(BPF)(应用于捕获过滤器)
数据包过滤中存在三种类型的限定符:
类型:该限定符指示引用的对象,例如IP地址、子网或端口。 常见的有host(用于表示主机名和IP地址)、net(用于表示子网)、port(用于表示端口)。 如果不指定,则默认为主机
Dir:这个限定符表示数据包传输的方向,常见的有src(源地址)和dst(目的地址)。 如果未指定,则默认为“src 或 dst”。 例如,“.1”表示源地址或目标地址是否为192.168.1.1
使该声明属实。
Proto:该限定符指示与数据包匹配的协议类型。 常见的协议有 ether、ip、tcp 和 arp。
下面给出了一些常见的原始示例:
数据包过滤还支持就地操作。 具体语法为proto[expr:size],其中proto指协议,expr表示相对给定协议层的字节偏移量,size表示要操作的字节数。 sie的值是可选的,可以是124之一,默认值为1
将地址192.168.1.1转换成十六进制“”,最后可以写为:ip[12:4]=
捕获过滤器
中提供了两种不同的过滤器:捕获过滤器和显示过滤器。 其中,捕获过滤器与捕获过程同时工作,这意味着如果使用捕获过滤器,不符合规则的数据包将不会被捕获。 显示过滤器则不同,它在Wire Shark捕获的进程之后起作用,这意味着即使使用显示过滤器,Wire Shark仍然会捕获不符合规则的数据包,但它们不会显示在屏幕上。数据包面板。
在使用捕获包之前必须配置捕获过滤器。 配置过程的步骤如下:
首先选择菜单栏上的“捕获”->“选项”按钮。 在“Catch for the ”后面的文本框中以字符串的形式填写过滤器。
捕获过滤器遵循伯克利包过滤的语法,因此我可以使用上一节中介绍的各种命令来完成各种过滤任务。 例如,下面给出一些常见的过滤器:
使用以下方法分析链路层攻击
据统计,当前网络安全问题80%来自于“内部网络”,不少黑客也将攻击目标从简单的计算机转向了网络结构和网络设计。 因为链路层是内部网络通信最重要的协议,而交换机是这一层的典型设备,所以我以交换机为例。但是,与其他网络设备相比,交换机的保护措施往往是最重要的。最糟糕的是,他们经常成为黑客的目标。
MAC地址欺骗攻击
每个数据包包含源mac地址(发送方的mac地址)、目的mac地址(对方的mac地址)
交换机通过凸轮表中的mac地址与交换机端口的对应关系来传输网络数据
如果我改变mac地址和交换机端口的对应关系,那么我就可以达到我的目的
MAC地址泛洪攻击
简单来说,MAC地址泛洪攻击就是黑客利用软件在短时间内向交换机发送大量数据包,导致交换机的cam表空间被占满。 它退化为集线器并进行广播,导致网络资源缓慢,甚至网络瘫痪。
MAC地址泛洪攻击的主要特点是:网速很慢或者网络瘫痪,但检查硬件设施没有问题。
接下来我通过查看数据包来分析MAC地址泛洪攻击:
打开数据包后,发现有大量来路不明的数据包,然后通过统计功能,发现这些数据包大量是纯ip数据包,知道在正常的网络通信中,最多应该是TCP或UDP数据包,这意味着这些数据包有问题,很可能是伪造的数据包。 我继续往下看。
我通过功能发现,这些未知ip数据包的大小是一模一样的,交换机的通信不再是转发,而是变成了广播。 此时我基本可以断定交换机遭受了MAC地址泛洪攻击,那些来源不明的数据包应该是使用同一个软件伪造的。
特点:大量来源不明的数据包大小相同,交换机将不再转发,而是变成广播。
中间人攻击(MITM)相关理论的运用与分析
中间人攻击的目标不是交换机,而是终端设备(如电脑、手机等)。 每个终端设备中都有一张ARP缓存表,这张表中保存着一些P地址和MAC地址的对应关系。
通常应用程序只能通过P地址进行通信,但内部网络中使用的交换机不识别P地址。 因此,各个终端设备在发送应用程序生成的数据包时,必须在其中添加MAC地址。 那么这个MAC地址是从哪里来的呢?
