发布时间:2022-10-30 分类: 电商动态
在广阔的网络中,安全是最常见的需求。很多想要在网站上进行渗透测试服务的人都希望保证网站的安全,防止入侵和攻击。在这里,我们梳理了渗透测试中的数据包捕获分析、嗅探主机服务类型、端口扫描等识别应用服务,对网站安全性进行综合评估。
8.2.1.TCpDump
TCpDump是一个数据包捕获和分析工具,可以完全拦截网络中传输的数据包并提供分析。它支持对网络层、协议、主机、网络或端口进行过滤,并提供逻辑语句来过滤数据包。
8.2.1.1.通用命令行选项
-用于捕获流量的B缓冲区大小。如果太小,可能会发生数据包丢失。单位是千字节
-c抓取n个包裹并退出
-C当当前记录的包超过一定大小时,将以MB为单位创建新的文件记录
-i指定网卡捕获的流量
-不要翻译地址
-r读取保存的pcap文件
-s从每条消息中截取snaplen字节数据,0是所有数据
-q输出简短的协议相关信息,输出线路短。
-写入cnt文件后,W将不会写入
-w将流量保存到文件中
按时间分包时,可以用strftime的格式命名,如% y _% m _% d _% h _% m _% s.pcap。
按时间分包
-v产生详细的输出,而-vv-vvv产生更详细的输出
-X输发送消息头和包内容
-Z在写文件之前转换用户
8.2.2 .兄弟
Bro是一个开源的网络流量分析工具,支持多种协议,可以实时或离线分析流量。
8.2.2.1.命令行
bro-i的实时监控
分析本地交通流量
分割和分析流量后的原木断面图
8.2.2.2.脚本
为了扩展和定制Bro的功能,Bro提供了一种事件驱动的脚本语言。
8.2.3.tcpflow
Tcpflow也是一个数据包捕获工具,其特点是以流量为单位显示数据内容。在分析HTTp等协议的数据时,使用tcpflow更方便。
8.2.3.1.通用命令行选项
-bmax_bytes定义最大抓取流量
-ename指定解析的扫描仪
-iiinterface指定抓取界面
-ooutputdir指定输出文件夹
-r文件读取文件
-Rfile读取文件,但只读取完整的文件
8.2.4.tshark
WireShark的命令行工具可以通过命令提取想要的数据,重定向到文件,或者结合上层语言调用命令行实现数据处理。
8.2.4.1.输入接口
-i指定捕获接口,默认情况下,这是第一个非本地循环接口
-f设置用于捕获数据包的过滤器表达式,并遵循libpcap的过滤器语法。该选项在捕获数据包的过程中进行过滤,如果分析本地文件,这是不需要的。
-s设置快照长度,用于读取完整的数据包,因为网络中的传输受限于65535。值0表示快照长度为65535,默认值为65535。
-p在非混合模式下工作,即只关心与本机相关的流量。
-B设置缓冲区的大小,仅适用于windows,默认值为2M
-y设置数据包捕获的数据链路层协议;如果不是,则默认为-l找到的第一个协议。
打印接口列表并退出
-L为-y参数列出了该机器支持的数据链路层协议。
-r设置读取本地文件
8.2.4.2.捕捉停止选项
-c在捕获n个数据包后结束,默认情况下捕获无限制的数据包
构成动植物的古名或拉丁化的现代名
持续时间:纳米在数秒后停止捕获
文件大小:纳米在数字兆字节后停止捕获
文件:NUM在捕获NUM个文件后停止捕获
8.2.4.3.处理选项
-Y使用读取过滤器的语法,可以在单次分析中替换-R选项
-n禁止所有地址名称解析(默认为全部允许)
-N启用特定层的地址名称解析。m代表MAC层,n代表网络层,t代表传输层,c代表当前异步DNS查找。如果-n和-n参数都存在,-N将被忽略。如果不写入-n和-N参数,默认情况下将打开所有地址名称解析。
-d根据相关协议解包并输出指定数据。如果您想根据解包tcp8888端口的流量,
分割线10.22-25.43.32
来自文件-ILl
排除不需要的主机-主机-排除-排除污染
8.3.1.2.主机发现
-sLListScan-simplelistargetstoscan
-sn/-spping can-disableport scan
-pntreatallhostsas online-skipostdiscus
-SSs/St/Sa/SW/SMtcpsyn/Connect()/ACK/Window/Maimonscans
-sUUDpScan
-sN/sF/sXTCpNull、FIN和andXmasscans
8.2.1.3 .端口扫描
- scanflags自定义TCp扫描
-没有ping的p0
pS[portlist](TCpSYNping)//needrootonnix
pA[端口列表](TCpACKping)
端口列表
pR(Arpping)
p
快速扫描
不要使用随机顺序扫描
8.2.1.4.服务和版本检测
-sV版本检测
-所有端口不排除任何用于版本探测的端口
-版本-强度设置版本扫描强度
-版本-灯开启轻量模式//2级
-版本-尝试所有探测器//第9级
-版本-跟踪跟踪版本扫描活动
-sRRpC扫描
8.2.1.5.操作系统扫描
-O启用操作系统检测
-OSS can-limit检测指定目标的操作系统
-奥斯坎-猜猜看
-模糊推理操作系统测试结果
8.2.1.6.时间和性能
调整平行扫描组的大小
- min-hostgroup
-max-主机组
调整探测消息的并行度
-最小平行度
-最大并行度
调整探测消息超时
- min_rtt_timeout
-最大-RTT-超时
-初始-RTT-超时
放弃低速目标主机
-主机-超时
调整检测消息的时间间隔
扫描延迟
-最大扫描延迟
设置时间模板
相当于-ED
8.2.1.7.回避渗透测试与检测相关
mtu使用指定的MTU
-D使用诱饵进行隐蔽扫描
-S源地址欺骗
使用指定的接口
-源-端口;-g源端口欺骗
-数据长度-发送消息时附加随机数据
- ttl设置ttl
-随机化-主机随机排列目标主机的顺序
-欺骗-macMAC地址欺骗
8.2.1.8.输出
-oN标准输出
-oXXML输出
-osscripttkidd | 3输出
-oGGrep输出-所有格式的oA输出
8.2.1.9.细节和调试
-五级信息细节
-d[级别]调试级别
-数据包跟踪跟踪发送和接收的消息
- iflist枚举接口和路由
网站安全渗透测试遇到的检测方法和绕过方法太多了,而这些方法都源于一个目的,那就是保证网站或平台的安全,如果你想在上线前了解更多的安全检测和渗透测试评估,可以咨询专业的网站安全公司来满足测试要求。中国推荐Sinesafe,绿盟, 启明星辰,沈心等等,都是很好的安全公司。
