网络安全-常用工具
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
15
Structs2检测工具使用,能够检测Strusts2漏洞 struts2漏洞
恶意攻击者通过构造特定数据带入OGNL表达式即可能被解析 并执行,而OGNL可以用来获取和设置Java对象的属性,同时也可以 对服务端对象进行修改,所以只要绕过Struts2的一些安全策略,恶意 攻击者甚至可以执行系统命令进行系统攻击。 struts2漏洞利用工具则是对网站发送一系列特定的数据包,达到自动 攻击,获取目标权限的效果。
13
Structs2检测工具使用,能够检测Strusts2漏洞
目录
什么是Struts2 struts2漏洞
14
wk.baidu.com
Structs2检测工具使用,能够检测Strusts2漏洞 什么是Struts2
Struts2是一个基于MVC设计模式的Web应用框架,它本质上 相当于一个servlet,在MVC设计模式中,Struts2作为控制器 (Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代 产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的 Struts 2框架。
注意,即便这些信息能在***测试中帮助判断目标的基础设施 类型,但是这些信息可以通过技术手段更改,因此并不总是准确,但 是对于多数组织机构而言,我们可以认为这里的信息是可采用的。
7
wireshark 使用 能够检测、发现网络中的恶意流量
关于 wireshark 的验证 "TCP 校验和"功能
一般来讲,在发送数据包前,发送方(的 TCP/IP 协议堆栈,通 常作为操作系统内核的组成部分)使用某种摘要算法对该包计算,生成 该包的校验和,然后在 TCP 首部的校验和字段中携带;接收方(的 TCP/IP 协议堆栈)对收到的包进行同样的计算,将计算结果与校验和字 段中的值进行比对,如果两者相等,说明数据在传输的过程中是完整 无损坏的,如果不相等,则取决于 TCP/IP 协议堆栈的具体实现,有可 能
9
wireshark 使用 能够检测、发现网络中的恶意流量
关于 wireshark 的验证 "TCP 校验和"功能
谨慎使用这一功能,前面我有提到,真正进行验证的其实是操 作系统,而 wireshark 如果验证校验和发现错误(此时,正确校验和的 包已经再次通过双方系统发送与接收了,而 wireshark 捕获的是"重传" 前的错误校验和包),则 wireshark 拒绝对一些 TCP 分段包进行重组装 (尽管操作系统已经正确重新组装了"重传"的包)
工具使用
目录
wireshark 使用 能够检测和发现网络中的恶意流量 解密/解码工具使用,配合进行恶意流量检测 Structs2检测工具使用,能够检测Strusts2漏洞
2
wireshark 使用 能够检测、发现网络中的恶意流量
目录
wireshark 网络层地址解析 wireshark 链路层 MAC 地址解析 wireshark 的验证 "TCP 校验和"功能
Maltrail的监控是基于一个sensor节点进行判断,列入通过旁 路流量的监控或者直接在vpn服务器上进行部署,在监控通过的流量 ,然后再通过名单进行分析。
12
解密/解码工具使用,配合进行恶意流量检测
恶意流量检测系统 Maltrail
除了sensor节点还需要一个server,进行数据的存储,包括 web端也在这里,通过server服务器可以查看所有的统计报表,默认 配置中server和sensor在一台服务器上。
此 时 , 你 可 以 单 击 主 菜 单 view -> reload , 这 将 强 制 wireshark 从系统那里更新名称解析的结果并显示。
5
wireshark 使用 能够检测、发现网络中的恶意流量
wireshark 链路层 MAC 地址解析
这个解析唯一具有价值之处在于,它将 6 字节的 MAC 地址中 的前 3 个 16 进制字节解析为网络设备(例如个人 PC 的网卡适配器, 以及路由器)制造商的名称缩写。
4
wireshark 使用 能够检测、发现网络中的恶意流量
wireshark 网络层地址解析
多 数 情 况 下 , 勾 选 "enable for network layer" 后 , 在 wireshark 抓取数据包前,名称解析的工作已经由操作系统上的 DNS 客户端服务完成,但也有少数情况,从域名或主机名到 IP 的解析是在 wireshark 抓取并显示数据包后完成的,此时的解析结果仅保存在内核 缓冲区里,wireshark 不会主动"更新"这里面的信息,因此你也许会看 到,即便勾选了 "enable for network layer",列表中的某些数据包的 IP 地址还是无法被"反向"显示为域名或主机名.
