扫描与抓包

扫描与抓包

一.安全分析概述

为什么需要扫描?

获取一些公开/非公开信息为目的

1. 检测潜在的风险
2. 查找可攻击目标
3. 手机设备/主机/系统/软件信息
4. 发现可利用安全漏洞

扫描的方式及工具

1.Scan —主动探测
2.Sniff —被动监听/嗅探
3.Capture —数据包捕获(抓包)

二.常见的安全分析工具

扫描器: NAMP
分析协议: tcpdump,Wireshark(图形化)

NAMP扫描

一.NAMP简介:
1.一款强大的网络探测利器工具
2.支持多种探测技术
(1).ping扫描
(2).多端口扫描
(3).TCP/IP指纹校正
二.NMAP基本用法
-nmap [扫描类型] [选项] <扫描目标>
三.常见的扫描类型
-sS, TCP SYN扫描(半开)
-sT, TCP链接扫描(全开)
-sU, UDP扫描
-sP, ICMP 扫描
-A 目标系统全面分析 OS检查/版本检测/脚本检测/traceroute跟踪
三.NMAP应用实例
#nmap 主机名 //默认扫描TCP
#nmap -sU 主机名 //指定-sU扫描UDP
#nmap -p 21-22 192.168.4.0/24 (想扫描的ip)//哪些主机开启FTP,SSH
#nmap -n -sP 192.168.4.0/24 (想扫描的ip)//检查主机存活状态
#nmap -A192.168.4.110(想扫描ip) //目标系统全面扫描

三.网络抓包工具

一.tcpdump抓包简介
命令行抓取数据包工具
二.基本用法
-tcpdump [选项] [过滤条件]
三.常见监控选项
-i 指定监视的网络接口
-A 转换成ACSII码,方便阅读
-w 将数据包信息保存到指定文件
-r 从指定文件读取数据包信息
-c 抓包个数
四.tcpdump过滤条件
-类型: host,net,port,portrange
-方向: src,dst
-协议: tcp.udp,ip,wlan,arp
-多个条件组成: and,or,not

五.tcpdump应用实例
#tcpdump -c 2 tcp port 22 and host 192.168.2.100(被抓包的ip) -w ./ftp.acp
翻译:-c 抓2次 tcp协议 port 端口 host ip地址 -w 保存文件
#tcpdump -A -r ./ftp.acp | grep user/passwd
翻译:-A 方便人类阅读 -r 浏览 | grep 查找包含用户名,密码的数值

WireShark协议分析

一.WireShark简介

• 一款与tcpdump类似的抓包工具,需要图形环境
• 光盘中的2个包(WireShark ,wireshark-gnome)