網(wǎng)站安全漏洞測(cè)試對(duì)抓包嗅探端口講解

在浩瀚的網(wǎng)絡(luò)中安全問(wèn)題是最普遍的需求,很多想要對(duì)網(wǎng)站進(jìn)行滲透測(cè)試服務(wù)的,來(lái)想要保障網(wǎng)站的安全性防止被入侵被攻擊等問(wèn)題,在此我們Sine安全整理了下在滲透安全測(cè)試中抓包分析以及嗅探主機(jī)服務(wù)類(lèi)型,以及端口掃描等識(shí)別應(yīng)用服務(wù)，來(lái)綜合評(píng)估網(wǎng)站安全。

8.2.1. TCPDump

TCPDump是一款數(shù)據(jù)包的抓取分析工具，可以將網(wǎng)絡(luò)中傳送的數(shù)據(jù)包的完全截獲下來(lái)提供分析。它支持針對(duì)網(wǎng)絡(luò)層、協(xié)議、主機(jī)、網(wǎng)絡(luò)或端口的過(guò)濾，并提供邏輯語(yǔ)句來(lái)過(guò)濾包。

8.2.1.1. 命令行常用選項(xiàng)

• -B <buffer_size> 抓取流量的緩沖區(qū)大小，若過(guò)小則可能丟包，單位為KB
• -c <count> 抓取n個(gè)包后退出
• -C <file_size> 當(dāng)前記錄的包超過(guò)一定大小后，另起一個(gè)文件記錄，單位為MB
• -i <interface> 指定抓取網(wǎng)卡經(jīng)過(guò)的流量
• -n 不轉(zhuǎn)換地址
• -r <file> 讀取保存的pcap文件
• -s <snaplen> 從每個(gè)報(bào)文中截取snaplen字節(jié)的數(shù)據(jù)，0為所有數(shù)據(jù)
• -q 輸出簡(jiǎn)略的協(xié)議相關(guān)信息，輸出行都比較簡(jiǎn)短。
• -W <cnt> 寫(xiě)滿cnt個(gè)文件后就不再寫(xiě)入
• -w <file> 保存流量至文件
• 按時(shí)間分包時(shí)，可使用strftime的格式命名，例如 %Y_%m_%d_%H_%M_%S.pcap
• -G <seconds> 按時(shí)間分包
• -v 產(chǎn)生詳細(xì)的輸出，-vv -vvv 會(huì)產(chǎn)生更詳細(xì)的輸出
• -X 輸出報(bào)文頭和包的內(nèi)容
• -Z <user> 在寫(xiě)文件之前，轉(zhuǎn)換用戶

8.2.2. Bro

Bro是一個(gè)開(kāi)源的網(wǎng)絡(luò)流量分析工具，支持多種協(xié)議，可實(shí)時(shí)或者離線分析流量。

8.2.2.1. 命令行

• 實(shí)時(shí)監(jiān)控 bro -i <interface> <list of script to load>
• 分析本地流量 bro -r <pcapfile> <scripts...>
• 分割解析流量后的日志 bro-cut

8.2.2.2. 腳本

為了能夠擴(kuò)展和定制Bro的功能，Bro提供了一個(gè)事件驅(qū)動(dòng)的腳本語(yǔ)言。

8.2.3. tcpflow

tcpflow也是一個(gè)抓包工具，它的特點(diǎn)是以流為單位顯示數(shù)據(jù)內(nèi)容，在分析HTTP等協(xié)議的數(shù)據(jù)時(shí)候，用tcpflow會(huì)更便捷。

8.2.3.1. 命令行常用選項(xiàng)

• -b max_bytes 定義最大抓取流量
• -e name 指定解析的scanner
• -i interface 指定抓取接口
• -o outputdir 指定輸出文件夾
• -r file 讀取文件
• -R file 讀取文件，但是只讀取完整的文件

8.2.4. tshark

WireShark的命令行工具，可以通過(guò)命令提取自己想要的數(shù)據(jù)，可以重定向到文件，也可以結(jié)合上層語(yǔ)言來(lái)調(diào)用命令行，實(shí)現(xiàn)對(duì)數(shù)據(jù)的處理。

