嗅探

tcpdump分析与使用 参考博客 https://yq.aliyun.com/articles/573120?spm=a2c4e.11155435.0.0.33453a10zlXi7N https://www.cnblogs.com/wangchaowei/p/8572711.html https://github.com/the-tcpdump-group/libpcap https://blog.csdn.net/u012501054/article/details/80969953 tcpdump原理 tcpdump命令是基于unix系统的命令行的数据报嗅探工具，可以抓取流动在网卡上的数据包。它的原理大概如下：linux抓包是通过注册一种虚拟的底层网络协议来完成对网络报文（准确的是网络设备）消息的处理权。当网卡接收到一个网络报文之后，它会遍历系统中所有已经注册的网络协议，如以太网协议、x25协议处理模块来尝试进行报文的解析处理。当抓包模块把自己伪装成一个网络协议的时候，系统在收到报文的时候就会给这个伪协议一次机会，让它对网卡收到的保温进行一次处理，此时该模块就会趁机对报文进行窥探，也就是啊这个报文完完整整的复制一份，假装是自己接收的报文，汇报给抓包模块。 tcpdump的版本 我们可以通过tcpdump --version来查看系统中tcpdump的源码版本

20199106 2019-2020-2 《网络攻防实践》第四周作业 作业说明 这个作业属于哪个课程 网络攻防实践 这个作业的要求在哪里 第四周作业：网络嗅探与协议分析 我在该课程的目标 对网络攻防技术有一个比较全面的认识，能够掌握基本的攻防操作。 这个作业在哪个具体方面帮助我实现目标 学习了网络嗅探和网络协议分析技术，用以截获并分析数据。 作业正文 实践内容 本周学习了网络嗅探和网络协议分析技术，用以截获并分析数据。 实践过程 动手实践: tcpdump 使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探，回答问题:你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器?他们的IP地址都是什么? 1、几个常用选项(更多更具体的选项用法，可直接man tcpdump进行参考): -D 显示当前系统中所有可用的网卡接口 -i 指定用于嗅探的网卡接口 -c 后面跟上要抓包的个数[要抓几个包] -s 指定抓取的数据包长度,设置为0时,表示让tcpdump自行选择合适的长度进行抓取,务必加上,不然可能会抓不全 -A 以ASCII码的形式显示每个数据包,分析http类数据非常好用 -vvv 显示最详细的输出 -w 将数据包直接写到文件中而不直接输出,这种有利于我们后续可以直接包丢到wireshark中去人工分析 -U

20199301 2019-2020-2 《网络攻防实践》 第四周作业 一、实践内容 1、网络嗅探 网络嗅探技术定义：网络嗅探（Sniff）是一种黑客常用的窃听技术，与传统的电话窃听在电话线路上对特定号码的内容进行监听类似，网络嗅探利用计算机的网络接口目的地为其他计算机的数据报文，以监听数据流中所包含的用户账户密码或私密信息等。 网络嗅探技术与工具分类：按照所监听的链路层网络进行分类，以太网（Ethernet）与Wi-Fi是目前有线局域网（Local Access Network，LAN）与无线局域网（Wireless Local Access Network，WLAN）最流行的链路层协议，也是目前的网络嗅探器主要监听对象。按照实现形式分为软件嗅探器和硬件嗅探器两种。 2、网络嗅探的原理 以太网工作原理：共享通信信道，它采用了载波侦听/冲突检测技术(CSMA/CD)避免共享链路的通信冲突。以太网中传输的数据是以“帧”为单位，帧头中包含发送源和目标的MAC地址。共享信道中，网卡在收到数据时只会收到与网卡自身的MAC地址匹配的数据。 共享式网络嗅探：主要是用集线器（Hub）连接，其网络拓扑是基于总线方式，物理上是广博的。 交换式网络嗅探：主要是用交换机组建，所以数据帧都通过交换机进行数据转发。 MAC地址洪泛攻击；是指向交换机发送大量含有虚构MAC地址和IP地址的数据包，致使交换机的

网络嗅探与协议分析 注 所属课程： 网络攻防实践 作业要求： 第四次作业 1. 学习总结 有线/无线嗅探器；软件/硬件嗅探器 一些概念与原理： 以太网：广播共享；网络接口设备为网卡，接收广播地址数据帧（封装的是MAC）;网卡驱动在混杂模式下接收一切通过其连接共享媒介的数据帧。 共享式/交换式网络（储存转发，MAC映射）。 在纯交换网络中的一些嗅探手段：MAC地址泛洪攻击（多发溢出失效机制）；MAC欺骗（假冒MAC发送数据给交换机以修改映射表）；ARP欺骗。 BPF：类UNIX系统链路层的数据包收发接口；过滤封包（加计算测试位）。 Libpcap（类UNIX系统）,抓包工具库，同BPF配合，捕获数据包保存为pcap格式，字段格式同一般数据包类似。 NPF和WinPcap(packet.dll , wpcap.dll)，win系统上的BPF和libpcap 调用Libpcab库函数帮助个人的一些小体量网络嗅探工具。 tcpdump(调用libpcab，利用BPF语法规则,) 检测：利用混杂模式下的linux内核多只检查ip来确认是否接收数据分组，正常模式只接收目标MAC为本机地址或广播地址的特性构造MAC地址无效，ip有效的ICMP主动请求，检测网段中是否有主机处于嗅探模式。 网络协议解析：保存各层次协议头字段信息及data字段信息；解析步骤依次为确定帧头部，网络层协议信息

