网络安全基础技术扫盲篇之“抓包“

知识宝库在此藏,一键关注获宝藏

抓包是指在计算机网络中通过截获****、重发、编辑、转存等操作,分析网络数据包的过程。网络数据包是计算机之间进行通信时发送和接收的信息单元。通过抓包,可以查看和分析网络通信中传输的数据,以便诊断网络问题、监控网络流量或进行安全审计。

一、 burp — 抓包分析软件

1. 常用模块介绍

本文仅介绍抓包,剩余内容会在应用系统测评篇中放出,(例如利用burp暴力破解攻击,通过抓包查看前端使用了哪种算法等内容)

1.1 Proxy模块

Proxy代理模块作为 BurpSuite 的核心功能,拦截HTTP/HTTPS的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。

这个版本的burp可不设置代理,我们直接点击 Open Browser

网络安全基础技术扫盲篇之“抓包“_第1张图片

打开浏览器输入网址后,即可抓到对应的数据包

网络安全基础技术扫盲篇之“抓包“_第2张图片

网络安全基础技术扫盲篇之“抓包“_第3张图片

点击放包后,浏览器才能访问到对应的页面

网络安全基础技术扫盲篇之“抓包“_第4张图片

当然,如果觉得自带的不太好用,想用其他的浏览器抓包,那么一般是浏览器上安装对应的插件,这里我们以firefox 举例

打开firefox浏览器,点击右边的扩展菜单栏,选择管理扩展

网络安全基础技术扫盲篇之“抓包“_第5张图片

然后在寻找更多附加组件处输入:foxyProxy 回车

网络安全基础技术扫盲篇之“抓包“_第6张图片

第一个就是,将它安装

网络安全基础技术扫盲篇之“抓包“_第7张图片

网络安全基础技术扫盲篇之“抓包“_第8张图片

安装完毕后,直接点击打开

网络安全基础技术扫盲篇之“抓包“_第9张图片

选择“选项”

网络安全基础技术扫盲篇之“抓包“_第10张图片

点击 Proxies

网络安全基础技术扫盲篇之“抓包“_第11张图片

然后可以按照下面模版进行填写

网络安全基础技术扫盲篇之“抓包“_第12张图片

burp如果设置未进行修改的话,为8080,如做了修改,则将上面的端口号改为修改后对应的端口

网络安全基础技术扫盲篇之“抓包“_第13张图片

完成后点击 save 保存,然后鼠标点击一下,应用burp这个规则

网络安全基础技术扫盲篇之“抓包“_第14张图片

此时我们的burp工具就能拦截到对应的数据包了

网络安全基础技术扫盲篇之“抓包“_第15张图片

2. http数据包简介

例如我们抓取一个后台登陆的数据包,进行简单分析一下

网络安全基础技术扫盲篇之“抓包“_第16张图片

POST /?m=admin&c=index&a=check HTTP/1.1

Host: 172.17.200.25

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121.0

Accept: application/json, text/javascript, */*; q=0.01

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Content-Type: application/x-www-form-urlencoded; charset=UTF-8

X-Requested-With: XMLHttpRequest

Content-Length: 64

Origin: http://172.17.200.25

Connection: close

Referer: http://172.17.200.25/?m=admin&c=index&a=login

Cookie: PHPSESSID=sm571fs1h3ngkf1dfo96bkkv45

t0=admin&t1=admin&t2=spxc&token=1660f5b3f4493aa51e0a19fa788df146

下面对每个部分进行简单解释:

① 请求行:POST /?m=admin&c=index&a=check HTTP/1.1

  • POST:表示这是一个POST请求方法,用于向服务器提交数据。

  • /?m=admin&c=index&a=check:表示请求的路径和参数。在这个例子中,路径为根目录下的admin,控制器为index,方法为check。

  • HTTP/1.1:表示所使用的HTTP协议版本。

② 请求头部

  • Host: 172.17.200.25:表示服务器的主机名。

  • User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:121.0) Gecko/20100101 Firefox/121.0:表示浏览器或客户端的相关信息,这里显示的是使用Firefox浏览器版本。

  • Accept: application/json, text/javascript, */*; q=0.01:表示客户端能够接受的响应内容类型。

  • Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2:表示客户端所支持的语言偏好。

  • Accept-Encoding: gzip, deflate:表示客户端能够接受的压缩编码方式。

  • Content-Type: application/x-www-form-urlencoded; charset=UTF-8:表示请求主体的数据格式为URL编码形式,字符集为UTF-8。

  • X-Requested-With: XMLHttpRequest:表示该请求是由XMLHttpRequest对象发起的。

  • Content-Length: 64:表示请求主体的数据长度。

  • Origin: http://127.17.200.25:表示请求的来源。

  • Connection: close:表示请求完成后关闭连接。

  • Referer: http://172.17.200.25/?m=admin&c=index&a=login:表示请求的来源网页。

  • Cookie: PHPSESSID=sm571fs1h3ngkf1dfo96bkkv45:表示客户端发送的Cookie数据,这里包含了名为PHPSESSID的会话ID。

③ 请求主体

t0=admin&t1=admin&t2=spxc&token=1660f5b3f4493aa51e0a19fa788df146:表示具体的表单数据,以URL编码形式展示。其中t0、t1、t2和token为参数名,后面的值为具体的参数值。t0表示输入的用户名、t1表示输入的密码、t2表示输入的验证码。

总结:该POST请求的目的是向服务器提交一些表单数据。请求头部提供了一些附加信息,如请求的主机名、浏览器信息、接受的响应类型等。请求主体中包含了具体的表单数据,也就是我们输入的帐号密码。这整一个数据包就是登录过程的请求。