8.2.4.1. 輸入接口

• -i <interface> 指定捕獲接口，默認(rèn)是第一個(gè)非本地循環(huán)接口
• -f <capture filter> 設(shè)置抓包過(guò)濾表達(dá)式，遵循libpcap過(guò)濾語(yǔ)法，這個(gè)選項(xiàng)在抓包的過(guò)程中過(guò)濾，如果是分析本地文件則用不到
• -s <snaplen> 設(shè)置快照長(zhǎng)度，用來(lái)讀取完整的數(shù)據(jù)包，因?yàn)榫W(wǎng)絡(luò)中傳輸有65535的限制，值0代表快照長(zhǎng)度65535，默認(rèn)為65535
• -p 以非混合模式工作，即只關(guān)心和本機(jī)有關(guān)的流量
• -B <buffer size> 設(shè)置緩沖區(qū)的大小，只對(duì)windows生效，默認(rèn)是2M
• -y <link type> 設(shè)置抓包的數(shù)據(jù)鏈路層協(xié)議，不設(shè)置則默認(rèn)為 -L 找到的第一個(gè)協(xié)議
• -D 打印接口的列表并退出
• -L 列出本機(jī)支持的數(shù)據(jù)鏈路層協(xié)議，供-y參數(shù)使用。
• -r <infile> 設(shè)置讀取本地文件

8.2.4.2. 捕獲停止選項(xiàng)

• -c <packet count> 捕獲n個(gè)包之后結(jié)束，默認(rèn)捕獲無(wú)限個(gè)
• -a <autostop cond>
• duration:NUM 在num秒之后停止捕獲
• filesize:NUM 在numKB之后停止捕獲
• files:NUM 在捕獲num個(gè)文件之后停止捕獲

8.2.4.3. 處理選項(xiàng)

• -Y <display filter> 使用讀取過(guò)濾器的語(yǔ)法，在單次分析中可以代替 -R 選項(xiàng)
• -n 禁止所有地址名字解析（默認(rèn)為允許所有）
• -N 啟用某一層的地址名字解析。m 代表MAC層， n 代表網(wǎng)絡(luò)層， t 代表傳輸層， C 代表當(dāng)前異步DNS查找。如果 -n 和 -N 參數(shù)同時(shí)存在， -n 將被忽略。如果 -n 和 -N 參數(shù)都不寫(xiě)，則默認(rèn)打開(kāi)所有地址名字解析。
• -d 將指定的數(shù)據(jù)按有關(guān)協(xié)議解包輸出，如要將tcp 8888端口的流量按http解包，應(yīng)該寫(xiě)為 -d tcp.port==8888,http 。可用 tshark -d 列出所有支持的有效選擇器。

8.2.4.4. 輸出選項(xiàng)

• -w <outfile> 設(shè)置raw數(shù)據(jù)的輸出文件。不設(shè)置時(shí)為stdout
• -F <output file type> 設(shè)置輸出的文件格式，默認(rèn)是 .pcapng，使用 tshark -F 可列出所有支持的輸出文件類(lèi)型
• -V 增加細(xì)節(jié)輸出
• -O <protocols> 只顯示此選項(xiàng)指定的協(xié)議的詳細(xì)信息
• -P 即使將解碼結(jié)果寫(xiě)入文件中，也打印包的概要信息
• -S <separator> 行分割符
• -x 設(shè)置在解碼輸出結(jié)果中，每個(gè)packet后面以HEX dump的方式顯示具體數(shù)據(jù)
• -T pdml|ps|text|fields|psml 設(shè)置解碼結(jié)果輸出的格式，默認(rèn)為text
• -e 如果 -T 選項(xiàng)指定， -e 用來(lái)指定輸出哪些字段
• -t a|ad|d|dd|e|r|u|ud 設(shè)置解碼結(jié)果的時(shí)間格式
• -u s|hms 格式化輸出秒
• -l 在輸出每個(gè)包之后flush標(biāo)準(zhǔn)輸出
• -q 結(jié)合 -z 選項(xiàng)進(jìn)行使用，來(lái)進(jìn)行統(tǒng)計(jì)分析
• -X <key>:<value> 擴(kuò)展項(xiàng)，lua_script、read_format
• -z 統(tǒng)計(jì)選項(xiàng)，具體的參考文檔

8.2.4.5. 其他選項(xiàng)

• -h 顯示命令行幫助
• -v 顯示tshark的版本信息

網(wǎng)絡(luò)滲透測(cè)試嗅探

8.3. 嗅探工具

8.3.1. Nmap

nmap [<掃描類(lèi)型>...] [<選項(xiàng)>] {<掃描目標(biāo)說(shuō)明>}

8.3.1.1. 指定目標(biāo)

• CIDR風(fēng)格 192.168.1.0/24
• 逗號(hào)分割 www.baidu.com,www.zhihu.com
• 分割線 10.22-25.43.32
• 來(lái)自文件 -iL <inputfile>
• 排除不需要的host --exclude <host1 [, host2] [, host3] ... > --excludefile <excludefile>

