网络嗅探数据包分析工具
1、ARP原理及攻击
2、抓包工具的使用
1)tcpdump
2)wireshark/sniffer
1、ARP原理及攻击
1)ARP原理:
1、正常的arp,把IP地址解析成为MAC地址。
2、RARP,把MAC地址解析成IP址
3、代理arp
4、工作网络层
应用层(PDU)
传输层(segment)
网络层(packet)
数据链路层(frame)
物理层(bit)
2、使用ettercape实现ARP攻击:
arp/ettercape --用户名/密码等敏感信息的嗅探抓包工具(ARP欺骗)
1)安装2.8以上的cmake
# tar xf cmake-2.8.11.1.tar.gz
# cd cmake-2.8.11.1
# ./configure && make && make install
2)安装依赖软件
# yum -y install ncurses-devel
# yum -y groupinstall "Desktop Platform Development"
# yum -y install bison flex
# vim /etc/yum.repos.d/optional.repo
[optional]
baseurl=ftp://192.168.0.254/pub/rhel6/Optional/
gpgcheck=0
yum -y install libpcap-devel
==================================
# vim /etc/yum.repos.d/epel.repo
[epel]
baseurl=http://dl.fedoraproject.org/pub/epel/6/x86_64/
gpgcheck=0
# yum -y install yum-plugin-downloadonly.noarch
# yum -y install libnet.x86_64 libnet-devel.x86_64 --downloadonly --downloaddir /var/tmp
# rpm -ivh /var/tmp/libnet-*.rpm
===================================
# tar xf ettercap-0.7.6.tar.gz
# cd ettercap
# mkdir build
# cd build/
# cmake ../
3、启动ettercap软件
# ettercap -C --在字符界面启动
# ettercap -G --在图形界面启动
操作:
1、欺骗所有主机
2、欺骗指定的主机
3)使用MAC静态绑定防止ARP病毒攻击
arp常用的操作命令:
arp -n --查看arp缓存表
arp -d ip --删除对应arp缓存条目
arp -f /etc/ethers --读取arp的绑写文件,实现arp的静态绑定
如何arp欺骗:
在健康的网络状态下,抓取所有服务器正确的MAC地址(在所有服务器上做此操作):
# arp -n|grep -v incomp|sed 1d|awk "{print $1" "$3}" > /etc/ethers
# vim /etc/rc.local
arp -f /etc/ether
2、抓包工具的使用
1)tcpdump(传输/网络层)
tcpdump -i eth0
tcpdump -i eth0 -vnn
-v:显示包含有TTL,TOS值等等更详细的信息
-n:不要做IP解析为主机名
-nn:不做名字解析和端口解析
更有针对性的抓包:
针对IP,网段,端口,协议
# tcpdump -i eth0 -vnn host 192.168.0.154 --主机地址里边只要包含地址有:192.168.0.154
# tcpdump -i eth0 -vnn net 19 2.168.0.0/24 --抓取一个网段数据包
# tcpdump -i eth0 -vnn port 22
# tcpdump -i eth0 -vnn udp
# tcpdump -i eth0 -vnn icmp
# tcpdump -i eth0 -vnn arp
# tcpdump -i eth0 -vnn ip
# tcpdump -i eth0 -vnn src hos t 192.168.0.154
# tcpdump -i eth0 -vnn dst ho st 192.168.0.154
# tcpdump -i eth0 -vnn src port 22
# tcpdump -i eth0 -vnn src host 192.168.0.253 and ds t port 22
# tcpdump -i eth0 -vnn src host 192.168.0.154 or po rt 22
# tcpdump -i eth0 -vnn src host 192.168.0.154 and not port 22
2)wireshark
wireshark(windows sniffer)
抓取网络数据包并进行逐层分解的协议分析软件
# yum -y install wireshark-gnome wireshark
抓捉包操作:
1、在图形界面下执行wireshark &
2、指定抓包的网卡
3、执行数据包的抓取/或者指定过滤规则抓包
4、查看抓包的信息
3)iptraf
IPTraf 是一个基于控制台的网络监视工具,主要用于收集 TCP 连接包和字节计数、接口统计和活动指示、TCP/UDP 交通分析、以及 LAN 站点包和字节计数之类的数据。
IPTraf 的功能包括:
1.一个显示 TCP 标志信息、包和字节计数、ICMP 细节、OSPF 包类型、以及超大 IP包警告的 IP 通信监视器
2.显示 IP、TCP、UDP、ICMP、非 IP 及其它 IP 包计数,IP 查验值错误,界面接口活动及包大小计数的接口统计
3.一个为公用 TCP 和 UDP 程序端口显示进入和出去的包计数的 TCP 和 UDP 服务监视器
4.一个发现活跃主机并显示它们的活动统计的 LAN 统计模块
5.TCP、UDP 和其它协议显示过滤器(因而您可以只查看您想看的通信数据)
6.记录日志
7.对以太网、FDDI、ISDN、SLIP、PPP、和回环接口的支持
8.对 Linux内核的内建原始套接字界面的利用,因而它能够在类型广泛的被支持的网卡上使用
安装:
# yum -y install iptraf
使用:
1)按IP数据连接查看eth0网卡中的数据通信情况
# iptraf -i eth0
2)按不同网络接口查看系统中的总体数据通信情况
# iptraf -g
3)按TCP、UDP协议分别查看数据通信情况
# iptraf s eth0
4)按数据包大小查看eth0网卡中的数据通信情况
# iptraf z eth0
5)查看eth0网卡中各类网络通信数据的详细统计信息,并写入到日志文件
# iptraf -d eth0 -L /var/log/iptraf/traflog.eth0