安全矩阵

 找回密码
 立即注册
搜索
查看: 4584|回复: 0

2020年黑客常用-最佳数据包嗅探工具(详解)

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2020-5-3 22:15:59 | 显示全部楼层 |阅读模式
本帖最后由 gclome 于 2020-5-3 22:20 编辑

原文链接:2020年黑客常用-最佳数据包嗅探工具(详解)

我们在此处列出的工具会随用途的不同而变化,也会根据实际使用的情况,甚至是开发者的更新情况而变化,但是,我们也会尽可能的列出我们过去使用过的许多真正有用的程序嗅探器工具,并整理成文章,方便初学者认识这些工具。
文章篇幅较长,阅读需要十五分钟左右,你可以先收藏,以便于后期逐步学习。
HTTP协议和heck(整个Internet)都依赖于并致力于使用TCP / IP和UDP 协议(以及其他许多同体)。
任何阅读此页的人都应该意识到,如果您想要打破流程或试图“破坏”“数据包”的传输,则必须理解协议的工作原理。
对于完全不了解数据包行为的用户,我们强烈建议您了解它,否则你永远不可能成为一个合格的渗透测试人员。
能够截取并利用“欺骗”数据包是网络安全性的一个主要点,如果您可以掌握如何使用下面列出的工具,那么将是一个很好的开始。
我们试图列出可以找到(并已使用)的“最佳数据包嗅探工具”,但与大多数事物一样,在IT领域中,它也在不断发展。
  1. Wireshark
  2. DSniff
  3. Scapy
  4. Cain & Abel
  5. Etherape
  6. Ettercap
  7. INSSIDER
  8. KisMAC
  9. KisMET
  10. Netstumbler
  11. Network Miner
  12. NGrep
  13. Socat
  14. Hping
复制代码

Wireshark
Wireshark是绝对经典的,最著名的网络分析仪和密码破解工具。此工具是网络数据包分析器,该工具将尝试捕获用于分析,网络故障排除,分析,软件和通信协议开发的网络数据包,并尽可能详细地显示获得的数据包数据。
由于商标问题,它以前称为Ethereal,在2006年5月更名为Wireshark。Wireshark是一个跨平台工具,现在使用当前版本中的Qt小部件来实现其用户界面。如果您知道tcpdump,则Wireshark与tcpdump非常相似,但是它具有图形化的前端以及一些集成的过滤和排序选项。
诸如端口镜像之类的各种网络接头将捕获扩展到网络上的任何点。简单的无源抽头可极大地防止篡改。带有libpcap 1.0.0或更高版本的GNU / Linux,BSD和OS X上的Wireshark 1.4和更高版本也可以将无线网络接口控制器置于监视模式。
当远程计算机捕获捕获的数据包并将捕获的数据包使用OmniPeek所使用的协议或TZSP协议将捕获的数据包传输到运行Wireshark的计算机时,这些数据包将由Wireshark进行解剖,因此它可以分析在远程计算机上捕获的数据包被捕获。
在Wireshark中,有颜色代码,用户可以看到以黑色,蓝色和绿色突出显示的数据包。一眼就能帮助用户识别流量类型。黑色确定存在问题的TCP数据包。蓝色是DNS流量,绿色是TCP流量。

Wireshark免费吗?
Wireshark是一个开源的免费数据包分析器。您可以访问其网站(https://www.wireshark.org/download.htmlZ)并下载与您的系统兼容的安装程序。

Wireshark是否可以在所有操作系统上运行?
Wireshark使用pcap捕获数据包,并在OSX,GNU / Linus,Solaris,Microsoft Windows和其他类似Unix的操作系统上运行。

