一.概念介绍
网络嗅探:网络嗅探需要用到网络嗅探器,其最早是为网络管理人员配备的工具,有了嗅探器网络管理员可以随时掌握网络的实际情况,查找网络漏洞和检测网络性能,当网络性能急剧下降的时候,可以通过嗅探器分析网络流量,找出网络阻塞的来源。嗅探器也是很多程序人员在编写网络程序时抓包测试的工具,因为我们知道网络程序都是以数据包的形式在网络中进行传输的,因此难免有协议头定义不对的。
网络嗅探的基础是数据捕获,网络嗅探系统是并接在网络中来实现对于数据的捕获的,这种方式和入侵检测系统相同,因此被称为网络嗅探。网络嗅探是网络监控系统的实现基础,首先就来详细地介绍一下网络嗅探技术,接下来就其在网络监控系统的运用进行阐述。
二.动手实践tcpdump
首先将kali的网络模式设置为桥接模式,查询本机IP地址为192.168.28.254
输入命令sudo tcpdump -n src 192.168.1.102 and tcp port 80 and “tcp[13]&18=2”,然后打开浏览器,访问百度
三.动手实践Wireshark
输入命令luit -encoding gbk telnet bbs.fudan.edu.cn访问复旦大学的BBS服务器,发现其IP地址为202.120.225.9
输入guest进行登录
在wireshark中输入telnet过滤,可以看到传输数据为guest
同时可以看到端口为23
四.取证分析实践,解码网络扫描器(listen.cap)
安装snort
sudo apt-get update
wget archive.kali.org/archive-key.asc 下载签名
apt-key add archive-key.asc 安装签名
sudo apt-get update
sudo apt-get install snort
sudo chmod 777 /etc/snort/snort.conf给snort.conf
snort -A console -q -u snort -c /etc/snort/snort.conf -r ~/listen.pcap
安装成功后,可以看到是用nmap扫描的,攻击主机的ip地址为172.31.4.178,靶机ip地址为172.31.4.188
找arp请求包,寻找目标IP地址为172.31.4.188的主机的MAC地址
找icmp请求包,可以看到两组ICMP request包和ICMP replay包,说明使用了主机扫描,并且确定了目标主机是活跃的
输入过滤条件:tcp.flags.syn == 1 and tcp.flags.ack == 1,即可得到所有的开放端口
使用p0f工具,先下载安装p0f工具,输入sudo p0f -r listen.pcap,查看到攻击主机的操作系统是2.6.x
五.学习中遇到的问题及解决
安装snort花费了很多时间,陆陆续续换了镜像源,然后下载维护签名,又修复apt-get和dpkg,遇到了很多阻碍,再加上网速不佳,所以每执行一次apt-get update都会花费很多时间,但是最终成功解决了问题,也磨炼了耐心。
六.学习体会及收获
动手实践wireshark时发现自己对这个工具的使用还是很不熟练,但是取证环节中wireshark会是利器,所以之后一定要加强操作wireshark的练习