滲透測試之嗅探流量抓包剖析

時間：2020-03-13作者：青島四海通達(dá)電子科技有限公司瀏覽：1091

在浩瀚的網(wǎng)絡(luò)中安全問題是較普遍的需求,很多想要對網(wǎng)站進(jìn)行滲透測試服務(wù)的,來想要**網(wǎng)站的安全性防止被入侵被攻擊等問題,在此我們Sine安全整理了下在滲透安全測試中抓包分析以及嗅探主機(jī)服務(wù)類型,以及端口掃描等識別應(yīng)用服務(wù)，來綜合評估網(wǎng)站安全。

8.2.1. TCPDump

TCPDump是一款數(shù)據(jù)包的抓取分析工具，可以將網(wǎng)絡(luò)中傳送的數(shù)據(jù)包的完全截獲下來提供分析。它支持針對網(wǎng)絡(luò)層、協(xié)議、主機(jī)、網(wǎng)絡(luò)或端口的過濾，并提供邏輯語句來過濾包。

8.2.1.1. 命令行常用選項(xiàng)

-B <buffer_size> 抓取流量的緩沖區(qū)大小，若過小則可能丟包，單位為KB

-c <count> 抓取n個包后退出

-C <file_size> 當(dāng)前記錄的包**過一定大小后，另起一個文件記錄，單位為MB

-i <interface> *抓取網(wǎng)卡經(jīng)過的流量

-n 不轉(zhuǎn)換地址

-r <file> 讀取保存的pcap文件

-s <snaplen> 從每個報文中截取snaplen字節(jié)的數(shù)據(jù)，0為所有數(shù)據(jù)

-q 輸出簡略的協(xié)議相關(guān)信息，輸出行都比較簡短。

-W <cnt> 寫滿cnt個文件后就不再寫入

-w <file> 保存流量至文件

按時間分包時，可使用strftime的格式命名，例如 %Y_%m_%d_%H_%M_%S.pcap

-G <seconds> 按時間分包

-v 產(chǎn)生詳細(xì)的輸出，-vv -vvv 會產(chǎn)生較詳細(xì)的輸出

-X 輸出報文頭和包的內(nèi)容

-Z <user> 在寫文件之前，轉(zhuǎn)換用戶




8.2.3.1. 命令行常用選項(xiàng)

-b max_bytes 定義較大抓取流量

-e name *解析的scanner

-i interface *抓取接口

-o outputdir *輸出文件夾

-r file 讀取文件

-R file 讀取文件，但是只讀取完整的文件

8.2.4. tshark

WireShark的命令行工具，可以通過命令提取自己想要的數(shù)據(jù)，可以重定向到文件，也可以結(jié)合上層語言來調(diào)用命令行，實(shí)現(xiàn)對數(shù)據(jù)的處理。

8.2.4.1. 輸入接口

-i <interface> *捕獲接口，默認(rèn)是**個非本地循環(huán)接口

-f <capture filter> 設(shè)置抓**濾表達(dá)式，遵循libpcap過濾語法，這個選項(xiàng)在抓包的過程中過濾，如果是分析本地文件則用不到

-s <snaplen> 設(shè)置快照長度，用來讀取完整的數(shù)據(jù)包，因?yàn)榫W(wǎng)絡(luò)中傳輸有65535的限制，值0代表快照長度65535，默認(rèn)為65535

-p 以非混合模式工作，即只關(guān)心和本機(jī)有關(guān)的流量

-B <buffer size> 設(shè)置緩沖區(qū)的大小，只對windows生效，默認(rèn)是2M

-y <link type> 設(shè)置抓包的數(shù)據(jù)鏈路層協(xié)議，不設(shè)置則默認(rèn)為 -L 找到的**個協(xié)議

-D 打印接口的列表并退出

-L 列出本機(jī)支持的數(shù)據(jù)鏈路層協(xié)議，供-y參數(shù)使用。

-r <infile> 設(shè)置讀取本地文件

8.2.4.2. 捕獲停止選項(xiàng)

