精華之滲透測試之嗅探流量抓包剖析

在浩瀚??的精華網(wǎng)絡(luò )中安全問(wèn)題是最普遍的需求,很多想要對網(wǎng)站進(jìn)行滲透測試服務(wù)的,來(lái)想要保障網(wǎng)站的安全性防止(′-ι_-｀)被(bei)入侵被攻擊等問(wèn)題,在此我們Sine安全整理了下在滲透安全測試中抓包分析以及嗅探主機服務(wù)類(lèi)型,以及端口掃描等識別應用服務(wù)，來(lái)綜合評估網(wǎng)站安全。滲抓包

8.2.???(′?_?`)1. TCPDump

TCPDump是透測一款數據包的抓取分析工具，可以將網(wǎng)絡(luò )中傳送的嗅探數據包的完全截獲下來(lái)提供分析。它支持針對網(wǎng)絡(luò )層、流量協(xié)議、剖析主機、精華網(wǎng)絡(luò )或端口的滲抓包過(guò)濾，??并提(′▽?zhuān)?供邏輯語(yǔ)句來(lái)過(guò)(′▽?zhuān)?濾包。透測

-B <bu??ffer_size>抓取流量的嗅探緩沖區大小，若過(guò)ヽ(′▽?zhuān)?ノ小則可能丟包，流量單位為KB

-c抓取n個(gè)包后退出

-C <file_size>當前記錄的剖析包超過(guò)一定大小后，另起一個(gè)文件記錄，精華單位為MB

-i指定抓取網(wǎng)卡經(jīng)過(guò)的滲抓包流量

-n 不轉換地址

-r讀取保存的pcap文件

-s從每個(gè)報文(′?_?`)中(′ω｀)截取(qu)snapl??en字節的數據，0為所有數據?

-q 輸出簡(jiǎn)略的透測協(xié)議相關(guān)信息，輸出行都比較簡(jiǎn)短。

-W寫(xiě)滿(mǎn)(′?_?`)c??nt個(gè)文件后就不再寫(xiě)入

按時(shí)間分包時(shí)，可使用strftime的格式命名，例如 %Y_%m_%d_%H_%M_%S.pcap

-G按時(shí)間分包

-v 產(chǎn)生詳細的輸出，-vv -vvv 會(huì )產(chǎn)生更詳細的輸出

-X 輸出報文頭和包的內容

-Z在寫(xiě)文件之前，轉換用戶(hù)

8.2.2. Bro

Bro是一個(gè)開(kāi)源的網(wǎng)絡(luò )流量分析工具，支持多種協(xié)議，可實(shí)時(shí)或者離線(xiàn)分析流量。

8.2.2.1. 命令行

實(shí)時(shí)監控 bro -i

分析本地流量 bro -r<scripts...>

分割解析流量后的日志 bro-cut

8.2.(╯°□°）╯2.2. 腳本

為了能夠擴展和定制Bro的功能，Bro提供了一個(gè)事件驅動(dòng)的腳本語(yǔ)言。

8.2.3. tcpflow

tcpflow也是一個(gè)抓包工具，它的特點(diǎn)是以流為單位顯示數據內容，在分析HTTP等協(xié)議的數據時(shí)候，用tcpflow會(huì )(′?｀)更便捷。

8.2.3.1. 命令行常用選項

-b max_bytes 定義最大抓取流量

-e name 指定解析的scanner

-o outputdir 指定輸出文件夾

-r file 讀取文件

-R file 讀取文件??，但是只讀取完整的文件

8.2.4. tshark

WireShark的命令行工具，可以通過(guò)命令提取自己想要的數據，可以重定向到文件，也可以結合上層語(yǔ)言來(lái)調用命令行，實(shí)現對數據的處理。

8.2.4.1. 輸入接口

-i指定捕獲接口，默認是第一個(gè)非本地循環(huán)接口

-f設置抓包過(guò)濾表達式，遵循libpcap過(guò)濾語(yǔ)法，這個(gè)選項在抓包的過(guò)程中過(guò)濾，如果是分析本地文件則用(′ω｀)不到

-s設置快照長(cháng)度，用來(lái)讀取完整的數據包，因為網(wǎng)絡(luò )中傳輸有65535??的限制，值0代表快照長(cháng)度65535，默認為65535

-p 以非混合模式工作，即只關(guān)心??和本機有(you)關(guān)的流量

-B設置緩沖區的大小，只對windows生效，默認是2M

-L 列出本機支持的數據鏈路層協(xié)議，供-y參(can)數使用。

-r設置讀取本地文件

8.2.4.2. 捕獲停止??選項

-c捕獲n個(gè)包之后結束，默認捕獲無(wú)限個(gè)

duration:NUM 在num秒之ヽ(′ー｀)ノ后停止捕獲

filesize:NUM 在numKB之后停止捕(′_ゝ`)獲

files:NUM 在捕獲num個(gè)文件之后停止捕獲

8.2.4.3. 處理選項

-Y使用讀取過(guò)濾器的語(yǔ)法，在單次分析中可??以代替 -R 選項

-n 禁止所有地址名字解析(默認為允許所有)

-N 啟用某一層的地址名字解析。m 代表MAC層， n 代表網(wǎng)絡(luò )層， t 代表傳輸層， C 代(dai)表當前異步DNS查找。如果 -n 和 -N 參數同時(shí)存在， -n 將被忽略。如果 -n 和 -N 參數都不寫(xiě)，則??默認(ren)打開(kāi)所有地址名字解析。

