manjaro安裝gui版本:yaourt -s wireshark-qt
需用sudo wireshark圖形化版本以順利使用全部功能
抓包嗅探協議分析
安全專家必備的技能
抓包引擎
libpcap9——linux
winpcap10——windows
解碼能力(衡量抓包工具優劣的重要指標)
若不勾選使用混雜模式,不會抓取傳送給本地ip位址之外的包
篩選器: 過濾掉干擾的資料報
抓包過濾器:抓包時過濾
顯示過濾器:顯示時過濾,往往用的更多
network -> capture filters -> capture engine -> display filter
實時抓包,停止後可以儲存,建議使用pcap格式(相容性較高)
edit->preferences調整介面布局等首選項內容
ttl(time to live)
常見協議包:
資料報的分層結構(統計資訊、二層報頭、三層報頭、四層報頭...)
ip是三層報頭
四層協議不僅是tcp(protocol:6)和udp(17)兩種協議,0-255,icmp(1),igmp(2)...
二層報頭先是源位址再是目的位址,三層報頭先是目的位址再是源位址
tcp的三次握手: [syn], [syn, ack], [ack]
tcp開銷相對於udp較大
dns是基於四層udp協議之上的應用層協議,網域名稱解析
http是基於tcp協議的應用層協議
http/1.1\r\n結尾
ftp也是基於tcp協議的應用層協議
wireshark預設通過埠來識別協議,如http通常在80,若在8080則不會按http解析,可以右鍵選擇decode as來手動選擇協議
資料流:
更清晰地看到訪問過程
右鍵包 follow *** stream
http,smtp,pop3基本上是完全明文傳輸的,提倡用ssl(secure sockets layer)等加密
ssl加密通訊過程中,最初的幾個包進行ssl公鑰傳輸及加密秘鑰的交換,資訊會以明文形式傳輸,但這些資訊無法用於解密
資訊統計:
wireshark官網下有各類協議的學習檔案
大多statistics選單下
summary 抓包檔案的摘要資訊
endpoints 了解當前這些包中一共有幾個ip位址
protocol hierarchy 可檢視當前抓的資料報都是什麼協議型別
dns佔比過大時往往不正常
conversation 檢視兩台機期間產生的會話及產生的資料量(檢視中殭屍程式的伺服器)
expert info 專家系統資訊提示
wireshark抓大流量時略有欠缺,但應用很廣,有很多基於wireshark開發的抓包軟體
企業抓包部署方案:
sniffer
cace/riverbed
cascad pilot
滲透測試工具 sqlmap
簡單來說 乙個用來做sql注入攻擊的工具 2.配置環境變數 控制面板 系統和安全 系統 高階系統設定 環境變數 找到path 新建黏貼python位址 sqlmap支援五種不同的注入模式 1 基於布林的盲注,即可以根據返回頁面判斷條件真假的注入。2 基於時間的盲注,即不能根據頁面返回內容判斷任何資訊...
滲透測試工具SQLmap
一 簡介 sqlmap 是一款用 python 編寫的開源滲透測試工具,用來自動檢測和利用 sql 注入漏洞。二 windows 下安裝 2.1 安裝 python 環境 注 python 3.0會出錯 python 2.6 且 3.0 2.2 安裝 sqlmap 官方 2.3 配置 將解壓後的 s...
滲透測試工具集
一 基於 的滲透 1 名稱 acunetix web vulnerability scanner 6 功能 漏洞掃瞄器。平台 windows 功能 漏洞掃瞄器。平台 windows 3 名稱 jsky 功能 漏洞掃瞄器。平台 windows 4 名稱 dtools 功能 阿d的多功能入侵工具,帶掃瞄...