-c <packet count> 捕獲n個包之后結(jié)束，默認(rèn)捕獲無限個

-a <autostop cond>

duration:NUM 在num秒之后停止捕獲

filesize:NUM 在numKB之后停止捕獲

files:NUM 在捕獲num個文件之后停止捕獲

8.2.4.3. 處理選項(xiàng)

-Y <display filter> 使用讀取過濾器的語法，在單次分析中可以代替 -R 選項(xiàng)

-n 禁止所有地址名字解析（默認(rèn)為允許所有）

-N 啟用某一層的地址名字解析。m 代表MAC層， n 代表網(wǎng)絡(luò)層， t 代表傳輸層， C 代表當(dāng)前異步DNS查找。如果 -n 和 -N 參數(shù)同時存在， -n 將被忽略。如果 -n 和 -N 參數(shù)都不寫，則默認(rèn)打開所有地址名字解析。

-d 將*的數(shù)據(jù)按有關(guān)協(xié)議解包輸出，如要將tcp 8888端口的流量按http解包，應(yīng)該寫為 -d tcp.port==8888,http 。可用 tshark -d 列出所有支持的有效選擇器。

8.2.4.4. 輸出選項(xiàng)

-w <outfile> 設(shè)置raw數(shù)據(jù)的輸出文件。不設(shè)置時為stdout

-F <output file type> 設(shè)置輸出的文件格式，默認(rèn)是 .pcapng，使用 tshark -F 可列出所有支持的輸出文件類型

-V 增加細(xì)節(jié)輸出

-O <protocols> 只顯示此選項(xiàng)*的協(xié)議的詳細(xì)信息

-P 即使將解碼結(jié)果寫入文件中，也打印包的概要信息

-S <separator> 行分割符

-x 設(shè)置在解碼輸出結(jié)果中，每個packet后面以HEX dump的方式顯示具體數(shù)據(jù)

-T pdml|ps|text|fields|psml 設(shè)置解碼結(jié)果輸出的格式，默認(rèn)為text

-e 如果 -T 選項(xiàng)*， -e 用來*輸出哪些字段

-t a|ad|d|dd|e|r|u|ud 設(shè)置解碼結(jié)果的時間格式

-u s|hms 格式化輸出秒

-l 在輸出每個包之后flush標(biāo)準(zhǔn)輸出

-q 結(jié)合 -z 選項(xiàng)進(jìn)行使用，來進(jìn)行統(tǒng)計(jì)分析

-X <key>:<value> 擴(kuò)展項(xiàng)，lua_script、read_format

-z 統(tǒng)計(jì)選項(xiàng)，具體的參考文檔

8.2.1.7. 逃避滲透測試檢測相關(guān)

mtu 使用*的MTU

-D<decoy1[， decoy2][， ME]， ...> 使用誘餌隱蔽掃描

-S<IP_Address> 源地址哄騙

-e <interface> 使用*的接口

--source-port<portnumber>;-g<portnumber> 源端口哄騙

--data-length<number> 發(fā)送報文時 附加隨機(jī)數(shù)據(jù)

--ttl <value> 設(shè)置ttl

--randomize-hosts 對目標(biāo)主機(jī)的順序隨機(jī)排列

--spoof-mac<macaddress， prefix， orvendorname> MAC地址哄騙

8.2.1.8. 輸出

-oN<filespec> 標(biāo)準(zhǔn)輸出

-oX<filespec> XML輸出

-oS<filespec> ScRipTKIdd|3oUTpuT

-oG<filespec> Grep輸出 -oA<basename> 輸出至所有格式

8.2.1.9. 細(xì)節(jié)和調(diào)試

-v 信息詳細(xì)程度

-d [level] debug level

--packet-trace 跟蹤發(fā)送和接收的報文

--iflist 列舉接口和路由

在網(wǎng)站安全滲透測試中遇到的檢測方法以及繞過方法太多太多,而這些方法都是源于一個目的,就是為了確保網(wǎng)站或平臺的安全性想要了解更多的安全檢測以及上線前的滲透測試評估可以咨詢專業(yè)的網(wǎng)站安全公司來達(dá)到測試需求,國內(nèi)推薦Sinesafe,綠盟,啟**辰,深信服等等都是很不錯的安全大公司。


