网络协议--暴力破解

掌握暴力破解流量的分析方法

学会利用wireshark的filter的过滤

掌握使用wireshark的统计功能

filter的过滤语句

ip.src== 192.168.233.131

ip.dst == 192.168.124.31

mac地址：

eth.dst == a0:00:0d:c0:

eht.addr == 

端口：

tcp.dstport == 80

tcp.srcport == 23

udp.srcport == 23

包长度：

tcp.len >= 20

ip.len== 20

frame.len == 20

udp.length == 20

http请求

http.request.Method == "GET"

http.request.Methid == "POST”

url：

http.request.url == "/robots.txt"

内容：

http.contains  == 'a'

数据包的搜索：

按下ctrl+f

（字符串）

ftp.response.code == 230

暴力破解追踪：

ftp.request.conmand == "FASS"(追踪密码暴力破解的密码尝试次数）

端口扫描：

扫描分析：

黑客使用扫描工具对目标主机进行扫描的流量，通过wireshark分析其中的数据包了解黑客访问的内容。

了解端口扫描的原理

分析端口扫描工具的具体操作

通过流量还原扫描的结果

分析入侵者如何拿到服务器权限：

分析步骤：

从流量中能够得出黑客是通过何种方式进行入侵的，我们会学习到以下两种情况：

分析入侵者的行为

了解二进制漏洞利用形式

TCP协议的认识与分析

TCP/IP协议主要4层：应用层，传输层，网络层，数据链路层

应用层：应用层负责特定的应用程序细节，想远程登录，FTP传输。SMTP邮件传输，SNMP简单网络管理

传输层：

运输层主要提供两台主机之间端到端的通信，在TCP/IP协议族中，TCP和UDP是两种截然不同的传输协议，TCP（传输控制协议）为主机提供可靠传输，它把从应用层得到的数据分成适当的数据包交给下面的（IP）网络层，确定接收的分组，设置发送最后分组的超时时钟等，因运输提供了高可靠的端到端的通信，应用层就不需要再去这些细节，而UDP（用户数据协议）提供的是不可能的传输，它只负责从一台主机发送到另一台主机，并不保证数据一定到达另一端主机，任何必需的可靠性必须由应用层来提供

网络层

 网络层主要处理分组在网络中的活动

链路层

链路层主要包含驱动程序，它处理和电缆或者其他传输介质的物理接口细节。

链路层的主要目的有三个

1.为IP模块接收和发送数据报

2.为ARP模块发送ARP请求和接收ARP应答

3.为RARP模块RARP应答和发送RARP请求

端口介绍

什么是信息？

网站目录

网站绝对路径

网站建站信息

建站人的个人信息

系统用户的泄露

账号密码泄露

内网ip

后台信息

敏感文件信息的泄露

源码泄露

信息泄露的危害

个人信息  被黑客构造字典、被社工

网站信息泄露（编辑器、插件等）  更容易入侵我们的网站

后台类信息泄露   撞库，默认密码进入后台管理

用户无法读取原本病毒攻击，将会shi大多数

uname -a 内核版本

cat  /etc/redhat-release  系统版本

安装时间

stat /lost+found/

stat /root/anaconda-ks.cfg

cat  /etc/hostname    主机名

系统目前安装的rpm

获取当前系统所有rpm安装安装包

rpm -qa

校验所有的rpm数据包

rpm -V -a  

校验个别命令使用的rpm包

rpm -V -f /bin/ls   

防火墙规则

iptables-save  > path

ps aux 当前进程

查看当前内核加载模块

lsmod

DNS信息

cat /etc/resolv.conf

路由表

route -n 

arp -a   arp表

当前网络连接状态

netstat -antpleu

hosts文件

cat /etc/hosts

日志信息

/var/log/cron*

/var/log/mali*

/var/log/mysqld.log*

/var/log/yum.log*

/var/log/secure*

/var/log/lastlog

/varllog/wtmp

/var/log/btmp

用户信息

/etc/passwd

/etc/shadow

/etc/group

/home/下的目录

以下关键命令的MD5、三个time时间

ls、ps、netstat 、ss、pstree、sshd、ssh

系统自带的关键系统目录下的文件（这三个目录所有用户可读可写）

/tmp/

/var/tmp/

/dev/shm/

系统支持的服务

chkconfig --list

systemctl list-unit-files --type=service

系统支持的开机启动的服务

chkconfig --list | grep 'on'

systemctl list-unit-files --type=service | grep enabled  

开机启动脚本

ls -l /etc/init.d/

/etc/systemd/system/multi-user.target.wants/*

/etc/systemd/system/

/etc/rc.local文件内容

cat /etc/rc.local

系统和每个用户的crontab内容

cat /var/spool/cron/*

cat/etc/crontab

cat/etc/cron.d/*

cat /etc/cron.daily/*

cat /etc/cron.hourly/*

cat /etc/cron.weekly/*

cat /etc/cron.momthly/*

历史命令

当前的history命令输出

每个用户目录下的.bash_history

用户登录相关

每个用户目录下的.ssh文件

登录（退出）时间、登录用户、来源IP。（last）

每个用户登录之后的环境变量

用户退出时执行的命令

当前有哪些用户登录

PAM检查

/etc/pam.d/sshd

/etc/pam.d/login

/etc/pam.d/passwd

/etc/pam.d/password-auth

/etc/pam.d/password-auth-ac

对应的so文件的md5和3个time

mysql操作相关

每个用户家目录下是否存在.mysql_history

crontab -l 

mkdir  cmd 

cd cmd/

cp ~/.bash_history bash_history

history > history

ls -Rla *

find . -name ".bash_history"

find . -name ".bash_history" -exec cat {} \;

find . -name ".bash_history" -exec cat {} \; > /tmp/cmd/user_history

find . -nme ".bash_history" | xargs cat 

rpm -qa 

检查命令有没有被修改

比如ls

which ls

rpm -V -a  /usr/bin/ls

Linux服务器应急响应