iT邦幫忙

2021 iThome 鐵人賽

DAY 13
1
Security

資安這條路─系統化學習滲透測試系列 第 13

Day13 主動情蒐-利用 tcpdump 觀察 Netdiscover && Ping 封包

  • 分享至 

  • xImage
  •  

Netdiscover

ARP 偵測工具,透過 ARP 協定(Address Resolution Protocol)來確認目標是否存活, ARP 協定會將IP 解析成 MAC Address,而 MAC address 則對應到網路介面卡,也就是每一個網路介面卡都會有 MAC address。

路由器或交換器廣播 ARP 請求,而設備會回傳 MAC address。
廣播封包
'Who has 172.28.128.3? Tell 172.28.128.253'

來自 172.28.128.3 的 ARP 回應封包
'172.28.128.3 is at 08:00:27:31:e2:96'

Netdiscover 會如同路由器或交換器一樣廣播 ARP 請求來搜尋在網段上的主機。

※ Classless Inter-Domain Routing (CIDR)
IP 範圍採用 CIDR 的表示方法,以下為範例:
[IP位置]/[network mask]
10.11.1.0/24 表示 10.11.1.0 到 10.11.1.255 範圍內的所有 256 個 IP 地址

實驗

了解目前的網路介面卡
ip addr

  • eth0 介面卡1
  • eth1 介面卡2

1. 使用 tcpdump 攔截封包
sudo tcpdump

2. 輸入 netdiscover 指令
sudo netdiscover -r 172.28.128.0/24

3. 攔截封包,比較內容
可以看到都是 ARP 封包

Ping

  • ICNP 封包確認目標是否存活

實驗

1. 使用 tcpdump 攔截封包
sudo tcpdump

2. 輸入 ping 指令
ping 172.28.128.3

3. 攔截封包,比較內容
可以看到都是 ICMP 封包


上一篇
Day12 主動情蒐-確認目標 metasploitable 3 的 IP
下一篇
Day14 主動情蒐-nmap 與 Wireshark 的實驗內容
系列文
資安這條路─系統化學習滲透測試37
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言