精華之滲透測試之嗅探流量抓包剖析

發(fā)布時間：2024-04-27

在浩瀚的網(wǎng)絡中安全問題是最普遍的需求,很多想要對網(wǎng)站進行滲透測試服務的,來想要保障網(wǎng)站的安全性防止被入侵被攻擊等問題,在此我們sine安全整理了下在滲透安全測試中抓包分析以及嗅探主機服務類型,以及端口掃描等識別應用服務，來綜合評估網(wǎng)站安全。
8.2.1. tcpdump
tcpdump是一款數(shù)據(jù)包的抓取分析工具，可以將網(wǎng)絡中傳送的數(shù)據(jù)包的完全截獲下來提供分析。它支持針對網(wǎng)絡層、協(xié)議、主機、網(wǎng)絡或端口的過濾，并提供邏輯語句來過濾包。
8.2.1.1. 命令行常用選項
-b <buffer_size>抓取流量的緩沖區(qū)大小，若過小則可能丟包，單位為kb
-c抓取n個包后退出
-c <file_size>當前記錄的包超過一定大小后，另起一個文件記錄，單位為mb
-i指定抓取網(wǎng)卡經(jīng)過的流量
-n 不轉(zhuǎn)換地址
-r讀取保存的pcap文件
-s從每個報文中截取snaplen字節(jié)的數(shù)據(jù)，0為所有數(shù)據(jù)
-q 輸出簡略的協(xié)議相關(guān)信息，輸出行都比較簡短。
-w寫滿cnt個文件后就不再寫入
-w保存流量至文件
按時間分包時，可使用strftime的格式命名，例如 %y_%m_%d_%h_%m_%s.pcap
-g按時間分包
-v 產(chǎn)生詳細的輸出，-vv -vvv 會產(chǎn)生更詳細的輸出
-x 輸出報文頭和包的內(nèi)容
-z在寫文件之前，轉(zhuǎn)換用戶
8.2.2. bro
bro是一個開源的網(wǎng)絡流量分析工具，支持多種協(xié)議，可實時或者離線分析流量。
8.2.2.1. 命令行
實時監(jiān)控 bro -i
分析本地流量 bro -r<scripts…>
分割解析流量后的日志 bro-cut
8.2.2.2. 腳本
為了能夠擴展和定制bro的功能，bro提供了一個事件驅(qū)動的腳本語言。
8.2.3. tcpflow
tcpflow也是一個抓包工具，它的特點是以流為單位顯示數(shù)據(jù)內(nèi)容，在分析http等協(xié)議的數(shù)據(jù)時候，用tcpflow會更便捷。
8.2.3.1. 命令行常用選項
-b max_bytes 定義最大抓取流量
-e name 指定解析的scanner
-i interface 指定抓取接口
-o outputdir 指定輸出文件夾
-r file 讀取文件
-r file 讀取文件，但是只讀取完整的文件
8.2.4. tshark
wireshark的命令行工具，可以通過命令提取自己想要的數(shù)據(jù)，可以重定向到文件，也可以結(jié)合上層語言來調(diào)用命令行，實現(xiàn)對數(shù)據(jù)的處理。
8.2.4.1. 輸入接口
-i指定捕獲接口，默認是第一個非本地循環(huán)接口
-f設置抓包過濾表達式，遵循libpcap過濾語法，這個選項在抓包的過程中過濾，如果是分析本地文件則用不到
-s設置快照長度，用來讀取完整的數(shù)據(jù)包，因為網(wǎng)絡中傳輸有65535的限制，值0代表快照長度65535，默認為65535
-p 以非混合模式工作，即只關(guān)心和本機有關(guān)的流量
-b設置緩沖區(qū)的大小，只對windows生效，默認是2m
-y設置抓包的數(shù)據(jù)鏈路層協(xié)議，不設置則默認為 -l 找到的第一個協(xié)議
-d 打印接口的列表并退出
-l 列出本機支持的數(shù)據(jù)鏈路層協(xié)議，供-y參數(shù)使用。
-r設置讀取本地文件
8.2.4.2. 捕獲停止選項
-c捕獲n個包之后結(jié)束，默認捕獲無限個
-a
duration:num 在num秒之后停止捕獲
filesize:num 在numkb之后停止捕獲
files:num 在捕獲num個文件之后停止捕獲
8.2.4.3. 處理選項
-y使用讀取過濾器的語法，在單次分析中可以代替 -r 選項
-n 禁止所有地址名字解析(默認為允許所有)
-n 啟用某一層的地址名字解析。m 代表mac層， n 代表網(wǎng)絡層， t 代表傳輸層， c 代表當前異步dns查找。如果 -n 和 -n 參數(shù)同時存在， -n 將被忽略。如果 -n 和 -n 參數(shù)都不寫，則默認打開所有地址名字解析。
-d 將指定的數(shù)據(jù)按有關(guān)協(xié)議解包輸出，如要將tcp 8888端口的流量按http解包，應該寫為 -d tcp.port==8888,http ?？捎?tshark -d 列出所有支持的有效選擇器。
8.2.4.4. 輸出選項
-w設置raw數(shù)據(jù)的輸出文件。不設置時為stdout
-f設置輸出的文件格式，默認是 .pcapng，使用 tshark -f 可列出所有支持的輸出文件類型
-v 增加細節(jié)輸出
-o只顯示此選項指定的協(xié)議的詳細信息
