数据包嗅探器通过混杂模式捕获网络通信,转换并分析原始二进制数据,如显示TCP协议和端口80的报文。X-Scan工具用于端口扫描,设置包括扫描范围、并发参数、报告格式等,能检测漏洞并提供解决建议,使用NMAP等方法判断操作系统。
工作原理:
(1)收集
数据包嗅探器从网络线缆上收集原始二进制数据。通常情况下,通过将选定的网卡设置成混杂模式来完成抓包。在这种模式下,网卡将抓取一个网段上所有的网络通信流量,而不仅是发往它的数据包。
(2)转换
将捕获的二进制数据转换成可读形式。高级的命令行数据包嗅探器就支持到这一步骤。到这步,网络上的数据包将以一种非常基础的解析方式进行显示,而将大部分的分析工作留给最终用户。
(3)分析
对捕获和转换后的数据进行真正的深入分析。数据包嗅探器以捕获的网络数据作为输入,识别和验证它们的协议,然后开始分析每个协议特定的属性。
选择WLAN,开始捕获分组:
停止捕获分组:
显示过滤器中输入tcp:只显示tcp协议
输入tcp.prot ==80:TCP协议的端口为80的报文
1.开启捕获
2.输入网址,且ping该网址获取ip地址
三次握手:
源端口:80
目的端口:56855
序列号:0
标志:SYN,ACK
源端口:80
目的端口:56856
序列号:0
标志:SYN,ACK
源端口:80
目的端口:56855
序列号:0
标志:ACK
2.X-Scan端口扫描工具的使用
设置—扫描参数对话框中可进行扫描参数设置。
扫描范围:指定IP,格式可以是域名、网段、IP。
全局设置:
扫描模块——设置需要进行扫描的功能即插件;
并发模块——设置并发主机数量和并发线程数量;
扫描报告——设置最后生成的扫描报告文件类型、名称,文件类型支持TXT、HTML、XHL三种格式,保存在LOG目录下;以及选择是否在扫描报告中保存主机列表以及是否扫描完后自动显示扫描报告;
其他设置——“跳过没有响应的主机”:若主机不响应ICMP ECHO及TCP SYN报文则跳过对该主机的检测
“没有检测到开放端口的主机":若在主机的TCP端口范围内没有发现开放的端口则跳过对该主机的检测
“使用NMAP来判断操作系统”:X-Scan使用SNMP、NETBIOS、NMAP来综合判断操作系统类型,如果NMAP频繁出错,可以关闭此选项
“显示详细的进度”:主要用于调试
开始扫描,扫描结果:
扫描结束后,x-scan会自动弹出扫描结果,结果会详细列出漏洞情况和解决建议,高危漏洞会以红色字体标出。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
