安全矩阵

 找回密码
 立即注册
搜索
查看: 91|回复: 5

张世林学习日记

[复制链接]

1

主题

6

帖子

31

积分

新手上路

Rank: 1

积分
31
发表于 2021-9-14 23:48:31 | 显示全部楼层 |阅读模式

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

1

主题

6

帖子

31

积分

新手上路

Rank: 1

积分
31
 楼主| 发表于 2021-9-15 23:39:57 | 显示全部楼层
回复

使用道具 举报

1

主题

6

帖子

31

积分

新手上路

Rank: 1

积分
31
 楼主| 发表于 2021-9-17 22:51:05 | 显示全部楼层
Arpspoof学习

首先要获取主机ip地址(局域网ipv4地址)和默认网关
拦截目标主机向网关发送的数据
Echo 1>> /proc/sys/net/ipv4/ip_forward停止信息输出
虚拟机发送arp数据包欺骗目标系统
Arpspoof -i eth0(网卡名) -t 目标ip 目标网关
成功后显示虚拟机和目标主机的MAC地址
欺骗网关
Arpspoof -i eth0(网卡名) -t 目标网关 目标ip
成功后可通过wireeshark监控数据
Ctrl+c结束arp欺骗
回复

使用道具 举报

1

主题

6

帖子

31

积分

新手上路

Rank: 1

积分
31
 楼主| 发表于 2021-9-17 22:55:07 | 显示全部楼层
ettercap 图片监控
在局域网中对其他设备进行监控
目标机:192.168.198.128
默认网关:192.168.198.2
ettercap -G先启动ettercap,设置网卡
确认
查看主机列表
右击网卡及目标主机ip添加到target1和target2
点击圆球标志,再选择ARP poisoning,再把Sniff remote connection勾选上并点确定
目标机浏览图片
打开终端输入
driftnet -i eth0
没有root无权访问
并且网络延迟较大,图中显示的是我上一张浏览的图片。(上次的显示不出来,把图片删了发过一遍)
回复

使用道具 举报

1

主题

6

帖子

31

积分

新手上路

Rank: 1

积分
31
 楼主| 发表于 2021-9-18 22:16:59 | 显示全部楼层
抓取到数据之后,为了方便分析,需要进行筛选

Tcpdump
   常用指令
    -a:尝试将网络和广播地址转换成名称;
    -c<数据包数目>:收到指定的数据包数目后,就停止进行倾倒操作;
    -d:把编译过的数据包编码转换成可阅读的格式,并倾倒到标准输出;
    -dd:把编译过的数据包编码转换成C语言的格式,并倾倒到标准输出;
    -ddd:把编译过的数据包编码转换成十进制数字的格式,并倾倒到标准输出;
    -e:在每列倾倒资料上显示连接层级的文件头;
    -f:用数字显示网际网络地址;
    -F<表达文件>:指定内含表达方式的文件;
-i<网络界面>:使用指定的网络截面送出数据包;  
    -l:使用标准输出列的缓冲区;
    -n:不把主机的网络地址转换成名字;
    -N:不列出域名;
    -O:不将数据包编码最佳化;
    -p:不让网络界面进入混杂模式;
    -q :快速输出,仅列出少数的传输协议信息;
    -r<数据包文件>:从指定的文件读取数据包数据;
    -s<数据包大小>:设置每个数据包的大小;0是包有多大抓多大
    -S:用绝对而非相对数值列出TCP关联数;
    -t:在每列倾倒资料上不显示时间戳记;
    -tt: 在每列倾倒资料上显示未经格式化的时间戳记;
    -T<数据包类型>:强制将表达方式所指定的数据包转译成设置的数据包类型;
    -v:详细显示指令执行过程;
    -vv:更详细显示指令执行过程;
    -x:用十六进制字码列出数据包资料;
-w<数据包文件>:把数据包数据写入指定的文件。

f:表示网卡接口名、
proc:表示进程名
pid:表示进程 id
svc:表示 service class
dir:表示方向,in 和 out
eproc:表示 effective process name
epid:表示 effective process ID


tcpdump -i eth0 -s 0 -w file.pcap 抓取所有eth0的数据包写入file.pcap
tcpdump -r file.pcap 读取
tcpdump -r -A file.pcap ASCII码显示
tcpdump -r -X file.pcap 十六进制显示
tcpdump -i eth0 tcp part 22 指定抓取端口和协议并实时显示
tcpdump -n -r http.cap | awk'{print $3}' | sort -u 读取http.cap不做dns解析筛选第三列剔除重复项最终得到IP地址和端口
tcpdump -n src host 145.254.160.237 -r http.cap 只显示这个原IP
tcpdump -n dst host 145.254.160.237 -r http.cap 只显示这个目标IP
tcpdump -n port 53 -r http.cap 只显示这个端口
tcpdump -nX port 80 -r http.cap 这个端口十六进制显示


过滤指令的形式基本为
Tcpdump +参数名+参数值
例如Tcpdump host 127.0.0.1筛选ip
在参数前可以进一步添加过滤器限制  如
# 根据源ip1进行过滤
$ tcpdump -i eth2 src (ip1)
# 根据目标ip2进行过滤
$ tcpdump -i eth2 dst (ip2)

对网段,端口进行过滤
$ tcpdump net 127.1
$ tcpdump port 8088 or 80
$ tcpdump portrange 8000-8080
$ tcpdump src portrange 8000-8080
$ tcpdump dst portrange 8000-8080

基于协议进行过滤:
常见的网络协议有:tcp, udp, icmp, http, ip,ipv6 等
$ tcpdump icmp

组合符合逻辑运算
and:所有的条件都需要满足,也可以表示为 &&
or:只要有一个条件满足就可以,也可以表示为 ||
not:取反,也可以使用 !

长度筛选
roto [ expr:size ]
proto:可以是熟知的协议之一(如ip,arp,tcp,udp,icmp,ipv6)
expr:可以是数值,也可以是一个表达式,表示与指定的协议头开始处的字节偏移量。
size:是可选的,表示从字节偏移量开始取的字节数量。

大小过滤,如
$ tcpdump less
$ tcpdump greater
$ tcpdump <=

找出发包数最多的 IP
找出一段时间内发包最多的 IP,或者从一堆报文中找出发包最多的 IP,可以使用下面的命令:
$ tcpdump -nnn -t -c 200 | cut -f 1,2,3,4 -d '.' | sort | uniq -c | sort -nr | head -n 20
1
cut -f 1,2,3,4 -d ‘.’ : 以 . 为分隔符,打印出每行的前四列。即 IP 地址。
sort | uniq -c : 排序并计数
sort -nr : 按照数值大小逆向排

结合wireshark可视化分析
$tcpdump xx | /Applications/Wireshark.app/Contents/MacOS/Wireshark -k -i -
回复

使用道具 举报

1

主题

6

帖子

31

积分

新手上路

Rank: 1

积分
31
 楼主| 发表于 7 天前 | 显示全部楼层
了解网络协议欺骗,除了之前涉及的arp和tcp,还讲了ip,dns欺骗

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2021-9-29 03:15 , Processed in 0.117750 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表