2021年1月19日

wireshark

• 混杂模式

wireshark可以接收所有经过网卡的数据包，包括不是发给本机的，不检验MAC地址。

• 普通模式

只接收发给本机的包（包括广播包）。

• 过滤条件

  • ip.addr == 0.0.0.0

  • tcp\arp\udp等协议(oicq\dns都是基于udp之上的协议，DNS服务器负载更低，响应更快)

• 协议分析

  • ARP协议：地址解析协议，可以使用nmap -sn来发送ARP解析
  • ICMP协议：使用ping发送。
  • TCP协议：shell连接kali时建立了TCP连接。

NMAP

1. Nmap概述

   NMAP可用于

   • 检测主机(主机发现)
   • 检测主机开放端口(端口发现或枚举)
   • 检测相应的端口的软件和版本(服务发现)
   • 检测操作系统、硬件地址、软件版本
   • 检测脆弱性漏洞(Nmap脚本)

   Nmap端口状态

   • open:有应用程序在该端口接收TCP连接或UDP报文。
   • closed:关闭的端口对于nmap也是可访问的(接受Nmap的探测报文并作出响应)，但没有应用程序在该端口监听。如果防火墙*了端口，则会显示filtered状态。
   • filtered:由于包过滤组织探测报文到达端口，nmap无法确定该端口是否开放。
   • unfiltered:未被过滤表示端口可访问，但是Nmap无法确定是否开放。只有用于映射防火墙规则集的ACK扫描才会把端口分类到这个状态。
   • open|filtered:无法确定是开放还是被过滤。比如开放的端口不响应。没有响应意味着过滤器丢弃了探测报文或它引发的反应。
   • closed|filtered:无法确定是关闭的还是被过滤的。

   Nmap语法

   • nmap [Scan Type(s)] [Options]
   • nmap -sS -O 192.168.19.80 TCP SYN方式，并且扫描操作系统
   • 手册查询：http://www.nmap.com.cn/doc/manual.shtm
   • 查询端口有什么服务：lsof -i:22(端口号)
   • 关闭服务：systemctl stop rpcbind(服务名)
   • 通过进程ID查找文件路径：ps -aux | grep 666(PID)

   Zenmap图形化NMAP

2. DNMAP分布式执行大量扫描任务

   DNMAP集群

   • python编写的分布式扫描的nmap扫描框架
   • 执行大量扫描任务时，扫描结果可以统一管理
   • 采用C/S结构

NESSUS漏洞扫描

• 启动：/etc/init.d/nessusd start
• 打开：https://kali:8834/
• 注册码获取：http://www.tenable.com/products/nessus/nessus-homefeed