20169217 2016-2017-2 《网络攻防实践》第四周学习总结
教材内容总结
网络嗅探
SNIFFER要捕获的东西必须是要物理信号能收到的报文信息。显然只要通知网卡接收其收到的所有包,在集线器下就能接收到这个网段的所有包,但是交换机下就只能是自己的包加上广播包。
要想在交换机下接收别人的包,那就要让其发往你的机器所在口。交换机记住一个口的MAC是通过接收来自这个口的数据后并记住其源MAC,就像一个机器的IP与MAC对应的ARP列表,交换机维护一个物理口与MAC的表,所以可以欺骗交换机的。可以发一个包设置源MAC是你想接收的机器的MAC,那么交换机就把你机器的网线插的物理口与那个MAC对应起来了,以后发给那个MAC的包就发往你的网线插口了也就是你的网卡可以Sniffer到了。注意这物理口与MAC的表与机器的ARP表一样是动态刷新的,那机器发包后交换HUB就又记住他的口了,所以实际上是两个在争,这只能应用在只要收听少量包就可以的场合。 内部网基于IP的通信可以用ARP欺骗别人机器让其发送给你的机器,如果要想不影响原来两方的通信,可以欺骗两方,让其都发给你的机器再由你的机器转发,相当于做中间人,这用ARP加上编程很容易实现。并且现在很多设备支持远程管理,有很多交换机可以设置一个口监听别的口,不过这就要管理权限了。
利用这一点,可以将一台计算机的网络连接设置为接受所有以太网总线上的数据,从而实现Sniffer。Sniffer就是一种能将本地网卡状态设成‘混杂’状态的软件,当网卡处于这种“混杂”方式时,该网卡具备“广播地址”,它对遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。(绝大多数的网卡具备置成混杂模式的能力) 可见,Sniffer工作在网络环境中的底层,它会拦截所有的正在网络上传送的数据,并且通过相应的软件处理,可以实时分析这些数据的内容,进而分析所处的网络状态和整体布局。值得注意的是:Sniffer是极其安静的,它是一种消极的安全攻击。 嗅探器在功能和设计方面有很多不同。有些只能分析一种协议,而另一些可能能够分析几百种协议。一般情况下,大多数的嗅探器至少能够分析下面的协议:标准以太网、TCP/IP、IPX。
提出问题:在自己的计算机设置网络嗅探器的过程中,未发现网络适配器。
解决办法:下载WinPcap就可以使用了。
网络协议分析
由于TCP/IP协议是Internet的基础协议,所以对TCP/IP协议的完善和改进是非常必要的。TCP/IP协议从开始设计时候并没有考虑到 现在网络上如此多的威胁,由此导致了许多形形色色的攻击方法,一般针对协议原理的攻击(尤其是DDOS)我们无能为力。现将TCP/IP攻击的常用原理介 绍如下:
(1) 源地址欺骗(Source Address Spoofing)、IP欺骗(IP Spoofing)和DNS欺骗(DNS Spoofing).其基本原理:是利用IP地址并不是出厂的时候与MAC固定在一起的,攻击者通过自封包和修改网络节点的IP地址,冒充某个可信节点的 IP地址,进行攻击。主要有三种手法:
1. 瘫痪真正拥有IP的可信主机,伪装可信主机攻击服务器;
2. 中间人攻击;
3. DNS欺骗(DNS Spoofing)和“会话劫持”(Session Hijack);
(2) 源路由选择欺骗(Source Routing Spoofing)。原理:利用IP数据包中的一个选项-IP Source Routing来指定路由,利用可信用户对服务器进行攻击,特别是基于UDP协议的由于其是面向非连接的,更容易被利用来攻击;
(3) 路由选择信息协议攻击(RIP Attacks)。原理:攻击者在网上发布假的路由信息,再通过ICMP重定向来欺骗服务器路由器和主机,将正常的路由器标志为失效,从而达到攻击的目的。
(4) TCP序列号欺骗和攻击(TCP Sequence Number Spoofing and Attack),基本有三种:
1. 伪造TCP序列号,构造一个伪装的TCP封包,对网络上可信主机进行攻击;
