提要:今天在學習wireshark抓包分析攻擊流量的時候。我嘗試利用kali作為攻擊機,將windows的主機作為靶機,然后在靶機上用wireshark去分析這些攻擊包的特征。本文將記錄這一嘗試過程,並且解決這一學習過程中產生的問題。
1.公私有ip與mac
當我產生如上想法的時候,顯然要搞清楚攻擊機和靶機的ip才可以,因為無論是漏掃,還是其他攻擊,首先靶機ip要能夠ping通。然后我在我靶機上使用ipconfig命令查看的ip地址和我利用搜索引擎的搜索的ip地址卻不匹配,我對此產生疑問
因為ipv4的地址數量是有限的,大約不到40億個,如果任何一個網絡設備都擁有一個ipv4地址,那么顯然是不夠分配的。所以就誕生了公私有ip。
私有ip:一個局域網內有很多台終端,這些終端都有各自的本地ip地址,也就是我們利用ipconfig查詢到的ip地址,我們會發現他們總是192.168..的格式,這種地址被稱為私有地址。被用於在一個局域網內標識終端,完成交互通信。
公有ip:一個局域網內大家擁有各自的私有地址來相互標識,那么當需要突破局域網,接入互聯網時呢?這時候一個局域網將采用同一個ip地址去接入互聯網。這個所用的ip地址就是共有ip,也是搜索引擎搜到的ip地址,這樣的排布規則,有助於緩解ipv4數量緊缺的問題。
原本在局域網中,我們相互通信只需要不同就可以了,為什么要采用192.168的起始頭部呢?這是因為RFC 1918規定了用於組建局域網的IP地址:192.168..前16位是網絡號,共65,536個地址 C:192.168.0.0~192.168.255.255 包含在這個范圍中的, 都成為私有IP
特殊的ip:(1)將IP地址中的主機地址全部設為0, 就成為了網絡號, 代表這個局域網;
(2)將IP地址中的主機地址全部設為1, 就成為了廣播地址, 用於給同一個鏈路中相互連接的所有主機發送數據包;
既然本地主機在局域網中交互的時候使用的是私有ip,而接入互聯網又公用公有ip,那么互聯網中請求的信息返回時,如何精准的找到處於同一個公有ip中的特定的終端呢?這個詳見NAT技術。
mac地址:IP地址是在網絡層和以上各層使用的地址,是一種邏輯地址。相對的,MAC地址是物理地址,MAC地址用於在網絡中唯一標示一個網卡,一台設備若有一或多個網卡,則每個網卡都需要並會有一個唯一的MAC地址,MAC地址是不可變的,網卡從生產出來,它就是固定的。不同於ip地址是在網絡層被封裝,mac地址存在於數據鏈路層的mac子層。
2.ping包
在kali上ping一下靶機地址,看看是否在一個網段:使用命令參數為-c3:表示icmp協議發3個數據包。如果不加參數,則會一直發,選中終端ctrl+c即可結束ping命令。
我在windows主機上用wireshark抓本地網卡,抓不到icmp報文。
抓VM8網卡可以顯然可以看見ping命令的icmp報文。
這是由於我們采用的VM虛擬機,以NAT技術形式搭的網卡,所以實際上和虛擬機之間的操作,都是經過VM8網卡的。所以我們一定要選中恰當的網卡,當虛擬機的網絡配置情況不同時,相應的網卡也不同。
3.sqlmap掃描流量分析
首先我用sqlmap -u的指令直接掃靶機ip,報了錯誤。
此時的靶機上也只能抓到大量的tcp包,沒有http包
猜測問題是sqlmap的掃描操作被防火牆過濾了,但是將防火牆全部關閉后,kali終端的sqlmap還是報一樣的錯誤。