TCP/IP协议簇
wireshark是对主机网卡上的流量进行抓取
捕获过滤器
语法
类型:主机 host
网络 net
端口 port
方向:src dst
协议:ether ip tcp udp http ftp…
逻辑运算符:&&与 ||或 !非
举例
src host 192.168.18.14 && dst port 80
host 192.168.18.14 || host 192.168.18.1
! broadcast
(src host 192.168.18.14 || src net 192.168.18.0/24) && (dst portrange 200-1000 && dst net 192.0.0.0/8)
显示过滤器
语法
比较操作符:==(eq)
!=(neq)
> (gt)
<(lt)
>=(ge)
<=(le)
逻辑操作符:and(&&)
or(||)
not 没有条件满足
IP地址过滤 :ip.addr
ip.src
ip.dst
端口过滤:tcp.port
udp.port
tcp.dstport
tcp.flag.syn
tcp.flag.ack
协议过滤:arp ip icmp
举例
显示源IP等于192.168.18.14并且TCP端口为443
ip.src==192.168.18.14 and tcp.port==443
显示源不为192.168.18.14或者目的不为202.98.96.68的
ip.src!=192.168.18.14 or ip.dst!=202.98.96.68
ctrl
+N
可以使用精确查找tcp.stream eq 66 //追踪长度为66的tcp的流
可以使用arp -a 来查看当前电脑里的arp缓存
arp -d 可以清空
arp -s 绑定arp
kali Linux系统是基于debian Linux系统,采用deb包管理方式,可以使用apt源的方式进行直接从源安装
apt-get install 软件名
攻击
arpspoof -i eth0/*发起攻击的接口*/ -t 192.168.43.1/*攻击的目标*/ 192.168.43.1/*路由器IP地址*/
开启转发功能
vim/proc/sys/net/ipv4/ip_forward
1代表开启
0代表关闭
echo 1 >> /proc/sys/net/ipv4/ip_forward
> //代表覆盖
>> //代表追加
开启监听
driftnet -i eth0
internet控制报文协议,用于在IP主机、路由器之间传递控制消息
控制信息指网络通不通、主机是否可达、路由是否可用等等
ICMP是属于网络层的协议,封装在传输层与网络层之间
类型(type)
代码(code)
在某些特定情况下,路由器检测到主机使用非优化路由时,会向主机发送一个ICMP重定向报文,使主机的路由改变
在路由表里不显示
Kali更改源
vim /etc/apt/sources.list
apt-get update
传输层提供的服务
Urgent //发送数据时是否为紧急
Acknowledgment //确认的控制位
Push //是否将数据推到上一层
Reset //是否重置连接
Syn //建立连接的控制位 ,1表示正在发起请求
Fin //数据发送完毕之后释放连接
SYN和ACK都=1 //表示对方同意建立连接
保留(Reserved):占 4 位。为 TCP 将来的发展预留空间,目前必须全部为 0。
窗口大小(Window Size):占 16 位。它表示从 Ack Number 开始还可以接收多少字节的数据量,也表示当前接收端的接收窗口还有多少剩余空间。该字段可以用于 TCP 的流量控制。
校验位(TCP Checksum):占 16 位。它用于确认传输的数据是否有损坏。发送端基于数据内容校验生成一个数值,接收端根据接收的数据校验生成一个值。两个值必须相同,才能证明数据是有效的。如果两个值不同,则丢掉这个数据包。Checksum 是根据伪头 + TCP 头 + TCP 数据三部分进行计算的。
紧急指针(Urgent Pointer):仅当前面的 URG 控制位为 1 时才有意义。它指出本数据段中为紧急数据的字节数,占 16 位。当所有紧急数据处理完后,TCP 就会告诉应用程序恢复到正常操作。即使当前窗口大小为 0,也是可以发送紧急数据的,因为紧急数据无须缓存。
选项(Option):长度不定,但长度必须是 32bits 的整数倍。
vim /etc/network/interfaces
默认情况
配置IP地址、子网掩码、默认网关
