精华之渗透测试之嗅探流量抓包详解
发布时间:2022-07-25 15:59:27 所属栏目:经验 来源:互联网
导读:在浩瀚的网络中安全问题是最普遍的需求,很多想要对网站进行渗透测试服务的,来想要保障网站的安全性防止被入侵被攻击等问题,在此我们Sine安全整理了下在渗透安全测试中抓包分析以及嗅探主机服务类型,以及端口扫描等识别应用服务,来综合评估网站安全。 8.2.1.
在浩瀚的网络中安全问题是最普遍的需求,很多想要对网站进行渗透测试服务的,来想要保障网站的安全性防止被入侵被攻击等问题,在此我们Sine安全整理了下在渗透安全测试中抓包分析以及嗅探主机服务类型,以及端口扫描等识别应用服务,来综合评估网站安全。 8.2.1. TCPDump 8.2.1.1. 命令行常用选项 -B <buffer_size>抓取流量的缓冲区大小,若过小则可能丢包,单位为KB -c抓取n个包后退出 -C <file_size>当前记录的包超过一定大小后,另起一个文件记录,单位为MB -i指定抓取网卡经过的流量 -n 不转换地址 -r读取保存的pcap文件 -s从每个报文中截取snaplen字节的数据,0为所有数据 -q 输出简略的协议相关信息,输出行都比较简短。 8.2.2. Bro Bro是一个开源的网络流量分析工具,支持多种协议,可实时或者离线分析流量。 8.2.2.1. 命令行 实时监控 bro -i 分析本地流量 bro -r<scripts...> 分割解析流量后的日志 bro-cut 8.2.2.2. 脚本 为了能够扩展和定制Bro的功能,Bro提供了一个事件驱动的脚本语言。 8.2.3. tcpflow tcpflow也是一个抓包工具,它的特点是以流为单位显示数据内容,在分析HTTP等协议的数据时候,用tcpflow会更便捷。 -r file 读取文件 -R file 读取文件,但是只读取完整的文件 8.2.4. tshark WireShark的命令行工具,可以通过命令提取自己想要的数据,可以重定向到文件,也可以结合上层语言来调用命令行,实现对数据的处理。 8.2.4.1. 输入接口 -i指定捕获接口,默认是第一个非本地循环接口 -f设置抓包过滤表达式,遵循libpcap过滤语法,这个选项在抓包的过程中过滤,如果是分析本地文件则用不到 -s设置快照长度,用来读取完整的数据包,因为网络中传输有65535的限制,值0代表快照长度65535,默认为65535 -p 以非混合模式工作,即只关心和本机有关的流量 -B设置缓冲区的大小,只对windows生效,默认是2M -y设置抓包的数据链路层协议,不设置则默认为 -L 找到的第一个协议 -D 打印接口的列表并退出 -L 列出本机支持的数据链路层协议,供-y参数使用。 -r设置读取本地文件 8.2.4.2. 捕获停止选项 -c捕获n个包之后结束,默认捕获无限个 -a duration:NUM 在num秒之后停止捕获 filesize:NUM 在numKB之后停止捕获 files:NUM 在捕获num个文件之后停止捕获 (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |