教材学习内容总结

第四章主要介绍了网络嗅探和协议分析  网络嗅探是一种常用的窃听技术，它利用计算机的网络接口截获目的地为其他计算机的数据报文，以监听数据流中所包含的用户账户密码或私密信息等。网络嗅探具有很强的隐蔽性，往往让网络信息泄露很难被发觉。  实现网络嗅探技术的工具称为网络嗅探器，网络嗅探器的主要监听对象包括以太网和Wi-Fi，也是目前最流行的链路层协议。（也可分为软件嗅探和硬件嗅探）  然后大体的介绍了网络嗅探的原理与实现，在UNIX、Windows平台上实现方式介绍。  随后教材介绍了一些常用的网络嗅探软件，例如libpcap，tcpdump，wireshark等软件。  网络协议分析是网络嗅探器进一步解析与理解捕获数据包必须的技术手段，需要识别出各个网络层次上所使用的网络协议类型。并且重点介绍了网络协议分析工具wireshark。  网络协议分析分析的典型步骤：（一）网络嗅探得到的是原始数据链路层传输的二进制数据包，大多情况下是以太网帧数据。（二）对以太网进行帧结构分析，定位帧头各字段结构，确定网络层协议类型，大多数是IP（0800）协议，并提取数据帧中包含的网络层数据内容。（三）进一步对IP数据包进行分析，根据IP协议头中的Protocol字段，确定传输类型。（四）继续根据TCP或UDP的目标端口确定具体的应用层协议。（五）根据相应的应用层协议对数据进行整合恢复，得到实际传输的数据。

教材学习中的问题和解决过程

Wireshark学习和使用

wireshark介绍

Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样，Wireshark也使用pcap network library来进行封包捕捉。

Wireshark的原名是Ethereal，新名字是2006年起用的。当时Ethereal的主要开发者决定离开他原来供职的公司，并继续开发这个软件。但由于Ethereal这个名称的使用权已经被原来那个公司注册，Wireshark这个新名字也就应运而生了。

启动打开wireshark

点击捕获选项，再点击”start“ ， 就可以看到内网的实时数据了， 如图所示

点击接口名称之后，就可以看到实时接收的报文。Wireshark会捕捉系统发送和接收的每一个报文。如果抓取的接口是无线并且选项选取的是混合模式，那么也会看到网络上其他报文。

上端面板每一行对应一个网络报文，默认显示报文接收时间（相对开始抓取的时间点），源和目标IP地址，使用协议和报文相关信息。点击某一行可以在下面两个窗口看到更多信息。“+”图标显示报文里面每一层的详细信息。底端窗口同时以十六进制和ASCII码的方式列出报文内容。

实践操作 登录网易邮箱 获取账号密码信息：

首先登录自己的网易邮箱账号，然后wireshark进行数据包获取

捕捉过滤器中输入信息，得到想要的http数据包

可以发现从16进制数据栏里得到用户登录信息。

视频（11-15）学习中的问题和解决过程

漏洞分析之OpenVAS使用

首先创建扫描目标，如图所示：

扫描结束，完成，如图所示：

扫描完成，可将扫描结果保存为pdf文件：

漏洞分析之扫描工具

WEB扫描工具Golismero,由python编写，集成了许多开源的安全工具。

Golismero采用插件式的框架结构，根据插件功能可分为4类：a.导入插件 b.测试插件 c.报表插件 d.界面插件

查看插件列表命令：golismero plugins

扫描特定主机：golismero scan http://***.***.***.***

此扫描器扫描时信息过于杂乱，其报告生成的也不够友好。

漏洞扫描器Nikto.pl

对多个端口进行扫描：Perl nikto.pl -h 222.28.136.182 -p 80,88,443

Lynis系统信息收集整理工具

最后还有一款 unix-privesc-check 工具，有两个模式：标准和细节

unix-privesc-check standard

unix-privesc-check detailed

漏洞分析之WEB爬行

1.Apache-users用户枚举脚本

2.CutyCapt:网站截图工具 cutycapt --url=http://www.baidu.com/ --out=baidu.png

3.DIRB：强大的目录扫描工具，有多重扫描功能 dirb http://222.28.136.182/

4.Dirbuster:Kali下的图形化目录扫描器，拥有直观的扫描结果

点start运行，可以看到扫描信息、扫描结果

5.Vega：Kali下的WVS（类似Windows下的AWVS），使用简单易懂

6.WebSlayer 由WFuzz发展出来的WEB爆破工具

漏洞分析之WEB漏洞扫描（一）

1.Cadaver

web漏洞扫描 cadaver是一个用来浏览和修改WebDAV共享的Unix命令行程序，就像Subversion客户端，它使用了neon的HTTP库。

使用cadaver就像使用命令行的FTP程序，很适合基本的WebDAV调试。可以以压缩方式上传和下载文件，也会检验属性、拷贝、锁定、移动、解锁文件。

目前，看到我的靶机下面没有dav环境，所以实际操作化，并没有链接成功。

2.DAVTest

DAVTest测试支持WebDAV的服务器上传文件等

3.Deblaze

针对FLASH远程调用等的枚举 再操作一次

4.fimap

文件包含漏洞利用工具

5.Grabber

WEB应用漏洞扫描器，可以指定扫描漏洞类型结合爬虫网站进行安全扫描

漏洞分析之WEB漏洞扫描（二）

1.skipfish

自动化网络安全扫描工具，自动化网络安全扫描工具，与Nikto和Nessus有相似功能，但有一些独特优点。Skipfish通过HTTP协议处理且占用较低的CPU资源，运行速度比较快。Skipfish -o /tmp/1.report http://url/

2.uniscan-gui 一款图形化界面

3.W3af

应用程序攻击检查文件,Web应用程序攻击和检查框架，有超过130个插件，包括检查网站爬虫，SQL注入（SQL Injection），跨站（XSS），本地文件包含（LFI），远程文件包含（RFI）等。

4.Wapiti

采用黑盒的方式主动的对被测Web应用进行扫描，实现了内置的匹配算法

第四周进度

完成《网络攻防技术与实践》第四章内容，学习使用了Wireshark使用，并进行了实践；看完KALI视频前11-15节

点评博客

[孙德洋](）

[孙星]（）

[李艳楠]（）

[赵会]（）