Wireshark的典型用途是什么?
人们使用Wireshark对网络问题进行故障排除,检查安全问题,协议实现调试以及了解有关网络协议内部的更多信息。

DSniff
dSniff是由Dug Song创建的网络流量分析和密码嗅探工具,用于解析各种应用程序协议并提取相关数据。dsniff,mailsnarf,filesnarf,msgsnarf,urlsnarf和webspy监视网络中的有趣信息,例如电子邮件,密码和文件,而macof,dnsspoof和macof则有助于拦截通常是攻击者不可用的网络流量。

dSniff免费吗?
是的,此工具是免费的。

dSniff是否可以在所有操作系统上运行?
dSniff可在Linux,Windows和MAC OS X操作系统上运行。

dSniff的典型用途是什么?
该工具的用途是嗅探用户名,密码,电子邮件内容和访问的网页。顾名思义,dsniff是网络嗅探器,但也可用于破坏常规交换网络的行为,并可能导致来自同一网络上其他主机的网络流量。它处理FTP,Telnet,LDAP,IMAP,NNTP,POP,OSPF,NFS,VRRP,Citrix ICA,Rlogin等协议。

Scapy
Scapy是一种非常流行且有用的数据包制作工具,可通过处理数据包来工作。Scapy可以解码来自多种协议的数据包。
Scapy能够捕获数据包,关联发送请求和答复等。Scapy还可以用于扫描,跟踪路由,探测或发现网络。我们的理解是,Scapy可以替代其他工具,例如Nmap, arpspoof,tcpdump,p0f等。
Scapy免费吗?
是的,Scapy是免费的。
Scapy是否可以在所有操作系统上运行?
Scapy与Linux,Windows和MAC OS X操作系统兼容。
Scapy的典型用途是什么?
Scapy可以执行其他工具无法执行的某些攻击,例如,能够发送无效帧,注入802.11帧,结合技术(VLAN跳跃+ ARP缓存中毒,WEP加密通道上的VOIP解码等)。总之,这是一个非常该死的炫酷工具。框架,对于您使用Scapy的经验,我们非常重视您的反馈和意见。
Cain & Abel(该隐和亚伯)
Cain和Abel是用于密码恢复的最受欢迎的工具之一。如果您不确定要使用哪种工具进行密码破解,那么我们建议您从此工具开始。
它可以使用蛮力攻击,密码分析攻击等方法来恢复各种密码,其中最常用的一种就是字典攻击。该工具由Sean Babcock和Massimiliano Montor维护。

该隐和亚伯黑客工具免费吗?
是! 它是互联网上使用最广泛,最受欢迎的免费黑客工具之一。

Cain和Abel Hacking工具是否可以在所有操作系统上使用?
不幸的是,该隐和亚伯仅适用于Windows操作系统

该隐和亚伯骇客工具的典型用途是什么?
该隐和亚伯有很多用途,其中包括破解WEP以及破解LM和NTLM哈希,NTLMv2哈希,Microsoft缓存哈希,Microsoft Windows PWL文件Cisco IOS – MD5哈希等功能,可加快数据包捕获速度通过无线数据包注入,记录VoIP对话,对加密密码进行解码,跟踪路由,哈希计算,转储受保护的存储密码,ARP欺骗,网络密码嗅探器,LSA秘密转储器和IP至Mac地址解析器。

Etherape
Etherape是一个图形网络监视器,其模仿etherman。它具有IP,TCP和链路层模式,以图形方式显示网络活动。
该工具还可以链接有关大小和流量的主机更改。它还具有一个颜色编码的协议显示。该工具支持诸如FDDI,以太网,ISDN,令牌环,SLIP,PPP和WLAN设备之类的硬件和协议,以及许多封装格式。EtherApe可以过滤要显示的流量,并且可以读取来自文件的数据包以及网络的生命。节点统计信息也可以导出。

Etherape免费吗?
是的,Etherape是免费使用的。

Etherape是否可以在所有操作系统上运行?
Etherape在Linux和MAC OS X操作系统上工作。

Etherape的典型用途是什么?
Etherape主要用于跟踪几种类型的网络流量。

Ettercap
Ettercap是一个开放源代码网络安全工具,专门用于在局域网中遭受中间攻击的人员。该工具也是ARP中毒的经典工具。它通过ARP使计算机系统中毒并使网络接口进入混杂模式来工作。因此,它可以对受害者发动多次攻击。它还具有插件支持,因此可以通过放置新插件来扩展功能。

Ettercap免费吗?
Ethercap是免费的,可以通过其网站下载。

Ettercap是否可以在所有操作系统上运行?
它可以在多种操作系统上运行,包括Windows,MAC OS X和Linux。

Ettercap的典型用途是什么?
Ettercap用于动态过滤内容,嗅探实时连接等等。它还用于安全审核和计算机网络协议分析。它具有拦截网段上的流量,针对通用协议进行主动窃听以及捕获密码的能力。

