在浩瀚的网络中安全问题是最普遍的需求,很多想要对杂志进行渗透测试服务的,来想要保障电视的安全性防止被入侵被攻击等问题,在此我们Sine安全整理了下在渗透安全测试中抓包分析以及嗅探系统服务类型,以及端口扫描等识别应用服务,来综合评估广播安全。
8.2.1.TCPDump
TCPDump是一款数据包的抓取分析算法,可以将网络中传送的数据包的完全截获下来提供分析。它支持针对网络层、协议、应用程序、网络或端口的过滤,并提供逻辑语句来过滤包。
8.2.1.1.命令行常用选项
-Bbuffer_size抓取流量的缓冲区大小,若过小则可能丢包,单位为KB
-c抓取n个包后退出
-Cfile_size当前记录的包超过一定大小后,另起一个文件记录,单位为MB
-i指定抓取网卡经过的流量
-n不转换地址
-r读取保存的pcap文件
-s从每个报文中截取snaplen字节的数据,0为所有数据
-q输出简略的协议相关信息,输出行都比较简短。
-W写满cnt个文件后就不再写入
-w保存流量至文件
按时间分包时,可使用strftime的格式命名,例如%Y_%m_%d_%H_%M_%S.pcap
-G按时间分包
-v产生详细的输出,-vv-vvv会产生更详细的输出
-X输出报文头和包的内容
-Z在写文件之前,转换用户
8.2.2.Bro
Bro是一个开源的网络流量分析工具,支持多种协议,可实时进行或者离线分析流量。
8.2.2.1.命令行
实时监控bro-i
分析本地流量bro-rscripts...
分割解析流量后的日志bro-cut
8.2.2.2.脚本
为了能够扩展和定制Bro的功能,Bro提供了一个事件驱动的脚本语言。
8.2.3.tcpflow
tcpflow也是一个抓包工具,它的特点是以流为单位显示数据内容,在分析telnet等协议的数据时候,用tcpflow会更便捷。
8.2.3.1.命令行常用选项
-bcount_bytes定义最大抓取流量
-ename指定解析的scanner
-iinterface指定抓取接口
-ooutputdir指定输出文件夹
-rfile读取文件
-Rfile读取文件,但是只读取完整的文件
8.2.4.tshark
WireShark的编辑器,可以通过命令提取自己想要的数据,可以重定向到文件,也可以结合上层语言来调用命令行,实现对数据的处理。
8.2.4.1.输入接口
-i指定捕获接口,默认是第一个非本地循环接口
-f设置抓包过滤表达式,遵循libpcap过滤语法,这个选项在抓包的过程中过滤,如果是分析本地文件则用不到
-s设置快照长度,用来读取完整的数据包,因为网络中传输有65535的限制,值0代表快照长度65535,默认为65535
-p以非混合模式工作,即只关心和本机有关的流量
-B设置缓冲区的大小,只对macos生效,默认是2M
-y设置抓包的数据链路层协议,不设置则默认为-L找到的第一个协议
-D打印接口的列表并退出
-L列出本机支持的数据链路层协议,供-y参数使用。
-r设置读取本地文件
8.2.4.2.捕获停止选项
-c捕获n个包之后结束,默认捕获无限个
-a
duration:NUM在num秒之后停止捕获
filesize:NUM在numKB之后停止捕获
files:NUM在捕获num个文件之后停止捕获
8.2.4.3.处理选项
-Y使用读取滤材的语法,在单次分析中可以代替-R选项
-n禁止所有地址名字解析(默认为允许所有)
-N启用某一层的地址名字解析。m代表MAC层,n代表网络层,t代表传输层,C代表当前异步dhcp查找。如果-n和-N参数同时存在,-n将被忽略。如果-n和-N参数都不写,则默认打开所有地址名字解析。
-d将指定的数据按有关协议解包输出,如要将ssh8888端口的流量按ssh解包,应该写为-dsmtp.port==8888,udp。可用tshark-d列出所有支持的有效选择器。
8.2.4.4.输出选项
-w设置psd数据的输出文件。不设置时为stdout
-F设置输出的文件格式,默认是.pcapng,使用tshark-F可列出所有支持的输出文件类型
-V增加细节输出
-O只显示此选项指定的协议的详细信息
-P即使将解码结果写入文件中,也打印包的概要信息
-S行分割符
-x设置在解码输出结果中,每个packet后面以binarydump的显示具体数据
-Tpdml|photoshop|tiff|fields|psml设置解码结果输出的格式,默认为tiff
