网络嗅探与协议分析
基础内容

1.网络嗅探Sniff

网络监听、网络窃听
类似于传统的电话线窃听
网络嗅探技术定义：利用计算机网络接口截获目的地为其他计算机的数据报文 ，监听网络流中所包含的用户账户密码或私密信息等

网络嗅探器(Sniffer)：

实现嗅探的软件或硬件设备
嗅探获得数据->二进制格式数据报文
解析和理解二进制数据，获取各层协议字段和应用层传输数据->网络协议分析

2.以太网的工作原理

载波侦听/冲突检测(CSMA/CD: 802.3, carrier sense multiple access with collision detection)技术
载波侦听：是指在网络中的每个站点都具有同等的权利， 在传输自己的数据时，首先监听信道是否空闲
如果空闲，就传输自己的数据
如果信道被占用，就等待信道空闲
冲突检测则是为了防止发生两个站点同时监测到网络 没有被使用时而产生冲突
以太网采用了CSMA/CD技术，由于使用了广播 机制，所以，所有在同一媒介信道上连接的工作站 都可以看到网络上传递的数据

3.以太网卡的工作模式

网卡的MAC地址(48位) ：
通过ARP来解析MAC与IP地址的转换
用ipconfig/ifconfig可以查看MAC地址
正常情况下，网卡应该只接收这样的包
MAC地址与自己相匹配的数据帧
广播包
网卡完成收发数据包的工作，两种接收模式
混杂模式：不管数据帧中的目的地址是否与自己的地址匹配， 都接收下来
非混杂模式：只接收目的地址相匹配的数据帧，以及广播数据 包(和组播数据包)
为了监听网络上的流量，必须设置为混杂模式

4.交换式网络中的嗅探攻击

MAC地址洪泛攻击

向交换机发送大量虚构MAC地址和IP地址数据包
致使交换机“MAC地址-端口映射表”溢出
交换机切换入所谓的“打开失效”模式- “共享式”
MAC欺骗

假冒所要监听的主机网卡，将源MAC地址伪造成目标主机的 MAC地址
交换机不断地更新它的“MAC地址-端口映射表”
交换机就会将本应发送给目标主机的数据包发送给攻击者
ARP欺骗

利用IP地址与MAC地址之间进行转换时的协议漏洞

5.应用程序抓包的技术

Unix：BPF,libpcap，==tcpdump==

Windows：NPF，winpcap，windump

p137实践练习

1.使用Tcpdump

2.使用Wireshark

3.解码网络扫描/网络扫描攻防对抗

攻击方kali:192.168.214.128
防守方seed:192.168.157.129

攻击方分别使用nmap -sT/-sS/-sU进行TCP connect()扫描、TCP SYN扫描、UDP端口扫描；
防守方使用sudo tcpdump host 192.168.157.129 嗅探，并将三个抓包文件拖入wireshark进行分析。

Kali 视频学习

1、openVAS是实施漏洞分析与扫描的工具，可以检测远程系统和应用程序中的安全问题。最初作为Nessus的一个子工具，称为Gnessus。OpenVAS包括一个中央服务器和图形化的前端。这个服务器允许用户运行集中各不同的网络漏洞测试。
2、OpenVAS的使用：
首先在靶机上面确保ping通攻击机，ping通以后在攻击机上面登录openvas，然后创建一个扫描目标，之后创建一个针对扫描目标的任务，成功之后开始扫描，扫描期间可以查看扫描状态细节，扫描结束后查看扫描结果，结果中包含漏洞详细信息，亦可导出pdf文件。在pdf报告里面可以看到目标主机的每个服务存在的漏洞信息。
3、漏洞分析的一系列扫描工具：Golismero是一款开源的web扫描器，它不但自带不少的安全测试工具，还可导入其他扫描工具的扫描结果，并且自动分析。



Nikto.pl是一款网页服务器扫描器。



Lynis系统信息收集整理工具可以对linux操作系统详细配置等信息进行枚举收集，生成报告文件。

4、漏洞分析之WEB爬行：
针对web网站的扫描，往往需要对网站路径、页面、账户进行枚举，这涉及到web安全中的爬行工具。
工具如下：
cutycapt工具可以使用如下命令对一个网站进行截图到home文件夹中：
cutycapt --url=http：www.baidu.com/ --out=baidu.png
Dirbuster是kali下的图形化目录扫描器，拥有直观的扫描结果。
5、漏洞分析之WEB漏洞扫描工具:Joomla Scanner、SkipFish、Uniscan、w3af、Wapiti、webshag、Websoloit