目錄
1.tcpdump基本使用
2.tcpdump條件過濾
3.wireshark介紹
4.wireshark的介紹
5.tcp握手揮手分析
6.telnet服務的介紹和部署
7.復習
8.telnet服務的報文嗅探
9.網絡嗅探基礎
10.arp協議的解析
11.arp攻擊原理以及試驗環境
12.arp實驗以及防御方式
1.tcpdump基本使用
2.tcpdump條件過濾
3.wireshark介紹
4.wireshark的介紹
1 tcpdump
? ? tcpdump -i <網卡名字>
? ? 如果是使用ssh遠程來控制linux 再使用tcpdump進行抓包,導致死循環
? ? 因為每次抓包之后就要顯示到ssh客戶端上,也會產生通信報文,每次產生通信報文又會被抓包,依次循環
? ? 抓取的報文顯示如下
? ? 09:52:02.968593 IP kali.ssh > 192.168.177.1.62564: Flags [P.], seq 5123876:5124232, ack 3349, win 293, options [nop,nop,TS val 4238057456 ecr 643507630], length 356 ??
? ? 抓包時間 ?報文類型(IP) ?源主機:端口 > 目標主機:端口 ? ?報文的摘要 ? ??
? ? -v -vv -vvv 將抓到的報文顯示得更加詳細
? ? -w <文件名.pcap>?
? ? ? ? 將抓到的報文存成pcap文件, 典型用法是使用tcpdump抓包再拿到wireshark來分析
? ? 過濾條件
? ? ? ? man pacap-filter 可以查看過濾條件的幫助信息
? ? ? ? 過濾主機
? ? ? ? ? ? tcpdump [src|dst] host <ip>
? ? ? ? 過濾端口號
? ? ? ? ? ? tcpdump [src|dst] port <端口號>
? ? ? ? 過濾協議
? ? ? ? ? ? tcpdump tcp|udp|icmp...
? ? ? ? 條件與或非 ?and or not
? ? ? ? ? ? ?tcpdump tcp and src host 220.181.112.244 and src port 80?
?
5.tcp握手揮手分析
2 telnet?
? ? telnet是一個最簡單的tcp客戶端,也是一個協議,該協議以前操作linux服務器使用的協議
? ? 現在都用ssh ?,telnet協議不加密,只要能夠抓包就能夠看到上面的通信的信息
? ? 需求:部署telnet服務器,使用telnet客戶端連接上去,輸入用戶名和密碼,讓wireshark抓包
? ? 安裝telnet服務:
? ? itcast@itcast $ sudo apt-get install telnet telnetd
? ? apt-get install xinetd
? ? vim /etc/xinetd.d/telnet
? ? 內容如下
? ? service telnet ?
? ? { ?
? ? ? ? disable = no ?
? ? ? ? flags = REUSE ?
? ? ? ? socket_type = stream ?
? ? ? ? wait = no ?
? ? ? ? user = root ?
? ? ? ? server = /usr/sbin/in.telnetd ?
? ? ? ? server_args = -h ?
? ? ? ? log_on_failure += USERID ?
? ? } ? ?
? ? /etc/init.d/xinetd restart 重啟服務
? ? 使用telnet客戶端連接
? ? telnet <ip>
6.telnet服務的介紹和部署
3 arp協議
? ??
? ? 共識:發送IP報文 能夠讓對方機器成功捕獲,以太網幀必須要填對方的物理地址
? ? 如果只知道對方的IP地址,而不知道物理地址,就必須使用ARP協議進行解析
? ? A(192.168.1.1)想知道B機器(192.168.1.2)的物理地址
? ? ? ? 1 A發送一個廣播報文 ,物理地址是 FF-FF-FF-FF-FF-FF
? ? ? ? ? ? 包含一個信息:誰是 192.168.1.2 ,回一下我,告訴我你的物理地址是啥
? ? ? ? 2 B收到該報文,做ARP回應,發送一個特定報文給A,告訴A他的物理地址
? ? ? ? 3 其他機器收到廣播報文,不應答
7.復習
4 arp攻擊
? ? 實驗:實現arp的欺騙
? ? 靶機: 192.168.177.196 ? ? 00:0c:29:b5:da:67
? ? ubuntu web服務器: 192.168.177.170 ? 00:0c:29:bf:94:68
? ? 攻擊機: 192.168.177.165 ? ?00:0c:29:da:bf:07
? ? 靶機 正常情況系能夠訪問ubuntu的服務?
? ? 攻擊機使用ARP攻擊靶機,之后靶機要訪問ubuntu的服務,就會訪問不了
? ? arpspoof -i <網卡名> -t <欺騙的目標> <我是誰>
? ? arpspoof -i eth0 -t 192.168.177.196 192.168.177.170
? ? 同時,攻擊機可以簡單的開啟 ip_forward功能將不是自己的ip報文丟給正確的機器
? ? 攻擊機作為一個中間人來監聽目標機器的通訊行為
? ? echo 1 > /proc/sys/net/ipv4/ip_forward?
? ? 防御方式:
? ? 寫死arp表對應機器的物理地址
? ? sudo arp -s 192.168.177.170 ?00:0c:29:bf:94:68
)
:從.svg 到 SVG Vue 組件的高效蛻變?)
)