二、Wireshark 网络抓包分析软件

Wireshark 使用 WinPCAP 作为接口,直接与网卡进行数据报文交换。

打开Wireshark后,我们第一步要做的就是选择对应的网卡,一般正常情况下,笔记本选择"WLAN",有线连接选择对应的"本地连接"。如果是与虚拟机交互的,那么就要选择对应的虚拟机网卡。

网络安全基础技术扫盲篇之“抓包“_第17张图片

选择完对应的网卡后,会直接抓取数据包,点击红色的按钮可关闭

网络安全基础技术扫盲篇之“抓包“_第18张图片

这里我们演示去抓一个MySQL连接的数据包,在Wireshark捕获的状态下,使用Navicat 远程连接mysql

网络安全基础技术扫盲篇之“抓包“_第19张图片

此时Wireshark界面会有非常多的数据,我们需要在过滤器内输入相应的命令,对数据包进行过滤

网络安全基础技术扫盲篇之“抓包“_第20张图片

下面是一些常用的过滤条件示例:

① 过滤特定IP地址

  • 显示源IP地址为 192.168.1.100 的数据包:ip.src == 192.168.1.100

  • 显示目的IP地址为 192.168.1.200 的数据包:ip.dst == 192.168.1.200

  • 显示源或目的IP地址为 192.168.1.100 的数据包:ip.addr == 192.168.1.100

② 过滤特定协议

  • 显示所有TCP数据包:tcp

  • 显示所有UDP数据包:udp

  • 显示所有ICMP数据包:icmp

③ 过滤端口号

  • 显示源或目的端口号为 80 的数据包:tcp.port == 80 or udp.port == 80

④ 组合多个条件

  • 显示源IP地址为 192.168.1.100 并且目的端口号为 80 的TCP数据包:ip.src == 192.168.1.100 and tcp.dstport == 80

像上述 抓取MySQL登录过程的数据包,则需要筛选目的地址为172.17.200.13,端口号为3306的数据包,可以使用以下过滤条件进行过滤:

ip.addr == 172.17.200.13 and tcp.dstport == 3306

网络安全基础技术扫盲篇之“抓包“_第21张图片

通过过滤,我们很快就能找到在这个登录过程中传输了哪些数据,具体这个password的值怎么来的,可以查看 等保2.0测评深入理解 — MySQL 数据库这篇文章中,MySQL口令验证实现原理这个知识点

网络安全基础技术扫盲篇之“抓包“_第22张图片

例如我再抓取一个查询表的数据包

网络安全基础技术扫盲篇之“抓包“_第23张图片

由于数据包比较多,我们进行筛选后,可以 右键 → 追踪流→ TCP流

网络安全基础技术扫盲篇之“抓包“_第24张图片

Wireshark中的"追踪流"功能是用于分析和展示特定协议或会话的整个数据流的功能。当观察特定协议或会话时,Wireshark会将相关的数据包按照时间顺序进行排序并展示整个通信过程。通过"追踪流"功能,您可以按照报文的传输顺序,一次性地查看发送和接收的数据包,从而更好地理解协议的交互过程。

在这里我们可以直观的看到刚刚输入的数据,以及数据库返还给我们的数据,均是明文传输,统统被抓取到了

网络安全基础技术扫盲篇之“抓包“_第25张图片

所以要设置SSL连接来保证数据传输过程中的保密性,如果Mysql开启了SSL,不采用SSL则会被拒绝

网络安全基础技术扫盲篇之“抓包“_第26张图片

以上简单介绍了一下常用的抓包工具,仅作为介绍了解使用,更深入的用法需要自行搜索相应资料研究。

另外上述工具已上传至知识星球内,星球内成员可自行领取安装

网络安全基础技术扫盲篇之“抓包“_第27张图片

题外话

初入计算机行业的人或者大学计算机相关专业毕业生,很多因缺少实战经验,就业处处碰壁。下面我们来看两组数据:

  • 2023届全国高校毕业生预计达到1158万人,就业形势严峻;

  • 国家网络安全宣传周公布的数据显示,到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻,一方面是网络安全人才百万缺口。

6月9日,麦可思研究2023年版就业蓝皮书(包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》)正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中,本科计算机类专业起薪与2021届基本持平,高职自动化类月收入增长明显,2022届反超铁道运输类专业(5295元)排在第一位。

具体看专业,2022届本科月收入较高的专业是信息安全(7579元)。对比2018届,电子科学与技术、自动化等与人工智能相关的本科专业表现不俗,较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼,已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。
在这里插入图片描述

“没有网络安全就没有国家安全”。当前,网络安全已被提升到国家战略的高度,成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高,涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万!

2、人才缺口大,就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表:我国网络空间安全人才 需求140万人,而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W,现在从事网络安全行业的从业人员只有10W人。

行业发展空间大,岗位非常多

网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性,尤其是掌握工作中的核心网络架构、安全技术,在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升,所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟,升值空间一路看涨,这也是为什么受大家欢迎的主要原因。

从某种程度来讲,在网络安全领域,跟医生职业一样,越老越吃香,因为技术愈加成熟,自然工作会受到重视,升职加薪则是水到渠成之事。

黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。
在这里插入图片描述

(都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

网络安全基础技术扫盲篇之“抓包“_第28张图片

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

在这里插入图片描述

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

网络安全基础技术扫盲篇之“抓包“_第29张图片

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

网络安全基础技术扫盲篇之“抓包“_第30张图片

最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。

参考解析:深信服官网、奇安信官网、Freebuf、csdn等

内容特点:条理清晰,含图像化表示更加易懂。

内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限,仅展示部分资料,需要保存下方图片,微信扫码即可前往获取

网络安全基础技术扫盲篇之“抓包“_第31张图片

你可能感兴趣的:(web安全,安全,网络安全,网络攻击,抓包)