目录
环境介绍
NAT模式:
- kali攻击方
- win7受害者
- Metasploitable受害者
参数
1:基于icmp的单个主机发现
fping 192.168.56.102
2:基于icmp的网段扫描
-a参数显示存活的主机
-g通过指定开始和结束地址来生成目标列表,可以使网段
fping -a -g 192.168.56.1 192.168.56.254
数据包
通过下面的对照数据包得出结论:
- fping的第一个ping包的seq是0,可以作为特征
- fping的非第一个ping包的seq非0,写扫描网段规则时移除seq相关关键字
- fping的ping包,请求与响应的data字段,16进制的全0,可以作为特征
- 由于在靶机环境中存活主机不同,导致网段扫描时,对频率的控制不大友好,但是可以通过单个主机扫描的规则检测出fping扫描
参照组数据包(使用ping命令)
windows下使用cmd发出的ping包
注意到:
第一个的ping包的seq值不等于0
Data的大小是32字节,内容是一些数字
kali在终端中发出的ping包
注意到:(同windows)
第一个的ping包的seq值不等于0
Data的大小是32字节,内容是一些数字
fping发出的数据包
单个主机扫描(无回应)
注意到:
第一个的ping包的seq值等于0
Data的大小是56字节,内容是全0
单个主机扫描(有回应)
注意到:(同单个主机扫描(无回应))
第一个的ping包的seq值等于0
Data的大小是56字节,内容是全0
网段扫描
注意到:
第一个的ping包的seq值等于0
非第一个的ping包的seq值不等于0(写规则时注意这点)
Data的大小是56字节,内容是全0
规则
alert icmp any any -> any any (msg:"fping 单个主机扫描"; itype:8; icode:0; icmp_seq:0; dsize:56; content:"|00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00|"; metadata:service icmp; sid:3; rev:1;)
alert icmp any any -> any any (msg:"fping 网段扫描"; itype:8; icode:0; dsize:56; detection_filter:track by_src,count 6,seconds 4; content:"|00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00|"; metadata:service icmp; sid:4; rev:1;)
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
文章由极客之音整理,本文链接:https://www.bmabk.com/index.php/post/134329.html
