在浩瀚的網(wǎng)絡(luò)中安全問題是最普遍的需求,很多想要對(duì)網(wǎng)站進(jìn)行滲透測(cè)試服務(wù)的,來想要保障網(wǎng)站的安全性防止被入侵被攻擊等問題,在此我們Sine安全整理了下在滲透安全測(cè)試中抓包分析以及嗅探主機(jī)服務(wù)類型,以及端口掃描等識(shí)別應(yīng)用服務(wù),來綜合評(píng)估網(wǎng)站安全。
8.2.1. TCPDump
TCPDump是一款數(shù)據(jù)包的抓取分析工具,可以將網(wǎng)絡(luò)中傳送的數(shù)據(jù)包的完全截獲下來提供分析。它支持針對(duì)網(wǎng)絡(luò)層、協(xié)議、主機(jī)、網(wǎng)絡(luò)或端口的過濾,并提供邏輯語句來過濾包。
8.2.1.1. 命令行常用選項(xiàng)
-B <buffer_size>抓取流量的緩沖區(qū)大小,若過小則可能丟包,單位為KB
-c抓取n個(gè)包后退出
-C <file_size>當(dāng)前記錄的包超過一定大小后,另起一個(gè)文件記錄,單位為MB
-i指定抓取網(wǎng)卡經(jīng)過的流量
-n 不轉(zhuǎn)換地址
-r讀取保存的pcap文件
-s從每個(gè)報(bào)文中截取snaplen字節(jié)的數(shù)據(jù),0為所有數(shù)據(jù)
-q 輸出簡(jiǎn)略的協(xié)議相關(guān)信息,輸出行都比較簡(jiǎn)短。
-W寫滿cnt個(gè)文件后就不再寫入
-w保存流量至文件
按時(shí)間分包時(shí),可使用strftime的格式命名,例如 %Y_%m_%d_%H_%M_%S.pcap
-G按時(shí)間分包
-v 產(chǎn)生詳細(xì)的輸出,-vv -vvv 會(huì)產(chǎn)生更詳細(xì)的輸出
-X 輸出報(bào)文頭和包的內(nèi)容
-Z在寫文件之前,轉(zhuǎn)換用戶
8.2.2. Bro
Bro是一個(gè)開源的網(wǎng)絡(luò)流量分析工具,支持多種協(xié)議,可實(shí)時(shí)或者離線分析流量。
8.2.2.1. 命令行
實(shí)時(shí)監(jiān)控 bro -i
分析本地流量 bro -r<scripts...>
分割解析流量后的日志 bro-cut
8.2.2.2. 腳本
為了能夠擴(kuò)展和定制Bro的功能,Bro提供了一個(gè)事件驅(qū)動(dòng)的腳本語言。
8.2.3. tcpflow
tcpflow也是一個(gè)抓包工具,它的特點(diǎn)是以流為單位顯示數(shù)據(jù)內(nèi)容,在分析HTTP等協(xié)議的數(shù)據(jù)時(shí)候,用tcpflow會(huì)更便捷。
8.2.3.1. 命令行常用選項(xiàng)
-b max_bytes 定義最大抓取流量
-e name 指定解析的scanner
-i interface 指定抓取接口
-o outputdir 指定輸出文件夾
-r file 讀取文件
-R file 讀取文件,但是只讀取完整的文件
8.2.4. tshark
WireShark的命令行工具,可以通過命令提取自己想要的數(shù)據(jù),可以重定向到文件,也可以結(jié)合上層語言來調(diào)用命令行,實(shí)現(xiàn)對(duì)數(shù)據(jù)的處理。
8.2.4.1. 輸入接口
-i指定捕獲接口,默認(rèn)是第一個(gè)非本地循環(huán)接口
-f設(shè)置抓包過濾表達(dá)式,遵循libpcap過濾語法,這個(gè)選項(xiàng)在抓包的過程中過濾,如果是分析本地文件則用不到
-s設(shè)置快照長(zhǎng)度,用來讀取完整的數(shù)據(jù)包,因?yàn)榫W(wǎng)絡(luò)中傳輸有65535的限制,值0代表快照長(zhǎng)度65535,默認(rèn)為65535
-p 以非混合模式工作,即只關(guān)心和本機(jī)有關(guān)的流量
-B設(shè)置緩沖區(qū)的大小,只對(duì)windows生效,默認(rèn)是2M