-d 將指定的數據按有關(guān)協(xié)議解包輸出，如要將tcp 8888端口的流量按http解(jie)包，應該寫(xiě)為 -d tcp.port==8888,http ?？捎?tshark -d 列出所有支持的有效??選擇器。

8.2.4.4. 輸出選項

-w設置raw數據的輸出文件。不設置時(shí)為stdout

-F設ヽ(′▽?zhuān)?ノ置輸出的文件格式，默認是 .pcapng，使用 tshark -F 可列出所(╯°□°）╯︵ ┻━┻有支持的輸出文件類(lèi)型

-V 增加細節輸出

-O只顯示此選項指定的(de)協(xié)議的詳細信息

-P 即使將解碼結果寫(xiě)入文件中，也打印包的概要信息

-T pdm(╬?益?)l|ps|text|fiel??ds|psml 設置解碼結果輸出的格式，默認為text

-e 如果 -T 選項指定， -e 用來(lái)指定輸出哪些字段

-t a|ad|d|dd|e|r|u|ud 設置解碼結果的時(shí)間格式

-u s|hms 格式化輸出秒

-l 在輸出每個(gè)包之后flush標準輸出

-q 結合 -z 選項進(jìn)行使用，來(lái)進(jìn)行統計分析

-X:擴展項，lua_script、read_format

-z 統計選項，具體的參考文檔

8.2.4.5. 其他選項

-h 顯示(shi)命令行幫助

-v 顯示tshark的版本信息

網(wǎng)絡(luò )滲透測試嗅探

8.3.1(′?ω?`). Nmap

n??map [<掃描類(lèi)型>...] [<選項>] { <掃描目標說(shuō)明>}

8.3.1.1. 指定目標

CIDR風(fēng)格?? 192.168.1.0/24

逗號分割 www.baidu.com,www.zhihu.com

分(fen)割線(xiàn) 10.22-25.(′▽?zhuān)?)43.32

來(lái)自文件 -iL??

排除不需要的host --(′_｀)exclude--(′ω｀)excludefile

8.3.1.2. 主機發(fā)現

-sL List Scan - simply list targets to scan

-sn/-sP Ping Scan - disable port scan

-Pn Treat all hosts as online --?? skip host discovery

-(′Д` )sS/sT/sA/sW/sM TCP SYN/Connect()/ACK/Window/Maimon scans

-sU UDP Scan

-sN/sF/sX TCP Null, FIN, and Xmas scans

8.2.1.3. 端口掃描

--scanflags 定制的TC??P掃描

-P0 無(wú)ping

PA [port list] (TCP ACK ping)

PU [port list]? (UDP ping)

PR (Arp ping)

p

F 快速掃描

r 不使用隨機順序掃描

-sV 版本探測

--allports 不為版本探測排除任何端口

--version-intensity設置 版本掃描強度

--version-light 打開(kāi)輕量級(′；ω；`)模式 // 級別2

--version-all 嘗試每個(gè)探測 // 級別9

--version(′▽?zhuān)?)-trace 跟蹤版本掃描活動(dòng)

-sR RPC 掃描

-O 啟用操作系統檢測

--osscan-limit 針對指定的目標進(jìn)行操作系統檢測

--osscan-guess

--fuzzy 推測操作系統檢測結果

8.2.1.6. 時(shí)間和性??能

調整并行掃描組(zu)的大小

--min-hostg??roup

--max-hostgroup

調整探測報文的并行度

--min-paralle(╬?益?)lism

調整探測報文超時(shí)( ?ヮ?)

--min_rtt_timeout

--max-rtt-time(′?｀)out

--initial-rtt-timeout

放棄低速目標主機

--host-tヾ(＾-＾)ノimeout

調整探測報文的時(shí)間間隔

--scan-delay

--max_scan-delay

設置時(shí)間模板

-T <paranoid|sneaky(???)|polite|normal|aggressive|in(/ω＼)sane>

8.2.1.7. 逃避滲透測試檢測相關(guān)

mtu 使用指定的MTU

-S<ip_addres??s> 源地址??哄騙

-e使用指定的接口

--source-port;-g源端口哄騙

--data-length發(fā)送報文時(shí) 附加隨(′?｀*)機數據

--ttl設置ttl

--spoof-mac<macaddress， orvendorname='' prefix，=( ?▽?)""> MAC地址哄騙

8.2.1.8. 輸出

-oN標準輸出

-oXXML輸出

-oSScRipTKIdd|3oUTpuT

8.2.1.9. 細節和調試

-d [level] debug le??vel

--packet-trace 跟蹤發(fā)送和?接收的報文

--iflist 列舉接口和路由

在網(wǎng)站安全滲透測試中遇到的檢測方法以?及繞過(guò)方法太多太多,而這些方法都是源于一個(gè)目的,就是為了確保網(wǎng)站或平臺的安全性想要了解更多的安全檢測以??及上線(xiàn)前的滲透??測試評??估可以咨詢(xún)專(zhuān)業(yè)的網(wǎng)站安全公司來(lái)達到測試需求,國內推薦Sinesafe,綠盟,啟明星辰,深信服等等都是很不錯的安全大公司。