精華之滲透測(cè)試之嗅探流量抓包剖析
  • 更新時(shí)間:2024-12-26 21:50:29
  • 建站經(jīng)驗(yàn)
  • 發(fā)布時(shí)間:2年前
  • 374

在浩瀚的網(wǎng)絡(luò)中安全問(wèn)題是最普遍的需求,很多想要對(duì)網(wǎng)站進(jìn)行滲透測(cè)試服務(wù)的,來(lái)想要保障網(wǎng)站的安全性防止被入侵被攻擊等問(wèn)題,在此我們Sine安全整理了下在滲透安全測(cè)試中抓包分析以及嗅探主機(jī)服務(wù)類型,以及端口掃描等識(shí)別應(yīng)用服務(wù),來(lái)綜合評(píng)估網(wǎng)站安全。


8.2.1. TCPDump

TCPDump是一款數(shù)據(jù)包的抓取分析工具,可以將網(wǎng)絡(luò)中傳送的數(shù)據(jù)包的完全截獲下來(lái)提供分析。它支持針對(duì)網(wǎng)絡(luò)層、協(xié)議、主機(jī)、網(wǎng)絡(luò)或端口的過(guò)濾,并提供邏輯語(yǔ)句來(lái)過(guò)濾包。

8.2.1.1. 命令行常用選項(xiàng)

-B <buffer_size>抓取流量的緩沖區(qū)大小,若過(guò)小則可能丟包,單位為KB

-c抓取n個(gè)包后退出

-C <file_size>當(dāng)前記錄的包超過(guò)一定大小后,另起一個(gè)文件記錄,單位為MB


-i指定抓取網(wǎng)卡經(jīng)過(guò)的流量

-n 不轉(zhuǎn)換地址

-r讀取保存的pcap文件

-s從每個(gè)報(bào)文中截取snaplen字節(jié)的數(shù)據(jù),0為所有數(shù)據(jù)

-q 輸出簡(jiǎn)略的協(xié)議相關(guān)信息,輸出行都比較簡(jiǎn)短。

-W寫滿cnt個(gè)文件后就不再寫入

-w保存流量至文件


按時(shí)間分包時(shí),可使用strftime的格式命名,例如 %Y_%m_%d_%H_%M_%S.pcap

-G按時(shí)間分包

-v 產(chǎn)生詳細(xì)的輸出,-vv -vvv 會(huì)產(chǎn)生更詳細(xì)的輸出

-X 輸出報(bào)文頭和包的內(nèi)容

-Z在寫文件之前,轉(zhuǎn)換用戶

8.2.2. Bro

Bro是一個(gè)開源的網(wǎng)絡(luò)流量分析工具,支持多種協(xié)議,可實(shí)時(shí)或者離線分析流量。

8.2.2.1. 命令行

實(shí)時(shí)監(jiān)控 bro -i

分析本地流量 bro -r<scripts...>

分割解析流量后的日志 bro-cut

8.2.2.2. 腳本


為了能夠擴(kuò)展和定制Bro的功能,Bro提供了一個(gè)事件驅(qū)動(dòng)的腳本語(yǔ)言。

8.2.3. tcpflow

tcpflow也是一個(gè)抓包工具,它的特點(diǎn)是以流為單位顯示數(shù)據(jù)內(nèi)容,在分析HTTP等協(xié)議的數(shù)據(jù)時(shí)候,用tcpflow會(huì)更便捷。

8.2.3.1. 命令行常用選項(xiàng)

-b max_bytes 定義最大抓取流量

-e name 指定解析的scanner

-i interface 指定抓取接口

-o outputdir 指定輸出文件夾

-r file 讀取文件

-R file 讀取文件,但是只讀取完整的文件


8.2.4. tshark

WireShark的命令行工具,可以通過(guò)命令提取自己想要的數(shù)據(jù),可以重定向到文件,也可以結(jié)合上層語(yǔ)言來(lái)調(diào)用命令行,實(shí)現(xiàn)對(duì)數(shù)據(jù)的處理。

8.2.4.1. 輸入接口

-i指定捕獲接口,默認(rèn)是第一個(gè)非本地循環(huán)接口

-f設(shè)置抓包過(guò)濾表達(dá)式,遵循libpcap過(guò)濾語(yǔ)法,這個(gè)選項(xiàng)在抓包的過(guò)程中過(guò)濾,如果是分析本地文件則用不到

