滲透測試之嗅探流量抓包剖析

時間：2020-03-13作者：青島四海通達電子科技有限公司瀏覽：1100

在浩瀚的網(wǎng)絡中安全問題是較普遍的需求,很多想要對網(wǎng)站進行滲透測試服務的,來想要**網(wǎng)站的安全性防止被入侵被攻擊等問題,在此我們Sine安全整理了下在滲透安全測試中抓包分析以及嗅探主機服務類型,以及端口掃描等識別應用服務，來綜合評估網(wǎng)站安全。

8.2.1. TCPDump

TCPDump是一款數(shù)據(jù)包的抓取分析工具，可以將網(wǎng)絡中傳送的數(shù)據(jù)包的完全截獲下來提供分析。它支持針對網(wǎng)絡層、協(xié)議、主機、網(wǎng)絡或端口的過濾，并提供邏輯語句來過濾包。

8.2.1.1. 命令行常用選項

-B <buffer_size> 抓取流量的緩沖區(qū)大小，若過小則可能丟包，單位為KB

-c <count> 抓取n個包后退出

-C <file_size> 當前記錄的包**過一定大小后，另起一個文件記錄，單位為MB

-i <interface> *抓取網(wǎng)卡經(jīng)過的流量

-n 不轉換地址

-r <file> 讀取保存的pcap文件

-s <snaplen> 從每個報文中截取snaplen字節(jié)的數(shù)據(jù)，0為所有數(shù)據(jù)

-q 輸出簡略的協(xié)議相關信息，輸出行都比較簡短。

-W <cnt> 寫滿cnt個文件后就不再寫入

-w <file> 保存流量至文件

按時間分包時，可使用strftime的格式命名，例如 %Y_%m_%d_%H_%M_%S.pcap

-G <seconds> 按時間分包

-v 產(chǎn)生詳細的輸出，-vv -vvv 會產(chǎn)生較詳細的輸出

-X 輸出報文頭和包的內(nèi)容

-Z <user> 在寫文件之前，轉換用戶




8.2.3.1. 命令行常用選項

-b max_bytes 定義較大抓取流量

-e name *解析的scanner

-i interface *抓取接口

-o outputdir *輸出文件夾

-r file 讀取文件

-R file 讀取文件，但是只讀取完整的文件

8.2.4. tshark

WireShark的命令行工具，可以通過命令提取自己想要的數(shù)據(jù)，可以重定向到文件，也可以結合上層語言來調用命令行，實現(xiàn)對數(shù)據(jù)的處理。

8.2.4.1. 輸入接口

-i <interface> *捕獲接口，默認是**個非本地循環(huán)接口

-f <capture filter> 設置抓**濾表達式，遵循libpcap過濾語法，這個選項在抓包的過程中過濾，如果是分析本地文件則用不到

-s <snaplen> 設置快照長度，用來讀取完整的數(shù)據(jù)包，因為網(wǎng)絡中傳輸有65535的限制，值0代表快照長度65535，默認為65535

-p 以非混合模式工作，即只關心和本機有關的流量

-B <buffer size> 設置緩沖區(qū)的大小，只對windows生效，默認是2M

-y <link type> 設置抓包的數(shù)據(jù)鏈路層協(xié)議，不設置則默認為 -L 找到的**個協(xié)議

-D 打印接口的列表并退出

-L 列出本機支持的數(shù)據(jù)鏈路層協(xié)議，供-y參數(shù)使用。

-r <infile> 設置讀取本地文件

8.2.4.2. 捕獲停止選項

-c <packet count> 捕獲n個包之后結束，默認捕獲無限個

-a <autostop cond>

duration:NUM 在num秒之后停止捕獲

filesize:NUM 在numKB之后停止捕獲

files:NUM 在捕獲num個文件之后停止捕獲

8.2.4.3. 處理選項

-Y <display filter> 使用讀取過濾器的語法，在單次分析中可以代替 -R 選項

-n 禁止所有地址名字解析（默認為允許所有）

-N 啟用某一層的地址名字解析。m 代表MAC層， n 代表網(wǎng)絡層， t 代表傳輸層， C 代表當前異步DNS查找。如果 -n 和 -N 參數(shù)同時存在， -n 將被忽略。如果 -n 和 -N 參數(shù)都不寫，則默認打開所有地址名字解析。

-d 將*的數(shù)據(jù)按有關協(xié)議解包輸出，如要將tcp 8888端口的流量按http解包，應該寫為 -d tcp.port==8888,http 。可用 tshark -d 列出所有支持的有效選擇器。

8.2.4.4. 輸出選項

-w <outfile> 設置raw數(shù)據(jù)的輸出文件。不設置時為stdout

-F <output file type> 設置輸出的文件格式，默認是 .pcapng，使用 tshark -F 可列出所有支持的輸出文件類型

-V 增加細節(jié)輸出

-O <protocols> 只顯示此選項*的協(xié)議的詳細信息

-P 即使將解碼結果寫入文件中，也打印包的概要信息

-S <separator> 行分割符

-x 設置在解碼輸出結果中，每個packet后面以HEX dump的方式顯示具體數(shù)據(jù)

