在這裏介紹一個信息嗅探的小工具,有時間的話會對工具繼續更新
代碼地址:https://github.com/sunxueliang96/IP_tracker
IP_tracker
只從一個IP地址出發,得到儘可能多的信息.
運行環境
linux ,python 2.7,mida (Paul Murley. [n.d.]. MIDA: A Tool for Measuring the Web. https://mida.sprai.org/)
使用樣例:
python tracker.py example.com
python tracker.py 123.123.123.123
程序功能:只從一個IP地址出發,得到儘可能多的信息
具體描述:動態跟蹤一個域名或者IP的https解析過程,首先輸出一個頁面在加載的過程中請求了哪些外部IP,該域名或IP的HTTPS證書是什麼,其HTTP指紋信息是什麼,
輸出
[+]resource #該網頁自動加載了來自哪個IP的圖片,來自哪個IP的廣告外鏈,等等外部object
[IPlist…]
[+]javascript #該網頁自動加載了哪個IP下存放的JS腳本
[IPlist…]
[+]certificate #輸出該IP或者該域名的證書信息
[certificate info …]
[+]http request figerprinting#輸出該IP或域名的HTTP 指紋信息(通過構建五個請求來形成指紋)
HEAD / HEAD/1.1
[response…]
DELETE / HTTP/1.1
[response…]
GET / HTTP/1.1
[response…]
GET / HTTP/3.0
[response…]
GET / JUNK/1.1
[response…]
一些截圖
左邊對一個botnet的C&C服務器進行測試,右邊對百度的一個普通服務器測試
看到一些有趣又明顯的差別
首先是對外部數據的請求,C&C服務器一無所有,
其次是證書,從issuer可以看到,顯然C&C服務器的證書是僞造的(見過奧巴馬簽署的)
最後看指紋信息,明顯可以看到C&C服務器乾淨地不像一個提供內容服務的正常服務器。