-s設(shè)置快照長(zhǎng)度,用來(lái)讀取完整的數(shù)據(jù)包,因?yàn)榫W(wǎng)絡(luò)中傳輸有65535的限制,值0代表快照長(zhǎng)度65535,默認(rèn)為65535

-p 以非混合模式工作,即只關(guān)心和本機(jī)有關(guān)的流量

-B設(shè)置緩沖區(qū)的大小,只對(duì)windows生效,默認(rèn)是2M

-y設(shè)置抓包的數(shù)據(jù)鏈路層協(xié)議,不設(shè)置則默認(rèn)為 -L 找到的第一個(gè)協(xié)議

-D 打印接口的列表并退出

-L 列出本機(jī)支持的數(shù)據(jù)鏈路層協(xié)議,供-y參數(shù)使用。

-r設(shè)置讀取本地文件

8.2.4.2. 捕獲停止選項(xiàng)

-c捕獲n個(gè)包之后結(jié)束,默認(rèn)捕獲無(wú)限個(gè)


-a

duration:NUM 在num秒之后停止捕獲

filesize:NUM 在numKB之后停止捕獲

files:NUM 在捕獲num個(gè)文件之后停止捕獲

8.2.4.3. 處理選項(xiàng)

-Y使用讀取過(guò)濾器的語(yǔ)法,在單次分析中可以代替 -R 選項(xiàng)

-n 禁止所有地址名字解析(默認(rèn)為允許所有)

-N 啟用某一層的地址名字解析。m 代表MAC層, n 代表網(wǎng)絡(luò)層, t 代表傳輸層, C 代表當(dāng)前異步DNS查找。如果 -n 和 -N 參數(shù)同時(shí)存在, -n 將被忽略。如果 -n 和 -N 參數(shù)都不寫,則默認(rèn)打開所有地址名字解析。

-d 將指定的數(shù)據(jù)按有關(guān)協(xié)議解包輸出,如要將tcp 8888端口的流量按http解包,應(yīng)該寫為 -d tcp.port==8888,http ??捎?tshark -d 列出所有支持的有效選擇器。


8.2.4.4. 輸出選項(xiàng)

-w設(shè)置raw數(shù)據(jù)的輸出文件。不設(shè)置時(shí)為stdout

-F設(shè)置輸出的文件格式,默認(rèn)是 .pcapng,使用 tshark -F 可列出所有支持的輸出文件類型

-V 增加細(xì)節(jié)輸出

-O只顯示此選項(xiàng)指定的協(xié)議的詳細(xì)信息

-P 即使將解碼結(jié)果寫入文件中,也打印包的概要信息


-S行分割符

-x 設(shè)置在解碼輸出結(jié)果中,每個(gè)packet后面以HEX dump的方式顯示具體數(shù)據(jù)

-T pdml|ps|text|fields|psml 設(shè)置解碼結(jié)果輸出的格式,默認(rèn)為text

-e 如果 -T 選項(xiàng)指定, -e 用來(lái)指定輸出哪些字段

-t a|ad|d|dd|e|r|u|ud 設(shè)置解碼結(jié)果的時(shí)間格式

-u s|hms 格式化輸出秒


-l 在輸出每個(gè)包之后flush標(biāo)準(zhǔn)輸出

-q 結(jié)合 -z 選項(xiàng)進(jìn)行使用,來(lái)進(jìn)行統(tǒng)計(jì)分析

-X:擴(kuò)展項(xiàng),lua_script、read_format

-z 統(tǒng)計(jì)選項(xiàng),具體的參考文檔

8.2.4.5. 其他選項(xiàng)

-h 顯示命令行幫助

-v 顯示tshark的版本信息

網(wǎng)絡(luò)滲透測(cè)試嗅探


8.3. 嗅探工具

8.3.1. Nmap

nmap [<掃描類型>...] [<選項(xiàng)>] {<掃描目標(biāo)說(shuō)明>}

8.3.1.1. 指定目標(biāo)

CIDR風(fēng)格 192.168.1.0/24

逗號(hào)分割 www.baidu.com,www.zhihu.com

分割線 10.22-25.43.32

來(lái)自文件 -iL

排除不需要的host --exclude--excludefile


8.3.1.2. 主機(jī)發(fā)現(xiàn)