注意,前 3 个 16 进制字节是由 IEEE 分配的,用于唯一标识各 厂商的地址,而链路层 MAC 地址解析就是将其转换为可读性更强的 厂商缩写名。
单击 wireshark 主菜单 view -> name resolution -> enable for MAC layer,即可启用链路层 MAC 地址解析功能。
使用 wireshark 重复验证的好处在于,它可以明确地告诉你一 个数据包的完整性与否,而操作系统不会自动发送消息通知你;
通过单击主菜单 edit -> Preferences ,打开首选项对话框, 点击并展开左侧的Protocols 树型节点,找到 TCP 协议,然后勾选右 侧的 "Validate the TCP checksum if possible" 复选方块,这样 wireshark 会显示抓取到的数据包,其校验和是否正确。
3
wireshark 使用 能够检测、发现网络中的恶意流量
wireshark 网络层地址解析
wireshark 中的网络层名称解析功能,与真实场景的 DNS 解析刚好 相反,默认情况下,wireshark 抓取的数据包是不会将网络层源 IP 与目标 IP 解析到主机名的, 除非在主菜单 view -> name resolution ->勾选 "enable for network layer",这样,wireshark 会实时用本地配置的 DNS 服务器信息,对其发送解析 请求与接收应答,而这个过程刚好与正向解析--从域名或主机名到 IP 的过程相 反。
从而,我们也就无法获得完整的数据包信息(通常是指 TCP 分 段承载的应用层数据)
10
解密/解码工具使用,配合进行恶意流量检测
目录
恶意流量检测系统 Maltrail
11
解密/解码工具使用,配合进行恶意流量检测
恶意流量检测系统 Maltrail
maltrail是一个通过流量监测出恶意软件的程序,通过公开的 含有恶意软件的黑名单,通过对用户的网络访问请求进行分析,判断 其使用访问了恶意软件的服务器地址,下载链接,可疑域名,可疑文 件名来判断是否遭受了恶意软件的感染。
16
谢谢
6
wireshark 使用 能够检测、发现网络中的恶意流量
wireshark 链路层 MAC 地址解析
另外,通过单击主菜单 statistics -> show address resolution ,在打开的对话框中,你可以找到一个列表,包 含有 wireshark 内置的所有厂商 MAC 地址与厂商缩写的对应关系
发送方在一个计时器到时后,还未收到接收方用以汇报该包完 整的 ACK 包,那么发送方有可能重传先前发送的数据包,直到收到接 收方的 ACK 包为止。
8
wireshark 使用 能够检测、发现网络中的恶意流量
关于 wireshark 的验证 "TCP 校验和"功能
这个验证工作通常是由双方的操作作系统完成的,然而,你也 可以使用 wireshark 的验证 "TCP 校验和"功能,对抓取到的包进行再 次验证;
Structs2检测工具使用,能够检测Strusts2漏洞 struts2漏洞
恶意攻击者通过构造特定数据带入OGNL表达式即可能被解析 并执行,而OGNL可以用来获取和设置Java对象的属性,同时也可以 对服务端对象进行修改,所以只要绕过Struts2的一些安全策略,恶意 攻击者甚至可以执行系统命令进行系统攻击。 struts2漏洞利用工具则是对网站发送一系列特定的数据包,达到自动 攻击,获取目标权限的效果。
13
Structs2检测工具使用,能够检测Strusts2漏洞
目录
什么是Struts2 struts2漏洞
14
wk.baidu.com
Structs2检测工具使用,能够检测Strusts2漏洞 什么是Struts2
Struts2是一个基于MVC设计模式的Web应用框架,它本质上 相当于一个servlet,在MVC设计模式中,Struts2作为控制器 (Controller)来建立模型与视图的数据交互。Struts 2是Struts的下一代 产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的 Struts 2框架。
注意,即便这些信息能在***测试中帮助判断目标的基础设施 类型,但是这些信息可以通过技术手段更改,因此并不总是准确,但 是对于多数组织机构而言,我们可以认为这里的信息是可采用的。
7
wireshark 使用 能够检测、发现网络中的恶意流量
关于 wireshark 的验证 "TCP 校验和"功能
一般来讲,在发送数据包前,发送方(的 TCP/IP 协议堆栈,通 常作为操作系统内核的组成部分)使用某种摘要算法对该包计算,生成 该包的校验和,然后在 TCP 首部的校验和字段中携带;接收方(的 TCP/IP 协议堆栈)对收到的包进行同样的计算,将计算结果与校验和字 段中的值进行比对,如果两者相等,说明数据在传输的过程中是完整 无损坏的,如果不相等,则取决于 TCP/IP 协议堆栈的具体实现,有可 能
9
wireshark 使用 能够检测、发现网络中的恶意流量
关于 wireshark 的验证 "TCP 校验和"功能
谨慎使用这一功能,前面我有提到,真正进行验证的其实是操 作系统,而 wireshark 如果验证校验和发现错误(此时,正确校验和的 包已经再次通过双方系统发送与接收了,而 wireshark 捕获的是"重传" 前的错误校验和包),则 wireshark 拒绝对一些 TCP 分段包进行重组装 (尽管操作系统已经正确重新组装了"重传"的包)
