网络安全分析:介绍一些网络安全工作中常用的三层发现工具
网络安全分析:介绍一些网络安全工作中常用的三层发现工具本机往目标机器发的type 8实例1:向目标ip发送两包数据 ping 1.1.1.1 -c 2 实例2:路由追踪,可以发现从本机到目标机器具体经过了哪些路由 ping -R 1.1.1.1 相当于:traceroute 1.1.1.1 实例3: ping 1.1.1.1 -c 1 | grep 'bytes from' | cut -d ' ' -f 4 | cut -d ':' -f 1抓包看一下实例1:还是先看使用帮助文档:再来看实际使用:ping -h
这里主要分享介绍一些网络安全中的三层发现工具,第三层网络扫描基于TCP/IP、ICMP协议,这类工具有这样两个优点:
- 可路由
- 速度比较快
但是也存在比较明显的缺点:
- 速度比二层发现工具慢
- 经常被边界防火墙过滤掉
所有扫描发现技术,都会有相应的对抗办法,所以无论是来自二层的网络扫描还是来自三层的网络扫描,可能会存在误报和漏报的情况,所以不能绝对去不加以论证的方式去单纯相信扫描结果,但可以将扫描后的结果当作重要的参考。
ping如果是计算机从业者,对于ping命令应该都不陌生,这个命令使用了ICMP两种类型的数据包,其中ICMP的TYPE类型字段一共有0-15个定义,每种类型都代表了不同的数据包类型,而PING命令则是使用了TYPE为8的类型的数据包,而接收到PING包的机器如果没有防火墙规则限制那么返回的则是ICMP的TYPE为0类型的数据包。
还是先看使用帮助文档:
再来看实际使用:
ping -h
实例1:向目标ip发送两包数据
ping 1.1.1.1 -c 2
实例2:路由追踪,可以发现从本机到目标机器具体经过了哪些路由
ping -R 1.1.1.1
相当于:traceroute 1.1.1.1
实例3:
ping 1.1.1.1 -c 1 | grep 'bytes from' | cut -d ' ' -f 4 | cut -d ':' -f 1
抓包看一下实例1:
本机往目标机器发的type 8
目标机器给本机回复的type 0
ping的-R参数不一定每次都好用,有时候会受当前网络状态的影响,这里直接用traceroute来看一下路由追踪的结果:
traceroute www.baidu.com
第一个路由是从我的网段出去,到后面一些显示为*号的,就表示这些设备设置了不响应icmp数据包。
路由追踪主要是通过数据包中的time to live值来实现的,每经过一个路由,这个值就会减一,当这个值减完的时候,走到的机器就会返回一个数据包过来。所以当time to live是1的时候,在到达第一个路由的时候,就会返回信息,本机就知道了第一个路由的ip:
time to live
虽然ping -R和traceroute都可以用来路由追踪,但是最终得到的结果会不一样。因为两个工具追踪到的路由地址是一个机器的两个网口,一个是内网口,一个是外网口。不做过多展开,只要遇到的时候别疑惑就行。
实际使用中只是为了获取有效ip地址,可以通过一些管道命令进行连接,让输出的结果只剩一个ip:
实例3
如果ip地址无效,上面这个长命令会返回一个空。
通过两者的比较,我们可以写一个shell脚本,用于找出某些ip地址段的所有有效ip:
#!/bin/bash
if [ "$#" -ne 1 ] ;then
echo 'Usage ./pinger.sh [/24 network address]'
echo 'Example ./pinger.sh 196.18.34.0'
echo 'Example will perform an ICMP ping sweep of the 196.18.34.0/24 network'
exit
fi
prefix=$(echo $1 | cut -d '.' -f 1-3)
for addr in $(seq 1 254);do
ping -c 1 $prefix.$addr | grep 'bytes from' | cut -d ' ' -f 4 | cut -d ':' -f 1 &
done
脚本执行前不要忘记赋予权限
scapy在介绍二层发现的时候就介绍过用scapy做二层发现,在这里我们也可以用它来做三层发现。
首先要构造一个ping对象,ping对象由IP()和ICMP()组合而成:
构造ping对象
然后要将目标地址赋值给ping对象:
赋值目标地址
源地址src自动侦测获取了本机网卡的地址。
发送ping包
这个结果和使用ping命令是一致的,感兴趣可以抓包比较一下。
前面那些构造的步骤其实可以在一行代码里完成:
一行完成ping包发送
前面也说过sr1()方法如果没有收到回复,会一直重复发送请求,为了节约时间,我们都会传一个timeout:
sr1方法传一个timeout
根据前面的讲解,可以写一个使用scapy的扫描脚本:
#!/usr/bin/python
import logging
import subprocess
logging.getLogger('scapy.runtime').setLevel(logging.ERROR)
from scapy.all import *
if len(sys.argv) != 2:
print('Usage ./scayp_ping_script.py [/24 network address]')
print('Example ./scayp_ping_script.py 172.18.14.0')
print('Example will perform an ICMP scan of the 172.18.14.0/24 range')
sys.exit()
address = str(sys.argv[1])
ip_num_list = address.split('.')
prefix = ip_num_list[0] '.' ip_num_list[1] '.' ip_num_list[2] '.'
for addr in range(1 254):
a = sr1(IP(dst=prefix str(addr))/ICMP() timeout=0.1 verbose=0)
if a == None;
pass
else:
print(prefix str(addr))
执行方式和shell差不多,当然也可以直接作为python脚本,通过python命令进行执行。
如果已经有一个ip文件,需要验证文件中的ip哪些是还活着的,可以改一下addr的赋值:
... ...
filename = str(sys.argv[1])
file = open(filename 'r')
for addr in file:
a = sr1(IP(dst=addr.strip())/ICMP() timeout=0.1 verbose=0)
if a == None;
pass
else:
print(prefix str(addr))
nmap
用nmap做三层扫描,其实传参是一样的,都是传一个-sn,nmap如果扫描同网段的ip地址,就会发arp包,如果是不同网段的ip地址,就会发icmp包:
nmap x.x.x.x -sn
数据包截图
从wireshark的截图中可以看出来,nmap没有严格意义上的参数指定只发送icmp数据包。
fping用法和ping基本一致,还是先看一下帮助说明:
fping -h
和ping不同之处是响应结果有所不同:
fping x.x.x.x -c 1
fping还支持传地址段进行扫描:
ping -g 起始ip 结束ip -c 1
fping -g x.x.x.x/24 -c 1
可以通过管道符|只显示有效的ip。
fping也可以从文档中取ip,对于文档中的ip进行有效性验证,通过传参-f。
hpinghping能够发送几乎任意TCP/IP包,功能强大但是每次只能扫描一个目标。
由于现在hping版本已经是第3版了,所以命令要输hping3,还是先看一下帮助说明:
hping3 -h
用hping3做三层发现:
hping3 x.x.x.x --icmp -c 1
可以通过一行shell代码扫描一个网段:
for addr in $(seq 1 254); do hping3 36.152.44.$addr --icmp -c 1 >> handle.txt & done
执行结果都会存入handle.txt:
shell代码执行hping的结果
然后再根据有效ip和无效ip返回的不同做一些区分。