Wireshark 與 Metasploit 實戰指南

[美]傑西·布洛克（Jessey Bullock） [加]傑夫·帕克（Jeff T. Parker）譯者:朱筱丹

傑西·布洛克（Jessey Bullock）是一位擁有多種不同行業背景的安全工程師，他既做過安全顧問擔任過機構內的安全團隊成員。傑西是從網絡支持管理領域逐漸進入安全行業的，Wireshark一直是他的隨身工具集。他豐富的技術才華在各個領域都廣受認可，例如能源和金融圈，包括遊戲界。

傑夫·T·帕克（Jeff T. Parker）是一位安全專家和技術撰稿人。他在DEC公司有20年的工作經驗，然後服務過康柏和惠普兩家公司。傑夫的工作主要是為複雜的企業環境提供諮詢，在惠普工作期間，傑夫的興趣逐漸從系統轉向安全，因為安全更需要學習和持續的分享。

第1章Wireshark入門介紹1 
1.1 Wireshark是什麼1 
1.1.1什麼時候該用Wireshark 2 
1.1.2避免被大量數據嚇到3 
1.2用戶界面3 
1.2.1分組列錶面板5 
1.2.2分組詳情面板6 
1.2 .3分組字節流面板8 
1.3過濾器9 
1.3.1捕獲過濾器9 
1.3.2展示過濾器13 
1.4小結18 
1.5練習18 

第2章搭建實驗環境19 
2.1 Kali Linux操作系統20 
2.2虛擬化技術21 
2.2.1基本術語和概念22 
2.2.2虛擬化的好處22 
2.3 VirtualBox 23 
2.3.1安裝VirtualBox 23 
2.3.2安裝VirtualBox擴展軟件包30 
2.3.3創建一個Kali Linux虛擬機32 
2.3.4安裝Kali Linux 39 
2.4 W4SP Lab實驗環境45 
2.4.1 W4SP Lab的環境需求45 
2.4.2關於Docker的幾句話46 
2.4.3什麼是GitHub 47
2.4.4創建實驗環境用戶48 
2.4.5在Kali虛擬機裏安裝W4SP Lab實驗環境49 
2.4.6設置W4SP Lab 51 
2.4.7 Lab網絡53 
2.5小結54 
2.6練習54 

第3章基礎知識55 
3.1網絡基礎知識55 
3.1.1 OSI層級56 
3.1.2虛擬機之間的聯網59 
3.2安全61 
3.2.1安全三要素61 
3.2.2入侵檢測和防護系統61 
3.2.3誤報和漏洞62 
3.2.4惡意軟件62 
3.2.5欺騙和汙染64 
3.3分組數據包和協議分析64 
3.3.1一個協議分析的故事65 
3.3.2埠和協議69 
3.4小結71 
3.5練習72 

第4章捕獲分組數據包73 
4.1嗅探73 
4.1.1混雜模式74 
4.1.2開始第一次抓包75 
4.1.3 TShark 80 
4.2各種網絡環境下的抓包84 
4.2.1本地機器85 
4.2.2對本地環路的嗅探86 
4.2. 3虛擬機的接口上嗅探90 
4.2.4用集線器做嗅探93
4.2.5 SPAN埠95 
4.2.6網絡分流器98 
4.2.7透明Linux網橋100 
4.2.8無線網絡102 
4.3加載和保存捕獲文件105 
4.3.1文件格式105 
4.3.2以環形緩衝區和多文件方式保存108 
4.3.3最近捕獲文件列表113 
4.4解析器114 
4.4.1 W4SP Lab：處理非標準的HTTP流量115 
4.4.2過濾SMB文件名116 
4.4.3用顏色標記數據包120 
4.5查看他人的捕獲文件123 
4.6小結124 
4.7練習125 

第5章攻擊分析126 
5.1攻擊類型：中間人攻擊127 
5.1.1為什麼中間人攻擊能奏效128 
5.1.2 ARP中間人攻擊的成因128 
5.1.3 W4SP Lab：執行ARP中間人攻擊130 
5.1.4 W4SP Lab：執行DNS中間人攻擊137 
5.1.5如何防範中間人攻擊144 
5.2攻擊類型：拒絕服務攻擊145 
5.2.1為什麼DoS攻擊能奏效145 
5.2.2 DoS攻擊是怎麼實現的146 
5.2.3如何防範DoS攻擊151 
5.3攻擊類型：APT攻擊152
5.3.1為什麼APT攻擊管用152 
5.3.2 APT攻擊是怎麼實施的153 
5.3.3 APT流量在Wireshark裡的例子153 
5.3.4如何防範APT攻擊157 
5.4小結158 
5.5練習158 

第6章Wireshark之攻擊相關159 
6.1攻擊套路159 
6.2用Wireshark協助踩點偵察161 
6.3規避IPS/IDS的檢測164 
6.3.1會話切割和分片164 
6.3.2針對主機，而不是IDS 165 
6.3.3掩蓋痕跡和放置後門165 
6.4漏洞利用166 
6.4.1在W4SP實驗環境裡增加Metasploitable節點167 
6.4.2啟動Metasploit控制臺167 
6.4.3 VSFTP Exploit 168 
6.4.4使用Wireshark協助調試169 
6.4.5 Wireshark裡查看shell執行171 
6.4.6從TCP流裡觀察正向shell 172 
6.4.7從TCP流裡觀察反向shell 179 
6.4.8啟動ELK 184 
6.5通過SSH遠程抓包186 
6.6小結187 
6.7練習187

第7章解密TLS、USB抓包、鍵盤記錄器和繪製網絡拓撲圖188 
7.1解密SSL/TLS 188 
7.1.1用私鑰解密SSL/TLS 190 
7.1.2使用SSL/TLS會話密鑰解密194 
7.2 USB和Wireshark 196 
7.2.1在Linux下捕獲USB流量197 
7.2.2在Windows下捕獲USB流量201 
7.2.3 TShark鍵盤記錄器202 
7.3繪製網絡關係圖206 
7.4小結212 
7.5練習213 

第8章Lua編程擴展214 
8.1為什麼選擇Lua 214 
8.2 Lua編程基礎215 
8.2.1變量217 
8.2.2函數和代碼塊218 
8.2.3循環220 
8.2.4條件判斷222 
8.3 Lua設置223 
8.3.1檢查Lua支持223 
8.3.2 Lua初始化224 
8.3.3 Windows環境下的Lua設置225 
8.3.4 Linux環境下的Lua設置225 
8.4 Lua相關工具226 
8.4.1 TShark裡的Hello World 228 
8.4.2統計數據包的腳本229 
8.4.3模擬ARP緩存表腳本233
8.5創建Wireshark解析器236 
8.5.1解析器的類型237 
8.5.2為什麼需要解析器237 
8.5.3動手實驗245 
8.6擴展Wireshark 247 
8.6.1數據包流向腳本247 
8.6.2標記可疑的腳本249 
8.6. 3嗅探SMB文件傳輸252 
8.7小結255