INSSIDER
Inssider是一种无线网络扫描仪,旨在克服另一个工具NetStumbler的限制。
Inssider可以跟踪一段时间内的信号强度,打开无线接入点并使用GPS记录保存日志。

Inssider免费吗?
现在这是付费的应用程序。

Inssider是否可以在所有操作系统上运行?
它可以在Windows和Apple操作系统上使用。

Inssider的典型用途是什么?
Inssider有多种用途。它可以从无线网卡和软件收集数据。协助选择可用的最佳无线信道。呈现有用的Wi-Fi网络信息,例如SSID,MAC,供应商,数据速率,信号强度和安全性。显示随时间变化表明强度的图表。显示哪些Wi-Fi网络通道重叠。它还提供GPS支持,并且可以将数据导出为Netstumbler(.ns1)文件。

KisMAC
KisMac是可用于数据包嗅探的另一种经典工具。
我们已经大量介绍了此工具-值得在此处查看我们的工具的Wireless Hacking子目录。

KisMET
Kismet还用于数据包嗅探和制作数据包,以侵入网络并强制使用密码。

Netstumbler
在Netstumbler上介绍了很多内容,由于网络限制,部分内容无法访问,如果有需要了解的可以留言

Network Miner
Network Miner由网络安全软件供应商Netresec创建。Netresec专门从事用于网络取证和网络流量分析的软件和程序。
显然,作为安全专家,了解网络上正在发生的事情只是成功的一半。NetworkMiner提供免费和付费版本,因为如果您对此网络安全工具感到满意,从“免费”版本开始,熟悉以后,然后再迁移到受支持的商业版本总是有益的。

NetworkMiner免费吗?
NetworkMiner提供免费和付费版本,因为如果您对此网络安全工具感到满意,从“免费”版本开始,熟悉以后,然后再迁移到受支持的商业版本总是有益的。

NetworkMiner是否可以在所有操作系统上运行?
NetworkMiner是专为Microsoft Windows设计的网络取证分析工具。

NetworkMiner的典型用途是什么?
NetworkMiner用作被动网络嗅探器或数据包捕获工具,以检测各种会话,主机名,开放端口,操作系统,反之亦然,而无需在网络上放置任何流量。它还可用于解析pcap文件以进行脱机分析,并能够重组传输的数据文件并从pcap文件进行认证。NetworkMiner上的显示重点是主机和属性,而不是原始数据包。


NGrep
ngrep这个工具(“ Network Grep”的串联)是使用命令行的网络数据包分析器,它依赖于pcap库和GNU regex库。
Ngrep与tcpdump相似,但是它提供了更多的功能,它将在数据包的有效负载中显示“正则表达式”,并在屏幕或控制台上演示匹配的数据包。最终结果是用户(通常是渗透测试人员或网络安全工程师)将看到通过网络传递的所有未加密流量。您需要将网络接口设置为混杂模式,才能使其正常工作。

Ngrep免费吗?
Ngrep的下载和使用是免费的。

Ngrep是否可以在所有操作系统上运行?
它适用于运行Linux,Windows和MAC OS X的操作系统。

Ngrep的典型用途是什么?
Ngrep用于在网络上存储流量,存储pcap转储文件以及读取由tcpdump或wireshark等工具生成的文件。


Socat
Socat是一个命令行实用程序,它创建两个双向字节流并在它们之间传输数据。
由于可以从大量不同类型的数据源和接收器中构造流,并且由于可以将许多地址选项应用于这些流,因此Socat可以用于各种目的。