工具使用
目录
wireshark 使用 能够检测和发现网络中的恶意流量 解密/解码工具使用,配合进行恶意流量检测 Structs2检测工具使用,能够检测Strusts2漏洞
2
wireshark 使用 能够检测、发现网络中的恶意流量
目录
wireshark 网络层地址解析 wireshark 链路层 MAC 地址解析 wireshark 的验证 "TCP 校验和"功能
Maltrail的监控是基于一个sensor节点进行判断,列入通过旁 路流量的监控或者直接在vpn服务器上进行部署,在监控通过的流量 ,然后再通过名单进行分析。
12
解密/解码工具使用,配合进行恶意流量检测
恶意流量检测系统 Maltrail
除了sensor节点还需要一个server,进行数据的存储,包括 web端也在这里,通过server服务器可以查看所有的统计报表,默认 配置中server和sensor在一台服务器上。
此 时 , 你 可 以 单 击 主 菜 单 view -> reload , 这 将 强 制 wireshark 从系统那里更新名称解析的结果并显示。
5
wireshark 使用 能够检测、发现网络中的恶意流量
wireshark 链路层 MAC 地址解析
这个解析唯一具有价值之处在于,它将 6 字节的 MAC 地址中 的前 3 个 16 进制字节解析为网络设备(例如个人 PC 的网卡适配器, 以及路由器)制造商的名称缩写。
4
wireshark 使用 能够检测、发现网络中的恶意流量
wireshark 网络层地址解析
多 数 情 况 下 , 勾 选 "enable for network layer" 后 , 在 wireshark 抓取数据包前,名称解析的工作已经由操作系统上的 DNS 客户端服务完成,但也有少数情况,从域名或主机名到 IP 的解析是在 wireshark 抓取并显示数据包后完成的,此时的解析结果仅保存在内核 缓冲区里,wireshark 不会主动"更新"这里面的信息,因此你也许会看 到,即便勾选了 "enable for network layer",列表中的某些数据包的 IP 地址还是无法被"反向"显示为域名或主机名.
注意,前 3 个 16 进制字节是由 IEEE 分配的,用于唯一标识各 厂商的地址,而链路层 MAC 地址解析就是将其转换为可读性更强的 厂商缩写名。
单击 wireshark 主菜单 view -> name resolution -> enable for MAC layer,即可启用链路层 MAC 地址解析功能。
使用 wireshark 重复验证的好处在于,它可以明确地告诉你一 个数据包的完整性与否,而操作系统不会自动发送消息通知你;
通过单击主菜单 edit -> Preferences ,打开首选项对话框, 点击并展开左侧的Protocols 树型节点,找到 TCP 协议,然后勾选右 侧的 "Validate the TCP checksum if possible" 复选方块,这样 wireshark 会显示抓取到的数据包,其校验和是否正确。
3
wireshark 使用 能够检测、发现网络中的恶意流量
wireshark 网络层地址解析
wireshark 中的网络层名称解析功能,与真实场景的 DNS 解析刚好 相反,默认情况下,wireshark 抓取的数据包是不会将网络层源 IP 与目标 IP 解析到主机名的, 除非在主菜单 view -> name resolution ->勾选 "enable for network layer",这样,wireshark 会实时用本地配置的 DNS 服务器信息,对其发送解析 请求与接收应答,而这个过程刚好与正向解析--从域名或主机名到 IP 的过程相 反。
从而,我们也就无法获得完整的数据包信息(通常是指 TCP 分 段承载的应用层数据)
10
解密/解码工具使用,配合进行恶意流量检测
目录
恶意流量检测系统 Maltrail
11
解密/解码工具使用,配合进行恶意流量检测
恶意流量检测系统 Maltrail
maltrail是一个通过流量监测出恶意软件的程序,通过公开的 含有恶意软件的黑名单,通过对用户的网络访问请求进行分析,判断 其使用访问了恶意软件的服务器地址,下载链接,可疑域名,可疑文 件名来判断是否遭受了恶意软件的感染。
16
谢谢
6
wireshark 使用 能够检测、发现网络中的恶意流量
wireshark 链路层 MAC 地址解析
另外,通过单击主菜单 statistics -> show address resolution ,在打开的对话框中,你可以找到一个列表,包 含有 wireshark 内置的所有厂商 MAC 地址与厂商缩写的对应关系
发送方在一个计时器到时后,还未收到接收方用以汇报该包完 整的 ACK 包,那么发送方有可能重传先前发送的数据包,直到收到接 收方的 ACK 包为止。
8
wireshark 使用 能够检测、发现网络中的恶意流量
关于 wireshark 的验证 "TCP 校验和"功能
这个验证工作通常是由双方的操作作系统完成的,然而,你也 可以使用 wireshark 的验证 "TCP 校验和"功能,对抓取到的包进行再 次验证;