-y設(shè)置抓包的數(shù)據(jù)鏈路層協(xié)議,不設(shè)置則默認(rèn)為 -L 找到的第一個(gè)協(xié)議
-D 打印接口的列表并退出
-L 列出本機(jī)支持的數(shù)據(jù)鏈路層協(xié)議,供-y參數(shù)使用。
-r設(shè)置讀取本地文件
8.2.4.2. 捕獲停止選項(xiàng)
-c捕獲n個(gè)包之后結(jié)束,默認(rèn)捕獲無限個(gè)
-a
duration:NUM 在num秒之后停止捕獲
filesize:NUM 在numKB之后停止捕獲
files:NUM 在捕獲num個(gè)文件之后停止捕獲
8.2.4.3. 處理選項(xiàng)
-Y使用讀取過濾器的語法,在單次分析中可以代替 -R 選項(xiàng)
-n 禁止所有地址名字解析(默認(rèn)為允許所有)
-N 啟用某一層的地址名字解析。m 代表MAC層, n 代表網(wǎng)絡(luò)層, t 代表傳輸層, C 代表當(dāng)前異步DNS查找。如果 -n 和 -N 參數(shù)同時(shí)存在, -n 將被忽略。如果 -n 和 -N 參數(shù)都不寫,則默認(rèn)打開所有地址名字解析。
-d 將指定的數(shù)據(jù)按有關(guān)協(xié)議解包輸出,如要將tcp 8888端口的流量按http解包,應(yīng)該寫為 -d tcp.port==8888,http ??捎?tshark -d 列出所有支持的有效選擇器。
8.2.4.4. 輸出選項(xiàng)
-w設(shè)置raw數(shù)據(jù)的輸出文件。不設(shè)置時(shí)為stdout
-F設(shè)置輸出的文件格式,默認(rèn)是 .pcapng,使用 tshark -F 可列出所有支持的輸出文件類型
-V 增加細(xì)節(jié)輸出
-O只顯示此選項(xiàng)指定的協(xié)議的詳細(xì)信息
-P 即使將解碼結(jié)果寫入文件中,也打印包的概要信息
-S行分割符
-x 設(shè)置在解碼輸出結(jié)果中,每個(gè)packet后面以HEX dump的方式顯示具體數(shù)據(jù)
-T pdml|ps|text|fields|psml 設(shè)置解碼結(jié)果輸出的格式,默認(rèn)為text
-e 如果 -T 選項(xiàng)指定, -e 用來指定輸出哪些字段
-t a|ad|d|dd|e|r|u|ud 設(shè)置解碼結(jié)果的時(shí)間格式
-u s|hms 格式化輸出秒
-l 在輸出每個(gè)包之后flush標(biāo)準(zhǔn)輸出
-q 結(jié)合 -z 選項(xiàng)進(jìn)行使用,來進(jìn)行統(tǒng)計(jì)分析
-X:擴(kuò)展項(xiàng),lua_script、read_format
-z 統(tǒng)計(jì)選項(xiàng),具體的參考文檔
8.2.4.5. 其他選項(xiàng)
-h 顯示命令行幫助
-v 顯示tshark的版本信息
網(wǎng)絡(luò)滲透測(cè)試嗅探
8.3. 嗅探工具
8.3.1. Nmap
nmap [<掃描類型>...] [<選項(xiàng)>] {<掃描目標(biāo)說明>}
8.3.1.1. 指定目標(biāo)
CIDR風(fēng)格 192.168.1.0/24
逗號(hào)分割 www.baidu.com,www.zhihu.com
分割線 10.22-25.43.32
來自文件 -iL
排除不需要的host --exclude--excludefile
8.3.1.2. 主機(jī)發(fā)現(xiàn)
-sL List Scan - simply list targets to scan
-sn/-sP Ping Scan - disable port scan
-Pn Treat all hosts as online -- skip host discovery
-sS/sT/sA/sW/sM TCP SYN/Connect()/ACK/Window/Maimon scans
-sU UDP Scan
-sN/sF/sX TCP Null, FIN, and Xmas scans
8.2.1.3. 端口掃描
