| El trabajo del curso | https://edu.cnblogs.com/campus/besti/19attackdefense |
|---|---|
| Los requisitos operativos | https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10518 |
| Objetivos del curso | Aprendizaje "ataque a la red y la tecnología de defensa y la práctica" capítulo del libro, y la tarea completa |
| En aspectos particulares de la tarea que me ayudó a alcanzar las metas | Aprendizaje relacionado sniffer red de tecnología y análisis de protocolo |
Texto del empleo:
1 conocimiento peine
sniffer de red 1.1
Espionaje en red : un tipo de técnicas de escucha utilizadas por los hackers que utilizan una red informática de datos IDE interfaz de intercepción con destino a otro mensaje ordenador, la contraseña de la cuenta de usuario para escuchar el flujo de datos o información privada contenida. Sniffer captura de paquetes de datos después de que el paquete es procesado de datos binarios, en conjunción con una técnica de análisis de protocolo de red para recuperar el contenido de las respectivas capas de la red de protocolo TCP / pila de protocolo IP, e información de capa de aplicación de hecho transmitida.
Ethernet : es el Instituto de Ingenieros Eléctricos y Electrónicos, desarrollado un estándar con cable de red de protocolo, 802.3, canal de comunicación compartido, usando un sistema de detección por detección de portadora / colisiones (CSMA / CD) para evitar conflictos ruta de comunicación, incluso compartida. estación de la red transmitiendo su propio mecanismo de difusión de datos en el canal, el ordenador puede recibir la información a otro ordenador en un medio compartido. datos Ethernet se transmite en unidades de tramas, el dispositivo de interfaz de red 48 tiene típicamente una dirección MAC de la cabecera de la trama Ethernet incluye una dirección y dirección MAC de destino MAC de la fuente de transmisión, transmitida al medio de comunicación compartido. controlador de la NIC sólo acepta destino dirección MAC y la propia dirección MAC que coincida con la trama de datos, a continuación, una señal de interrupción se genera por la CPU, los datos recibidos por la dirección de programa de interrupción de acuerdo con el sistema operativo llama se establece la tarjeta del conductor, en la pila de modo que la señal sistema de proceso de desembalaje inversa de funcionamiento, y para descomprimir los datos en respuesta a la aplicación.
El modo promiscuo : la recepción de todas las tramas de datos que están conectados a través de un medio de comunicación compartido, olfateando el tráfico Ethernet.
el despliegue de Ethernet : red compartida (el cubo Hub, que recibe los datos transmitidos a todas las interfaces), marco de datos con conmutación de red (conmutadores, cada uno para comprobar la tabla de asignación se recibe en el puerto designado y, si no se transmitirá a todos los puertos, con la dirección MAC de la tarjeta de red harán una respuesta, evitando la tormenta de difusión de red).
MAC ataque dirección de la inundación : el envío de grandes cantidades de paquete de datos que contiene la dirección ficticia MAC y la dirección IP para el conmutador, haciendo que la dirección MAC del switch - no puede manejar la tabla de asignación de puertos de desbordamiento y empezar a trabajar en un centro semejante manera.
MAC spoofing: Interruptor Vamos a creer que la dirección MAC dirección MAC del host del atacante es el host de destino, lo que es falso que esté escuchando anfitrión atacante NIC para hacer que la dirección MAC de origen de la dirección de destino por la dirección MAC de origen de la farsa, y dichos paquetes de datos a través del conmutador enviado.
contenido de 2 Experimental
sniffer de red 2.1
Sniffing : medios pasivo no intrusivos de ataque, con alta oculta.
- UNIX plataforma tecnológica sniffer de red :
la biblioteca de herramientas de captura de libpcap BPF y el modo de usuario de modo de núcleo principalmente a través de la - la red plataforma Windows sniffer técnicas de implementación :
Compatible con el módulo de BPF NPF, libpcap interfaces estándar compatibles biblioteca de captura de paquetes WinPcap
software sniffer : la capacidad de realizar software de red sniffing.
-
UNIX plataforma sniffer de red :
las bibliotecas de desarrollo de captura libpcap : red de paquetes libpcap bajo Unix paquetes / Linux Internet función, un sistema independiente de la interfaz de captura de paquetes de red a nivel de usuario, lata captura en la mayoría de clase Libpcap trabajo bajo la plataforma UNIX.
tcpdump sniffer : proporcionar una línea de comando, utilizando filtros soportes de BFP de sintaxis de paquetes selectiva olfateando en la red, y luego protocolo TCP / pila de protocolos IP analizados por línea y un paquete de datos de contenido modo de captura los resultados presentados olfateando.
Wireshark sniffer : bajo la plataforma actual mejor interfaz gráfica de software sniffer basado en UNIX en la plataforma Windows tiene sus versiones conocidas. -
Otro software sniffing : red de código abierto sistema de detección de intrusos Snort, dsniff, sniffit, linux_sniffer
-
Sniffer de red de Windows plataforma : NPF / winpcap / windump, Wireshark tener la versión de Windows, hay otras Buttsniffer, NetMon, Network Associates Sniffer
tcpdump Referencia : kali máquina utilizada entcpdump src 192.168.200.103 and tcp dst port 80el mando de la dirección IP de192.168.200.103la red de Windows oler aviones no tripulados, aviones no tripulados e inicie sesión en el navegador de Windowswww.baidu.com, versión del navegador es demasiado baja debido a que el avión no tripulado, leer la página de error se produce, ya sea correcta el error haga clic en No.
