Wireshark 数据包分析学习笔记 Day8

SYN 扫描是一种常见的扫描类型。有以下几个特点：

1） 快速可靠

2） 在所有平台上都很准确，与 TCP 协议栈的实现无关

3） 比其他扫描技术更安静，不容易被发现

扫描工具可以使用 Nmap

操作系统指纹术是指在没有物理接触的情况下，用来确定机器运行的操作系统的一组技术。操作系统指纹术分为两种类型：被动式和主动式。

被动式是通过分析目标发送的数据包的某些字段来确定目标使用的操作系统。

TTL 默认值 64，代表是 Nmap，BSD，Mac OS 10、Linux；默认值 128，代表是 Novell，Windows；默认值 255，代表 Cisco IOS、Palm OS、Solaris。

TCP 最长段大小，0 代表 Nmap；1440 代表 Windows、Novell；1460 代表 BSD、Mac OS10、Linux、Solaris。

主动式是指攻击者向受害者发送特意构造的数据包以引起响应，然后从响应数据包中获知受害者机器操作系统的技术。

会话劫持中，攻击者窃取一个 HTTP 会话 cookie，然后伪装为另一个用户；会使用 ARP 缓存获取一次目标通信，并找到相关的会话 cookie 信息。随后，能够使用窃取的 cookie，以对应用户的身份访问目标。

在无线网络中捕获和分析传输数据，首先考虑的是物理传输介质。当从无线局域网捕获流量时，最特殊的莫过于无线频谱是共享介质。无线通信的介质是客户端共享的空域。单个 VLAN 只占用 802.11 频谱的一部分。空间上的分离是通过将频谱划分为不同的信道实现的。

因为 WLAN 同时只能操作一个信道，就意味着我们只能同时嗅探一个信道。某些无线扫描程序使用跳频技术，可以迅速改变监听信道以收集更多数据。比如 Kismet 工具。