目录扫描与端口扫描流量特征

最新推荐文章于 2024-09-11 09:44:03 发布
最新推荐文章于 2024-09-11 09:44:03 发布
阅读量1.7k 收藏 19
点赞数 4
文章标签: 网络安全 网络协议 wireshark web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51171450/article/details/130908647
版权

目录扫描与端口扫描流量特征

参加护网面试时被问到了这个问题。之前没有研究过,回答得不太全面,在这里总结一下。

目录扫描

分别使用御剑、DirBuster、Dirsearch、Dirb这四种工具扫目录,利用Wireshark抓包分析流量特征。

共同特征

1.短时间内大量HTTP请求消息,只有请求行中URL部分有变化。

2.HTTP请求的URL部分会有大量常见/字符连续性强(A-Z排列)的目录名,且不带任何参数。

3.服务器发出大量404响应消息。

工具特征

1.御剑

请添加图片描述
请添加图片描述

1.大量HEAD请求方法

2.请求消息中只有请求行以及Host消息头

3.因为是HEAD方法,所以响应消息长度也会很短

2.DirBuster

请添加图片描述
请添加图片描述

1.同样是HEAD请求方法

2.请求消息中多了User-Agent请求头,内容里有DirBuster特征字符

请添加图片描述

这个应该是匹配了特征字符,四个工具里面只有DirBuster被雷池WAF识别为了扫描器,其他的只会检测一些可能导致敏感信息泄露的目录名,或是看起来像Webshell的文件名。

3.Dirsearch

请添加图片描述

4.Dirb

请添加图片描述

1.User-Agent显示IE6.0 ,现在正常用户用IE6.0的应该很少吧…

端口扫描

在此仅选取了Nmap中最常用的SYN扫描进行分析。
主要特征:大量对于不同且未开放端口的访问
请添加图片描述

对于Nmap工具本身:
1.可以看到有大量发给服务器的SYN包,以及服务器发出大量的RST包(RST包代表端口未开放,若端口开放则返回 [SYN,ACK] 包)

