最新公告
  • 欢迎您光临玖居暗巷,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 精华之渗透测试之嗅探流量抓包剖析

    精华之渗透测试之嗅探流量抓包剖析-玖居暗巷

    在浩瀚的网络中安全问题是最普遍的需求,很多想要对网站进行渗透测试服务的,来想要保障网站的安全性防止被入侵被攻击等问题,在此我们Sine安全整理了下在渗透安全测试中抓包分析以及嗅探主机服务类型,以及端口扫描等识别应用服务,来综合评估网站安全

    8.2.1. TCPDump

    TCPDump是一款数据包的抓取分析工具,可以将网络中传送的数据包的完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供逻辑语句来过滤包。

    8.2.1.1. 命令行常用选项

    -B <buffer_size>抓取流量的缓冲区大小,若过小则可能丢包,单位为KB

    -c抓取n个包后退出

    -C <file_size>当前记录的包超过一定大小后,另起一个文件记录,单位为MB

    -i指定抓取网卡经过的流量

    -n 不转换地址

    -r读取保存的pcap文件

    -s从每个报文中截取snaplen字节的数据,0为所有数据

    -q 输出简略的协议相关信息,输出行都比较简短。

    -W写满cnt个文件后就不再写入

    -w保存流量至文件

    按时间分包时,可使用strftime的格式命名,例如 %Y_%m_%d_%H_%M_%S.pcap

    -G按时间分包

    -v 产生详细的输出,-vv -vvv 会产生更详细的输出

    -X 输出报文头和包的内容

    -Z在写文件之前,转换用户

    8.2.2. Bro

    Bro是一个开源的网络流量分析工具,支持多种协议,可实时或者离线分析流量。

    8.2.2.1. 命令行

    实时监控 bro -i

    分析本地流量 bro -r<scripts...>

    分割解析流量后的日志 bro-cut

    8.2.2.2. 脚本

    为了能够扩展和定制Bro的功能,Bro提供了一个事件驱动的脚本语言。

    8.2.3. tcpflow

    tcpflow也是一个抓包工具,它的特点是以流为单位显示数据内容,在分析HTTP等协议的数据时候,用tcpflow会更便捷。

    8.2.3.1. 命令行常用选项

    -b max_bytes 定义最大抓取流量

    -e name 指定解析的scanner

    -i interface 指定抓取接口

    -o outputdir 指定输出文件夹

    -r file 读取文件

    -R file 读取文件,但是只读取完整的文件

    8.2.4. tshark

    WireShark的命令行工具,可以通过命令提取自己想要的数据,可以重定向到文件,也可以结合上层语言来调用命令行,实现对数据的处理。

    8.2.4.1. 输入接口

    -i指定捕获接口,默认是第一个非本地循环接口

    -f设置抓包过滤表达式,遵循libpcap过滤语法,这个选项在抓包的过程中过滤,如果是分析本地文件则用不到

    -s设置快照长度,用来读取完整的数据包,因为网络中传输有65535的限制,值0代表快照长度65535,默认为65535

    -p 以非混合模式工作,即只关心和本机有关的流量

    -B设置缓冲区的大小,只对windows生效,默认是2M

    -y设置抓包的数据链路层协议,不设置则默认为 -L 找到的第一个协议

    -D 打印接口的列表并退出

    -L 列出本机支持的数据链路层协议,供-y参数使用。

    -r设置读取本地文件

    8.2.4.2. 捕获停止选项

    -c捕获n个包之后结束,默认捕获无限个

    -a

    duration:NUM 在num秒之后停止捕获

    filesize:NUM 在numKB之后停止捕获

    files:NUM 在捕获num个文件之后停止捕获

    8.2.4.3. 处理选项

    -Y使用读取过滤器的语法,在单次分析中可以代替 -R 选项

    -n 禁止所有地址名字解析(默认为允许所有)

    -N 启用某一层的地址名字解析。m 代表MAC层, n 代表网络层, t 代表传输层, C 代表当前异步DNS查找。如果 -n 和 -N 参数同时存在, -n 将被忽略。如果 -n 和 -N 参数都不写,则默认打开所有地址名字解析。

    -d 将指定的数据按有关协议解包输出,如要将tcp 8888端口的流量按http解包,应该写为 -d tcp.port==8888,http 。可用 tshark -d 列出所有支持的有效选择器。

