第四周网络攻防作业

壹 教材第四章的学习

4.1 网络嗅探

网络嗅探（Sniff)是一种黑客常用的窃听技术。它利用计算机的网络接口截获目的地为其他计算机的数据报文，以监听数据流中所包含的用户账户密码或私密信息等。实现网络嗅探技术的工具成为嗅探器Sniffer。
网络嗅探的危害与作用：网络嗅探是一把双刃剑。其嗅探的被动性与非干扰性，使其具有很强的隐蔽性，让网络信息泄漏者难以察觉。网络管理员可以利用它来查看网络故障。网络嗅探技术与工具分类：网络嗅探技术可以按照所监听的链路层网络进行分类。以太网（Ethernet）与Wi-Fi是目前有线局域网与无线局域网最流行的链路层协议，也是目前的网络嗅探器主要监听对象。网络嗅探器可以按照实现形式分为软件嗅探器和硬件嗅探器。
网络嗅探器的原理与实现：以太网工作原理；共享式网络与交换式网络中的嗅探；使本应达不到的数据包到达本地而实现嗅探的技术手段是：1 MAC地址洪泛攻击 2 MAC欺骗 3 ARP欺骗

类UNIX平台的网络嗅探技术实现

类UNIX平台的网络嗅探技术主要通过内核态的BPF和用户态的lipcap抓包工具实现。

Windows平台的网络嗅探技术实现

Windows操作系统内核并不提供标准的网络嗅探与抓包接口，因此需要增加一个驱动程序或网络组件来访问内核网卡驱动中捕获的数据包。而目前最常用的是与类UNIX平台上的BPF模块兼容的NPF。NPF是一个内核态虚拟设备驱动程序，他的功能是过滤数据包，并将这些数据包原封不动的传给用户态模块。

网络嗅探器的软件

类UNIX平台上的网络嗅探其软件：一般是基于接口标准BPF与lipcap最常用的包括：lipcap抓包开发库、tcpdump以及wireshark嗅探器软件。还有一些其他的嗅探器软件：如dsniff、sniffit、和linux_sniffer.

windows平台的网络嗅探器软件

类unix平台上的BPF/libpcap/tcpdump标准嗅探接口与程序在WINDOWS平台上也有相应的移植版本，即NPF/wincap/windump。著名的开源网络嗅探软件wireshark也有window版本。还有SnifferPro、Buttsniffer、NetMon、NetworkAssociates Sniffer.

网络嗅探的检测：

在同一主机上可以通过检查网卡是否是否运行在混杂模式下，来发现正在监听的嗅探器。 在网络中进行探测与识别嗅探器的工具软件:AntiSniff.其扫描策略包括:DNS测试、ARP测试、以及以太网Ping测试、ICMP时间延时测试、ping丢包率测试。

网络嗅探的防范措施

1 采用安全的网络拓扑，尽量将共享式升级为交换式网络，并通过在交换机上设置VLAN等技术手段，对网络进行合理的分段，从而是网络包只转发到目的主机上。
2 用静态ARP或者MAC-端口映射表代替动态机制。
3 重视网络数据传输的集中位置 点的安全防范。
4 避免使用明文传输口令或敏感信息的网络协议，而是使用加密及安全增强的网络协议进行替代。

4.2 网络协议分析

网络协议分析技术
网络协议分析技术的原理
网络协议分析原则与主机的解包过程类似，需要从底向上逐层解析网络协议。网络协议的典型过程包括一下5步。参考教材《网络攻击技术与实现》P128.
网络协议分析技术与实现
Snort是1998年用C语言开发的开源网络入侵检测系统，基于网络嗅探开发库lipcap,发展至今，已经成为一个多平台的网络入侵检测/防御系统。也支持基本的网络数据嗅探与协议分析特性。过程如下:(1)解析以太网数据帧（2）解析IP数据包（3）解析TCP数据包。详细参考教材P132。

网络协议分析工具：Wireshark

Wireshar是一款开源的网络数据包分析工具，其主要作用是捕获数据包，对数据包进行协议分析以尽可能的显示详细的信息，并以更容易的理解的格式呈现给用户。它被用于解决网络故障，进行系统管理与安全管理，学习网络协议等多个方面。

Wireshark功能介绍

Wireshark在网络嗅探功能方面支持对多种类型的网络接口，包括以太网、802.11无线网等，并支持从网络中截获数据包及从离线的记录文件中读取网络数据包；
Wireshark的使用：
过滤器设置捕捉时过滤的基本设置：

贰 kali视频学习

web扫描工具 golismero


除却综合漏洞扫描工具Openvas,kali下还有其他漏洞扫描工具，包括Web漏洞扫描器Golismero与Nikto,以及系统信息扫描工具Lynis与unix-privesc-check,以下将对其进行介绍与使用：

1 Golismero扫描器

Golismero是一款开源的web扫描器。以扫描靶机为例。它的扫描过程截图如下：

2 漏洞扫描器Nikti.pl

3 Lynis系统信息收集工具

4 unix-privesc-check

kali漏洞分析之web爬行

在kaliz中工具如下：

1 Apache-users用户枚举脚本
2 CutyCapt:网站截图工具

了解kali linux下漏洞分析工具中web漏洞扫描器的使用：

漏洞扫描的工具：

cadaver:

2 davtest:
3 deblaze 针对FLASH远程调用的枚举

4 fimap 文件包含漏洞利用工具

5 Grabber漏洞扫描器
web漏洞扫描器
1 joomla scanner
2 skipfish
3 uniscan wvs 简单易用的web漏洞扫描器

4 w3af web应用程序攻击和检查框架

5 wapiti

6 webshag 集成调用框架

7 websploit 是一个开源项目主要用于远程扫描和漏洞分析

叁 教材动手实践

1 wireshark进行嗅探

telnet方式登录BBS网站，www.bdwm.net


wirshark进行嗅探分析:

肆 小结

网络嗅探与协议分析是攻击者进行实施网络协议攻击的一件利器，也是进行口令破解等其他主动性攻击所依赖的基础技术。同时对于防御者来说，网络嗅探与协议分析也是他们能够成功发现网络攻击行为进行深入研究分析所必须掌握的基本技能。本次学习对网络嗅探与网络协议的分析的技术原理。系统实现与主流软件进行了介绍，并结合tcpdump、wireshark等开源网络嗅探与协议分析工具的实践，让我进一步的加深对网络攻防技术的理解与运用。

伍 学习进度条

kali视频（11到15）的学习
网络攻防教材的第四章的学习