NAMP ser empleado para iniciar la exploración.
    fenxi1.png
    fenxi2.png
Método de escaneo atacante, y describir cómo funciona.
  1. En primer lugar, hemos examinado ARP en Wireshark, nmap es porque en la emisión de cada emisión de servidor de dominio sonda activa arp requestpaquetes, y antes de cada host nmap exploración será detección activa. No encontramos paquetes de datos entre primera y segunda, para determinar primero es el uso de namp -sPuna serie de detección activa.listen1.png
  2. Al observar el final de la segunda paquetes de datos de exploración y se encontró que 1 avión de ataque para el puerto ssh, TCP y UDP, y utiliza una gran cantidad de bandera construido para activar un paquete de respuesta diferente, el tráfico no es difícil de confirmar sus nmap -Oopciones desencadenado. El sistema operativo principal detecta mecanismo específico de aplicación host remoto se transmite mediante la construcción de paquete de datos especial para el host de destino, después se recoge (y diferencias en la pila del sistema operativo la aplicación de protocolos de red) "huella digital" paquete sutil retroalimentación presente y en comparación con un sistema operativo conocido "fingerprinting" base de datos (archivo nmap-os-huellas dactilares).listen2.png
  3. Entonces observar la tercera exploración, la tercera ronda es 13W paquetes de exploración, la exploración de puertos estima sesenta mil, por lo que se debe designar un escaneo de puertos, utilizando namp -sS -p 1-65535(conjetura es un escaneo de puertos completa), en el que el -pnúmero de exploraciones de puerto especificado.listen3.png
  4. Por último, al observar la última exploración, encontramos el cuarto análisis en el tiempo son más altos que antes de que el tiempo de exploración, por lo que podemos suponer es namp -sVun servicio de red de detección. El punto de vista específico, nos encontramos con un 8180puerto (http). Hemos encontrado una detección de actividad común es el enlace de tres vías SYN->SYN,ACK->SYN/RST, pero nos fijamos en la cuarta exploración, sino para establecer una conexión HTTP, lo que indica que la exploración debería ser namp -sVsin duda.

listen4.png

listen5.png

El sistema operativo y el puerto
  1. En primer lugar, identificar los puertos, mediante el cribado tcp.flags.syn == 1 and tcp.flags.ack == 1, obtener puertos abiertos son:21 22 23 25 53 80 139 445 3306 5432 8009 8180
    listen6.png
  2. Determinar el sistema operativo, en primer lugar yo uso el nmap -O -r listen.pcaptipo de sistema operativo de detección, los resultados se sienten del todo bien, por lo que toman ventaja de p0f -r listen.pcapsondeo para obtener los siguientes resultados (primero con apt-get install instalación p0f), es Linux 2.6.X .

p0f2.png

p0f1.png

Ataque y defensa contra la práctica

Tarea: atacante escaneo con nmap, tcpdump sniffer con un defensa, con el análisis de Wireshark, y el análisis de los efectos de escaneo atacante, y el comando nmap de cada uso.

Descripción: Este es un punto importante de análisis ha sido completado en la práctica anterior, las instrucciones pertinentes sobre el escaneado de exploración NAMP también ha sido descrita en detalle en el trabajo anterior. Por lo tanto, no se muestra.

2. Los problemas y las soluciones encontradas en el estudio

  • Uno de los problemas: problema de la basura Entrar bbs china
  • Una solución al problema: En primer lugar, se inicia a partir de la fuente del sistema, se encontró que mientras el código para cambiar el aterrizaje.
  • Segundo problema: la práctica de análisis forense requiere una gran cantidad de conocimientos y herramientas, perdiendo mucho tiempo aquí
  • Pregunta dos soluciones: continúan herramienta de consulta y sus principios

3. Aprender el sentimiento, el pensamiento

  • El trabajo ha sido profesional, pero hay ciertos requisitos, su conocimiento de la red de ordenadores sigue siendo relativamente débil, necesidad de seguir aprendiendo.
  • Si bien el aprendizaje, mientras se hace problemas sigue siendo bastante dolorosa.

material de referencia

Supongo que te gusta

Origin www.cnblogs.com/charlesxie/p/12547850.html
Recomendado
Clasificación
Diario
Más
2024-05-20(5)
2024-05-19(0)
2024-05-18(30)
2024-05-17(4)
2024-05-16(22)
2024-05-15(5)
2024-05-14(10)
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)

Code World

© 2018 codetd.com