-sL List Scan - simply list targets to scan

-sn/-sP Ping Scan - disable port scan

-Pn Treat all hosts as online -- skip host discovery

-sS/sT/sA/sW/sM TCP SYN/Connect()/ACK/Window/Maimon scans

-sU UDP Scan

-sN/sF/sX TCP Null, FIN, and Xmas scans


8.2.1.3. 端口掃描

--scanflags 定制的TCP掃描

-P0 無(wú)ping

PS [port list] (TCP SYN ping) // need root on Unix

PA [port list] (TCP ACK ping)

PU [port list] (UDP ping)

PR (Arp ping)


p

F 快速掃描

r 不使用隨機(jī)順序掃描

8.2.1.4. 服務(wù)和版本探測(cè)

-sV 版本探測(cè)

--allports 不為版本探測(cè)排除任何端口

--version-intensity設(shè)置 版本掃描強(qiáng)度

--version-light 打開輕量級(jí)模式 // 級(jí)別2

--version-all 嘗試每個(gè)探測(cè) // 級(jí)別9

--version-trace 跟蹤版本掃描活動(dòng)

-sR RPC 掃描


8.2.1.5. 操作系統(tǒng)掃描

-O 啟用操作系統(tǒng)檢測(cè)

--osscan-limit 針對(duì)指定的目標(biāo)進(jìn)行操作系統(tǒng)檢測(cè)

--osscan-guess

--fuzzy 推測(cè)操作系統(tǒng)檢測(cè)結(jié)果


8.2.1.6. 時(shí)間和性能

調(diào)整并行掃描組的大小

--min-hostgroup

--max-hostgroup


調(diào)整探測(cè)報(bào)文的并行度

--min-parallelism

--max-parallelism


調(diào)整探測(cè)報(bào)文超時(shí)

--min_rtt_timeout

--max-rtt-timeout

--initial-rtt-timeout


放棄低速目標(biāo)主機(jī)

--host-timeout


調(diào)整探測(cè)報(bào)文的時(shí)間間隔

--scan-delay

--max_scan-delay


設(shè)置時(shí)間模板

-T <paranoid|sneaky|polite|normal|aggressive|insane>


8.2.1.7. 逃避滲透測(cè)試檢測(cè)相關(guān)

mtu 使用指定的MTU

-D<decoy1[, ...="" me],="" decoy2][,=""> 使用誘餌隱蔽掃描


-S<ip_address> 源地址哄騙

-e使用指定的接口

--source-port;-g源端口哄騙

--data-length發(fā)送報(bào)文時(shí) 附加隨機(jī)數(shù)據(jù)

--ttl設(shè)置ttl


--randomize-hosts 對(duì)目標(biāo)主機(jī)的順序隨機(jī)排列

--spoof-mac<macaddress, orvendorname="" prefix,=""> MAC地址哄騙

8.2.1.8. 輸出

-oN標(biāo)準(zhǔn)輸出

-oXXML輸出

-oSScRipTKIdd|3oUTpuT


-oGGrep輸出 -oA輸出至所有格式

8.2.1.9. 細(xì)節(jié)和調(diào)試

-v 信息詳細(xì)程度

-d [level] debug level

--packet-trace 跟蹤發(fā)送和接收的報(bào)文

--iflist 列舉接口和路由


在網(wǎng)站安全滲透測(cè)試中遇到的檢測(cè)方法以及繞過(guò)方法太多太多,而這些方法都是源于一個(gè)目的,就是為了確保網(wǎng)站或平臺(tái)的安全性想要了解更多的安全檢測(cè)以及上線前的滲透測(cè)試評(píng)估可以咨詢專業(yè)的網(wǎng)站安全公司來(lái)達(dá)到測(cè)試需求,國(guó)內(nèi)推薦Sinesafe,綠盟,啟明星辰,深信服等等都是很不錯(cuò)的安全大公司。

我們專注高端建站,小程序開發(fā)、軟件系統(tǒng)定制開發(fā)、BUG修復(fù)、物聯(lián)網(wǎng)開發(fā)、各類API接口對(duì)接開發(fā)等。十余年開發(fā)經(jīng)驗(yàn),每一個(gè)項(xiàng)目承諾做到滿意為止,多一次對(duì)比,一定讓您多一份收獲!

本文章出于推來(lái)客官網(wǎng),轉(zhuǎn)載請(qǐng)表明原文地址:https://www.tlkjt.com/experience/8756.html
推薦文章

在線客服

掃碼聯(lián)系客服

3985758

回到頂部