網絡嗅探與協議分析
基礎內容

1.網絡嗅探Sniff

網絡監聽、網絡竊聽
類似於傳統的電話線竊聽
網絡嗅探技術定義：利用計算機網絡接口截獲目的地為其他計算機的數據報文 ，監聽網絡流中所包含的用戶賬戶密碼或私密信息等

網絡嗅探器(Sniffer)：

實現嗅探的軟件或硬件設備
嗅探獲得數據->二進制格式數據報文
解析和理解二進制數據，獲取各層協議字段和應用層傳輸數據->網絡協議分析

2.以太網的工作原理

載波偵聽/沖突檢測(CSMA/CD: 802.3, carrier sense multiple access with collision detection)技術
載波偵聽：是指在網絡中的每個站點都具有同等的權利， 在傳輸自己的數據時，首先監聽信道是否空閑
如果空閑，就傳輸自己的數據
如果信道被占用，就等待信道空閑
沖突檢測則是為了防止發生兩個站點同時監測到網絡 沒有被使用時而產生沖突
以太網采用了CSMA/CD技術，由於使用了廣播 機制，所以，所有在同一媒介信道上連接的工作站 都可以看到網絡上傳遞的數據

3.以太網卡的工作模式

網卡的MAC地址(48位) ：
通過ARP來解析MAC與IP地址的轉換
用ipconfig/ifconfig可以查看MAC地址
正常情況下，網卡應該只接收這樣的包
MAC地址與自己相匹配的數據幀
廣播包
網卡完成收發數據包的工作，兩種接收模式
混雜模式：不管數據幀中的目的地址是否與自己的地址匹配， 都接收下來
非混雜模式：只接收目的地址相匹配的數據幀，以及廣播數據 包(和組播數據包)
為了監聽網絡上的流量，必須設置為混雜模式

4.交換式網絡中的嗅探攻擊

MAC地址洪泛攻擊

向交換機發送大量虛構MAC地址和IP地址數據包
致使交換機“MAC地址-端口映射表”溢出
交換機切換入所謂的“打開失效”模式- “共享式”
MAC欺騙

假冒所要監聽的主機網卡，將源MAC地址偽造成目標主機的 MAC地址
交換機不斷地更新它的“MAC地址-端口映射表”
交換機就會將本應發送給目標主機的數據包發送給攻擊者
ARP欺騙

利用IP地址與MAC地址之間進行轉換時的協議漏洞

5.應用程序抓包的技術

Unix：BPF,libpcap，==tcpdump==

Windows：NPF，winpcap，windump

p137實踐練習

1.使用Tcpdump

2.使用Wireshark

3.解碼網絡掃描/網絡掃描攻防對抗

攻擊方kali:192.168.214.128
防守方seed:192.168.157.129

攻擊方分別使用nmap -sT/-sS/-sU進行TCP connect()掃描、TCP SYN掃描、UDP端口掃描；
防守方使用sudo tcpdump host 192.168.157.129 嗅探，並將三個抓包文件拖入wireshark進行分析。

Kali 視頻學習

1、openVAS是實施漏洞分析與掃描的工具，可以檢測遠程系統和應用程序中的安全問題。最初作為Nessus的一個子工具，稱為Gnessus。OpenVAS包括一個中央服務器和圖形化的前端。這個服務器允許用戶運行集中各不同的網絡漏洞測試。
2、OpenVAS的使用：
首先在靶機上面確保ping通攻擊機，ping通以後在攻擊機上面登錄openvas，然後創建一個掃描目標，之後創建一個針對掃描目標的任務，成功之後開始掃描，掃描期間可以查看掃描狀態細節，掃描結束後查看掃描結果，結果中包含漏洞詳細信息，亦可導出pdf文件。在pdf報告裏面可以看到目標主機的每個服務存在的漏洞信息。
3、漏洞分析的一系列掃描工具：Golismero是一款開源的web掃描器，它不但自帶不少的安全測試工具，還可導入其他掃描工具的掃描結果，並且自動分析。



Nikto.pl是一款網頁服務器掃描器。



Lynis系統信息收集整理工具可以對linux操作系統詳細配置等信息進行枚舉收集，生成報告文件。

4、漏洞分析之WEB爬行：
針對web網站的掃描，往往需要對網站路徑、頁面、賬戶進行枚舉，這涉及到web安全中的爬行工具。
工具如下：
cutycapt工具可以使用如下命令對一個網站進行截圖到home文件夾中：
cutycapt --url=http：www.baidu.com/ --out=baidu.png
Dirbuster是kali下的圖形化目錄掃描器，擁有直觀的掃描結果。
5、漏洞分析之WEB漏洞掃描工具:Joomla Scanner、SkipFish、Uniscan、w3af、Wapiti、webshag、Websoloit

2017-2018網絡攻防第四周作業