ARP协议相关理论
数据包不能使用P地址在局域网内通信,因为局域网内连接的设备只能识别MAC(硬件)。 然而,应用程序发送的数据包中往往只包含目标的P地址。 这时ARP程序需要找到数据包的目的P地址对应的MAC地址。
每台计算机中都有一个ARP缓存表,这张表动态地存储了一些地址和MAC地址的对应关系。当计算机收到数据包时,会通过ARP程序查找数据包中P地址对应的表项,然后根据此表项将MAC地址添加到数据包中。
如果在缓存表中没有找到对应的表项,ARP程序就会在局域网中广播,询问网络中是否存在这样的P地址。 如果局域网中的一台计算机使用了这个P地址,它就会回复一个包含自己MAC地址的报文,这样该计算机就可以把这个信息添加到自己的ARP缓存中,并用目的MAC地址填充数据包。 发送输出。
使用专家系统分析中间人攻击
首先,我抓获正常的本机,分析ARP协议。 我发现正常的arp协议只需要两份数据,一份用于“请求”,一份用于“响应”。 (如果为1,则为请求,如果为2,则为响应)
知道正常arp协议的工作模式后,我检查中间人攻击后准备的数据包进行分析。
我发现数据包中充满了大量的arp协议数据,但我知道正常的数据包中tcp和udp协议数据最多。 这时我基本可以断定终端遭受了中间人攻击,或者计算机感染了arp病毒,或者攻击者正在进行arp扫描。 在实际工作环境中,如果我的用户名和密码泄露,基本可以断定我遭受了中间人攻击。
不过,这些只是我根据实践经验得出的结论。 当然,人脑的速度不如计算机。 专家系统在左下角的小点处,蓝色是会话,黄色是警告,红色是错误。 这里我看到的是专家系统对警戒级别的判断。 点击小黄点即可进入专家系统,查看该报警的详细信息。 我发现同一个ip地址对应两个硬件地址。 回头查看数据包,发现192.168.169.2这个地址对应的是同一个MAC硬件地址,有大量重复。 我可以判断这是一个利用软件的中间人攻击。 因为正常的arp工作只有一次请求和一次响应,所以这里大量重复的mac地址肯定是伪造的。
使用分析泪滴攻击的泪滴攻击相关理论 ( )
针对P协议的攻击主要有两种方法,伪造IP地址和发送畸形数据包。 本章我选择的泪滴攻击属于发送畸形数据包的方法。 其设计思想巧妙地利用了P协议中的缺陷,因此成为网络安全中的经典案例。
此类攻击的实现原理是向目标主机发送异常数据包碎片,使IP数据包碎片在重组过程中重叠,导致目标系统无法重组,进一步导致系统崩溃停止服务。 恶意攻击。
考虑到这次攻击是基于P协议的,我先简单了解一下P协议的几个重要内容,包括P协议报文的格式、分片方式、生存时间(TTL)。
IP碎片化
分片偏移用于对数据包进行分片,但是为什么要对数据包进行分片呢? 将所有信息放在一个数据包中不是更方便吗? 这其实和一个叫做MTU(最大传输单元)的值有关。 我知道数据包的最外层需要添加以太网帧头,打包成数据帧后才能传输。 由于以太网传输的电气限制,以太网帧的大小受到限制。 每个以太网帧的最小大小不得超过以太网帧的帧头(MAC目的地址=+SMAC,源MAC地址48bit=+类型字段)和帧尾的C校验部分(这部分有时也称为FCS) ),那么剩下的地方就是承载上层协议的地方,也就是Data字段只能取最大的值,我把这个值称为MTU。这就是为什么我的设备几乎所有的MTU值都是1500
我分析了这个数据包,发现第八个和第九个数据的标识符是相同的,也就是说这两个数据是同一个数据包,只是在传输过程中被拆解了。 然后我看第八条数据的分片,发现第三位是1,说明这是一个分片,而不是最后一个。 (第四位表示相对于原始数据报的偏移量,单位是8字节)
泪滴攻击