这个作业属于哪个课程 《网络攻防实践》 这个作业的要求在哪里 《网络攻防实践》第四周作业 这个作业在哪个具体方面帮助我实现目标 学习网络嗅探与协议分析 作业正文.... 见正文 其他参考文献 见参考文献 一、实践内容 1.网络嗅探 定义：是一种利用计算机网路接口截获目的地为其他计算机的数据报文，已监听数据流中所包含的用户账户密码或私密信息等的常用窃听技术。 以太网工作原理：采用载波侦听/冲突检测技术避免共享链路上的通信冲突，使用广播机制发送数据帧。当网卡处于混杂模式下，能够接收一切通过它连接共享通信媒介的数据帧。 共享式网络使用集线器连接，网络拓扑基于总线方式，物理上是广播机制；交换式网络使用交换机连接，所有数据帧通过交换机进行转发。 交换式网络常见网络嗅探技术：MAC地址洪泛攻击、MAC欺骗、ARP欺骗。 类UNIX平台网络嗅探器软件：libpcap抓包开发库、tcpdump、wireshark Windows平台网络嗅探软件：SnifferPro、wireshark、Buttsniffer、NetMon、Network Associates Sniffer等 检测：在同一主机上，可以通过检查网卡是否运行在混杂模式下，来发现正在监听的嗅探器。也可以基于混杂模式下操作系统和协议栈的不同特性，来检测出网络中其他主机上的嗅探器。 防范： 采用安全的网络拓扑

20199130 2019-2020-2 《网络攻防实践》第四次作业 本次作业属于那个课程 《网络攻防实践》 这个作业要求在哪里 《网络攻防实践》第四次作业 1. 网络嗅探（sniff） 一种黑客常用的窃听技术，利用计算机的网络接口截获目的地为其他计算机的数据报文，以监听数据流中所包含的用户账户密码或私密信息。 类UNIX平台的网络嗅探技术：主要通过内核态的BPF和用户态的libpcap抓包工具库实现 windows平台的网络嗅探技术：通过增加一个驱动程序或网络组件来访问内核网卡驱动中捕获的数据包，目前最常用的是与类UNIX平台上BPF模块兼容的NPF 2. 网络嗅探软件 类UNIX平台网络嗅探器软件：最常用libpcap抓包开发库、tcpdump以及wireshark嗅探器软件 libpcap抓包开发库：类UNIX平台下基于内核态BPF向应用程序提供的标准抓包开发库 tcpdump嗅探器软件：在类UNIX平台下捕获数据包，最通用的嗅探器程序。在最简单的模式下，提供命令行模式，支持使用BFP语法的过滤条件进行网络上 数据包的选择性嗅探，谈后进行TCP/IP协议找到协议分析，以每行一个数据包捕获内容的方式呈现嗅探结果。 wireshark嗅探器软件：是类UNIX平台下基于图形界面的嗅探器软件 Windows平台网络嗅探器软件：Windows平台上也有很多网络嗅探器软件

20199316 2019-2020-2 《网络攻防实践》第4 周作业 1.实践内容 1.网络嗅探 网络嗅探是一种黑客常用的窃听技术，与传统的电话窃听在电话线路上对特定号码的通话内容进行监听类似，网络嗅探利用计算机网络的接口截获目的地为其他计算机的数据报文，以监听数据流中所包含的用户账户密码或私密信息等。实现网络嗅探技术的工具称为网络嗅探器，嗅探器捕获的数据报文是经过封包处理之后的二进制数据，因此通常会结合网络协议分析技术来解析嗅探到的网络数据，这样才能恢复出TCP/IP协议栈上各层网络协议的内容，以及实际发送的应用层信息。 类UNIX平台上的网络嗅探软件一般都是基于标准接口BPF与libpcap，最常用的包括libpcap抓包开发库、tcpdump以及wireshark嗅探器软件。 2.网络协议分析 网络协议分析是网络嗅探器的进一步解析与理解捕获数据包必需的技术手段。如前所述，网络嗅探截获的是在通过封包过程组装的二进制格式原始报文内容，为了获取其中包含的信息，就需要根据TCP/IP协议栈的协议规范，重新还原出数据包在各个协议层上的协议格式及其内容，以及在应用层传输的实际数据。 对TCP/IP协议栈中基本网络协议的分析技术实现比较简单，并且在开源的网络嗅探器软件如Tcpdump、Wireshark和Snort等都有相应的源码实现。 2.实践过程 动手实践： tcpdump 使用

