提及截包工具,我们自然就会想到重放攻击。重放攻击是一种主动的攻击方式,一般是由中间人发起的攻击。一般攻击者使用截包工具截包以后,即刻改包并重发包,这就是攻击者通常使用的重放攻击流程。以前常用的截包工具有Winsock Expert,现在常用的截包工具有Burp Suite、Fiddler及Wireshark等。
1、Burp Suite
Burp Suite基本上是一个截包、改包及发包的工具,里面集成了许多渗透测试的模块。其中常用的模块是repeater模块及intruder模块。我们可以用repeater模块实现数据包的发送测试,具体是先将数据包从浏览器截取下来,然后send to repeater至repeater模块中进行测试。测试的目的是什么?当然是观察服务器返回给我们的响应,以此来探测服务器的内部情况(一般是应用程序情况)。我们一般用它来测试SQL注入、跨站脚本漏洞及敏感信息泄露等,为进一步渗透测试做铺垫。intruder模块则用于密码及账户等的暴力破解,Burp Suite如图1所示。
图1 Burp Suite
2、Fiddler
Fiddler是一款强大的HTTP截包工具,可用来调试网页和服务器的交互情况,能够记录所有客户端与服务器间的HTTP通信请求。Fiddler具有监视、设置断点甚至修改输入输出数据等功能。Fiddler对开发者或者测试者而言,都是非常有用的工具。Fiddler工具如图2所示。
图2 Fiddler
3、Wireshark
Wireshark是一款功能十分强大的截包分析工具。截包分析工具的功能是截取网络数据包,并尽可能显示出详细的网络数据包信息。Wireshark使用WinPcap作为接口直接与网卡进行数据包交换。我们可将截包分析工具的功能想象成电工技师使用电表测电流、电压及电阻的工作,二者的不同之处仅在于:截包分析是将工作场景放在了网络上。Wireshark工具如图3所示。
图3 Wireshark
4、Winsock Expert
Winsock Expert是一款用来监视与修改网络发送和接收的数据包的工具,它可用来调试网络应用程序,分析网络程序的通信协议(例如分析浏览器发送和接收的数据包),并且在必要的时候能够重放数据包。Winsock Expert是一款“老旧”的截包工具,它已有很长的历史,但仍是一款十分好用的工具,如图4所示。
图4 Winsock Expert