| O trabalho do curso | https://edu.cnblogs.com/campus/besti/19attackdefense |
|---|---|
| requisitos operacionais | https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10518 |
| Objetivos do curso | Aprender "ataque de rede e tecnologia de defesa e prática" capítulo livro, e lição de casa completa |
| Em aspectos particulares do trabalho que me ajudou a atingir metas | Aprendizagem relacionada sniffer de rede de tecnologia e análise de protocolo |
Texto do trabalho:
Um conhecimento pente
sniffer 1.1 rede
Rede sniffing : um tipo de técnicas de escuta utilizadas por hackers usando uma rede de computador de dados interface IDE interceptar destinados a outra mensagem computador, a senha da conta do usuário para ouvir o fluxo de dados ou continham informações privadas. Tubo aspirador capturar pacotes de dados após o pacote é processado de dados binários, em conjunção com uma técnica de análise de protocolo de rede para recuperar o conteúdo das respectivas camadas do protocolo de rede TCP / IP pilha de protocolos, e informações da camada de aplicação, na verdade transmitido.
Ethernet : é o Institute of Electrical and Electronics Engineers, desenvolveu um padrão de fio de protocolo de rede, 802,3, canal de comunicação comum, utilizando uma detecção sentido transportador / colisão (CSMA / CD), para evitar conflitos caminho de comunicação mesmo partilhada. estação da rede da transmissão do seu próprio mecanismo de transmissão de dados no canal, o computador pode receber a informação para outro computador em um meio compartilhado. dados Ethernet é transmitido em unidades de tramas, o dispositivo de interface de rede 48 tem, tipicamente, um endereço MAC do cabeçalho de quadro Ethernet inclui um endereço de destino e o endereço MAC MAC da fonte de transmissão, transmitido para o meio de comunicao partilhado. driver NIC só aceita endereço MAC de destino e endereço MAC própria que coincide com o quadro de dados, em seguida, um sinal de interrupção é gerado pelo CPU, os dados recebidos pelo endereço programa de interrupção de acordo com o sistema operacional chama o cartão de condutor é definida, na pilha para que o sinal sistema de processo de desempacotamento inversa operacional, e para desempacotar os dados em resposta à aplicação.
modo promíscuo : receber todos os quadros de dados que estão ligados através de um meio de comunicação compartilhada, farejando o tráfego Ethernet.
implantação Ethernet : rede partilhada (o cubo Hub, que recebe os dados transmitidos a todas as interfaces), estrutura de dados de comutação de rede (interruptores, cada um para verificar a tabela de mapeamento é recebida para a porta designada e, se isso não irá transmitir para todas as portas, com o endereço MAC da placa de rede fará uma resposta, evitando o congestionamento de transmissões de rede).
MAC ataque endereço inundação : enviar grandes quantidades de pacote de dados que contém o endereço MAC fictício e o endereço de IP para o interruptor, fazendo com que o endereço MAC do interruptor - não pode lidar com a tabela de mapeamento da porta de descarga e começar a trabalhar em um concentrador semelhante maneira.
spoofing MAC: Interruptor Vamos acreditar que o endereço MAC endereço MAC do host do atacante é o host de destino, o que é falso para ser ouvir anfitrião atacante NIC para fazer com que o endereço MAC de origem do endereço de destino pelo endereço MAC fonte da farsa, e tais pacotes de dados através do interruptor enviado para fora.
teor de 2 Experimental
sniffer 2.1 rede
Rede sniffing : um passivo não-intrusivo de ataque, com alta escondido.
- UNIX-plataforma tecnológica sniffer de rede :
o BPF e usuário do kernel Modo biblioteca ferramenta de captura de libpcap principalmente através da - rede plataforma Windows sniffer técnicas de implementação :
Compatível com módulo de BPF NPF, libpcap interfaces padrão compatíveis biblioteca WinPcap captura de pacotes
software Sniffer : a capacidade de executar software sniffing rede.
-
UNIX-plataforma sniffer de rede :
as bibliotecas de desenvolvimento de captura libpcap : rede de pacotes libpcap sob unix pacote / linux internet função, um sistema independente da interface de captura de pacotes de rede em nível de usuário, lata de captura em mais classe Libpcap trabalho sob a plataforma UNIX.
tcpdump tubo aspirador de : fornecimento de uma linha de comando, a utilização de filtros BFP suportes de sintaxe pacote selectiva inalados na rede, e, em seguida, o protocolo TCP / IP pilha de protocolos analisados por linha e um conteúdo modo de captura de pacote de dados os resultados apresentados sniffing.
wireshark sniffer : sob a plataforma melhor interface gráfica atual baseado em UNIX software sniffer na plataforma Windows tem suas versões conhecidas. -
Outro software sniffing : aberto sistema de detecção de intrusão de rede de origem Snort, dsniff, sniffit, linux_sniffer
-
O Windows sniffer de rede plataforma : NPF / winpcap / WinDump, Wireshark tem versão para Windows, existem outros Buttsniffer, NetMon, Network Associates Sniffer
tcpdump Referência : Máquina kali usadotcpdump src 192.168.200.103 and tcp dst port 80no comando do endereço IP de192.168.200.103rede do Windows sniffing zangão, zumbido e, em seguida, fazer logon no navegador do Windowswww.baidu.com, versão do navegador é muito baixo porque o zangão, página ler o erro ocorre, se correta o erro clique Não.
