标签:png 基于ip地址 aot over 本地应用 访问 vlan 防火 文件内容
有需要的请查看脑图版http://naotu.baidu.com/file/c74183f46a5c9ed21b48d95baa7bdc65?token=001e59b49f756370
密码为:iqGm
介绍安装和抓一个包
伯克利(BPF)网卡捕获过滤
显示过滤器->菜单栏输入框根据表达式->可创建自定义过滤器
数据包细节面板右键直接创建
每隔10秒捕获文件分包,避免文件过大停止响应
环状缓冲区,新的覆盖旧的文件
解析名称
保存配置文件,方便换电脑
eNSP华为虚拟设备软件
VMware PC虚拟工具
Kali Linux 2集成工具渗透测试操作系统
eNSP 与 VMware 进行连接通信
网线的抓包(物理层),只需一条网线,比特流会顺着网线的方向移动到下一个设备,无需IP,只用物理层!
集线器的抓包(物理层),也工作在物理层,不识别ip和mac,自身复制n-1份数据分发到 网口,俗称广播
交换机(数据链路层,替代集线器),交换机能识别数据包内容,俗称转发
路由器(网络层),数据包从网关到达目标所在子网的过程
远程数据包获取
远程桌面安装RPCAP,数据转发给监听主机
交换机的端口镜像
模拟集线器,把一个端口的流量复制转发到多个端口
ARP欺骗(中间人NITM攻击)
ARPSpoof或Cain
A说我是网关,受欺骗的B把数据包都发送给A
网络分路器(类似端口镜像,额外硬件)
本地流量获取
Wireshark不能抓取环回数据包
RawCap抓本地包到Wireshark分析
虚拟流量获取
桥接(Bridge)独立物理机,监听正常网卡,过滤eth.addr== 虚拟机硬件地址
仅主机(Host-only)不能连接主机以外的设备,监听虚拟网卡即可
NAT 监听 NAT的网卡即可
虚拟网络设备搭建一套HTTP访问过程
抓包访问过程
TCP3次握手是客户端操作系统发出,HTTP请求数据包是由客户端应用发出
本地应用程序花费时间 = 客户端发送TCP数据包和HTTP构造请求或应答之间的时间间隔
Wireshark支持时间精度切换,纳秒需要网卡支持,增加新列tcp_time_delta进行对比
网络延迟(SYN+ACK) = 抓包TCP三次握手中第二次ACK应答的服务器响应时间判断是否延迟
客户端延迟(应用层请求) = 抓包TCP三次握手后的首次HTTP请求发起时间
服务器延迟(应用层回应) = (S的回应时间 - C首次HTTP请求发起时间) - 网络延迟时间
建立仿真网络
1.检查网卡,ipconfig查看是否正常
2.检查ip配置,ipconfig,发现是DHCP
分析DCHP Discover数据包 255.255.255.255 广播数据包 0.0.0.0计算机没有IP地址
3.检查网关连接,ping
网关关闭
ARP协议问题
Arp -a 查看系统缓存 ARP表
4. 获取域名服务器的IP
对比DNS失败包和正常包的区别
5.网络路径连通性
traceroute利用TTL值特性,下一跳TTL值累加1
PingPlotter可指定数据包大小
Wireshark配合下抓包可以看到具体 路由器、IP协议包
6.其他
用户提供URL或端口错误
人为出错
防火墙屏蔽
所有ICMP数据包无法响应
应用程序不正常工作
ICMP可能显示 Destination Host is Unreachable或Destination Port is Unreachable
可TCP连接不正常的话,还有
用户授权、权限、认证
应用程序配置,错误故障
交换机常用攻击
MAC地址欺骗
修改自己的MAC跟监听主机一致,交换机发送数据到目的端口
MAC地址泛洪攻击
利用交换机CAM表不能工作时数据包全部端口转发的机制,制造大量数据帧导致CAM表爆满.
STP操纵攻击
伪造BPDU传播生成树信息,动态改变网络拓扑,劫持所有网络流量.
