网络攻防——第四周学习

4.1网络嗅探
网络嗅探技术概述
定义：
网络嗅探（Sniff)是一种黑客常用的窃听技术,以传统的电话窃听在电话线路上对特别号码的通话内容进行监听类似，网络嗅探利用计算机的网络接口截获目的地为其他计算机的数据报文，以监听数据流中所包含的用户账户密码或私密信息等。实现网络嗅探技术的工具成为嗅探器Sniffer。
网络嗅探的危害与作用：
网络嗅探是一把双刃剑。其嗅探的被动性与非干扰性，使其具有很强的隐蔽性，让网络信息泄漏者难以察觉。网络管理员可以利用它来查看网络故障。
网络嗅探技术与工具分类：
网络嗅探技术可以按照所监听的链路层网络进行分类。以太网（Ethernet）与Wi-Fi是目前有线局域网与无线局域网最流行的链路层协议，也是目前的网络嗅探器主要监听对象。网络嗅探器可以按照实现形式分为软件嗅探器和硬件嗅探器。
网络嗅探器的原理与实现：
以太网工作原理：
在以太网的共享通信媒介中，网络上的站点使用在信道上的广播机制来发送自己的数据，这就意味着计算机能够接收到在共享媒介上发送给其他计算机的信息。为了嗅探以太网上的流量，就需要将网卡设置为混杂模式。
共享式网络与交换式网络中的嗅探：
在交换机与集线器混合连接的网络中，网络嗅探仍能够捕获交换机同一端口上链接的主机通信。即使在纯交换的网络中，使本应达不到的数据包到达本地而实现嗅探的技术手段有：1 MAC地址洪泛攻击 2 MAC欺骗 3 ARP欺骗
类UNIX平台的网络嗅探技术实现：
类UNIX平台的网络嗅探技术主要通过内核态的BPF和用户态的lipcap抓包工具实现。
Windows平台的网络嗅探实现技术
Windows操作系统内核并不提供标准的网络嗅探与抓包接口，因此需要增加一个驱动程序或网络组件来访问内核网卡驱动中捕获的数据包。而目前最常用的是与类UNIX平台上的BPF模块兼容的NPF。NPF是一个内核态虚拟设备驱动程序，他的功能是过滤数据包，并将这些数据包原封不动的传给用户态模块。
网络嗅探器的软件
类UNIX平台上的网络嗅探其软件：
一般是基于接口标准BPF与lipcap最常用的包括：lipcap抓包开发库、tcpdump以及wireshark嗅探器软件。还有一些其他的嗅探器软件：如dsniff、sniffit、和linux_sniffer.
windows平台的网络嗅探器软件：
类unix平台上的BPF/libpcap/tcpdump标准嗅探接口与程序在WINDOWS平台上也有相应的移植版本，即NPF/wincap/windump。著名的开源网络嗅探软件wireshark也有window版本。还有SnifferPro、Buttsniffer、NetMon、NetworkAssociates Sniffer.
tcpdump 嗅探软件：
tcpdump是通用的命令行网络嗅探与数据包分析程序，允许用户能够从主机所在网络上截取和显示特定的TCP/IP数据包。tcpdump软件在大多数类UNIX平台如Linux、Solaris、BSD、Mac OS和AIX等操作系统上都可以运行，利用libpcap库捕获数据。
网络嗅探的检测与防范
网络嗅探的检测：
在同一主机上可以通过检查网卡是否是否运行在混杂模式下，来发现正在监听的嗅探器。 在网络中进行探测与识别嗅探器的工具软件:AntiSniff.其扫描策略包括:DNS测试、ARP测试、以及以太网Ping测试、ICMP时间延时测试、ping丢包率测试。
网络嗅探的防范措施：
1 采用安全的网络拓扑，尽量将共享式升级为交换式网络，并通过在交换机上设置VLAN等技术手段，对网络进行合理的分段，从而是网络包只转发到目的主机上。
2 用静态ARP或者MAC-端口映射表代替动态机制。
3 重视网络数据传输的集中位置 点的安全防范。
4 避免使用明文传输口令或敏感信息的网络协议，而是使用加密及安全增强的网络协议进行替代。
4.2 网络协议分析
网络协议分析技术
网络协议分析技术的原理
网络协议分析原则与主机的解包过程类似，需要从底向上逐层解析网络协议。网络协议的典型过程包括一下5步。参考教材《网络攻击技术与实现》P128.
网络协议分析技术与实现
Snort是1998年用C语言开发的开源网络入侵检测系统，基于网络嗅探开发库lipcap,发展至今，已经成为一个多平台的网络入侵检测/防御系统。也支持基本的网络数据嗅探与协议分析特性。过程如下:(1)解析以太网数据帧（2）解析IP数据包（3）解析TCP数据包。详细参考教材P132。
网络协议分析工具：Wireshark
Wireshark简介：
Wireshark是一款开源的网络数据包分析工具，其主要作用是捕获数据包，对数据包进行协议分析以尽可能的显示详细的信息，并以更容易的理解的格式呈现给用户。它被用于解决网络故障，进行系统管理与安全管理，学习网络协议等多个方面。
Wireshark功能介绍：
Wireshark在网络嗅探功能方面支持对多种类型的网络接口，包括以太网、802.11无线网等，并支持从网络中截获数据包及从离线的记录文件中读取网络数据包；在网络协议分析方面，Wireshark通过网络协议解析框架支持开源社区提交网络协议的解析插件；对于输入的文件数据，支持超过25种不同软件的捕获文件，同样具有多种不同格式的输出文件类型。
总结：网络嗅探与协议分析是攻击者实施网络协议攻击的一件利器，也是进行口令破解等其他主动性攻击所依赖的基础技术。同时，对于防御者来讲，网络嗅探与协议分析也是他们能够成功发现网络攻击行为并进行深入分析所必须掌握的基本技能。

二、课本实践作业
1）攻击方用nmap扫描（给出特定目的的扫描命令）
2）防守方用tcpdump嗅探，用Wireshark分析（保留Wireshark的抓包数据），分析出攻击方的扫描目的和nmap命令
3) 提交抓包数据和截图
攻击机ip: 192.168.33.133 ； 靶机 ip：192.168.33.130
进行ping通；
使用tcpdump嗅探；
攻击机使用nmap扫描；
靶机使用wireshark分析。

kali视频学习
kali漏洞分析之数据库评估
（1）BBQsql.BBQsql 是一个由python编写的盲注工具，当检测可疑的注入漏洞时会很有用，同时BBQSql是一个半自动工具，允许客户自定义参数。

（2）DBPwAudit(数据库用户名密码枚举工具)
使用参考如:
破解SQLServer数据库命令行如下：
‘#./dbpwaudit -s IP -d master(数据库名) -D mssql(数据库类型) -U username(字典) -P password(字典)’
破解MySql数据库命令行如下：
'#./dbpwaudit.sh -s IP -d mysql(数据库名称) -D MySQL(数据库类型) -U username(字典) -P password(字典) ’

（3）HexorBase
图形化的密码破解与连接工具，开源

（4）Jsql Injection
jSQL是一款轻量级安全测试工具，可以检测SQL注入漏洞，它跨平台，开源且免费，将存在注入漏洞的URL贴进来即可进行相应的漏洞利用，图形化界面。