-T pdml|ps|text|fields|psml 設置解碼結果輸出的格式，默認為text

-e 如果 -T 選項*， -e 用來*輸出哪些字段

-t a|ad|d|dd|e|r|u|ud 設置解碼結果的時間格式

-u s|hms 格式化輸出秒

-l 在輸出每個包之后flush標準輸出

-q 結合 -z 選項進行使用，來進行統(tǒng)計分析

-X <key>:<value> 擴展項，lua_script、read_format

-z 統(tǒng)計選項，具體的參考文檔

8.2.1.7. 逃避滲透測試檢測相關

mtu 使用*的MTU

-D<decoy1[， decoy2][， ME]， ...> 使用誘餌隱蔽掃描

-S<IP_Address> 源地址哄騙

-e <interface> 使用*的接口

--source-port<portnumber>;-g<portnumber> 源端口哄騙

--data-length<number> 發(fā)送報文時 附加隨機數(shù)據(jù)

--ttl <value> 設置ttl

--randomize-hosts 對目標主機的順序隨機排列

--spoof-mac<macaddress， prefix， orvendorname> MAC地址哄騙

8.2.1.8. 輸出

-oN<filespec> 標準輸出

-oX<filespec> XML輸出

-oS<filespec> ScRipTKIdd|3oUTpuT

-oG<filespec> Grep輸出 -oA<basename> 輸出至所有格式

8.2.1.9. 細節(jié)和調試

-v 信息詳細程度

-d [level] debug level

--packet-trace 跟蹤發(fā)送和接收的報文

--iflist 列舉接口和路由

在網(wǎng)站安全滲透測試中遇到的檢測方法以及繞過方法太多太多,而這些方法都是源于一個目的,就是為了確保網(wǎng)站或平臺的安全性想要了解更多的安全檢測以及上線前的滲透測試評估可以咨詢專業(yè)的網(wǎng)站安全公司來達到測試需求,國內(nèi)推薦Sinesafe,綠盟,啟**辰,深信服等等都是很不錯的安全大公司。


青島四海通達電子科技有限公司專注于服務器安全,網(wǎng)絡安全公司,網(wǎng)站安全防護,網(wǎng)站漏洞檢測,滲透測試,網(wǎng)站安全,網(wǎng)站漏洞掃描,網(wǎng)站安全檢測等, 歡迎致電 13280888826

• 詞條

  詞條說明

• 影響網(wǎng)絡安全公司的因素

  談到網(wǎng)絡安全，那么任何企業(yè)都無法忽視它！事實上，如果我們考慮Verizon數(shù)據(jù)違規(guī)調查的報告，那么我們將能夠看到60％的網(wǎng)絡攻擊針對中小型企業(yè)，主要是因為它們是相對*的目標。但是，不要因此而被動！相反，網(wǎng)絡安全公司可以選擇更多智能工具和服務，這可以使企業(yè)免受任何類型的網(wǎng)絡威脅。1.確保企業(yè)辦公室硬件安全如今大多數(shù)公司都在爭奪云端！而且，在這種熱潮中，硬件經(jīng)常被忽視。但是，硬件甚至具有重要意義。因

• 疫情期間遠程辦公網(wǎng)站服務器被攻擊 該如何進行防御？

  2020年疫情當前，為了較大程度降低**面對面交流接觸、降低傳染隱患，實施遠程移動辦公現(xiàn)已成為各個領域復工復產(chǎn)的至關重要手段。但一下子大規(guī)模網(wǎng)絡移動辦公操作，會帶來非常多安全隱患問題，尤其是數(shù)據(jù)安全和信息泄露安全問題。企業(yè)一旦把業(yè)務平臺部署到互聯(lián)網(wǎng)公開訪問，由于網(wǎng)站平臺安全防護不足，*遭到網(wǎng)絡黑客的攻擊；為了方便一些服務器維護人員直接開啟了服務器80、443、3389、21、22等對外端口，很

• 如何維護網(wǎng)絡安全

  如何維護網(wǎng)絡安全一、自律上網(wǎng)，進退有度。要把控好每日使用手機、電腦的時間，定時、**、有規(guī)律地進行體驗、不沉迷網(wǎng)絡游戲，別因玩游戲上癮入迷。學生應該以學習和戶外活動為主，過度地看手機、玩電腦對眼睛有著較度殺傷力和不可逆轉的損害!保護好視力，保護好眼睛，是十分重要的事!二、文明上網(wǎng)，綠色健康。三、安全上網(wǎng)，明辨是非。電腦安裝好*墻，手機裝好防病毒軟件，定期殺毒升級。有數(shù)據(jù)庫的電腦及時較新木馬庫，及

• 服務器安全防護措施有哪些

  以下是一些常見的服務器安全防護措施：定期較新和升級操作系統(tǒng)和軟件，及時安裝較新的補丁和安全較新，以修復已知的漏洞和安全問題。強化訪問控制，包括使用強密碼、多因素認證、限制登錄嘗試次數(shù)、限制遠程訪問等。只授權必要的人員訪問服務器，并定期審查和較新訪問權限。配置和管理*墻，限制入站和出站流量，阻止未經(jīng)授權的訪問和攻擊?？梢允褂镁W(wǎng)絡安全設備，如入侵檢測和防御系統(tǒng)，監(jiān)控網(wǎng)絡流量和異?；顒印Ｊ褂眉用軈f(xié)議和