--scanflags 定制的TCP掃描
-P0 無ping
PS [port list] (TCP SYN ping) // need root on Unix
PA [port list] (TCP ACK ping)
PU [port list] (UDP ping)
PR (Arp ping)
p
F 快速掃描
r 不使用隨機(jī)順序掃描
8.2.1.4. 服務(wù)和版本探測(cè)
-sV 版本探測(cè)
--allports 不為版本探測(cè)排除任何端口
--version-intensity設(shè)置 版本掃描強(qiáng)度
--version-light 打開輕量級(jí)模式 // 級(jí)別2
--version-all 嘗試每個(gè)探測(cè) // 級(jí)別9
--version-trace 跟蹤版本掃描活動(dòng)
-sR RPC 掃描
8.2.1.5. 操作系統(tǒng)掃描
-O 啟用操作系統(tǒng)檢測(cè)
--osscan-limit 針對(duì)指定的目標(biāo)進(jìn)行操作系統(tǒng)檢測(cè)
--osscan-guess
--fuzzy 推測(cè)操作系統(tǒng)檢測(cè)結(jié)果
8.2.1.6. 時(shí)間和性能
調(diào)整并行掃描組的大小
--min-hostgroup
--max-hostgroup
調(diào)整探測(cè)報(bào)文的并行度
--min-parallelism
--max-parallelism
調(diào)整探測(cè)報(bào)文超時(shí)
--min_rtt_timeout
--max-rtt-timeout
--initial-rtt-timeout
放棄低速目標(biāo)主機(jī)
--host-timeout
調(diào)整探測(cè)報(bào)文的時(shí)間間隔
--scan-delay
--max_scan-delay
設(shè)置時(shí)間模板
-T <paranoid|sneaky|polite|normal|aggressive|insane>
8.2.1.7. 逃避滲透測(cè)試檢測(cè)相關(guān)
mtu 使用指定的MTU
-D<decoy1[, ...="" me],="" decoy2][,=""> 使用誘餌隱蔽掃描
-S<ip_address> 源地址哄騙
-e使用指定的接口
--source-port;-g源端口哄騙
--data-length發(fā)送報(bào)文時(shí) 附加隨機(jī)數(shù)據(jù)
--ttl設(shè)置ttl
--randomize-hosts 對(duì)目標(biāo)主機(jī)的順序隨機(jī)排列
--spoof-mac<macaddress, orvendorname="" prefix,=""> MAC地址哄騙
8.2.1.8. 輸出
-oN標(biāo)準(zhǔn)輸出
-oXXML輸出
-oSScRipTKIdd|3oUTpuT
-oGGrep輸出 -oA輸出至所有格式
8.2.1.9. 細(xì)節(jié)和調(diào)試
-v 信息詳細(xì)程度
-d [level] debug level
--packet-trace 跟蹤發(fā)送和接收的報(bào)文
--iflist 列舉接口和路由
在網(wǎng)站安全滲透測(cè)試中遇到的檢測(cè)方法以及繞過方法太多太多,而這些方法都是源于一個(gè)目的,就是為了確保網(wǎng)站或平臺(tái)的安全性想要了解更多的安全檢測(cè)以及上線前的滲透測(cè)試評(píng)估可以咨詢專業(yè)的網(wǎng)站安全公司來達(dá)到測(cè)試需求,國(guó)內(nèi)推薦Sinesafe,綠盟,啟明星辰,深信服等等都是很不錯(cuò)的安全大公司。
我們專注高端建站,小程序開發(fā)、軟件系統(tǒng)定制開發(fā)、BUG修復(fù)、物聯(lián)網(wǎng)開發(fā)、各類API接口對(duì)接開發(fā)等。十余年開發(fā)經(jīng)驗(yàn),每一個(gè)項(xiàng)目承諾做到滿意為止,多一次對(duì)比,一定讓您多一份收獲!