2. SYN攻击(SYN Attack)。这类攻击手法花样很多,蔚为大观。但是其原理基本一致,让TCP协议无法完成三次握手协议;
3. Teardrop攻击(Teardrop Attack)和Land攻击(Land Attack)。原理:利用系统接收IP数据包,对数据包长度和偏移不严格的漏洞进行的。.
wireshark实验
抓取报文:
下载和安装好Wireshark之后,启动Wireshark并且在接口列表中选择接口名,然后开始在此接口上抓包。例如,如果想要在无线网络上抓取流量,点击无线接口。点击Capture Options可以配置高级属性。
点击接口名称之后,就可以看到实时接收的报文。Wireshark会捕捉系统发送和接收的每一个报文。如果抓取的接口是无线并且选项选取的是混合模式,那么也会看到网络上其他报文。
上端面板每一行对应一个网络报文,默认显示报文接收时间(相对开始抓取的时间点),源和目标IP地址,使用协议和报文相关信息。点击某一行可以在下面两个窗口看到更多信息。“+”图标显示报文里面每一层的详细信息。底端窗口同时以十六进制和ASCII码的方式列出报文内容。
需要停止抓取报文的时候,点击左上角的停止按键。
色彩标识:
进行到这里已经看到报文以绿色,蓝色,黑色显示出来。Wireshark通过颜色让各种流量的报文一目了然。比如默认绿色是TCP报文,深蓝色是DNS,浅蓝是UDP,黑色标识出有问题的TCP报文——比如乱序报文。
报文样本:
比如说你、在家安装了Wireshark,但家用LAN环境下没有感兴趣的报文可供观察,那么可以去Wireshark wiki下载报文样本文件。 打开一个抓取文件相当简单,在主界面上点击Open并浏览文件即可。也可以在Wireshark里保存自己的抓包文件并稍后打开。
过滤报文:
如果正在尝试分析问题,比如打电话的时候某一程序发送的报文,可以关闭所有其他使用网络的应用来减少流量。但还是可能有大批报文需要筛选,这时要用到Wireshark过滤器。 最基本的方式就是在窗口顶端过滤栏输入并点击Apply(或按下回车)。例如,输入“dns”就会只看到DNS报文。输入的时候,Wireshark会帮助自动完成过滤条件。
也可以点击Analyze菜单并选择Display Filters来创建新的过滤条件。
另一件很有趣的事情是可以右键报文并选择Follow TCP Stream。
你会看到在服务器和目标端之间的全部会话。
关闭窗口之后,你会发现过滤条件自动被引用了——Wireshark显示构成会话的报文。
检查报文: 选中一个报文之后,就可以深入挖掘它的内容了。
也可以在这里创建过滤条件——只需右键细节并使用Apply as Filter子菜单,就可以根据此细节创建过滤条件。
Wireshark是一个非常之强大的工具,第一节只介绍它的最基本用法。网络专家用它来debug网络协议实现细节,检查安全问题,网络协议内部构件等等。
转载于:https://www.cnblogs.com/dkyliuhongyi/p/6587940.html
20169217 2016-2017-2 《网络攻防实践》第四周学习总结相关推荐
- 20169220 网络攻防实践 第二周学习总结
20169220 赵京鸣 2016/2017-2 第二周学习总结 进度:1.教材第1-2章/12章 2.Kali教学视频1-5/36 3.查找2个安全工具/5 4.国内外黑客.电影书籍了解 5.lin ...
- 20169212 2016-2017-2 《网络攻防实践》第四周学习总结
20169212 2016-2017-2 <网络攻防实践>第四周学习总结 教材学习中的问题和解决过程 wireshark学习 主机:Kali ip:192.168.1.117 目标:www ...
- 20159208 《网络攻防实践》第七周学习总结
20159208 <网络攻防实践>第七周学习总结 教材学习内容总结 20159208 <网络攻防实践>第七周学习总结 教材学习内容总结 本周主要学习了教材的第七章:Window ...