()攻击是一种基于数据分片传输的攻击方式。 P头中有一个偏移字段和一个片段标志(MF)。 如果MF标志设置为1,则表明该P报文是一个大P报文的分片,而字段则表明该分片在整个P报文中。 位置在 . 例如,如果一个4200 Bytes的ip数据包被分片(MTU为1480),那么这三个分片中的字段的值为:01480、2960,这样接收端就可以根据这些成功组装P数据包信息。 而如果攻击者打破了这种正常情况,将字段设置为不正确的值,即可能发生重合或断线,从而可能导致目标操作系统崩溃。 例如设置上面的为0,1000,2000
图中阴影部分是两个数据包重叠的地方,目标设备收到这样的分片后无法重新组装数据包。 这就是所谓的泪滴攻击。 这种攻击方式在过去给计算机用户带来了很大的麻烦,但对于如今的操作系统基本无效,但有时攻击者会将其与洪泛结合起来作为攻击方式。
利用相关理论分析SYN攻击拒绝服务攻击
服务器面临的最大威胁是拒绝服务攻击,它实际上是一类攻击的统称。 所有这些类型的攻击的目的都是相同的,即使被攻击的服务器系统瘫痪或服务故障,使合法用户无法获取相应的资源。 虽然服务器的功能多种多样,但这些差异都表现在应用层。 无论他们使用什么应用程序,最终都会使用传输层的协议。 传输层常用的协议只有TCP和UDP。 因此,攻击者只需要研究这两种协议的缺陷就可以攻击几乎所有类型的服务器。
拒绝服务攻击的类型有很多种,我只选取其中最典型的SYN攻击和UDP攻击两种来解释。 其中,SYN攻击是针对TCP协议的,其主要目的是占用目标上所有可用的连接请求。UDP攻击是针对UDP协议的,主要目的是耗尽所在网络的带宽。目标已定位。
如何建立TCP连接
TCP协议在通信之前需要建立连接。 例如,客户端和服务器在发送实际数据之前将相互发送控制数据包。 这个过程使得客户端和服务器双方都进入连接状态,然后就可以进行数据交换了。 我称之为三向握手。 一旦握手过程完成,客户端和服务器之间就建立了连接,所以在描述TCP协议时我会说它是面向连接的协议。
同步攻击
这种攻击首次出现于 1996 年,当时大量 Web 服务器遭受了这种 SYN 攻击。 这种攻击使用了TCP连接的3次握手,但是这个握手过程是在理想状态下建立的。 在实际状态下,当服务器收到客户端的SYN请求时,会发送SYN-ACK响应,这就是连接条目。 处于半开放状态,但是这个响应很可能因为网络问题而无法到达客户端。 所以这个时候就需要为这个半开的连接设置一个定时器。 如果定时器超时,没有收到客户端的Ack响应,则会重新发送SYN-ACK报文,直到经过一定次数后才会释放连接。 服务器需要为每个半开连接分配一定的系统资源,因此当存在大量半开连接时,服务器会因为资源耗尽而停止响应所有连接请求。
攻击使用
这次我使用了Kali自带的东西来进行拒绝服务攻击。 这是一个用于生成和解析 TCP/P 协议数据包的开源工具。 之前已经发布了hping和hing2两个版本,最新版本是. 使用这个工具,我可以快速定制数据包的各个部分。 它也是一个命令式工具,里面的各种功能都是通过设置参数来实现的。 启动的方式是在Kali中启动一个终端,然后输入:
root@kali: ~ hping3
hping3>好了,现在我就利用刚才介绍的参数来构造一个基于TCP协议的拒绝服务攻击。 在 Kali 中打开终端,然后在终端中输入:
hping -q -n --rand-source3 -S-p 80 --flood 目标IP此时攻击开始,过程中随时可以使用Ctrl+C组合键结束攻击。
可以看到短时间内产生了大量的数据包
所用流程图特征分析
在统计菜单中,我可以找到流量图的功能,如下图所示。
我检查了刚刚捕获的模拟SYN攻击的数据包的流量图,发现大量源地址只向目的地址发送SYN请求,但没有响应。 这时候基本可以确认自己遭受了SYN攻击。
