常见⽹络攻击⽅法解析——侦查攻击(未完待续)
⾸先我们要知道常见的⽹络攻击⽅法有哪些:
1.侦查攻击
2.接⼊攻击
3.拒绝服务攻击
睡美人之宅接下来我们开始按顺序逐个讲解实操,看完本⽂相信对你⼀定有所帮助~今天我们更新的内容是“侦查攻击”的步骤,如果您觉得质量不错请分享给更多需要的⼈~
侦查攻击
侦查攻击分为四部来讲解:数据包嗅探器、ping扫描、端⼝扫描、internet信息扫描。 数据包嗅探器(packet sniffer)部分:
本⽂以Wireshark作为有线抓包及分析⼯具进⾏讲解。 Wireshark下载地址:h/download.html
Wireshark 是⼀款优秀的开源⽹络报⽂分析⼯具。⽹络报⽂分析⼯具的主要作⽤是尝试捕获⽹络上的数据,并解析显⽰报⽂尽可能详细的情况。
Wireshark的⼀些常见应⽤场景:
Wireshark的⼀些常见应⽤场景:
1. ⽹络⼯程师⽤来排查解决⽹络问题
2. ⽹络安全⼯程师⽤来检测安全隐患
4. 深⼊学习理解各⽹络协议
Wireshark的作⽤
1、⼀般分析任务
2、故障任务
3、安全分析(⽹络取证)任务
4、应⽤程序分析任务
如何使⽤Wireshark抓包(捕获数据包)
1、打开Wireshark,点击下图左上⾓的捕获选项按钮,选择对应的⽹卡(可选择⽆线⽹卡),即可开始抓包。
2、如只需抓取某⼀特定类型的数据包,可以在过滤器添加对应的过滤选项。点击绿⾊按钮可以查看⽀持的过滤规则。 抓包过程中,点击停⽌捕获分组即可停⽌抓包。
端⼝镜像抓包:通过在交换机上将需要抓包的接⼝镜像到交换机的另⼀个接⼝,将装有Wireshark的P
C接⼊镜像⼝捕获
端⼝镜像抓包:通过在交换机上将需要抓包的接⼝镜像到交换机的另⼀个接⼝,将装有Wireshark的PC接⼊镜像⼝捕获数据包。
直接捕获终端⽹卡数据包:当某台PC出现⽹络故障,可以直接在该PC⽹⼝进⾏抓包分析,来定位⽹络故障的原因;当某台服务器访问异常,也可直接在服务器⽹⼝进⾏抓包,确认终端请求的数据包是否到达服务器,或数据包是否异常。
其他抓包⽅法:1、链路中的其他设备⽀持抓包的,可直接在该设备进⾏抓包。如深信服上⽹⾏为管理,即可在web界⾯直接使⽤抓包⼯具进⾏抓包。2、Linux系统tcpdump命令抓包。
从Wireshark看⽹络分层
•应⽤层:从上图可以看出,该数据包的应⽤层承载的是⼀个HTTP报⽂。
唐家寺的雨伞•传输层:从上图看到这⼀层使⽤的是TCP协议,应⽤层产⽣的HTTP数据就是由TCP来控制传输的,点开该层可以看到源端⼝、⽬的端⼝、seq、ack等⼀系列信息,它们⽤于⽹络包的排序、重传、流量控制等。虽然叫“传输层”,但它并不是把⽹络包从⼀个设备传输到另⼀个设备,⽽只是对传输⾏为进⾏控制。真正负责设备间传输的是下⾯两层。•⽹络层:本层的任务主要是把TCP层传下来的数据加上⽬标IP和源IP。有了源⽬IP才可以成功将数据送达对⽅。•数据链路层:从上图可以看出,本层将上层传下来的数据加上相邻2个设备的MAC地址,这样该⽹络包才能以接⼒的⽅式送达⽬标地址。
我们来举⼀个例⼦:
从这个例⼦中,我们可以看到⽹络分层就像有序的分⼯,每⼀层都有⾃⼰的责任范围,上层协议完成后就交给下⼀层,最终形成⼀个完整的⽹络包。
Wireshark常⽤过滤规则民意网
过滤某⼀个IP地址的所有包:ip.addr==192.168.1.1
过滤某⼀个MAC地址的所有包:eth.addr==00:01:02:03:04:05
过滤某⼀个TCP端⼝的所有包:tcp.port==80
过滤某⼀个UDP端⼝的所有包:udp.port==53
二连浩特发生一起中毒事故致4死
过滤协议:tcp、udp、arp、icmp、http、smtp、ftp、dns、bootp等过滤TCP参数:tcp.flags 显⽰包含TCP标志的封包
set == 1 显⽰TCP RST标志的封包
排除某⼀类包:! 或者not 例如:排除arp包:!arp 或者 not arp
过滤端⼝范围:tcp.port >= 1 and tcp.port <= 80
过滤多个协议:tcp.port==80 or dns
过滤IP分⽚包:ip.fragment
ping扫描(ping sweep)
现代⽹络安全威胁-ping命令详解
现代⽹络安全威胁-ping命令详解
现代⽹络安全威胁-ping命令详解
通过ping扫描确认给定ip段内存活的主机
虚拟主持人Ping命令详解:
Ping命令详解:
ping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r count] [-s count] [-j computer-list] | [-k computer-list] [-w timeout] destination-list
-c count ping指定次数后停⽌ping;
-i 设定间隔⼏秒发送⼀个ping包,默认⼀秒ping⼀次;
-w timeout 指定超时间隔,单位为毫秒。
Shell脚本:
#! /bin/bash
#monitor hosts online or offline
while true
do
for ADD in `cat `
do
ping -c 3 -i 0.2 -W 3 $ADD &> /dev/null
if [ $? -eq 0 ]
then echo "the host $ADD is online,"`date "+%Y-%m-%d %H:%M:%S"`
else
echo "the host $ADD is offline!"`date "+%Y-%m-%d %H:%M:%S"`
echo "the host $ADD is offline!"`date "+%Y-%m-%d %H:%M:%S"` >> error.log
延吉市十二中fi
done
done
中的内容:
172.30.0.1
172.30.0.2
172.30.0.3
……
172.30.0.10
……
172.30.0.20
……
172.30.0.30
…
…
172.30.0.254
端⼝扫描(port scan)
侦查攻击——扫描端⼝
仅仅是有⽬标的I P 地址还不够,⿊客还需要收集⽬标计算机的各种信息,例如操作系统版本、开放的服务
端⼝、端⼝提供的服务类型及软件版本等。了解这些信息能够帮助攻击者发现⽬标机的某些内在弱点,也就是⽬标机开放的端⼝和漏洞之类的东西。
端⼝:IP是门牌号码,端⼝就是家中的⼤门、窗户等。要查看对⽅哪些端⼝打开,然后可以选择由正门进⼊、由窗户爬⼊……等鸡鸣狗盗之⾏为
扫描开放端⼝
⾮商业的端⼝扫描器:Nmap、Super Scan…and more
常见服务对应的端⼝:
Port 21 FTP ⽂件上传下载服务
Port 22 SSH 加密远程连接服务
Port 23 Telnet 主机连接服务
Port 25 SMTP 发信服务
Port 80 HTTP ⽹页服务
Port 110 POP3 收信服务
Port 139 NetBIOS ⽹络邻居、资源管理器连接服务
Port 143 IMAP服务
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议