Kali Linux分析和管理网络
1.使用ifconfig查看和分析网络(状态)
eth0 -第一块有线网卡
wlan0 -第一块无线网卡
PS:网卡的排序是从0开始
ifconfig -a 查看所有接口(活跃和不活跃的)
ifconfig eth0 down 禁用eth0网卡
ifconfig eth0 up 启用eth0网卡
2.使用iwconfig 检查无线网卡(设备)
ip address show //查看IP地址
-a
3.更改IP地址
1)临时更改
1)ifconfig eth0 192.168.195.66
//使用的是默认子网掩码
用于排错/调试网络
2)ifconfig eth0 10.1.1.1 netmask 255.255.255.0
//使用netmask指定子网掩码
主机地址及子网掩码的分类
unicast 单播
broadcast 广播
multicast 组播
帧 的 结 构
目标MAC地址 源MAC地址 类型 data FCS(帧校验和)
类型字段(type)用于标识数据字段中包含的高层协议
数据字段(data)网络层数据(最小46字节,保证帧长至少为64字节最大1500字节)
循环冗余校验字段(FCS)提供了一种错误检测机制
4. 在kali中如何使用无线网卡连接WiFi
step1:建议先在笔记本中使用无线网卡连接WiFi
step2:在虚拟机中添加usb控制器(默认为添加)
把他连接到虚拟机中
step3:查看网络接口
ifconfig -a
如果无线网卡没有up,使用ifconfig wlan0 up 启用无线网卡
step4:使用iwconfig收集无线网卡的信息
PS:
(1)TEEE 802.11 无线网络的标准
802.11 a/b/g/n
802.11n 支持2.4GHZ和5GHZ
理论带宽最高600Mpbs
(2)ESSID就是WiFi的标识
(3)Access Point(AP,无线接入点):88:C3:97:C2:F1:4E(无线路由器的MAC地址)
(4)Mode:Managed 无线网卡的模式
Managed–客户端模式,可以连接WiFi通常使用的模式
Monitor(监视)或promiscuous(混杂)
在破解无线密码时,我们需要使用到混杂模式(promiscuous
mode)或monitor模式,在这种模式下,网卡处于嗅探状态(被称为PASSIVE状态,被动状态)
step5:连接指定WiFi
通过图形化的网络连接管理界面(推荐)
前提:NetworkManager服务要开启(服务名称区分大小写)
systemctl status NetworkManager
在Kali中查看无线网卡是否可以用于无线攻击
1)iw list 查看无线网卡支持的模式
2)查看是否支持数据包的注入功能
aireplay-ng -9 wlan0
injection(注入) is working
5.MAC地址欺骗
MAC地址(物理地址)是全球唯一的,48位,16进制表示
防范:通常被用作一种安全措施,以防止黑客进入网络-或追踪他们
攻击:更改MAC地址来伪装成一个不同的MAC地址使得上述安全措施无效
这是一项非常有用的绕过网络访问控制的技术
ncpa.cpl打开网络控制面板
win+R
MAC地址由两部分组成,分别是供应商代码和序列号。其中前24位代表该供应商代码,
由IEEE管理和分配。剩下的24位序列号由厂商自己分配
arp协议–把IP地址解析成MAC地址
arp -a 查看ARP缓存
arp -d 删除ARP缓存
arp -d 192.168.195.149 //删除指定的条目
更改MAC地址
1)ifconfig eth0 hw ether 00:11:22:33:44:55
2)macchanger -s eth0
-s 查看MAC地址
macchanger eth0 -m 00:11:22:33:44:55
-m 设置新的MAC地址
6.通过DHCP服务器获取IP地址
DHCP协议-动态主机配置协议
server:udp/67
Linux下的DHCP的服务进程daemon,工作在后台)进程–dhcpd
client:udp/68
DHCP服务器维护将IP地址分配给哪台机器的日志文件,使得它成为
取证分析人员在攻击后追踪黑客的绝佳资源
Linux下DHCP客户端调试工具 dhclient
-r(release) 释放正在使用的IP地址
dhclient eth0 -r
dhclinet eth0 获取IP
DHCP discover 客户端用来寻找DHCP服务器
DHCP offer DHCP用来响应DHCP discover报文,报文携带配置信息
DHCP request 客户端请求配置,或者续借租期
DHCP ack 服务器对request报文的确认响应
DHCP release 客户端要释放地址时用来通知服务器
网络参数的配置
IP地址/掩码 ifconfig eth0 或 ip a
网关(默认路由)ip route show (ip r)
DNS(nameserver,名称服务器) cat /etc/resolv.conf
(1)手工方式(静态)
方法1:图形化的网络管理器
依赖的服务:NetworkManager(默认自动开启)
wired 有线
wireless 无线
更改之后
把启用联网(复选框)取消再选中
方法2:修改网卡的配置文件(掌握)
/etc/network/interfaces
step01:把NetworkManager服务关闭设置为开机不启动
systemctl stop NetworkManager //关闭
systemctl disable NetworkManager //禁用
systemctl status NetworkManager //查看状态
step02:编辑/etc/network/interfaces
PS:推荐man interfaces
auto eth0 //启动时激活网卡
iface eth0 inet static //接口为eth0,地址指派方式为静态(static,手工方式)
address 192.168.195.77/24 //IP地址
gateway 192.168.195.2 //网关
step03:重启networking服务
systemctl restart networking
7.DNS的修改
/etc/resolv.conf
修改方法1 vi直接编辑
search qwfy.cn //搜索域
nameserver 8.8.8.8 //DNS服务器
nameserver
nameserver
修改方法2
echo “nameserver 223.6.6.6” >/etc/resolv.conf
修改方法3
sed ‘s/nameserver 223.6.6.6/nameserver 8.8.8.8/’ /etc/resolv.conf
sed是非交互式的文本编辑器
-i 对原始文件内容进行修改
‘s/old/new’ 查找替换,把old替换成new
维护域名系统
黑客可以使用DNS从目标收集信息
1)包含目标名称服务器(将目标名称转换为IP地址的服务器)的IP地址(A记录)
2)目标邮件服务器(MX记录)
3)潜在的所有子域名和IP地址
(1)dig
1)dig hackers-arise.com ns
2)dig hackers-arise.com mx
向系统默认的DNS服务器查询
3)dig hackers-arise.com mx @223.6.6.6
向指定的DNS服务器223.6.6.6查询
4)dig qq.com any @223.6.6.6
向指定DNS服务器查询qq.com域中任意记录类型
5)dig + noall + answer mail.163.com any
//+noall 没有任何输出
//+answer 只看应答输出
反向查询
PTR(指针记录)
6)dig + noall +answer -x 220.181.14.161
// -x 反向查询
(2)nslookup
nslookup qq.com-type=any 8.8.8.8
向指定的DNS服务器qq.com域中任意记录类型
apt install dsniff
映射你的IP地址
Linux:/etc/hosts
Windows:C:\windows/system32\drivers\etc\hosts
/etc/hosts
作用:完成主机名到IP地址的映射
解析的优先级比DNS更高
1)屏蔽一些网站
2)加快上网的访问速度
3)防止DNS劫持(DNS欺骗)
格式:
一行代表一条记录
IP地址 主机名1 主机名2 (多个主机名)
利用dnsspoof劫持用户流量