网络扫描与监听---网络与系统安全实验

网络扫描与监听

一、wireshark的使用

1、wireshark的简介

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPcan作为接口，直接与网卡进行数据报文交换。

2、wireshark常见的用途

1）. 网络管理员会使用wireshark来检查网络问题

2）. 软件测试工程师使用wireshark抓包，来分析自己测试的软件

3）. 从事socket编程的工程师会用wireshark来调试

4）. 听说，华为，中兴的大部分工程师都会用到wireshark。

总之跟网络相关的东西，都可能会用到wireshark.

3、WinPcan简介

winpcap(windows packet capture)是windows平台下一个免费，公共的网络访问系统。开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。它用于windows系统下的直接的网络编程。wireshark基于winpcap处理网络驱动层。winpcap是底层的，在window上wireshark是依赖于winpcap截包的

4、wireshark的基本界面

5、两种过滤器

过滤器有两种，
一种是显示过滤器，就是主界面上那个，用来在捕获的记录中找到所需要的记录
一种是捕获过滤器，用来过滤捕获的封包，以免捕获太多的记录。在Capture -> Capture Filters中设置

6、封包详细信息图解

7、三次握手

1）、tcp报文图解






2）tcp三次握手






捕获的三次握手过程

8、四次分手

9、wireshark捕获登陆过程的密码

这里我捕获的是网站http://2017xfd.teamlogs.com/login，一个协作多人共建工作日志的一个网站。



这里我捕获之后通过了初步筛选与IP：198.74.99.90之间的通信发现了其使用明文传送信息。

二、Nmap端口扫描

1、Nmap简介

   Nmap是一款网络扫描和主机检测的非常有用的工具。Nmap是不局限于仅仅收集信息和枚举，同时可以用来作为一个漏洞探测器或安全扫描器。可用于：检测活在网络上的主机（主机发现）检测主机上开放的端口（端口发现或枚举）检测到相应的端口（服务发现）的软件和版本检测操作系统，硬件地址，以及软件版本检测脆弱性的漏洞（Nmap的脚本）Nmap是一个非常普遍的工具，它有命令行界面和图形用户界面。

 

2、端口端口一般是有下面这几种状态的

3、扫描的基本思想

4、常用的一些指令

（1）扫描指定的端口

nmap -n --open -p 11211 X.X.X.X/24

（2）扫描指定网段的远程桌面连接端口

nmap -sT -p3389 218.206.112.0/24

（3）使用nmap来扫描端口UDP 

nmap -sU 202.96.128.86 -p 53 -Pn

（4）进行安全检测 

nmap -v -A 219.129.216.156

（5）　仅列出指定网络上的每台主机，不发送任何报文到目标主机：

nmap -sL192.168.1.0/24 

（6）　探测目标主机开放的端口，可以指定一个以逗号分隔的端口列表(如-PS22，23，25，80)： 

　nmap -PS192.168.1.234 

（7）使用UDP ping探测主机： 

　nmap -PU192.168.1.0/24 

（8）使用频率最高的扫描选项：SYN扫描,又称为半开放扫描，它不打开一个完全的TCP连接，执行得很快： 

　nmap -sS192.168.1.0/24 

（9）当SYN扫描不能用时，TCP Connect()扫描就是默认的TCP扫描：

nmap -sT192.168.1.0/24 

（10）UDP扫描用-sU选项,UDP扫描发送空的(没有数据)UDP报头到每个目标端口: 

nmap -sU192.168.1.0/24 

（11）确定目标机支持哪些IP协议 (TCP，ICMP，IGMP等): 

　nmap -sO192.168.1.19 

（12）探测目标主机的操作系统： 

nmap -O192.168.1.19 
　　nmap -A 192.168.1.19 

其他的常见命令

输出命令

-oN 文件名 输出普通文件

-oX 文件名 输出xml文件

错误调试：

--log-errors 输出错误日志

--packet-trace 获取从当前主机到目标主机的所有节点

5、常见的几种端口扫描

1）、TCP扫描（-sT）

这是一种最为普通的扫描方法，这种扫描方法的特点是：扫描的速度快，准确性高，对操作者没有权限上的要求，但是容易被防火墙和IDS(防入侵系统)发现

运行的原理：通过建立TCP的三次握手连接来进行信息的传递

① Client端发送SYN；

② Server端返回SYN/ACK，表明端口开放；

③ Client端返回ACK，表明连接已建立；
④ Client端主动断开连接。

 


2）、SYN扫描（-sS）

这是一种秘密的扫描方式之一，因为在SYN扫描中Client端和Server端没有形成3次握手，所以没有建立一个正常的TCP连接，因此不被防火墙和日志所记录，一般不会再目标主机上留下任何的痕迹，但是这种扫描是需要root权限（对于windows用户来说，是没有root权限这个概念的，root权限是linux的最高权限，对应windows的管理员权限）

运行的原理图如下：

 


3）、NULL扫描

NULL扫描是一种反向的扫描方法，通过发送一个没有任何标志位的数据包给服务器，然后等待服务器的返回内容。这种扫描的方法比前面提及的扫描方法要隐蔽很多，但是这种方法的准确度也是较低的，主要的用途是用来判断操作系统是否为windows，因为windows不遵守RFC 793标准，不论端口是开启还是关闭的都返回RST包



但是虽然NULL具有这样的一些用处，但是

1、NULL方法的精确度不高，端口的状态返回的不是很准确

2、要获取目标主机的运行系统，可以使用参数(-O),来获取对于一些操作系统无法准确判断的，可以加上参数(-osscan-guess)

3、NULL扫描易被过滤

 

4）、FIN扫描

FIN扫描的原理与NULL扫描的原理基本上是一样

 

5）、ACK扫描

ACK扫描的原理是发送一个ACK包给目标主机，不论目标主机的端口是否开启，都会返回相应的RST包，通过判断RST包中的TTL来判断端口是否开启

运行原理图：



TTL值小于64端口开启，大于64端口关闭

大致上主要的扫描方法就是这些，除了我们可以按照这样些参数去执行扫描外，还可以自己定义一个TCP扫描包

三、Nmap扫描，wireshark捕包分析

1、使用tcp扫描百度（www.baidu.com）

得到的反馈是80和443端口开放

 


2、  使用wireshark捕包

可以看到大量的包被捕获，说明nmap扫描了多次。



3、  分析

可以看到大量的包是没有得到回应的，说明这些端口都是不开放的。而开放的端口80的来往记录是符合下面图示的过程