扫描与抓包分析

简介

用简单的话来定义tcpdump,就是:dump the traffic on a network,根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

  • 使用NMAP扫描来获取指定主机/网段的相关信息

nmap [扫描类型] [选项] <扫描目标 …>

常用的扫描类型 作用
-sS TCP SYN扫描(半开)客户端访问服务端有回应就断开
-sT TCP 连接扫描(全开) 需要建立完整的TCP握手连接
-sU UDP扫描
-sP ICMP扫描
-A 目标系统全面分析

安装和使用:

yum –y install nmap

检查目标主机所开启的TCP服务:

[root@room6pc55 gpg]# nmap -sS 176.121.206.126
    Starting Nmap 6.40 ( http://nmap.org ) at 2018-04-16 14:37 CST
    Nmap scan report for ip176-121-206-126.element.dn.ua (176.121.206.126)
    Host is up (0.00013s latency).
    Not shown: 989 closed ports
    PORT     STATE SERVICE
    21/tcp   open  ftp
    22/tcp   open  ssh
    25/tcp   open  smtp
    80/tcp   open  http
    111/tcp  open  rpcbind
    139/tcp  open  netbios-ssn
    443/tcp  open  https
    445/tcp  open  microsoft-ds
    873/tcp  open  rsync
    2049/tcp open  nfs
    5900/tcp open  vnc
    MAC Address: DC:4A:3E:53:51:F0 (Unknown)

    Nmap done: 1 IP address (1 host up) scanned in 1.13 seconds

检查192.168.4.0/24网段内哪些主机开启了FTP、SSH服务

[root@room6pc55 gpg]# nmap -n -p 21-22 -sT 176.121.206.0/24|grep 'Nmap'
    Starting Nmap 6.40 ( http://nmap.org ) at 2018-04-16 14:49 CST
    Nmap scan report for 176.121.206.1
    Nmap scan report for 176.121.206.2
    Nmap scan report for 176.121.206.36
    Nmap scan report for 176.121.206.126
    Nmap scan report for 176.121.206.127
    Nmap scan report for 176.121.206.131
    Nmap scan report for 176.121.206.133
    Nmap scan report for 176.121.206.135
    Nmap scan report for 176.121.206.136
    Nmap scan report for 176.121.206.137
    Nmap scan report for 176.121.206.138
    Nmap scan report for 176.121.206.139
    Nmap scan report for 176.121.206.142
    Nmap scan report for 176.121.206.144
    Nmap scan report for 176.121.206.146
    Nmap scan report for 176.121.206.150
    Nmap scan report for 176.121.206.154
    Nmap scan report for 176.121.206.129
    Nmap done: 256 IP addresses (18 hosts up) scanned in 2.49 seconds

使用tcpdump分析FTP访问中的明文交换信息

**执行tcpdump命令行,添加适当的过滤条件,只抓取访问主机192.168.4.100的21端口的数据通信 ,并转换为ASCII码格式的易读文本。******

tcpdum的命令 作用介绍 tcpdump过滤条件 参数
-i 指定监控的网络接口 类型 host、net、port、portrange
-A 转换为 ACSII 码,以方便阅读 方向 src、dst
-w 将数据包信息保存到指定文件 协议 tcp、udp、ip、wlan、arp、…
-r 从指定文件读取数据包信息 多个条件组合 and、or、not

执行FTP访问,并观察tcpdump抓包结果

[root@client ~]#yum -y install vsftp ftp
[root@client ~]#systemctl restart vsftpd
[root@client ~]#tcpdump  -A  -w  ftp.log  host client的IP  and  tcp  port  21        #对本机器的21端口进行抓取
[root@porxy ~]#yum -y install ftp
[root@porxy ~]#ftp client的IP
[root@porxy ~]#登入FTP
[root@porxy ~]# tcpdump  -A  -r  ftp.cap | egrep  '(USER|PASS)'         #分析数据包

执行Nginx登入访问,并且抓取数据包,审查结果

[root@porxy ~]# lnmp架构源码编译或什么都可以
[root@porxy ~]# vim /usr/local/nginx/conf/nginx.conf        #修改配置文件实现nginx密码登入
        server {
        listen       80;
        server_name  localhost;
        auth_basic "xx:";
        auth_basic_user_file "/usr/local/nginx/pass";
        }
[root@porxy ~]# htpasswd -c /usr/local/nginx/pass 用户名       #再输入密码
[root@proxy ~]# tcpdump -A -i eth1 dst host prxoy的ip and tcp port 80
[root@proxy ~]# curl -u nb -p 123 http://192.168.4.100          #访问登入
Authorization: Basic bmI6MTIz               #抓出来的所有密码密码
echo bmI6MTIz|base64 -d                   #解密
nb:123          #用户名以及密码

图形抓包软件wireshark

简介:

Wireshark是世界上最流行的网络分析工具。这个强大的工具可以捕捉网络中的数据,并为用户提供关于网络和上层协议的各种信息。与很多其他网络工具一样,Wireshark也使用pcapnetwork library来进行封包捕捉。可破解局域网内QQ、邮箱、msn、账号等的密码!!

yum -y instll wireshark-gnome
wireshark

1
2
3

发表评论