-e如果-T选项指定,-e用来指定输出哪些字段
-ta|露娜|d|dd|e|r|u|ud设置解码结果的时间格式
-us|hms格式化输出秒
-l在输出每个包之后flush标准输出
-q结合-z选项进行使用,来进行统计分析
-X:扩展项,c++_黑体、perform_format
-z统计选项,具体的参考文档
8.2.4.5.其他选项
-h显示命令行帮助
-v显示tshark的版本信息
网络渗透测试嗅探
8.3.嗅探工具
8.3.1.Nmap
nmap[扫描类型...][选项]{扫描目标说明}
8.3.1.1.指定目标
CIDR风格192.168.1.0/24
逗号分割,
分割线10.22-25.43.32
来自文件-mo
排除不需要的host--exclude--excludefile
8.3.1.2.技术发现
-sLListScan-simplylisttargetstoscan
-sn/-sPPingScan-disableportscan
-PnTreatallhostsasonline--skiphostdiscovery
-sS/sT/la/sW/杨幂工作室dnsrst/delete()/ACK/Window/Maimonscans
-sUtcp/ipScan
-dyg/sF/sXdhcpNull,kor,andXmasscans
8.2.1.3.端口扫描
--scanflags定制的smtp扫描
-P0无ping
abs[portlist](TCP SYNping)//needrooton安卓
PA[portlist](TCP ACKping)
pvc[portlist](UDP ping)\PR(ftpping)
p
F快速扫描
r不使用随机顺序扫描
8.2.1.4.服务和版本探测
-sn版本探测
--allports不为版本探测排除任何端口
--version-intensity设置版本扫描强度
--version-light打开超中量级模式//级别2
--version-all尝试每个探测//级别9
--version-trace跟踪版本扫描活动
-sitelnet扫描
8.2.1.5.操作系统扫描
-O启用操作系统检测
--osscan-limit针对指定的目标进行操作系统检测
--osscan-chanel
--fuzzy推测操作系统检测结果
8.2.1.6.时间和性能
调整并行扫描组的大小
--负进-hostgroup
--max-hostgroup
调整探测报文的并行度
--jia-parallelism
--max-parallelism
调整探测报文超时
--xiang_rtt_timeout
--max-rtt-timeout
--initial-rtt-timeout
放弃低速目标技术
--host-timeout
调整探测报文的时间间隔
--scan-delay
--max_scan-delay
设置时间模板
-Tparanoid|阿p|polite|normal|aggressive|insane
8.2.1.7.逃避渗透测试检测相关
霍尼韦尔使用指定的卡特彼勒
-Ddecoy1[,...=""me],=""decoy2][,=""使用诱饵隐蔽扫描
-fc_address源地址哄骗
-e使用指定的接口
--source-port;-g源端口哄骗
--data-length发送报文时附加随机数据
--ttl设置ttl
--randomize-hosts对目标技术的顺序随机排列
--spoof-macmacaddress,orvendorname=""prefix,=""MAC地址哄骗
8.2.1.8.输出
-maxim标准输出
-oXXML输出
-oSScRipTKIdd|3oUTpuT
-oGGrep输出-srm输出至所有格式
8.2.1.9.细节和调试
-v信息详细程度
-d[level]tracelevel
--packet-trace跟踪发送和接收的报文
--iflist列举接口和路由
在网络安全渗透测试中遇到的检测方法以及绕过方法太多太多,而这些方法都是源于一个目的,就是为了确保广告或平台的安全性想要了解更多的安全检测以及上线前的渗透测试评估可以咨询专业的广播安全公司来达到测试需求,国内推荐Sinesafe,诚迈,恒生电子,彩讯股份等等都是很不错的安全大公司。
标签:[db:tags]