El avión de ataque situación oler, aviones no tripulados establecer una sesión del protocolo HTTP en el puerto 80 con la dirección IP de destino.
Red de Detección de la inhalación :
1. Comprobar si hay tarjeta de modo de funcionamiento en modo promiscuo
2 con diferentes características del sistema operativo modo promiscuo y la pila de protocolos, para comprobar si la dirección MAC del host de destino.
3. Antes de detectar si la dirección MAC de ocho 0xff.
4. El objetivo de detección de tiempo de respuesta host está en un estado anormal.
La herramienta de software de reconocimiento de sniffer AntiSniff.
Manos : tcpdump
uso de tcpdumpsoftware de código abierto en la máquina para acceder www.tianya.cnal proceso de oler sitio, responder a la pregunta: ¿Usted visita www.tianya.cnuna página principal del sitio web, el navegador cuántos acceso al servidor Web? ¿Cuáles son sus direcciones IP?
A la red IP local olfateando
en el navegador para acceder al sitio, aparecen cuatro servidores web, IP, respectivamente 124.225.65.154, 200.130.77.218, 124.225.135.230, 124.225.214.206
la cual 124.225.65.154es www.tianya.cnla dirección IP correspondiente
tecnología de análisis de protocolo 2.2 red
análisis de protocolo de red : se refiere al paquete de datos binario formato de transmisión en la red se analiza para recuperar las capas de información y red de protocolo arte método de transmisión de contenido, similar al proceso de descompresión de paquetes de datos.
Un protocolo típico proceso red analizador de :
1) una red sniffer datos en bruto, es decir, datos binarios de capa de enlace transmisiones de paquetes;
2) el análisis de la estructura de trama de datos, el campo estructura de cabecera bastidor de posicionamiento, la red se determina de acuerdo con el campo Tipo de la cabecera protocolo de la capa, el protocolo IP 0800, datos de contenido la capa de red y sus extractos incluido en el bastidor;
3) del paquete IP análisis adicional, de acuerdo con el bit de fragmento recombinante, el transporte de tipo de protocolo de capa se determina de acuerdo con el protocolo de campo de protocolo cabecera IP ;
4) para determinar el puerto específico de acuerdo con cierto protocolo de capa de aplicación TCP o UDP;
5) de acuerdo con el protocolo de capa de aplicación de recuperación de datos integrado para obtener la transmisión de datos real.
Manos : Wireshark
Tarea : Uso de Wireshark de software de código abierto para registro Talnet en el BBS local de la inhalación y análisis de protocolos, responda a las siguientes preguntas y dar la operación:
1) dirección IP y el puerto del servidor BBS está conectado cada uno ¿Qué es?
En Mizuki comunidad de usuarios registrados
con telnet bbs.newsmth.net foros de la comunidad conectados, mientras que el paquete de red Wireshark arrestar por
llamar a la barra de menú de la Wireshark 视图, 过滤器工具栏puede filtrar los paquetes del protocolo en el buscador como Telnet paquetes.
Dirección IP: 120.92.212.76 puerto: 23
¿Cómo se transmite 2) el protocolo telnet nombre de usuario que la entrada a la contraseña del servidor y de acceso?
De acuerdo con los paquetes capturados, se puede ver el nombre de usuario y la contraseña de inicio de sesión de un carácter de texto plano sucesiva local al servidor por servidor retorna un mensaje de confirmación.
3) el uso de paquetes de Wireshark sniffer análisis y obtener el nombre de usuario y contraseña de acceso?
Desde el límite de caracteres tiene nombre de usuario BBS y contraseña de inicio de sesión, es complejo, se toma sólo para mostrar la parte del nombre de usuario (louhao123) como sigue:
3. Los puestos de trabajo de práctica
La práctica de análisis forense - decodificación de escaneado en red
Compartir en curso de la nube de clase descarga listen.pcap, abierta a analizar con el archivo de registro binario Wireshark, utilice la conversación (sesión) bajo la barra de menú de estadísticas (estadísticas), seleccionar IPV4 obtener la siguiente figura:
única 172.31.4.178y 172.31.4.188hay un montón de red bidireccional entre los paquetes de datos , puede ser identificado inicialmente como un ataque tanto el anfitrión y de destino IP host IP.
A continuación, seleccione el filtrado de paquetes TCP, paquetes de contenido sesiones de visualización, todo ello desde el paquete de petición se 172.31.4.178inició, los paquetes de respuesta son del 172.31.4.188tema, se puede determinar 172.31.4.178que el ataque del anfitrión, 172.31.4.188que es el host de destino se va a escanear.