- 2017-2018-2 20179204《网络攻防实践》第八周学习总结
第1节 教材学习内容总结 本周学习了教材第八章的内容. 1.1 linux操作系统基本框架概述 发展出众多操作系统发行版:ubuntu.debian.fedora.centos.rhel.opensu ...
- 20159206《网络攻防实践》第五周学习总结
20159206<网络攻防实践>第五周学习总结 教材学习内容总结 本周教材主要学习了第十一章和第十二章. 第十一章主要讲了WEB应用程序的安全攻防.首先介绍了WEB应用程序和WEB应用体系 ...
- 20189222 《网络攻防实践》 第四周作业
20189222<网络攻防实践>第4周学习总结 教材学习内容总结 本周学习了教材第四章的内容,第四章主要讲了网络嗅探与协议分析 1.网络嗅探 定义:利用网络接口截获数据报文.由于数据报文是 ...
- 20179214《网络攻防实践》第二周学习总结
20179214<网络攻防实践>第二周学习总结 a.对师生关系的理解 传统师生关系可能是教与学的关系,这种关系比较适合于大学一下的教学阶段,小学,初中,高中,在中国的大部分地区采用的多是这 ...
- 20159206《网络攻防实践》第四周学习总结
20159206<网络攻防实践>第四周学习总结 教材学习内容总结 本章主要介绍了网络嗅探和协议分析 网络嗅探是一种常用的窃听技术,利用计算机的网络接口截获目的地为其他计算机的数据报文,以监 ...
- 20189222 《网络攻防实践》第二周作业
20189222<网络攻防实践>第2周学习总结 教材学习内容总结 第一章: 要点1:分清黑客与骇客,提倡在掌握技术的同时,还要遵循黑客道德与法律法规. 要点2:网络攻防的主要内容包括系统安 ...
- 20179214 《网络攻防实践》第五周学习
20179214 <网络攻防实践>第五周学习 web应用程序体系结构及其安全威胁 web应用程序体系结构 浏览器 标准的web客户端, Web服务器 通常被简单的描述为http守护程序,接 ...
最新文章
- 微信三方授权域名问题
- MTM:matlab实现2参数解析
- 量子计算机的体积有多大,量子计算机也能实现摩尔定律
- Java Web整体异常处理
- IOC操作Bean管理XML方式(FactoryBean)
- 7-183 阅览室 (20 分)
- 【转】想象5年后的你
- 怎样对php使用systemctl启动,Centos7 配置php-fpm服务到systemctl
- ubuntu jdk tomcat mysql_linux-ubuntu tomcat jdk 及 mysql 安装配置
- 学习构造函数、拷贝构造函数、析构函数和重载运算符
- ShipConstructor 2006 v1.00 1CD(加拿大船舶建造软件)
- 麦肯锡:数字化转型四步法!
- 2021年最完整的html网页跳转代码大全
- 在线演示(动画演示)各种算法的实现过程
- 实体门店营销,抽奖系统为何独占鳌头
- 【懒懒的Python学习笔记六】
- 基于STM32L432KC,通过RT-Thread Studio打造一个迷你时钟
- QT去除控件被选中后的焦点虚线框
- HEVC代码学习13:predInterSearch函数
- SQL语句 sum函数为空时返回0
热门文章
- 永久更改打开matlab时工作目录
- php服务器启动错误,服务器意外重启之后PHP-FPM不能启动
- 【图像增强】python图像数据增强
- AttributeError: module ‘tensorflow‘ has no attribute ‘ConfigProto‘
- DeepFake技术--Deepfakes教程及各个换脸软件下载
- 2021-07-31mysql 登录退出
- python未知数的矩阵运算,机器学习的数学 之python矩阵运算
- kubernetes pod介绍
- html同时用多个css,多类选择器的运用_html/css_WEB-ITnose
- pycharm git使用_通过Pycharm中的版本控制工具VCS使用Git