Linux黑客基础03篇(分析和管理网络及无线网卡的操作命令)
Kali Linux分析和管理网络
- 使用ifconfig查看和分析网络(状态)
- eth0 - 第一块有线网卡
- wlan0 - 第一块无线网卡
- PS:网卡的排序是从0开始
ifconfig -a
- 查看所有接口(活跃和不活跃的)
ifconfig eth0 down
- 禁用eth0网卡
ip address show //查看IP地址
ifconfig eth0 up
- 启用eth0网卡
- 使用iwconfig检查无线网卡(设备)
- -a
- 更改IP地址
- 临时更改
ifconfig eth0 192.168.195.66
- 使用的是默认子网掩码,用于排错/调试网络
ifconfig eth0 10.1.1.1 netmask 255.255.255.0
使用netmask指定子网掩码,主机地址及子网掩码的分类:unicast单播,broadcast广播,multicast组播
帧的结构:目标MAC地址,源MAC地址,类型,data,FCS(帧校验和)
类型字段(type)用于标识数据字段中包含的高层协议
数据字段(data)网络层数据(最小46字节,保证帧长至少为64字节最大1500字节)
循环冗余校验字段(FCS)提供了一种错误检测机制
- 在Kali中如何使用无线网卡连接WiFi
- step1:建议先在笔记本中使用无线网卡连接WiFi
- step2:在虚拟机中添加usb控制器(默认为添加),把它连接到虚拟机中
- step3:查看网络接口
ifconfig -a
- 如果无线网卡没有up,使用
ifconfig wlan0 up
启用无线网卡
step4:使用iwconfig收集无线网卡的信息
PS:
TEEE 802.11 无线网络的标准
802.11 a/b/g/n
802.11n 支持2.4GHZ和5GHZ,理论带宽最高600Mpbs
ESSID就是WiFi的标识
Access Point(AP,无线接入点): 88:C3:97:C2:F1:4E(无线路由器的MAC地址)
Mode: Managed 无线网卡的模式,Managed-客户端模式,可以连接WiFi通常使用的模式,Monitor(监视)或promiscuous(混杂)在破解无线密码时,我们需要使用到混杂模式(promiscuous mode)或monitor模式,在这种模式下,网卡处于嗅探状态(被称为PASSIVE状态,被动状态)
step5:连接指定WiFi
通过图形化的网络连接管理界面(推荐)
前提:NetworkManager服务要开启(服务名称区分大小写)
systemctl status NetworkManager
在Kali中查看无线网卡是否可以用于无线攻击
1)iw list 查看无线网卡支持的模式
2)查看是否支持数据包的注入功能
aireplay-ng -9 wlan0
- injection(注入) is working
- MAC地址欺骗
MAC地址(物理地址)是全球唯一的,48位,16进制表示
防范:通常被用作一种安全措施,以防止黑客进入网络或追踪他们
攻击:更改MAC地址来伪装成一个不同的MAC地址使得上述安全措施无效
这是一项非常有用的绕过网络访问控制的技术
ncpa.cpl打开网络控制面板
win+R
MAC地址由两部分组成,分别是供应商代码和序列号。其中前24位代表该供应商代码,由IEEE管理和分配。剩下的24位序列号由厂商自己分配
arp协议-把IP地址解析成MAC地址
arp -a
- 查看ARP缓存
arp -d
- 删除ARP缓存
arp -d 192.168.195.149
删除指定的条目
更改MAC地址
ifconfig eth0 hw ether 00:11:22:33:44:55
macchanger -s eth0
- -s 查看MAC地址
macchanger eth0 -m 00:11:22:33:44:55
- -m 设置新的MAC地址
- 通过DHCP服务器获取IP地址
DHCP协议-动态主机配置协议
server:udp/67(Linux下的DHCP的服务进程daemon,工作在后台)
client: udp/68
DHCP服务器维护将IP地址分配给哪台机器的日志文件,使得它成为取证分析人员在攻击后追踪黑客的绝佳资源
Linux下DHCP客户端调试工具dhclient
dhclient -r
- 释放正在使用的IP地址
dhclient eth0 -r
dhclient eth0
获取IP
DHCP discover 客户端用来寻找DHCP服务器
DHCP offer DHCP用来响应DHCP discover报文,报文携带配置信息
DHCP request 客户端请求配置,或者续借租期
DHCP ack 服务器对request报文的确认响应
DHCP release 客户端要释放地址时用来通知服务器
网络参数的配置
IP地址/掩码
ifconfig eth0
或
ip a
- 网关(默认路由)
ip route show
或
ip r
- DNS(nameserver,名称服务器)
cat /etc/resolv.conf
手工方式(静态)
方法1:图形化的网络管理器
依赖的服务:NetworkManager(默认自动开启)
wired 有线
wireless 无线
更改之后,把启用联网(复选框)取消再选中
方法2:修改网卡的配置文件(掌握)
/etc/network/interfaces
step01:把NetworkManager服务关闭设置为开机不启动
systemctl stop NetworkManager
systemctl disable NetworkManager
systemctl status NetworkManager
step02:编辑/etc/network/interfaces
PS:推荐man interfaces
auto eth0
- 启动时激活网卡
iface eth0 inet static
- 接口为eth0,地址指派方式为静态(static,手工方式)
address 192.168.195.77/24
- IP地址
gateway 192.168.195.2
网关
step03:重启networking服务
systemctl restart networking
- DNS的修改
/etc/resolv.conf
修改方法1:vi直接编辑
search qwfy.cn
- 搜索域
nameserver 8.8.8.8
- DNS服务器
nameserver
- 修改方法2
echo "nameserver 223.6.6.6" >/etc/resolv.conf
- 修改方法3
sed 's/nameserver 223.6.6.6/nameserver 8.8.8.8/' /etc/resolv.conf
sed是非交互式的文本编辑器
-i 对原始文件内容进行修改
's/old/new' 查找替换,把old替换成new
维护域名系统
黑客可以使用DNS从目标收集信息
1)包含目标名称服务器(将目标名称转换为IP地址的服务器)的IP地址(A记录)
2)目标邮件服务器(MX记录)
3)潜在的所有子域名和IP地址
dig
1)dig hackers-arise.com ns
2)dig hackers-arise.com mx
向系统默认的DNS服务器查询
3)dig hackers-arise.com mx @223.6.6.6
向指定的DNS服务器223.6.6.6查询
4)dig qq.com any @223.6.6.6
向指定DNS服务器查询qq.com域中任意记录类型
5)dig +noall +answer mail.163.com any
+noall 没有任何输出
+answer 只看应答输出
反向查询
PTR(指针记录)
6)dig +noall +answer -x 220.181.14.161
-x 反向查询
nslookup
nslookup qq.com-type=any 8.8.8.8
向指定的DNS服务器qq.com域中任意记录类型
apt install dsniff
映射你的IP地址
Linux:/etc/hosts
Windows:C:\windows/system32\drivers\etc\hosts
/etc/hosts
作用:完成主机名到IP地址的映射
解析的优先级比DNS更高
1)屏蔽一些网站
2)加快上网的访问速度
3)防止DNS劫持(DNS欺骗)
格式:一行代表一条记录
IP地址 主机名1 主机名2(多个主机名)
利用dnsspoof劫持用户流量
