数据包分析
Wireshark
Dsniff
TCPDump
目标主机识别
Arping
Arping与ping的区别:
ping命令在windows和linux中都能使用;
arping在linux中使用,windowws中不能使用。
主要区别如下:
1.ping发送ICMP请求包,用来测试主机与目标主机之间的连通性。如果未连通:有可能是物理上的问题,有可能是软件上的(防火墙开启等)问题。
2.arping发送ARP请求包,用来测试某个IP是否被主机使用,以及使用主机的物理地址。(穿墙PIng)
Fping
概念
Fping程序类似于ping。 Fping与ping不同的地方在于,
Fping可以在命令行中指定要ping的主机数量范围,也可以指定含
有要ping的主机列表文件。
初步筛选存活主机(ping不通的用arping 避免存在防火墙)
Genlist
概念
与fping不同的是,genlist多个主机发现更为简洁, 只显示
活跃主机信息,速度上和ping基本相同,因此建议=者结合使用。
以主机A (172.16.1.100) 向主机B (172.16.1.200) 发送数据
为例。当发送数据时,主机A会在自己的ARP缓存表中寻找是否有
目标IP地址。如果找到了,也就知道了目标MAC地址为
(52:54:00:6e:18:d7),直接把目标MAC地址写入帧里面发送就
可以了;如果在ARP缓存表中没有找到相对应的IP地址,主机A就
会在网络_上发送一个广播(ARP request),目标MAC地址是
“FF .FF.FF.FF FF.FF"
这表示向同一网段内的所有主机发出这样的询问:
“172.16.1.200的MAC地址是什么?”网络上其他主机并不响应
ARP询问,只有主机B接收到这个帧时,才向主机A做出这样的回应
(ARP response) :“172.16.1.200的MAC地址是
(52:54:00:6e:18:d7)
这样,主机A就知道了主机B的MAC地址,它就可以向主机B发
送信息了。同时它还更新了自己的ARP缓存表,下次再向主机B发
送信息时,直接从ARP缓存表里查找就可以了。
ARP缓存表采用了老化机制,在一段时间内如果表中的某- -行
没有使用,就会被删除,这样可以大大减少ARP缓存表的长度,加
快查询速度。
NBTscan
概念
NBTScan-款用于扫描Windows网络上NetBIOS名字信息的
程序。该程序对给出范围内的每一个地址发送NetBIOS状态查询,
并且以易读的表格列出接收到的信息,对于每个响应的主机,
NBTScan将会列出它的IP地址、NetBIOS计算机名、 登录用户名和
MAC地址。
在一个局域网中的两台主机,主机A的IP是: 172.16.1.100,
MAC地址为: 52:54:00:b9:48:70。 主机B的IP为: 172.16.1.200,
MAC地址为: 52:54:00:7a:1b:8f, 主机名为: ADMIN-
01078568C。
当我们使用NBTScan的时候,A主机首先发送一个广 播包
NBNS,询问局域网内哪个主机的IP是172.16.1.200。B主机在收到
此NBNS包后做出响应,发了-一个ARP的广播包,询问A主机的
MAC地址,此后A主机响应一个ARP数据包,B主机在收到A主机的
ARP数据包后得知了A主机的MAC地址,于是返回了- -个NBNS响
应包,通过NBNS协议告诉A主机,IP为172.16.1.200的主机名为
ADMIN-01078568C。(网络基本输入/输出系统(NetBIOS)名称
服务器(NBNS)协议是TCP/IP.上的NetBIOS (NetBT)协议簇的一部
分,它在基于NetBIOS名称访问的网络上提供主机名和地址映射方
法NetBIOS是Network Basic Input/Output System的简称。
P0f(被动扫描)
概念
1.POf是一款被动探测工具,能够通过捕获并分析目标主机发出的数
据包来对主机上的操作系统进行鉴别,即使是在系统上装有性能良
好的防火墙的情况下也没有问题。目前最新版本为3.09b,同时POf
在网络分析方面功能强大,可以用它来分析NAT、负载均衡、应用
代理等。POf是万能的被动操作系统指纹工具。P0f对于网络攻击非
常有用,它利用SYN数据包实现操作系统被动检测技术,能够正确
地识别目标系统类型,和其他描软件不同,它不向目标系统发送
任何的数据,只是被动地接受来自目标系统的数据进行分析。因
此,一个很大的优点是:几乎无法被检测到,而且POf是专门系统
识别工具,其指纹数据库非常详尽,更新也比较快,特别适合于安
装在网关中。
2.工作原理:当被动地拦截原始的TCP数据包中的数据,如可以访
问数据包流经的网段,或数据包发往,或数据包来自你控制的系
统;就能收集到很多有用的信息: TCP SYN和SYN/ACK数据包就
能反映TCP的链接参数,并且不同的TCP协议栈在协商这些参数的
表现不同。.
3.POf不增加任何直接或间接的网络负载,没有名称搜索、没有秘密
探测、没有ARIN查询,什么都没有。某些高手还可以用POf检测出
主机上是否有防火墙存在、是否有NAT、是否存在负载平衡器等
等!
4.POf是继Nmap和Xprobe2之后又-款远程操作系统被动判别工
具。它支持:反连SYN模式、正连SYN+ ACK模式、空连RST+ 模式
和碎片ACK模式。
5.POf比较有特色的是它还可以探测:是否运行于防火墙之后、是否
运行于NAT模式、是否运行于负载均衡模式、远程系统已启动时间
和远程系统的DSL和ISP信息等。
Xprobe
Autoscan
Nmap
概念
- Nmap是一一个网络连接端扫描软件,用来扫描网上电脑开放的
网络连接端。确定哪些服务运行在哪些连接端,并且推断计算机运
行哪个操作系统(这是亦称fingerprinting)。它是网络管理 员必
用的软件之一-,以及用以评估网络系统安全。
- Nmap也是不少黑客及骇客(又称脚本小子)爱用的工具。系
统管理员可以利用Nmap来探测工作环境中未经批准使用的服务
器,但是黑客会利用Nmap来搜集目标电脑的网络设定,从而计划
攻击的方法。
- Nmap常被跟评估系统漏洞软件Nessus混为- -谈。 Nmap以隐
秘的手法,避开闯入检测系统的监视,并尽可能不影响目标系统的
日常操作。
TCP是因特网中的传输层协议,使用三次握手协议建立连接。当主
动方发出SYN连接请求后,等待对方回答TCP的三次握手
TCP的三次握手SYN+ ACK[1],并最终对对方的SYN执行ACK确
认。这种建立连接的方法可以防止
产生错误的连接,TCP使用的流量控制协议是可变大小的滑动窗口
协议。