    8.2.4.4. 输出选项

    -w设置raw数据的输出文件。不设置时为stdout

    -F设置输出的文件格式,默认是 .pcapng,使用 tshark -F 可列出所有支持的输出文件类型

    -V 增加细节输出

    -O只显示此选项指定的协议的详细信息

    -P 即使将解码结果写入文件中,也打印包的概要信息

    -S行分割符

    -x 设置在解码输出结果中,每个packet后面以HEX dump的方式显示具体数据

    -T pdml|ps|text|fields|psml 设置解码结果输出的格式,默认为text

    -e 如果 -T 选项指定, -e 用来指定输出哪些字段

    -t a|ad|d|dd|e|r|u|ud 设置解码结果的时间格式

    -u s|hms 格式化输出秒

    -l 在输出每个包之后flush标准输出

    -q 结合 -z 选项进行使用,来进行统计分析

    -X:扩展项,lua_script、read_format

    -z 统计选项,具体的参考文档

    8.2.4.5. 其他选项

    -h 显示命令行帮助

    -v 显示tshark的版本信息

    网络渗透测试嗅探

    8.3. 嗅探工具

    8.3.1. Nmap

    nmap [<扫描类型>...] [<选项>] {<扫描目标说明>}

    8.3.1.1. 指定目标

    CIDR风格 192.168.1.0/24

    逗号分割 www.baidu.com,www.zhihu.com

    分割线 10.22-25.43.32

    来自文件 -iL

    排除不需要的host --exclude--excludefile

    8.3.1.2. 主机发现

    -sL List Scan - simply list targets to scan

    -sn/-sP Ping Scan - disable port scan

    -Pn Treat all hosts as online -- skip host discovery

    -sS/sT/sA/sW/sM TCP SYN/Connect()/ACK/Window/Maimon scans

    -sU UDP Scan

    -sN/sF/sX TCP Null, FIN, and Xmas scans

    8.2.1.3. 端口扫描

    --scanflags 定制的TCP扫描

    -P0 无ping

    PS [port list] (TCP SYN ping) // need root on Unix

    PA [port list] (TCP ACK ping)

    PU [port list] (UDP ping)

    PR (Arp ping)

    p

    F 快速扫描

    r 不使用随机顺序扫描

    8.2.1.4. 服务和版本探测

    -sV 版本探测

    --allports 不为版本探测排除任何端口

    --version-intensity设置 版本扫描强度

    --version-light 打开轻量级模式 // 级别2

    --version-all 尝试每个探测 // 级别9

    --version-trace 跟踪版本扫描活动

    -sR RPC 扫描

    8.2.1.5. 操作系统扫描

    -O 启用操作系统检测

    --osscan-limit 针对指定的目标进行操作系统检测

    --osscan-guess

    --fuzzy 推测操作系统检测结果

    8.2.1.6. 时间和性能

    调整并行扫描组的大小

    --min-hostgroup

    --max-hostgroup

    调整探测报文的并行度

    --min-parallelism

    --max-parallelism

    调整探测报文超时

    --min_rtt_timeout

    --max-rtt-timeout

    --initial-rtt-timeout

    放弃低速目标主机

    --host-timeout

    调整探测报文的时间间隔

    --scan-delay

    --max_scan-delay

    设置时间模板

    -T <paranoid|sneaky|polite|normal|aggressive|insane>

    8.2.1.7. 逃避渗透测试检测相关

    mtu 使用指定的MTU

    -D<decoy1[, ...="" me],="" decoy2][,=""> 使用诱饵隐蔽扫描

    -S<ip_address> 源地址哄骗

    -e使用指定的接口

    --source-port;-g源端口哄骗

    --data-length发送报文时 附加随机数据

    --ttl设置ttl

    --randomize-hosts 对目标主机的顺序随机排列

    --spoof-mac<macaddress, orvendorname="" prefix,=""> MAC地址哄骗

    8.2.1.8. 输出

    -oN标准输出

    -oXXML输出

    -oSScRipTKIdd|3oUTpuT

    -oGGrep输出 -oA输出至所有格式

    8.2.1.9. 细节和调试

    -v 信息详细程度

    -d [level] debug level

    --packet-trace 跟踪发送和接收的报文

    --iflist 列举接口和路由

    在网站安全渗透测试中遇到的检测方法以及绕过方法太多太多,而这些方法都是源于一个目的,就是为了确保网站或平台的安全性想要了解更多的安全检测以及上线前的渗透测试评估可以咨询专业的网站安全公司来达到测试需求,国内推荐Sinesafe,绿盟,启明星辰,深信服等等都是很不错的安全大公司。

     

     

    ①本站资源仅用于学习和交流,勿用于商业。切勿私自传播于网络,将会追究法律责任。
    ②本站其他资源来源网络或者用户投稿,供学习交流之用。如有侵权请联系删除。
    ③如有链接无法下载、失效或广告,请联系管理员处理!
    ④本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    ⑤如果你也有好源码或者教程,可以到审核区发布,分享有本站专属货币奖励和额外收入!
    ⑥如遇到加密压缩包,默认解压密码为"jiuqing97.top",如遇到无法解压的请联系管理员!

    玖居暗巷 » 精华之渗透测试之嗅探流量抓包剖析

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于网页模版、APP源码等类型的资源,文章内用于介绍的图片通常并不包含在对应可供下载资源包内。这些相关商业资源需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些文件也是这种情况,但部分资源会在资源包内有一份下载链接清单。
    玖居暗巷
    一个高级程序员模板开发平台

    Leave a Reply