解决SYN攻击的方法是丢弃第一个SYN数据包。 反向检测代理模式用于分析UDP攻击。 虽然和TCP一样位于传输层,但UDP协议不需要建立连接就可以传输数据,而且少了很多控制机制,因此传输速度比TCP协议要高,因此也得到了广泛的应用。 但UDP协议也面临着与TCP协议相同的威胁,即洪泛攻击。 但与TCP协议占用服务器连接数不同,UDP协议不需要建立连接,因此攻击者将目标转向了带宽。 它们构造大量巨大的UDP数据包并发送给目标,导致目标网络瘫痪。由于依赖UDP的应用层协议种类繁多,差异巨大,防范起来非常困难。 UDP。 UDP相关理论
UDP是无连接的传输层协议,因此数据传输时不需要建立连接和进行认证。 攻击者只需向目标发送大量巨大的UDP数据包,目标所在的网络资源就会被耗尽。 UDP是一种传统的攻击方法。 近年来,黑客精心设计并创造了新的攻击方法。
攻击者使用源P欺骗方法向存在漏洞的UDP服务器发送伪造的请求。 UDP 服务器不知道该请求是伪造的,因此它会礼貌地准备响应。 当数千个响应被传递到不知情的目标主机时,就会出现这种攻击问题。
模拟UDP攻击
这次我使用了Kali自带的工具来进行拒绝服务攻击。在第12章中我简单介绍了这个工具
用法讲解完毕。下面我就利用刚才介绍的ping3参数来构造一个基于UDP协议的拒绝服务攻击。
在Kali中打开一个终端,并在终端中输入:
hping3 -q -n -a 10.0.0.1 --udp -s 53 -p 68 --flood 目标lP -d 1000现在攻击开始了,在此过程中您可以随时使用 trl+C 组合键来结束攻击。 在攻击时,我用来捕获这个过程中产生的数据包。
我发现有很多数据包从1.1.1.1发送到192.168.1.102。 至此,模拟UDP攻击就完成了。 接下来我用它来分析捕获的数据包。
使用的绘图函数分析
现在我使用提供的绘图功能来直观地看到这些数据包对网络产生的影响。 中提供的绘图功能可以更直观的形式显示数据包的数量。 我使用菜单栏上的“()”→“IO Graph(图形)”选项来生成图形,并打开“IO Graph”对话框。
通过IO图,我发现在11-12秒的时候,开始出现UDP包,下一秒就产生了大量的UDP包。 结果,网络设备无法处理其他流量,最终导致网络瘫痪。
解决方案 基于目的IP地址的流量限制 基于目的安全区域的流量限制 基于会话的流量使用分析
用户和服务器经过三次握手成功建立连接后,发现用户向服务器请求了一个特别大的数据包。 由于数据报太大,因此被截断并分成4个数据包以供单独的请求。 正常的数据包不可能有这么长的长度,只有当攻击者进行缓冲区溢出攻击时,才会出现这样的数据包。
接下来,我打开这个数据包并首先检查该缓冲区的大小。 中间的这些字符是缓冲区溢出攻击中使用的大量无用字符,总共4061个字符。
然后我就可以分析缓冲区溢出攻击的特征并将特征写入入侵检测系统。 经过检查,发现这个数据包的特点是:
然后我继续分析,发现是服务端主动向客户端发送了请求,完成了三次握手建立连接。 这当然是不正常的。
经过分析,这种情况是因为服务器感染了“反向木马”,会导致服务器主动发起连接请求。 然后我跟踪这个请求的TCP流程,发现了一个PE文件。 这样的话,基本上100%确定是感染了木马。
使用分析 HTTPS
HTTPS(全称:Hyper Text over Layer)是一种旨在安全的HTTP通道。 在HTTP的基础上,通过传输加密和身份认证来保证传输过程的安全。 HTTPS在HTTP的基础上增加了SSL层。 HTTPS的安全基础是SSL,所以加密的详细内容需要SSL。 HTTPS 具有与 HTTP 不同的默认端口和加密/身份验证层(在 HTTP 和 TCP 之间)。 系统提供认证和加密通信方式。 现在广泛应用于互联网上对安全敏感的通信,例如交易支付等。
