扫描:以获取一些公开的、非公开信息为目的。检测潜在的风险,查找可攻击的目标,收集 设备、主机、系统、软件信息,发现可利用的漏洞。
扫描方式:主动探测(scan)、被动监听嗅探(sniff)、抓包(capture)
常用的分析工具:扫描器(NMAP)、协议分析(tcpdumpWireShark)
NMAP:支持 ping 扫描、多端口扫描、TCP/IP 指纹校验,需要能连接到监控的主机或经过的路 由器
装包:
[root@proxy ~]# yum -y install nmap
扫描目标主机开启的服务:
常用的扫描类型:
-sS TCP SYN 半开扫描,加快速度
-sT TCP 全开扫描,默认选项
-sU UDP 扫描
-sP ICMP 扫描
-A 对目标系统全面分析
-O 检测系统版本
-sV 检测软件版本
[root@proxy ~]# nmap 192.168.4.100
[root@proxy ~]# nmap 192.168.4.100-200 #扫描一段主机
[root@proxy ~]# nmap 192.168.4.0/24
[root@proxy ~]# nmap 192.168.4.0/24 -p 3306 #-p 表示仅扫描具体端口
号
[root@proxy ~]# nmap 192.168.4.0/24 -p 22,3306
[root@proxy ~]# nmap -sU 192.168.4.100
[root@client ~]# nmap -A 192.168.4.5 #能看到使用端口的软件及
版本
[root@client ~]# nmap -n -sP 192.168.4.5 # -n 表示不解析 DNS
tcpdump 抓包:提取 tcp 数据包的命令行工具
格式:tcpdump 选项 过滤条件
常见的选项:
-i 指定监控的网络接口
-A 转换为 ACSII 码
-w 将数据包信息保存到指定文件
-r 从指定文件读取数据包信息
常用的过滤条件:
类型:host、net、port、portrange
方向:src(源地址)、dst(目的地址)
协议:tcp、udp、ip、wlan、arp
多个条件组合:and、or、not
1.装包:
[root@proxy ~]# yum -y install tcpdump
2.抓包:
[root@client ~]# tcpdump -A host 192.168.4.5
[root@proxy ~]# tcpdump -A src host 192.168.4.10
[root@proxy ~]# tcpdump -A dst host 192.168.4.10
[root@client ~]# tcpdump -i eth0 host 192.168.4.5
[root@client ~]# tcpdump -A host 192.168.4.5 and tcp port 21
[root@client ~]# tcpdump -A host 192.168.4.5 and tcp port 21 -w ftp.cap
[root@client ~]# tcpdump -r ftp.cap | egrep '(USER|PASS)'
tcpdump 可以抓到 nginx 的 basic 加密:使用 base64 编码(源码和编码一一对应)
[root@fzr ~]# echo a | base64
YQo=
[root@fzr ~]# echo YQo= | base64 -d
a