精华之渗透测试之嗅探流量抓包剖析

2019-12-26 12:10 来源:A5用户投稿 作者:王冬梅 点击: 评论:

A-A+

原标题:精华之渗透测试之嗅探流量抓包剖析

在浩瀚的网络中安全问题是最普遍的需求,很多想要对网站进行渗透测试服务的,来想要保障网站的安全性防止被入侵被攻击等问题,在此我们Sine安全整理了下在渗透安全测试中抓包分析以及嗅探主机服务类型,以及端口扫描等识别应用服务,来综合评估网站安全。

8.2.1. TCPDump

TCPDump是一款数据包的抓取分析工具,可以将网络中传送的数据包的完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供逻辑语句来过滤包。

8.2.1.1. 命令行常用选项

-B <buffer_size>抓取流量的缓冲区大小,若过小则可能丢包,单位为KB

-c抓取n个包后退出

-C <file_size>当前记录的包超过一定大小后,另起一个文件记录,单位为MB

-i指定抓取网卡经过的流量

-n 不转换地址

-r读取保存的pcap文件

-s从每个报文中截取snaplen字节的数据,0为所有数据

-q 输出简略的协议相关信息,输出行都比较简短。

-W写满cnt个文件后就不再写入

-w保存流量至文件

按时间分包时,可使用strftime的格式命名,例如 %Y_%m_%d_%H_%M_%S.pcap

-G按时间分包

-v 产生详细的输出,-vv -vvv 会产生更详细的输出

-X 输出报文头和包的内容

-Z在写文件之前,转换用户

8.2.2. Bro

Bro是一个开源的网络流量分析工具,支持多种协议,可实时或者离线分析流量。

8.2.2.1. 命令行

实时监控 bro -i

分析本地流量 bro -r<scripts...>

分割解析流量后的日志 bro-cut

8.2.2.2. 脚本

为了能够扩展和定制Bro的功能,Bro提供了一个事件驱动的脚本语言。

8.2.3. tcpflow

tcpflow也是一个抓包工具,它的特点是以流为单位显示数据内容,在分析HTTP等协议的数据时候,用tcpflow会更便捷。

8.2.3.1. 命令行常用选项

-b max_bytes 定义最大抓取流量

-e name 指定解析的scanner

-i interface 指定抓取接口

-o outputdir 指定输出文件夹

-r file 读取文件

-R file 读取文件,但是只读取完整的文件

8.2.4. tshark

WireShark的命令行工具,可以通过命令提取自己想要的数据,可以重定向到文件,也可以结合上层语言来调用命令行,实现对数据的处理。

8.2.4.1. 输入接口

-i指定捕获接口,默认是第一个非本地循环接口

-f设置抓包过滤表达式,遵循libpcap过滤语法,这个选项在抓包的过程中过滤,如果是分析本地文件则用不到

-s设置快照长度,用来读取完整的数据包,因为网络中传输有65535的限制,值0代表快照长度65535,默认为65535

-p 以非混合模式工作,即只关心和本机有关的流量

-B设置缓冲区的大小,只对windows生效,默认是2M

【易采站长站编辑:秋军】