精華之滲透測試之嗅探流量抓包剖析
  • 更新時間:2024-10-24 06:25:56
  • 建站經(jīng)驗
  • 發(fā)布時間:2年前
  • 323

在浩瀚的網(wǎng)絡(luò)中安全問題是最普遍的需求,很多想要對網(wǎng)站進行滲透測試服務(wù)的,來想要保障網(wǎng)站的安全性防止被入侵被攻擊等問題,在此我們Sine安全整理了下在滲透安全測試中抓包分析以及嗅探主機服務(wù)類型,以及端口掃描等識別應(yīng)用服務(wù),來綜合評估網(wǎng)站安全。


8.2.1. TCPDump

TCPDump是一款數(shù)據(jù)包的抓取分析工具,可以將網(wǎng)絡(luò)中傳送的數(shù)據(jù)包的完全截獲下來提供分析。它支持針對網(wǎng)絡(luò)層、協(xié)議、主機、網(wǎng)絡(luò)或端口的過濾,并提供邏輯語句來過濾包。

8.2.1.1. 命令行常用選項

-B <buffer_size>抓取流量的緩沖區(qū)大小,若過小則可能丟包,單位為KB

-c抓取n個包后退出

-C <file_size>當(dāng)前記錄的包超過一定大小后,另起一個文件記錄,單位為MB


-i指定抓取網(wǎng)卡經(jīng)過的流量

-n 不轉(zhuǎn)換地址

-r讀取保存的pcap文件

-s從每個報文中截取snaplen字節(jié)的數(shù)據(jù),0為所有數(shù)據(jù)

-q 輸出簡略的協(xié)議相關(guān)信息,輸出行都比較簡短。

-W寫滿cnt個文件后就不再寫入

-w保存流量至文件


按時間分包時,可使用strftime的格式命名,例如 %Y_%m_%d_%H_%M_%S.pcap

-G按時間分包

-v 產(chǎn)生詳細的輸出,-vv -vvv 會產(chǎn)生更詳細的輸出

-X 輸出報文頭和包的內(nèi)容

-Z在寫文件之前,轉(zhuǎn)換用戶

8.2.2. Bro

Bro是一個開源的網(wǎng)絡(luò)流量分析工具,支持多種協(xié)議,可實時或者離線分析流量。

8.2.2.1. 命令行

實時監(jiān)控 bro -i

分析本地流量 bro -r<scripts...>

分割解析流量后的日志 bro-cut

8.2.2.2. 腳本


為了能夠擴展和定制Bro的功能,Bro提供了一個事件驅(qū)動的腳本語言。

8.2.3. tcpflow

tcpflow也是一個抓包工具,它的特點是以流為單位顯示數(shù)據(jù)內(nèi)容,在分析HTTP等協(xié)議的數(shù)據(jù)時候,用tcpflow會更便捷。

8.2.3.1. 命令行常用選項

-b max_bytes 定義最大抓取流量

-e name 指定解析的scanner

-i interface 指定抓取接口

-o outputdir 指定輸出文件夾

-r file 讀取文件

-R file 讀取文件,但是只讀取完整的文件


8.2.4. tshark

WireShark的命令行工具,可以通過命令提取自己想要的數(shù)據(jù),可以重定向到文件,也可以結(jié)合上層語言來調(diào)用命令行,實現(xiàn)對數(shù)據(jù)的處理。

8.2.4.1. 輸入接口

-i指定捕獲接口,默認是第一個非本地循環(huán)接口

-f設(shè)置抓包過濾表達式,遵循libpcap過濾語法,這個選項在抓包的過程中過濾,如果是分析本地文件則用不到

-s設(shè)置快照長度,用來讀取完整的數(shù)據(jù)包,因為網(wǎng)絡(luò)中傳輸有65535的限制,值0代表快照長度65535,默認為65535

-p 以非混合模式工作,即只關(guān)心和本機有關(guān)的流量

-B設(shè)置緩沖區(qū)的大小,只對windows生效,默認是2M

-y設(shè)置抓包的數(shù)據(jù)鏈路層協(xié)議,不設(shè)置則默認為 -L 找到的第一個協(xié)議

-D 打印接口的列表并退出

-L 列出本機支持的數(shù)據(jù)鏈路層協(xié)議,供-y參數(shù)使用。

-r設(shè)置讀取本地文件

8.2.4.2. 捕獲停止選項

-c捕獲n個包之后結(jié)束,默認捕獲無限個


-a

duration:NUM 在num秒之后停止捕獲

filesize:NUM 在numKB之后停止捕獲

files:NUM 在捕獲num個文件之后停止捕獲

8.2.4.3. 處理選項

-Y使用讀取過濾器的語法,在單次分析中可以代替 -R 選項

-n 禁止所有地址名字解析(默認為允許所有)

-N 啟用某一層的地址名字解析。m 代表MAC層, n 代表網(wǎng)絡(luò)層, t 代表傳輸層, C 代表當(dāng)前異步DNS查找。如果 -n 和 -N 參數(shù)同時存在, -n 將被忽略。如果 -n 和 -N 參數(shù)都不寫,則默認打開所有地址名字解析。

-d 將指定的數(shù)據(jù)按有關(guān)協(xié)議解包輸出,如要將tcp 8888端口的流量按http解包,應(yīng)該寫為 -d tcp.port==8888,http ??捎?tshark -d 列出所有支持的有效選擇器。