O avião de ataque situação sniffing, drones estabelecer uma sessão do protocolo HTTP na porta 80 com o endereço IP de destino.
Rede de Detecção de sniffing :
1. Verifique se há modo de operação do cartão de modo promíscuo
2 com características diferentes do sistema operacional modo promíscuo e pilha de protocolo, para verificar se o endereço MAC do host de destino.
3. Antes de detectar se o endereço MAC de oito 0xff.
4. O alvo de detecção de tempo de resposta do hospedeiro está num estado anormal.
A ferramenta de software de reconhecimento de sniffer AntiSniff.
Mãos : tcpdump
uso de tcpdumpsoftware de fonte aberta na máquina para acessar www.tianya.cno processo sniffing local, responder à pergunta: Você visita www.tianya.cnum home page do site, o navegador quantas acesso ao servidor Web? Quais são seu endereço IP?
Para a rede IP local sniffing
no navegador para acessar o site, aparecem quatro servidores Web, IP, respectivamente 124.225.65.154, 200.130.77.218, 124.225.135.230, 124.225.214.206
que 124.225.65.154é www.tianya.cno endereço IP correspondente
tecnologia de análise de protocolo 2.2 rede
Rede de análise protocolo : refere-se ao pacote de dados de formato binário transmitido na rede é analisado para recuperar as camadas de informação e a rede de protocolo método de transmissão de conteúdo, similar ao processo de descompressão de pacotes de dados arte.
Um processo típico de rede analisador de protocolo de :
1) uma rede de tubo aspirador de dados brutos, isto é, camada de ligação de dados binário transmissões por pacotes;
2) análise da estrutura de trama de dados, campos estrutura cabeçalho armação de posicionamento, a rede é determinada de acordo com o campo de tipo de cabeçalho protocolo de camada, o protocolo IP 0800, os dados do conteúdo da camada de rede e extractos incluído na armação;
3) do pacote IP posterior análise, de acordo com o bit de fragmento recombinante, tipo de protocolo de transporte camada é determinada de acordo com o protocolo de protocolo campo de cabeçalho IP ;
4) para determinar a porta específica de acordo com determinado protocolo da camada de aplicação de TCP ou UDP;
5) de acordo com o protocolo da camada de aplicação para a recuperação de dados integrado para obter a transmissão de dados real.
Mãos : Wireshark
Tarefa : Use Wireshark de software de código aberto para log talnet na BBS local, cheirando e análise de protocolo, responda às seguintes perguntas e dar a operação:
1) o endereço IP e porta do servidor BBS você está conectado a cada o que é?
Em Mizuki comunidade de usuários registrados
com telnet bbs.newsmth.net fóruns da comunidade conectados, enquanto o pacote de rede Wireshark prender por
chamar a barra de menus no wireshark 视图, 过滤器工具栏pode filtrar pacotes de Protocolo na caixa de pesquisa como telnet TELNET pacotes.
endereço IP: 120.92.212.76 port: 23
Como 2) protocolo de telnet é transmitida nome do usuário que introduzir a senha do servidor e login?
De acordo com os pacotes capturados, você pode ver o nome de usuário e senha de login por um personagem texto simples sucessivas local para o servidor por retornos servidor uma mensagem de confirmação.
3) como usar Wireshark packet sniffer análise e obter o seu nome de usuário e senha de login?
Desde o limite de caracteres tem o nome de usuário BBS e senha de login, é complexo, é tomado apenas para mostrar a parte do nome de usuário (louhao123) como segue:
3. empregos Prática
A prática de análise forense - decodificação digitalização em rede
Compartilhar no curso nuvem classe de download listen.pcap, aberto a ser analisados com arquivo de log binário wireshark, utilize o Conversation (sessão) sob a barra de menu de estatísticas (estatísticas), selecione IPV4 obter a figura seguinte:
única 172.31.4.178e 172.31.4.188há uma abundância de rede bidirecional entre pacotes de dados , pode ser inicialmente identificada como um ataque de ambos o hospedeiro e IP IP alvo do hospedeiro.
Em seguida, selecione a filtragem de pacotes TCP, o conteúdo do pacote de visualização sessões, tudo a partir do pacote de solicitação é 172.31.4.178iniciada, os pacotes de resposta são do 172.31.4.188problema, você pode determinar 172.31.4.178que o ataque do hospedeiro, 172.31.4.188que é o host de destino que está sendo digitalizado.