8.3.1.2. 主機(jī)發(fā)現(xiàn)

• -sL List Scan - simply list targets to scan
• -sn/-sP Ping Scan - disable port scan
• -Pn Treat all hosts as online -- skip host discovery
• -sS/sT/sA/sW/sM TCP SYN/Connect()/ACK/Window/Maimon scans
• -sU UDP Scan
• -sN/sF/sX TCP Null, FIN, and Xmas scans

8.2.1.3. 端口掃描

• --scanflags 定制的TCP掃描
• -P0 無(wú)ping
• PS [port list] (TCP SYN ping) // need root on Unix
• PA [port list] (TCP ACK ping)
• PU [port list] (UDP ping)
• PR (Arp ping)
• p <port message>
• F 快速掃描
• r 不使用隨機(jī)順序掃描

8.2.1.4. 服務(wù)和版本探測(cè)

• -sV 版本探測(cè)
• --allports 不為版本探測(cè)排除任何端口
• --version-intensity <intensity> 設(shè)置 版本掃描強(qiáng)度
• --version-light 打開(kāi)輕量級(jí)模式 // 級(jí)別2
• --version-all 嘗試每個(gè)探測(cè) // 級(jí)別9
• --version-trace 跟蹤版本掃描活動(dòng)
• -sR RPC 掃描

8.2.1.5. 操作系統(tǒng)掃描

• -O 啟用操作系統(tǒng)檢測(cè)
• --osscan-limit 針對(duì)指定的目標(biāo)進(jìn)行操作系統(tǒng)檢測(cè)
• --osscan-guess
• --fuzzy 推測(cè)操作系統(tǒng)檢測(cè)結(jié)果

8.2.1.6. 時(shí)間和性能

• 調(diào)整并行掃描組的大小
• --min-hostgroup<milliseconds>
• --max-hostgroup<milliseconds>
• 調(diào)整探測(cè)報(bào)文的并行度
• --min-parallelism<milliseconds>
• --max-parallelism<milliseconds>
• 調(diào)整探測(cè)報(bào)文超時(shí)
• --min_rtt_timeout <milliseconds>
• --max-rtt-timeout <milliseconds>
• --initial-rtt-timeout <milliseconds>
• 放棄低速目標(biāo)主機(jī)
• --host-timeout<milliseconds>
• 調(diào)整探測(cè)報(bào)文的時(shí)間間隔
• --scan-delay<milliseconds>
• --max_scan-delay<milliseconds>
• 設(shè)置時(shí)間模板
• -T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane>

8.2.1.7. 逃避滲透測(cè)試檢測(cè)相關(guān)

mtu 使用指定的MTU

• -D<decoy1[， decoy2][， ME]， ...> 使用誘餌隱蔽掃描
• -S<IP_Address> 源地址哄騙
• -e <interface> 使用指定的接口
• --source-port<portnumber>;-g<portnumber> 源端口哄騙
• --data-length<number> 發(fā)送報(bào)文時(shí) 附加隨機(jī)數(shù)據(jù)
• --ttl <value> 設(shè)置ttl
• --randomize-hosts 對(duì)目標(biāo)主機(jī)的順序隨機(jī)排列
• --spoof-mac<macaddress， prefix， orvendorname> MAC地址哄騙

8.2.1.8. 輸出

• -oN<filespec> 標(biāo)準(zhǔn)輸出
• -oX<filespec> XML輸出
• -oS<filespec> ScRipTKIdd|3oUTpuT
• -oG<filespec> Grep輸出 -oA<basename> 輸出至所有格式

8.2.1.9. 細(xì)節(jié)和調(diào)試

• -v 信息詳細(xì)程度
• -d [level] debug level
• --packet-trace 跟蹤發(fā)送和接收的報(bào)文
• --iflist 列舉接口和路由
• 在網(wǎng)站安全滲透測(cè)試中遇到的檢測(cè)方法以及繞過(guò)方法太多太多,而這些方法都是源于一個(gè)目的,就是為了確保網(wǎng)站或平臺(tái)的安全性想要了解更多的安全檢測(cè)以及上線前的滲透測(cè)試評(píng)估可以咨詢專(zhuān)業(yè)的網(wǎng)站安全公司來(lái)達(dá)到測(cè)試需求,國(guó)內(nèi)推薦Sinesafe,綠盟,啟明星辰,深信服等等都是很不錯(cuò)的安全大公司。