8.2.4.4. 輸出選項

-w設(shè)置raw數(shù)據(jù)的輸出文件。不設(shè)置時為stdout

-F設(shè)置輸出的文件格式,默認是 .pcapng,使用 tshark -F 可列出所有支持的輸出文件類型

-V 增加細節(jié)輸出

-O只顯示此選項指定的協(xié)議的詳細信息

-P 即使將解碼結(jié)果寫入文件中,也打印包的概要信息


-S行分割符

-x 設(shè)置在解碼輸出結(jié)果中,每個packet后面以HEX dump的方式顯示具體數(shù)據(jù)

-T pdml|ps|text|fields|psml 設(shè)置解碼結(jié)果輸出的格式,默認為text

-e 如果 -T 選項指定, -e 用來指定輸出哪些字段

-t a|ad|d|dd|e|r|u|ud 設(shè)置解碼結(jié)果的時間格式

-u s|hms 格式化輸出秒


-l 在輸出每個包之后flush標(biāo)準(zhǔn)輸出

-q 結(jié)合 -z 選項進行使用,來進行統(tǒng)計分析

-X:擴展項,lua_script、read_format

-z 統(tǒng)計選項,具體的參考文檔

8.2.4.5. 其他選項

-h 顯示命令行幫助

-v 顯示tshark的版本信息

網(wǎng)絡(luò)滲透測試嗅探


8.3. 嗅探工具

8.3.1. Nmap

nmap [<掃描類型>...] [<選項>] {<掃描目標(biāo)說明>}

8.3.1.1. 指定目標(biāo)

CIDR風(fēng)格 192.168.1.0/24

逗號分割 www.baidu.com,www.zhihu.com

分割線 10.22-25.43.32

來自文件 -iL

排除不需要的host --exclude--excludefile


8.3.1.2. 主機發(fā)現(xiàn)

-sL List Scan - simply list targets to scan

-sn/-sP Ping Scan - disable port scan

-Pn Treat all hosts as online -- skip host discovery

-sS/sT/sA/sW/sM TCP SYN/Connect()/ACK/Window/Maimon scans

-sU UDP Scan

-sN/sF/sX TCP Null, FIN, and Xmas scans


8.2.1.3. 端口掃描

--scanflags 定制的TCP掃描

-P0 無ping

PS [port list] (TCP SYN ping) // need root on Unix

PA [port list] (TCP ACK ping)

PU [port list] (UDP ping)

PR (Arp ping)


p

F 快速掃描

r 不使用隨機順序掃描

8.2.1.4. 服務(wù)和版本探測

-sV 版本探測

--allports 不為版本探測排除任何端口

--version-intensity設(shè)置 版本掃描強度

--version-light 打開輕量級模式 // 級別2

--version-all 嘗試每個探測 // 級別9

--version-trace 跟蹤版本掃描活動

-sR RPC 掃描


8.2.1.5. 操作系統(tǒng)掃描

-O 啟用操作系統(tǒng)檢測

--osscan-limit 針對指定的目標(biāo)進行操作系統(tǒng)檢測

--osscan-guess

--fuzzy 推測操作系統(tǒng)檢測結(jié)果


8.2.1.6. 時間和性能

調(diào)整并行掃描組的大小

--min-hostgroup

--max-hostgroup


調(diào)整探測報文的并行度

--min-parallelism

--max-parallelism


調(diào)整探測報文超時

--min_rtt_timeout

--max-rtt-timeout

--initial-rtt-timeout


放棄低速目標(biāo)主機

--host-timeout


調(diào)整探測報文的時間間隔

--scan-delay

--max_scan-delay


設(shè)置時間模板

-T <paranoid|sneaky|polite|normal|aggressive|insane>


8.2.1.7. 逃避滲透測試檢測相關(guān)

mtu 使用指定的MTU

-D<decoy1[, ...="" me],="" decoy2][,=""> 使用誘餌隱蔽掃描


-S<ip_address> 源地址哄騙

-e使用指定的接口

--source-port;-g源端口哄騙

--data-length發(fā)送報文時 附加隨機數(shù)據(jù)

--ttl設(shè)置ttl


--randomize-hosts 對目標(biāo)主機的順序隨機排列

--spoof-mac<macaddress, orvendorname="" prefix,=""> MAC地址哄騙

8.2.1.8. 輸出

-oN標(biāo)準(zhǔn)輸出

-oXXML輸出

-oSScRipTKIdd|3oUTpuT


-oGGrep輸出 -oA輸出至所有格式

8.2.1.9. 細節(jié)和調(diào)試

-v 信息詳細程度

-d [level] debug level

--packet-trace 跟蹤發(fā)送和接收的報文

--iflist 列舉接口和路由


在網(wǎng)站安全滲透測試中遇到的檢測方法以及繞過方法太多太多,而這些方法都是源于一個目的,就是為了確保網(wǎng)站或平臺的安全性想要了解更多的安全檢測以及上線前的滲透測試評估可以咨詢專業(yè)的網(wǎng)站安全公司來達到測試需求,國內(nèi)推薦Sinesafe,綠盟,啟明星辰,深信服等等都是很不錯的安全大公司。

我們專注高端建站,小程序開發(fā)、軟件系統(tǒng)定制開發(fā)、BUG修復(fù)、物聯(lián)網(wǎng)開發(fā)、各類API接口對接開發(fā)等。十余年開發(fā)經(jīng)驗,每一個項目承諾做到滿意為止,多一次對比,一定讓您多一份收獲!

本文章出于推來客官網(wǎng),轉(zhuǎn)載請表明原文地址:https://www.tlkjt.com/experience/8756.html
推薦文章

在線客服

掃碼聯(lián)系客服

3985758

回到頂部