auto eth0
iface eth0 inet static
address 192.168.1.50
netmask 255.255.255.0
gateway 192.168.1.254
重启网卡
ifdown eth0 //关闭网卡
ifup eth0 //开启网卡
查看默认网关
route -n
netsh interface ip set address "Ethernet0" static 192.168.2.100 255.255.255.0 192.168.2.254
hping3 -c 1000 -d 120 -S -w 64 -p 80 --flood --rand-source 192.168.2.100
//c代表数据包的流量 d代表每个数据包的大小 S只发送SYN -w窗口大小 -p目标端口
//--rand-source自动生成随机的IP
使用hping3工具
UDP(用户数据报)协议,是传输层的另外一个协议
hping3 -q -n --rand-source --udp -p 53 --flood 192.168.2.100 -d 10000
/*
q:使用安静模式
n:数字化输出
*/
应用层协议,基于UDP,主机是向服务器67号端口,服务器响应给客户机的68号端口
客户机与服务器的交互过程
客户机以广播方式发送yidhcp discover。
网络中所以的DHCP服务器都会收到,都会响应,客户机会向收到的第一个offer报文的服务器发送DHCP request
服务器确认,客户机获取TCP/IP参数
discover:广播发送 请求IP
offer:携带IP
request:同意IP
ack:赋予IP
169.254开头的IP表示没有获取到IP
默认情况下路由器阻挡报文,使得客户机获取不到IP,可以在路由器上配置DHCP中继
en
conf t
int f0/0 //需要配置中继的接口
ip helper-address 192.168.120.100 //Server的IP地址
路由器响应客户机的请求
Message type:消息类型 (1表示请求,2表示响应)
Hardware type :硬件类型
Hardware address length:硬件地址的长度
Hops:经过DHCP中继的数目
Transaction ID:事务ID,随机数
Seconds elapsed:客户机开始获取IP地址或IP地址续借所用到的秒数
Bootp flags:保留的标记字段
Client IP address:客户机的IP地址
Your (client) IP address:服务器能提供给客户机的IP地址
Next server IP address:DHCP服务器的IP地址
Relay agent IP address:中继代理的IP
Option:涵盖了一些参数,不同的报文Option都不同
使用kali去攻击服务器,耗尽服务器的IP地址资源,然后伪装DHCP服务器向客户机提供IP地址
yersinia -G //图形化界面
需先暂停攻击再伪造
开启DHCP监听
ip dhcp snooping
指定监听vlan
ip dhcp snooping vlan 1
由于开启监听后,交换机上的接口都会变成非信任端口(会拒绝DHCP报文),需要将正常的端口添加为信任端口
int f0/1
ip dhcp snooping trust
启用“选项82”
ip dhcp snooping information option
限制DHCP报文速率
int f0/0
ip dhcp snooping limit rate 100
启用核实MAC地址 功能
ip dhcp snooping verify mac-address
shou ip dhcp snooping binding
clera ip dhcp snooping binding
当交换机开启DHCP snooping后,所以的接口变成了非信任端口(会拒绝DHCP报文),当把交换机上的某一个接口设置为信任端口后,其他所有接口变成可信任端口(会拒绝DHCP offer)
三级域名+二级域名+顶级域
递归查询
迭代查询
ID字段
flags:标志
Questions:请求段的问题记录数
Answer RRs:回答段中的记录数
Authority RRs:授权段中的授权记录数
Additional RRs:附加段中的附加记录数
下面的内容和上面的一一对应
权威服务器的信息
需先执行ARP欺骗,再执行DNS欺骗
kali
vim /etc/ettercap/etter.dns
1、概念