Socat免费吗?
是的,Socat是免费的。

Socat是否可以在所有操作系统上运行?
它适用于Linux,Windows和MAC OSX操作系统。

Socat的典型用途是什么?
Socat的用途之一是与Netcat的工作方式相似,在Netcat中,它通过多种协议并通过管道,设备文件,套接字,SOCKS4的客户端,代理连接等起作用。它为不同的模式提供日志记录,分叉和转储进程间通信和更多选择。它也可以用来攻击弱防火墙,甚至可以用作TCP堡垒转发器。
Hping
Hping是渗透测试人员和IT安全审核员使用的一种流行的数据包制作工具。Hping本质上是面向命令行的TCP / IP数据包汇编器和分析器。
该工具支持多种协议,例如TCP,UDP,ICMP和RAW-IP协议。Hping还具有traceroute模式,能够在覆盖的通道之间发送文件的功能以及其他各种功能。当了解TCP / IP时,Hping是一个很好的工具。

Hping免费吗?
是的,Hping是免费的。

Hping是否可以在所有操作系统上运行?
该黑客工具可在Linux,MAC OSX和Windows操作系统上运行。

Hping的典型用途是什么?
根据开发人员的说法,尽管hping在过去主要用作安全工具,但它还有许多其他用途,包括深度端口扫描,测试防火墙,手动路径MTU发现,使用不同协议测试网络,TOS,分段,远程操作系统指纹识别,高级跟踪路由,所有受支持协议下的TCP / IP堆栈审核和远程正常运行时间猜测。

常问问题


如何使用封包嗅探工具?
数据包嗅探器,也称为数据包,协议或网络分析器,通常是用于检测和监视网络流量的一块硬件或软件。嗅探器工具通过检查在网络的静脉内(即,网络上的计算机之间以及联网的计算机之间)流动的数据包流来工作。这通常存在于Intranet环境中。

数据包嗅探的定义是什么?
当我们提到“数据包嗅探”时,是指使用“数据包嗅探工具”捕获通过计算机网络传输的数据包的能力。完成此任务的软件工具称为“数据包嗅探器”。

如何执行数据包嗅探工具?
在分组交换网络中,数据被分解为几个单独的数据包进行发送和接收。在所有数据包到达其最终目的地之后,将重新组装这些单独的包。当网络中安装了数据包嗅探器时,嗅探工具将能够拦截网络流量并捕获原始数据包。可以做到这一点的嗅探工具的一个很好的例子是Wireshark。

数据包嗅探是否经过法律授权?
绝对可以监视计算机和网络,但是出于明显的原因,如果没有明确的许可,则不能在网络上安装数据包嗅探工具和软件。毫无疑问,这样做会将您的行为标记为流氓操作员和“黑客”。

我可以阻止通过VPN进行数据包嗅探吗?
能够保护数据免受数据包嗅探工具攻击的有效方法是通过虚拟专用网络或VPN(加密)或“隧道”连接。VPN会加密您的计算机与目标之间发送的流量。数据包嗅探工具仍会看到数据,但会被视为密文。即加密。

数据包嗅探在哪个OIS层上工作?
数据包嗅探工具在OSI模型的数据链路层工作,即MAC地址在哪里工作;这是“第2层”。IP地址和数据包位于第3层,而MAC地址则位于第2层。因此,Wireshark的安装将位于第2层(例如,如果您决定使用该特定的数据包嗅探工具)。

Wireshark是用于数据包嗅探的“最佳”软件吗?
Wireshark是迄今为止最受欢迎的(免费)开源数据包分析器。该工具用于网络故障排除,数据分析,数据包分析软件和通信协议开发。这个流行工具背后的人们还部署了许多有用的证书。

数据包嗅探工具如何工作?
数据包嗅探工具通过拦截和记录通过数字网络或网络一部分传递的HTTP / HTTPS通信来工作。这些工具实质上是充当MITM(中间人)软件的一部分。通常,可以根据您的规格调整这些工具。

我们应该如何定义“数据包捕获”?
数据包捕获是一个网络术语,用于能够拦截传输中的数据包信息。实时捕获数据包后,将其存储一段时间,以便可以对其进行进一步分析,然后采取措施。

您将如何定义数据包修改?
数据包编辑或数据包修改是一种能够修改正在传输或正在传输的数据包的技术(当然也是科学!),有很多工具可用于数据修改(“数据包制作”)例如Scapy,Netdude和Ostinato,所有这些都允许“黑客”或Security Professional修改数据包。

文章篇幅较长,如果你一次阅读不能完全消化学习,可以收藏起来,以备后期跟进学习。







回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-27 23:54 , Processed in 0.014656 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表