1. ¿Cuál es la dirección IP del equipo atacante?
dirección IP de la máquina atacante es172.31.4.178
2. ¿Cuál es la dirección IP de la exploración de la red de destino es?
dirección IP del destino de análisis de red es172.31.4.188
3. Este caso se inició con la función de escaneo para escanear estos puertos? ¿Cómo se determina?
Por resoplido herramienta analiza el archivo pcap Wireshark se puede dibujar en la herramienta de escaneo de puertos Nmap
también se pueden ver en una página Web por websnort
4. archivo de registro que usted analizó, el atacante utiliza un método de exploración que, ¿cuál es el escaneo de puertos de destino, y describir cómo funciona.
Debido a que es la simulación, escáneres detectan y dirigen el mismo segmento, Nmap puede adoptar ese tipo de protocolo de destino arp, petición ARP puede ser transmitido directamente mensajes de dominio de difusión, si recibe paquete de respuesta ARP que es activo. Usted puede obtener la dirección MAC host de destino.
Puesto que hemos determinado que estas exploraciones son iniciadas por el nmap, y escaneo de puertos nmap antes de iniciar siempre el primero por Ping扫描y para 80端口la detección del host de destino para determinar si activa.
Buscando a través del filtro icmp, puede ser posicionado correspondiente al protocolo ICMP Ping扫描, para lograr dos exploración Ping.
Hay un gran número de solicitud paquete SYN, que es el avión de ataque 57738 puerto para el host de destino en el paquete TCP SYN扫描, el propósito es el puerto utilizado para escanear el host de destino está activo, si el activo principal de destino de realimentación un SYN | ACK de paquetes, puerto avión de ataque vamos a enviar inmediatamente un paquete RST para cerrar el enlace, el puerto de destino estará inactivo retroalimentación RST | ACK de paquetes, la instrucción puede ser nmap -sS -p XXX端口 172.31.4.188.
5. conocer en la trampa esos puertos están abiertos?
tcp.flags.syn == 1 and tcp.flags.ack == 1Realizar un filtrado del SYN | información del paquete de puerto ACK activo, es decir, la retroalimentación de la máquina host de destino de escaneo. Puede determinar 21,22,23,25,53,80,139,445,3306,3632,5432,8009,8180estos puertos están activos.
6. Bono pregunta: ¿Qué ataca el sistema operativo del host es?
Por p0f /home/kali/listen.pcappuede consultar el sistema operativo para atacar el host para Linux 2.6.x
Ataque y defensa contra la práctica
escaneo Nmap por el atacante (propósito específico), por el defensor tcpdump sniffer, con el análisis Wireshark, y el análisis del objeto escaneado y el atacante nmap mando de cada uso.
Dado que el defensor necesidad análisis Wireshark, será una copia de, una máquina kali 192.168.200.7como un escáner, una 192.168.200.6como un detector de
barrido realiza ping, paquete de protocolo ICMP se detecta y se analizaron por Wireshark, supuesto para ser pingel comando:
se puede encontrar 4 y 5 en el paquete de datos se transmite petición ARP paquetes de difusión de dominio, tcpdump y Wireshark son capturados.
puerto TCP en el equipo de destino para la exploración, no sé porque kali configuración del puerto especiales, el puerto TCP 1000 de exploración están cerrados.
tcpdump de captura de la captura de paquetes TCP RST con Wireshark para analizar un gran número de paquete [RST ACK], indica que el puerto está comandos no está activo, presumiblemente exploración nmap -sS 192.168.200.6.
puerto UDP de la máquina de destino escanea el objetivo de detectar grandes cantidades tcpdump paquete de datos UDP, según un gran número de disponible Wireshark UDP longitud del paquete 60, es decir, para detectarnmap -sU 192.168.200.6
4. Problemas y soluciones de aprendizaje encontrado
- Pregunta 1 : No se puede encontrar el BBS derecho de acceso telnet realizó
problemas Solución 1 : Consulte la de visitar el foro BBS telnet sitios BBS ofrecen este blog
- Pregunta 2 : Usando la herramienta de resoplido a Wireshark resolución de archivo pcap, cuando resoplido instalar varios errores
Problema Solución 2 : Comience a buscar tutorial de instalación es el procedimiento de instalación de código fuente es muy compleja, y el medio ambiente actual, debido a la falta de un gran número de dependencias a menudo no se pudieron instalar, más tarde referencia al tutorial de instalación de Snort , se puedesudo apt-get install snortysudo pip install websnortse instala directamente, guardar un montón de pasos.
- Pregunta 3 : práctica análisis forense para el análisis de exploración de trabajo nmap
Cuestión 3 soluciones : una referencia sniffer de red y el protocolo de análisis de estos datos
5. Aprender el sentimiento y la reflexión
El contenido de aprendizaje incluye técnicas relacionadas y análisis de protocolo de succionador de la red, la red sniffer tcpdump y resoplido uso principal del software, y el análisis de protocolo del análisis principal de los diferentes paquetes de datos a través de Wireshark, y luego deducir algunos de escaneado de red y conectividad el comportamiento en este sentido para el análisis de protocolos, sentir el agarre no es lo suficientemente profunda y completa, necesita ser mejorado.