江苏龙网

  1. 主页 > 生活百科 > >

网站安全漏洞测试对流量嗅探扫描等手法

安全漏洞

【网站安全漏洞测试对流量嗅探扫描等手法】在浩瀚的网络中安全问题是最普遍的需求,很多想要对网站进行渗透测试服务的,来想要保障网站的安全性防止被入侵被攻击等问题,在此我们整理了下在渗透安全测试中抓包分析以及嗅探主机服务类型,以及端口扫描等识别应用服务,来综合评估网站安全 。

网站安全漏洞测试对流量嗅探扫描等手法

文章插图
 
8.2.1. TCPDump
TCPDump是一款数据包的抓取分析工具,可以将网络中传送的数据包的完全截获下来提供分析 。它支持针对网络层、协议、主机、网络或端口的过滤,并提供逻辑语句来过滤包 。
8.2.1.1. 命令行常用选项
  • -B <buffer_size> 抓取流量的缓冲区大小,若过小则可能丢包,单位为KB
  • -c <count> 抓取n个包后退出
  • -C <file_size> 当前记录的包超过一定大小后,另起一个文件记录,单位为MB
  • -i <interface> 指定抓取网卡经过的流量
  • -n 不转换地址
  • -r <file> 读取保存的pcap文件
  • -s <snaplen> 从每个报文中截取snaplen字节的数据,0为所有数据
  • -q 输出简略的协议相关信息,输出行都比较简短 。
  • -W <cnt> 写满cnt个文件后就不再写入
  • -w <file> 保存流量至文件
  • 按时间分包时,可使用strftime的格式命名,例如 %Y_%m_%d_%H_%M_%S.pcap
  • -G <seconds> 按时间分包
  • -v 产生详细的输出,-vv -vvv 会产生更详细的输出
  • -X 输出报文头和包的内容
  • -Z <user> 在写文件之前,转换用户
8.2.2. Bro
Bro是一个开源的网络流量分析工具,支持多种协议,可实时或者离线分析流量 。
8.2.2.1. 命令行
  • 实时监控 bro -i <interface> <list of script to load>
  • 分析本地流量 bro -r <pcapfile> <scripts...>
  • 分割解析流量后的日志 bro-cut
8.2.2.2. 脚本
为了能够扩展和定制Bro的功能,Bro提供了一个事件驱动的脚本语言 。
8.2.3. tcpflow
tcpflow也是一个抓包工具,它的特点是以流为单位显示数据内容,在分析HTTP等协议的数据时候,用tcpflow会更便捷 。
8.2.3.1. 命令行常用选项
  • -b max_bytes 定义最大抓取流量
  • -e name 指定解析的scanner
  • -i interface 指定抓取接口
  • -o outputdir 指定输出文件夹
  • -r file 读取文件
  • -R file 读取文件,但是只读取完整的文件
8.2.4. tshark
WireShark的命令行工具,可以通过命令提取自己想要的数据,可以重定向到文件,也可以结合上层语言来调用命令行,实现对数据的处理 。
8.2.4.1. 输入接口
  • -i <interface> 指定捕获接口,默认是第一个非本地循环接口
  • -f <capture filter> 设置抓包过滤表达式,遵循libpcap过滤语法,这个选项在抓包的过程中过滤,如果是分析本地文件则用不到
  • -s <snaplen> 设置快照长度,用来读取完整的数据包,因为网络中传输有65535的限制,值0代表快照长度65535,默认为65535
  • -p 以非混合模式工作,即只关心和本机有关的流量
  • -B <buffer size> 设置缓冲区的大小,只对windows生效,默认是2M
  • -y <link type> 设置抓包的数据链路层协议,不设置则默认为 -L 找到的第一个协议
  • -D 打印接口的列表并退出
  • -L 列出本机支持的数据链路层协议,供-y参数使用 。
  • -r <infile> 设置读取本地文件
8.2.4.2. 捕获停止选项
  • -c <packet count> 捕获n个包之后结束,默认捕获无限个
  • -a <autostop cond>
  • duration:NUM 在num秒之后停止捕获
  • filesize:NUM 在numKB之后停止捕获
  • files:NUM 在捕获num个文件之后停止捕获
8.2.4.3. 处理选项
  • -Y <display filter> 使用读取过滤器的语法,在单次分析中可以代替 -R 选项
  • -n 禁止所有地址名字解析(默认为允许所有)
  • -N 启用某一层的地址名字解析 。m 代表mac层,n 代表网络层,t 代表传输层,C 代表当前异步DNS查找 。如果 -n 和 -N 参数同时存在,-n 将被忽略 。如果 -n 和 -N 参数都不写,则默认打开所有地址名字解析 。
  • -d 将指定的数据按有关协议解包输出,如要将tcp 8888端口的流量按http解包,应该写为 -d tcp.port==8888,http。可用 tshark -d 列出所有支持的有效选择器 。
8.2.4.4. 输出选项

上一篇:Redis简单动态字符串 全面剖析

下一篇:什么是PPP?PPP的认证方式又有哪些?