本资料是 Alex Noordergraaf 企业产品的说明书 现在整理如下： 第一部分： How hackers Do It ： Tricks Tools and Techniques 本文介绍了黑客用来获取的技巧，工具和技术未经授权访问Solaris™Operating Environment（Solaris OE）系统。具有讽刺意味的是，它通常是黑客成功获取的最基本方法访问您的系统。对于本文，我们使用Solaris OE系统的默认配置进行评估哪些漏洞对入侵者最具吸引力。 使用容易获得免费软件安全工具，我们演示了黑客用来攻击的技术系统。本文中描述的所有攻击都有预防性解决方案;但是，黑客每天都会使用这些攻击来破坏系统。 意识到如何执行这些攻击，你可以提高你的意识组织建立和维护安全系统的重要性。许多组织只在错误期间解决安全问题安装，然后再也不会重新访问它。 维护安全是一个持续的过程，它是必须定期审查和重新审视的事情。使用本文中的信息，您可以尝试入侵您的组织数据中心，高端服务器或其他系统，以确定基本攻击的位置成功。 然后，您可以解决安全漏洞，以防止未经授权的用户 从攻击系统。 下面 我将删减合理的技术文档资料整理： 端口扫描： 端口扫描程序可能是Internet上最常用的扫描工具。这些工具扫描大型IP空间并报告它们遇到的系统端口可用，以及其他信息，例如操作系统类型。

教材学习内容总结 第四章 网络嗅探与协议分析 网络嗅探（Sniff） 利用计算机的网络接口截获目的地为其他计算机的数据报文，以监听数据流中所包含的的用户账户密码或私密信息等。实现网络嗅探技术的工具称为网络嗅探器(sniffer)，嗅探器捕获的数据报文是经过封包处理后的二进制数据，因而还需要结合网络协议分析技术来解析嗅探到的网络数据。 网络嗅探技术与工具分类 按照所监听的链路层网络进行分类 无线嗅探器（Kismet） 有线嗅探器 (tcpdump) 区别：无线嗅探器可以读取和分析符号如IEEE802.11等无线传输协议的数据包 按照实现形式 软件嗅探器：不同操作系统上的应用软件，通过对网卡编程实现 硬件嗅探器：通过专用软件对网络数据进行捕获和分析，协议分析仪，速度快、成本高 1.共享式网络与交换机网络中的嗅探 MAC地址洪泛攻击 MAC欺骗 ARP欺骗 2.类Unix平台的网络嗅探技术实现 通过内核态的BPF和用户态的libpcap抓包工具库实现。 3.windows平台的网络嗅探实现技术 通过内核态的NPF与用户态的Winpcap实现。 网络嗅探器软件 类Unix平台的网络嗅探软件：libpcap抓包开发库、tcpdump以及wireshark； Windows平台网络嗅探器软件：wireshark、SnifferPro、Buttsniffer、NetMon等。 网络协议分析

0×00 前言 Proxmark3是由Jonathan Westhues在做硕士论文中研究Mifare Classic时设计、开发的一款开源硬件，可以用于RFID中嗅探、读取以及克隆等相关操作，如：PM3可以在水卡、公交卡、门禁卡等一系列RFID\NFC卡片和与其相对应的机器读取、数据交换的时候进行嗅探攻击，并利用嗅探到的数据通过XOR校验工具把扇区的密钥计算出来，当然PM3也能用于破解门禁实施物理入侵。 0×01 环境搭建 1.1 windows环境 PM3的固件和软件通常是配套使用，也就是说每个固件版本都有一个硬件的elf固件和与它对应的软件。 在RadioWar购买的PM3默认使用r486版本的固件（ 固件&App下载地址 ）， 第一次使用需要在PC上安装PM3的驱动： 设备管理 更新驱动 信任驱动 安装成功 1.1.1硬件测试 在r486\Win32\目录中找到proxmark3.exe,将其拉入cmd窗口中,回车确认便进入了PM3的工作终端： hw tune //测量天线的调谐 hw ver //打印显示Proxmark3的固件版本信息 hw reset //重置PM3 1.1.2 Bug 经测试，PM3兼容性、稳定性存在问题，导致经常崩溃，问题的原因个人猜测可能是r486版本固件问题，导致经常在windows平台崩溃。解决方案：升级固件、使用Linux平台