广播风暴攻击
ARP、DHCP的广播大量复制
实战抓包分析Switch.pcapng
通过捕获文件属性 ,统计大量来历不明的ip数据包
通过协议分级分析
通过会话统计分析
分析出MAC地址泛洪攻击
分析攻击源头
使用Kali Linux 2中macof工具发起MAC泛洪攻击
如何防御MAC泛洪
限制某一端口MAC地址数量为8个
中间人攻击相关理论
ARP协议相关理论
ARP欺骗原理
专家系统分析中间人攻击
发起中间人攻击
使用arpspoof截获数据包
动态ARP表的情况下
转发数据包到真实网关
使用Wireshark发起攻击
如何防御
静态绑定ARP表,绑定网关
DHCP Snooping监听,维护绑定表进行ARP检测
划分VLAN,限制攻击者范围
泪滴攻击相关理论
IP协议格式
IP分片
泪滴攻击
Wireshark着色规则查看
根据TTL值判断攻击来源
12.SYN Flooding洪水,传输层
DoS拒绝服务攻击理论
TCP建立连接
SYN flooding攻击
使用Hping3发起攻击
使用Wireshark流向图flow graph分析
如何防御
丢弃第一个SYN数据包(需客户端发送两次SYN数据包)
反向探测,根据SYN数据包源地址发送探测包,判断合法性
代理模式,防火墙代替服务器建立半开连接,建立连接后再进行转发到服务器
在Wireshark中显示地理位置,查看DDoS
TCP流的传输和Wireshark中的追踪
Wireshark可以导出流的数据 Export Objects
手动导出一个图片
网络取证实践
1.和Ann通信的好友叫什么?
查看包ip,地理位置插件发现目的地址,,判别为AIM通信,SSL Decode AS AIm,查看AIM Messaging
2.第一条消息是什么?
数据包TVL部分
3.Ann传送的文件名是什么
追踪TCP流
4.查看Magic number是什么?标志头用于辨识文件类型,最前面4Bytes
用WinHex查看流最前面4个bytes,50 4B 03 04
5.文件MD5值是什么?
文件身份证,用任何工具计算出来保存好.
6.文件内容是什么?
第4题后将TCP流保存为recipe.docx即可打开
UDP Flooding相关理论
UDP协议
UDP Flooding攻击
模拟UDP Flooding攻击
Kali Linux2下hping3工具
Wireshark绘图功能分析攻击
statistics - iO graph
如何防御
暴力限流
基于IP地址的限流,阈值后丢弃
基于目的安全区域的限流,安全区域逻辑概念,指一个或多个接口
基于会话限流,监测报文速率,太高就锁定,3秒以上无流量则解锁
华为防火墙提出 指纹学习 概念,分析UDP报文内容,相同特征则丢弃
amCharts图表,报告用的美观大方的图表
缓冲区溢出攻击相关理论(大都通过应用层协议实现)
http请求和应答
抓包http请求
模拟缓冲区攻击
Easy File sharing Web server7.2文件共享的bug
分析缓冲区溢出攻击
分析缓冲区长度
查询该漏洞详细信息
使用WinDBG和IDA Pro对目标调试,计算出长度
Wireshark分析攻击内容,计算长度
Wireshark数据包查找功能(放大镜)
Display filter普通过滤器
Hex value 十六进制包查找
String字符搜索
Packet list包列表
Packet details 包详情
Packet bytes 包内容
Regular Expression正则搜索
检测远程控制案例
服务器TCP握手客户端,web漏洞被反向控制
服务器大量4444端口与目标主机通信,被植入PE
tools-Firewall ACL Rules中快速查找一条防火墙规则屏蔽4444端口
HTTPS的解析
Lua的支持
新协议的注册
添加一个协议
添加协议解析器
注册到Wireshark中
新协议测试工具xcap发包工具
Lua开发恶意攻击数据包检测模块
Tashark.exe Wireshark命令行版
editcap.exe 转换捕获数据包的文件格式
dumpcap.exe 和Tshark意义,保存文libpacap格式
mergecap.exe 多个数据包合并成一个
capinfos.exe 显示数据包的文件信息
text2pcap.exe 将十六进制转文件 再转捕获数据包格式
USBPcapCMD 获取U盘通信
使用命令后捕获转存后到图形界面查看
《Wireshark网络分析从入门到实践》李华峰,陈虹
标签:png 基于ip地址 aot over 本地应用 访问 vlan 防火 文件内容
原文地址:https://www.cnblogs.com/airoot/p/14270304.html