青島四海通達(dá)電子科技有限公司專注于服務(wù)器安全,網(wǎng)絡(luò)安全公司,網(wǎng)站安全防護(hù),網(wǎng)站漏洞檢測,滲透測試,網(wǎng)站安全,網(wǎng)站漏洞掃描,網(wǎng)站安全檢測等, 歡迎致電 13280888826

• 詞條

  詞條說明

• 滲透測試服務(wù)公司 對APP安全漏洞檢測詳情

  在對客戶網(wǎng)站以及APP進(jìn)行滲透測試服務(wù)前，很重要的前期工作就是對網(wǎng)站，APP的信息進(jìn)行全面的收集，知彼知己，才能較好的去滲透，前段時間我們SINE安全公司收到某金融客戶的委托，對其旗下的網(wǎng)站，以及APP進(jìn)行安全滲透，整個前期的信息收集過程，我們將通過文章的形式分享給大家.不管是安全滲透工程師還是白貓，在滲透測試過程中都很清楚，信息收集的重要性，我們SINE安全將以我們的角度去收集，去滲透，首先我們

• 【服務(wù)器安全】服務(wù)器安全技巧

  服務(wù)器安全技巧一：從基本做起，及時安裝系統(tǒng)補(bǔ)丁不論是Windows還是Linux，任何操作系統(tǒng)都有漏洞，及時的打上補(bǔ)丁避免漏洞被蓄意攻擊利用，是服務(wù)器安全較重要的保證之一。服務(wù)器安全技巧二：安裝和設(shè)置*墻現(xiàn)在有許多基于硬件或者軟件的*墻，很多安全廠商也都推出了相關(guān)的產(chǎn)品。對服務(wù)器安全而言，安裝*墻非常必要哦。*墻對于非法訪問具有很好的預(yù)防作用，但是安裝了*墻并不等于服務(wù)器安全了。在安裝防

• 滲透測試服務(wù)中的注意事項(xiàng)

  工作中的所有操作都在虛擬機(jī)中完成。虛擬機(jī)不登錄QQ、微信、網(wǎng)絡(luò)磁盤、CSDN等個人賬戶。滲透條件、開發(fā)環(huán)境和調(diào)試條件須要分離，從目標(biāo)服務(wù)器下載的程序須要在單獨(dú)的條件中測試和運(yùn)行。滲透虛擬機(jī)應(yīng)用代理IP上網(wǎng)。物理機(jī)須要安裝安全防護(hù)軟件，安裝較新的補(bǔ)丁，卸載與公司有關(guān)的特定軟件。fofa、cmd5、天眼查等第三方平臺軟件平臺賬戶密碼不可以與公司有關(guān)，云合作平臺相同。RAT應(yīng)用CDN保護(hù)的域名在線。盡可

• 網(wǎng)站被掛馬的三大解決辦法 十年站長運(yùn)營經(jīng)驗(yàn)分享

  在網(wǎng)站運(yùn)營以及優(yōu)化這方面總是會有一些無所事事的人，冒著風(fēng)險做各種各樣的違規(guī)行為的工作，有的時候忽然發(fā)現(xiàn)自己的公司網(wǎng)站，就被他人直接掛了木馬，那些**鏈接鼠標(biāo)點(diǎn)擊進(jìn)來，全部都是灰色內(nèi)容的信息，不妥善處理，非常*造成百度搜索引擎處罰，那麼公司網(wǎng)站被掛馬須要怎么處理?發(fā)生這種難以解決的現(xiàn)象該如何處理?很感興趣的朋友們一塊兒看一下SINE安全是如何解決網(wǎng)站被掛馬的。一、公司網(wǎng)站被掛馬的主觀因素怎么會發(fā)生公