FTP(文件传输协议),由两部分组成:客户端/服务器 C/S架构,应用场景:企业内部存放公司文件,开发网站时,利用FTp协议将网页或程序传到网站服务器,网络中传输一些大文件时也使用该协议
FTP:基于传输层的TCP协议,默认端口号(20号端口一般用于传输数据,21号端口用于传输控制信息),但是是否使用20号端口作为传输数据端口和FTP的传输模式有关
主动模式(port方式)
1xx - 肯定的初步答复
这些状态代码指示一项操作已经成功开始,但客户端希望在继续操作新命令前得到另一个答复。
110 重新启动标记答复。
120 服务已就绪,在 nnn 分钟后开始。
125 数据连接已打开,正在开始传输。
150 文件状态正常,准备打开数据连接。
2xx - 肯定的完成答复
一项操作已经成功完成。客户端可以执行新命令。
200 命令确定。
202 未执行命令,站点上的命令过多。
211 系统状态,或系统帮助答复。
212 目录状态。
213 文件状态。
214 帮助消息。
215 NAME 系统类型,其中,NAME 是 Assigned Numbers 文档中所列的正式系统名称。
220 服务就绪,可以执行新用户的请求。
221 服务关闭控制连接。如果适当,请注销。
225 数据连接打开,没有进行中的传输。
226 关闭数据连接。请求的文件操作已成功(例如,传输文件或放弃文件)。
227 进入被动模式 (h1,h2,h3,h4,p1,p2)。
230 用户已登录,继续进行。
250 请求的文件操作正确,已完成。
257 已创建“PATHNAME”。
3xx - 肯定的中间答复
该命令已成功,但服务器需要更多来自客户端的信息以完成对请求的处理。
331 用户名正确,需要密码。
332 需要登录帐户。
350 请求的文件操作正在等待进一步的信息。
4xx - 瞬态否定的完成答复
该命令不成功,但错误是暂时的。如果客户端重试命令,可能会执行成功。
421 服务不可用,正在关闭控制连接。如果服务确定它必须关闭,将向任何命令发送这一应答。
425 无法打开数据连接。
426 Connection closed; transfer aborted.
450 未执行请求的文件操作。文件不可用(例如,文件繁忙)。
451 请求的操作异常终止:正在处理本地错误。
452 未执行请求的操作。系统存储空间不够。
5xx - 永久性否定的完成答复
该命令不成功,错误是永久性的。如果客户端重试命令,将再次出现同样的错误。
500 语法错误,命令无法识别。这可能包括诸如命令行太长之类的错误。
501 在参数中有语法错误。
502 未执行命令。
503 错误的命令序列。
504 未执行该参数的命令。
530 未登录。
532 存储文件需要帐户。
550 未执行请求的操作。文件不可用(例如,未找到文件,没有访问权限)。
551 请求的操作异常终止:未知的页面类型。
552 请求的文件操作异常终止:超出存储分配(对于当前目录或数据集)。
553 未执行请求的操作。不允许的文件名。
Windows server IIS(Windows)
apache(多平台)
tomact(多平台)
nginx(多平台)
…
**HTTPS = HTTP + SSL/TLS **
核心内容
加密和解密的密钥相同
非对称加密算法
为了解决非对称加密算法效率较低的情况,通常使用以下加密算法
公钥基础设施
实现的功能
身份认证及完整性验证
添加服务和角色——————添加Active Directory证书服务——————添加证书颁发机构Web注册
最后传输数据
winmail
网络电子邮件系统,好处在于,价格低廉,速度非常快
形式多样化
相同的邮箱
不同的邮箱
邮件协议
250:所要求的邮件动作完成,可以继续
354:开始接受邮件内容输入
221:服务器关闭了传输通道
334:认证输入
1892415428)]
数字证书
[外链图片转存中…(img-tT2x5kL3-1651892415429)]
[外链图片转存中…(img-E6ikanF5-1651892415429)]
添加服务和角色——————添加Active Directory证书服务——————添加证书颁发机构Web注册
[外链图片转存中…(img-CjHXhBio-1651892415429)]
最后传输数据
winmail
网络电子邮件系统,好处在于,价格低廉,速度非常快
形式多样化
相同的邮箱
[外链图片转存中…(img-YVyud4Vd-1651892415429)]
不同的邮箱
[外链图片转存中…(img-2mLHMYga-1651892415430)]
邮件协议