2.后面查阅资料发现,Nmap默认SYN扫描时,window的窗口值固定是1024,可作为检测特征

9246th
关注
什么是端口扫描攻击?如何预防?
网络技术联盟站
07-09 1199
端口扫描攻击是指攻击者通过自动化工具,对目标网络中的主机进行大规模的端口扫描,以识别哪些端口处于开放状态,从而推测出哪些服务正在运行,进而寻找可能的漏洞或弱点,为后续的攻击行动做准备。当一台计算机想要另一台计算机上的特定服务进行通信时,它会向目标主机的相应端口发送数据包。如果目标端口是开放的,它会回应一个确认消息;如果端口是关闭的,通常不会有响应;而如果端口被防火墙过滤,可能会收到一个错误消息。端口扫描工具就是基于这一原理,通过大量发送数据包,并分析返回的结果,来判断端口的状态。信息泄露。
Nmap常见扫描方式流量分析
后场技术
07-08 3292
Nmap常见扫描方式流量分析环境说明扫描者:manjaro linux, IP地址:192.168.31.160被扫描者:centos 7,IP地址:192.168.31.175分析工具...
WebScan 扫描工具流量样本
03-26
几种扫描工具的扫描流量样本,burpSuite、awvs等,自己捕获的测试流量~
Nmap扫描工具流量特征
m0_62207482的博客
03-28 1146
但是User-Agent可以被修改,如果被修改的话,我们可以通过告警的次数进行判断(同一源IP),看是否是大量的扫描告警,来进行进一步判断。如果Nmap扫描探测服务过程中如有HTTP协议,则User-Agent也会有明显的特征。例如会出现nmap关键字。
从Nmap到Fscan:端口扫描工具的流量指纹大揭秘,零基础入门到精通,收藏这一篇就够了
最新发布
Javachichi的博客
09-11 2005
通过对常见安全工具扫描特征的深入分析,我们不仅加深了对攻击技术的理解,也为防御方提供了一系列实用的对抗手段。但需要注意的是,攻防技术始终在不断演进,今天有效的检测规则明天可能就会失效。因此,我们要保持持续学习和更新的态度,不断完善我们的防御体系。安全永远是一场没有终点的马拉松,让我们携手并进,共同维护网络空间的安全!希望本文能为大家在安全建设中提供一些思路和启发。如果你有任何问题或见解,欢迎在评论区留言交流。让我们一起在这个充满挑战和机遇的领域中不断成长!黑客&网络安全如何学习1.学习路线图。
网络安全---目录遍历流量特征
weixin_71061514的博客
01-30 769
通过特殊关键字以及流量特征来确定是否是目录遍历的真实攻击
目录遍历流量特征-漏洞特征
weixin_71061514的博客
01-25 527
如果url上有大量的../../../../../../关键字符就有可能攻击者利用目录遍历来攻击,也要结合../后面是什么目录,若是敏感目录或者文件(例如:/etc/passwd、php后缀、conf后缀等)就要着重看一下,或者url上是各种编码,要进行解码进行查看内容
端口扫描工具源码_工具_端口扫描_
09-30
3. **入侵检测**:监控网络流量中的端口扫描行为,可以及时发现潜在的攻击活动。 C#实现端口扫描工具的核心原理是利用TCP或UDP协议发送连接请求到目标主机的特定端口,并根据返回的响应来判断端口是否开放。以下是...
基于WinPcap的网络扫描以及端口扫描流量统计毕业设计
06-10
此文件包含一体化的基于vc++6.0的MFC程序设计制作出来的windows扫描技术,采用WinPcap,实现了端口扫描,局域网监控,本地流量监控。 包含论文以及源码,经编译通过。 可能需要其他安装文件支持vc6的最后sdk,地址...
WinPcap网络端口扫描流量监控技术实现
标题为“基于WinPcap的网络扫描以及端口扫描流量统计毕业设计”,说明了毕业设计的主要内容是基于WinPcap库开发的一套网络扫描工具,包含端口扫描流量统计功能。WinPcap是一个在Windows平台下广泛使用的网络数据包...
WinPcap毕业设计基于WinPcap的网络扫描以及端口扫描流量统计毕业设计_rezip.zip
07-08
WinPcap毕业设计基于WinPcap的网络扫描以及端口扫描流量统计毕业设计_rezip
端口扫描扫描技术
08-04
本文首先分析网络端口扫描的技术基础,然后从实现 的角度分析了各种端口扫描的实现方法,最后给出了一个反 端口扫描的实用解决方案。
御剑扫描技术
08-01
通常用于扫描网址,1、了解御剑后台扫描工具的使用 2、学习如何使用御剑后台扫描工具
信息收集—目录扫描
m0_52903527的博客
06-10 2234
目录扫描是一种网络渗透测试技术,用于发现和列举目标网站上的目录和文件结构。通过目录扫描我们还可以扫描敏感文件,帮助识别网站的隐藏内容、敏感信息甚至后台管理系统的入口。
各种攻击工具/漏洞流量特征
weixin_61074128的博客
09-09 950
流量特征:在密码破解攻击中,John the Ripper可能不直接生成网络流量,但其破解过程可能由远程攻击者通过网络触发,导致目标系统出现异常的CPU或内存使用。流量特征:虽然Wireshark本身不是攻击工具,但它用于分析网络流量时,可以捕获到攻击流量(如SQL注入、XSS攻击等)的特征。流量特征:在渗透测试过程中,Metasploit可能会生成特定的网络流量,这些流量通常包含对目标系统的探测和漏洞利用尝试。流量特征:Nmap生成的流量包括大量的网络扫描请求,这些请求旨在探测目标系统的开放端口和服务。
网络安全流量分析
qq_50573282的博客
07-05 2777
网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。
Wireshark网络分析就这么简单 -- 目录
Java之旅
11-08 2909
这不仅仅是一本讲解 Wireshark 的书,更重要的,理解:从宏观层面看微观,用工具的手段看协议。 Wireshark 是强大的协议分析工具,有 Window、Mac、Linux 等多种版本,依靠它,可以洞悉各种协议的宏观和微观,可以更快的学习协议。相比较 Charles 之类 只能分析Http/Https这种应用层协议,Wireshark 这是无所不能的。 最近个人比较偏爱这种薄书,可以选读,可以快速看完,并迅速的领进门,比如《图解HTTP》《图解TCP/IP》。 如果想学协议,就要和实战一起进行,否则
端口扫描神器——nmap
jpygx123的博客
11-08 2524
nmap Nmap是Linux下的网络扫描和嗅探工具包,是目前为止最广为使用的国外端口扫描工具之一,系统管理员和个人可以使用这个软件扫描大型的网络,获取那台主机正在运行以及提供的服务等信息。 Nmap家族主要包括: ZenMap-Nmap的图形界面版 Ncat:基于netcat,并扩展了一些功能,如ncat链、SSL支持、二进制 Ncrack:测试已部署的认证系统和密码强度,支持常用协议...
Nmap报文流量分析详解
weixin_43472459的博客
09-02 1815
这6种状态的定义只存在于namp中,不能保证一定是准确的。为什么介绍nmap因为它对端口划分的粒度可以说是最细的,对渗透和安全审计人员来说具有较高的参考价值。Open(端口处于开放状态)这种状态可以理解为该端口上有服务正在进行监听,所以它需要开放这个端口用来建立连接或是数据传输。对黑客和系统管理员来说这样的端口都是重点关注的对象。Closed(端口处于关闭状态)这种状态只能证明该端口上没有服务在监听,但这个端口我们其实是可以访问到的,并且它随时有可能进入到开放的状态。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值