1. Qual é o endereço IP do host de ataque?
endereço IP do host de ataque é172.31.4.178
2. Qual é o endereço IP da digitalização em rede alvo?
endereço IP do alvo da análise de rede é172.31.4.188
3. Este caso foi iniciado usando a ferramenta de verificação para verificar essas portas? Como você determinou?
Por ferramenta bufo analisa o wireshark arquivo pcap pode ser desenhado em pelo porto do nmap ferramenta de verificação
também pode ser visto em uma página da Web por websnort
4. arquivo de log que você analisou, o atacante usa um método de digitalização que, qual é a digitalização porto de destino, e descrever como ele funciona.
Porque é simulação, scanners detectar e alvejar o mesmo segmento, o Nmap pode adotar esse tipo de arp protocolo alvo, solicitação ARP pode ser transmitido diretamente mensagens domínio de transmissão, se você receber pacote de resposta ARP que está ativo. Você pode obter o endereço MAC do host de destino.
Uma vez que determinou que esses exames são iniciadas pelo nmap, e verificação de porta nmap antes de iniciar sempre o primeiro por Ping扫描e para 80端口a detecção do host de destino para determinar se ativo.
Pesquisando através do filtro icmp, ele pode ser posicionado correspondente ao protocolo ICMP Ping扫描, para alcançar duas ping scan.
Há um grande número de SYN pacote de solicitação, que é aeronaves de ataque 57738 porta para o host de destino no pacote TCP SYN扫描, o objetivo é a porta usada para digitalizar o host de destino está ativo, se o ativo host de destino feedback de um SYN | pacote ACK, porta aviões de ataque vamos enviar imediatamente um pacote RST para fechar a ligação, a porta de destino será o feedback RST inativa | ACK, a instrução pode ser nmap -sS -p XXX端口 172.31.4.188.
5. encontrado na honeypot essas portas estão abertas?
tcp.flags.syn == 1 and tcp.flags.ack == 1Pode filtrar o SYN | informações do pacote porto ACK ativa, ou seja, o feedback máquina host alvo da análise. Você pode determinar 21,22,23,25,53,80,139,445,3306,3632,5432,8009,8180essas portas estão ativos.
6. Bônus pergunta: O que ataca o sistema operacional hospedeiro é?
Por p0f /home/kali/listen.pcappode consultar o sistema operacional para atacar o anfitrião para linux 2.6.x
Ataque e defesa contra a prática
digitalização nmap pelo invasor (propósito específico), pela defesa tcpdump tubo aspirador, com análise Wireshark, e análise do objecto digitalizado e o atacante nmap comandar cada utilização.
Uma vez que a análise Wireshark necessidade defesa, que será uma cópia de, uma máquina kali 192.168.200.7como um scanner, um 192.168.200.6como um detector
de varrimento de ping executa, pacote de protocolo ICMP é detectado e analisado pelo Wireshark, presume-se que pingo comando:
ele pode ser encontrado 4 e 5 no pacote de dados de transmissão é transmitido pacotes pedido ARP domínio, tcpdump e Wireshark são capturados.
porta TCP na máquina de destino para digitalização, não sei porque kali configurações de porta especiais, a porta TCP varredura 1000 são fechados.
captura tcpdump a captura de pacotes TCP RST com Wireshark para analisar um grande número de [RST ACK] pacote, indica que a porta está comando não ativa, presumivelmente varredura nmap -sS 192.168.200.6.
UDP do computador de destino varre o alvo para detectar grandes quantidades tcpdump pacote de dados UDP, de acordo com um grande número de disponível Wireshark UDP comprimento do pacote 60, isto é, para detectarnmap -sU 192.168.200.6
4. problemas de aprendizagem e soluções encontradas
- Pergunta 1 : Não é possível encontrar o BBS direito conduzida telnet de login
problemas Solução 1 : Consulte a visitar o fórum bbs telnet sites de BBS oferecem este blog
- Pergunta 2 : Usando a ferramenta bufo para wireshark determinação de arquivo pcap, quando você snort instalar vários erros
Problema 2 Solução : Comece a olhar para tutorial de instalação é o procedimento de instalação do código fonte é muito complexo, e o ambiente atual por causa da falta de um monte de dependências muitas vezes não conseguiu instalar, referência posterior ao tutorial de instalação Snort , você podesudo apt-get install snortesudo pip install websnortinstalado diretamente, guardar um monte de etapas.
- Pergunta 3 : prática de análise forense para análise de verificação de emprego nmap
soluções Pergunta 3 : uma referência análise sniffer de rede e protocolo de dados
5. Saiba o sentimento e reflexão
O conteúdo de aprendizagem inclui técnicas relacionadas e análise de protocolo de sniffer de rede, rede sniffer tcpdump e snort principal uso do software e análise de protocolo da análise principal de diferentes pacotes de dados através de wireshark, e depois inferir alguns de digitalização em rede e conectividade comportamento a este respeito para análise de protocolo, sentir o aperto não é suficiente profundidade e abrangente, precisa ser melhorado.