第四周网络攻防总结

一、教材内容总结

　　网络嗅探与协议分析为攻击者进行网络协议攻击、口令破解与系统入侵提供了重要的信息来源途径，作为被动攻击技术，很难被察觉，对局域网安全构成了持久的安全威胁。而对防御者而言，网络嗅探与协议分析技术可以帮助网络管理员对网络的运行状态、传输信息进行实时监控，也是网络入侵检测系统、网络流量监控与管理系统等安全管理设备的技术基石。

　　网络嗅探

　　网络嗅探技术是一种窃听技术，与传统的电话窃听在电话线路上对特定号码的通话内容进行监听类似，网络嗅探利用计算机的网络接口截获目的地为其他计算机的数据报文，以监听数据流中所包含的用户账号或私密信息等。实现网络嗅探技术的工具称为网络嗅探器，嗅探器捕获的数据报文是经过封包处理之后的二进制数据，因此通常会结合网络协议分析技术来解析嗅探到的网络数据，这样才能恢复出TCP/IP协议栈上各层网络协议的内容，以及实际发送的应用层信息。网络嗅探器也可以按照实现形式分为软件嗅探器和硬件嗅探器，其中硬件嗅探器是通过专用硬件对网络数据进行捕获和分析的，通常也成为协议分析仪，其速度快但是价格昂贵；软件嗅探器则一般实现为不同类型操作系统上的应用软件，通过对网卡编程实现，易于实现，但是速度慢。

      在交换机与集线器混合连接的网络中，网络嗅探仍能够捕获交换机同一端口上连接的主机通信。即使在纯交换的网络中，也可以采用如下技术手段使得本不应到达的数据包到达本地，就能实现嗅探。

     （1）MAC地址洪泛攻击：是指向交换机发送大量含有虚构MAC地址和IP地址的数据包，致使交换机“MAC地址－端口映射表溢出”无法处理，使得交换机进入所谓的“打开失效”模式。
     （2）MAC欺骗：MAC欺骗的目的是假冒所要监听的主机网卡，攻击者通过将源MAC地址伪造成目标地址的源MAC地址，并将这样的数据包通过交换机发送出去，使得交换机相信攻击者主机的MAC地址就是目标主机的MAC地址。
     （3）ARP欺骗：ARP欺骗是利用IP地址与MAC地址之间进行转换时的协议漏洞，达到MAC地址欺骗，这是目前交换式网络中最常用的嗅探技术手段。

       类UNIX平台网络嗅探器软件

       类UNIX平台网络嗅探器软件一般都是基于标准接口BPF与libpcap，最常用的包括libpcap抓包开发库、tcpdump以及wireshark嗅探器软件。

       网络协议分析

  网络协议分析是对网络上传输的二进制格式数据包进行解析，以恢复出各层网络协议信息以及传输内容的技术方法。最常见的网络协议分析工具就是wireshark。

二、教材作业

  攻击方用nmap扫描，防守方用tcpdump嗅探，用Wireshark分析

  攻击机ip: 192.168.11.253. 靶机 ip：192.168.11.152.

         

         

 

         

      进行ping 通

 

      

    使用tcpdump嗅探

     

攻击机使用nmap扫描

靶机使用wireshark分析

 三、视频学习

1.漏洞分析之OpenVAS使用

了解漏洞分析工具openvas的使用

查看所选靶机的ip地址

查看连通性

首先访问本地https://localhost：9392/登录openvas的web管理界面

创建扫描目标target


5.创建扫描任务task

开始任务

查看扫描状态细节
查看扫描结果，包含漏洞详细信息，也可导出PDF文件
导出扫描结果报告文件
快速扫描可使用QuickStart

2.漏洞分析之扫描工具

本节主要介绍Kali Linux下漏洞分析工具中扫描工具的使用。除openvas外，还有以下漏洞分析扫描工具：WEB漏洞扫描器Golismero与Nikto，以及系统信息扫描收集工具Lynis与unix-privese-check。

WEB扫描工具Golismero

Golismero采用了插件式的框架结构，提供了一系列接口，用户只要继承并实现这些插口，就可以定义自己的插件。根据插件的功能，可分为四类，每个类别的插件的接口都不同。
（1）ImportPlugin（导入插件）：导入插件主要是用来加载其他安全工具的扫描结果；
（2）TestingPlugin（测试插件）：测试插件主要用来测试或者渗透入侵的插件；
（3）ReportPlugin（报表插件）：报表插件主要是对测试结果生成报表。
（4）UIPlugin（界面插件）：界面插件主要是用于和用户交互的，显示当前系统的运行情况。
查看插件命令：golismero plugins





命令的使用：golismero scan http://192.168.30.130/
扫描器进行扫描的过程截图：


此扫描的扫描过程比较杂乱，对扫描报告的生成也不够规范和友好。

漏洞扫描器Nikto.pl

扫描百度的命令：nikto -h http://baidu.cn.com/
扫描器扫描过程截图：

对多个端口扫描：

Lynis系统信息收集整理工具

对Linux操作系统详细配置等信息进行枚举收集，生成易懂的报告文件。
扫描工具的使用：


使用-Q避免交互：

unix-privesc-check信息收集工具

使用命令：

漏洞分析之WEB爬行

了解漏洞分析工具中WEB爬行工具的使用。
1.用户枚举脚本apache-users
2.网站截图工具cutycapt

3.强大的目录扫描工具DIRB


4.Dirbuster：Kali下的图形化目录扫描器，拥有直观的扫描效果



5.Vega：Kali下的WVS，使用简单易懂

6.WebSlayer：由WFuzz发展出来的Web爆破工具

漏洞分析之WEB漏洞扫描（一）

了解Kali下的漏洞分析工具中WEB漏洞扫描的使用
1.cadaver

2.DAVTest：测试对支持WebDAV的服务器上传文件等。
3.Deblaze：针对FLASII远程调用等的枚举
4.Fimap：文件包含漏洞利用工具
5.Grabber

漏洞分析之WEB漏洞扫描（二）

1.Joomla Scanner：类似于Wpscan的扫描器，针对特定CMS（Joomla）


2.SkipFish

skipfish -o ~/report123 http://www.163.com/


生成报告文件


3.Uniscan WVS：简单易用的WEB漏洞扫描器


4.W3AF


5.Wapiti


6.webshag:集成调用框架：调用nmap，Uscan，信息收集，爬虫等功能，使扫描过程更易。

7.WebSploit：是一个开源项目，主要用于远程扫描和分析系统漏洞。使用它可以非常容易和快速发现系统中存在的问题，并用于深入分析。