目录
- 环境介绍
- 参数
- 数据包
- 参照组数据包(使用ping命令)
- windows下使用cmd发出的ping包
- kali在终端中发出的ping包
- fping发出的数据包
- 单个主机扫描(无回应)
- 单个主机扫描(有回应)
- 网段扫描
- 规则
环境介绍
NAT模式:
- kali攻击方
- win7受害者
- Metasploitable受害者
参数
1:基于icmp的单个主机发现
fping 192.168.56.102
2:基于icmp的网段扫描
-a参数显示存活的主机
-g通过指定开始和结束地址来生成目标列表,可以使网段
fping -a -g 192.168.56.1 192.168.56.254
数据包
通过下面的对照数据包得出结论:
- fping的第一个ping包的seq是0,可以作为特征
- fping的非第一个ping包的seq非0,写扫描网段规则时移除seq相关关键字
- fping的ping包,请求与响应的data字段,16进制的全0,可以作为特征
- 由于在靶机环境中存活主机不同,导致网段扫描时,对频率的控制不大友好,但是可以通过单个主机扫描的规则检测出fping扫描
参照组数据包(使用ping命令)
windows下使用cmd发出的ping包
注意到:
第一个的ping包的seq值不等于0
Data的大小是32字节,内容是一些数字
kali在终端中发出的ping包
注意到:(同windows)
第一个的ping包的seq值不等于0
Data的大小是32字节,内容是一些数字
fping发出的数据包
单个主机扫描(无回应)
注意到:
第一个的ping包的seq值等于0
Data的大小是56字节,内容是全0
单个主机扫描(有回应)
注意到:(同单个主机扫描(无回应))
第一个的ping包的seq值等于0
Data的大小是56字节,内容是全0
网段扫描
注意到:
第一个的ping包的seq值等于0
非第一个的ping包的seq值不等于0(写规则时注意这点)
Data的大小是56字节,内容是全0
规则
alert icmp any any -> any any (msg:"fping 单个主机扫描"; itype:8; icode:0; icmp_seq:0; dsize:56; content:"|00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00|"; metadata:service icmp; sid:3; rev:1;)
alert icmp any any -> any any (msg:"fping 网段扫描"; itype:8; icode:0; dsize:56; detection_filter:track by_src,count 6,seconds 4; content:"|00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00|"; metadata:service icmp; sid:4; rev:1;)