-p 即使將解碼結(jié)果寫入文件中，也打印包的概要信息
-s行分割符
-x 設置在解碼輸出結(jié)果中，每個packet后面以hex dump的方式顯示具體數(shù)據(jù)
-t pdml|ps|text|fields|psml 設置解碼結(jié)果輸出的格式，默認為text
-e 如果 -t 選項指定， -e 用來指定輸出哪些字段
-t a|ad|d|dd|e|r|u|ud 設置解碼結(jié)果的時間格式
-u s|hms 格式化輸出秒
-l 在輸出每個包之后flush標準輸出
-q 結(jié)合 -z 選項進行使用，來進行統(tǒng)計分析
-x:擴展項，lua_script、read_format
-z 統(tǒng)計選項，具體的參考文檔
8.2.4.5. 其他選項
-h 顯示命令行幫助
-v 顯示tshark的版本信息
網(wǎng)絡滲透測試嗅探
8.3. 嗅探工具
8.3.1. nmap
nmap [<掃描類型>…] [<選項>] {<掃描目標說明>}
8.3.1.1. 指定目標
cidr風格 192.168.1.0/24
逗號分割 www.baidu.com,www.zhihu.com
分割線 10.22-25.43.32
來自文件 -il
排除不需要的host –exclude–excludefile
8.3.1.2. 主機發(fā)現(xiàn)
-sl list scan – simply list targets to scan
-sn/-sp ping scan – disable port scan
-pn treat all hosts as online — skip host discovery
-ss/st/sa/sw/sm tcp syn/connect()/ack/window/maimon scans
-su udp scan
-sn/sf/sx tcp null, fin, and xmas scans
8.2.1.3. 端口掃描
–scanflags 定制的tcp掃描
-p0 無ping
ps [port list] (tcp syn ping) // need root on unix
pa [port list] (tcp ack ping)
pu [port list] (udp ping)
pr (arp ping)
p
f 快速掃描
r 不使用隨機順序掃描
8.2.1.4. 服務和版本探測
-sv 版本探測
–allports 不為版本探測排除任何端口
–version-intensity設置 版本掃描強度
–version-light 打開輕量級模式 // 級別2
–version-all 嘗試每個探測 // 級別9
–version-trace 跟蹤版本掃描活動
-sr rpc 掃描
8.2.1.5. 操作系統(tǒng)掃描
-o 啟用操作系統(tǒng)檢測
–osscan-limit 針對指定的目標進行操作系統(tǒng)檢測
–osscan-guess
–fuzzy 推測操作系統(tǒng)檢測結(jié)果
8.2.1.6. 時間和性能
調(diào)整并行掃描組的大小
–min-hostgroup
–max-hostgroup
調(diào)整探測報文的并行度
–min-parallelism
–max-parallelism
調(diào)整探測報文超時
–min_rtt_timeout
–max-rtt-timeout
–initial-rtt-timeout
放棄低速目標主機
–host-timeout
調(diào)整探測報文的時間間隔
–scan-delay
–max_scan-delay
設置時間模板
-t <paranoid|sneaky|polite|normal|aggressive|insane>
8.2.1.7. 逃避滲透測試檢測相關(guān)
mtu 使用指定的mtu
-d<decoy1[， …=\”\” me]，=\”\” decoy2][，=\”\”> 使用誘餌隱蔽掃描
-s<ip_address> 源地址哄騙
-e使用指定的接口
–source-port;-g源端口哄騙
–data-length發(fā)送報文時 附加隨機數(shù)據(jù)
–ttl設置ttl
–randomize-hosts 對目標主機的順序隨機排列
–spoof-mac<macaddress， orvendorname=\”\” prefix，=\”\”> mac地址哄騙
8.2.1.8. 輸出
-on標準輸出
-oxxml輸出
-osscriptkidd|3output
-oggrep輸出 -oa輸出至所有格式
8.2.1.9. 細節(jié)和調(diào)試
-v 信息詳細程度
-d [level] debug level
–packet-trace 跟蹤發(fā)送和接收的報文
–iflist 列舉接口和路由
在網(wǎng)站安全滲透測試中遇到的檢測方法以及繞過方法太多太多,而這些方法都是源于一個目的,就是為了確保網(wǎng)站或平臺的安全性想要了解更多的安全檢測以及上線前的滲透測試評估可以咨詢專業(yè)的網(wǎng)站安全公司來達到測試需求,國內(nèi)推薦sinesafe,綠盟,啟明星辰,深信服等等都是很不錯的安全大公司。