20251918 2025-2026-2 《网络攻防实践》实验三

一、实验内容
知识点梳理
.1 网络嗅探基本原理
网络嗅探（Network Sniffing）是指通过捕获网络链路中传输的数据帧，并对其协议内容进行解析与分析的技术。其实现依赖于网络接口卡（NIC）的工作模式：在共享式网络环境（如基于集线器的以太网）中，网卡可设置为混杂模式（Promiscuous Mode），接收所有经过该接口的数据帧，无论其目的MAC地址是否为该网卡本身。在交换式网络环境中，由于交换机依据MAC地址表进行帧转发，常规方式下网卡仅能接收发往自身的单播帧以及广播帧。为实现在交换网络中的嗅探，需借助ARP欺骗、MAC地址泛洪、端口镜像（Port Mirroring） 等技术，将目标流量重定向或复制至嗅探接口。本实验采用的tcpdump与Wireshark是两类具有代表性的网络嗅探与分析工具，分别面向命令行与图形化操作场景。

2 tcpdump
tcpdump是基于libpcap库开发的命令行网络抓包工具，广泛应用于Linux/Unix类操作系统。其核心功能是通过伯克利包过滤器（BPF，Berkeley Packet Filter） 语法实现高效、灵活的流量过滤，可依据协议类型、源/目的IP地址、传输层端口号等条件对捕获的数据包进行筛选。

常用选项及其功能说明如下：

-i 指定进行抓包操作的网络接口
-w 将捕获的原始数据包写入指定文件（pcap格式）
-r 读取已保存的pcap文件进行分析
-n 禁止将IP地址解析为域名，直接显示数值格式地址
-v/-vv/-vvv 增加输出信息的详细程度
3 Wireshark
Wireshark是基于libpcap/WinPcap开发的图形化网络协议分析平台，支持对pcap及pcapng格式的抓包文件进行深度解析。其核心能力包括：

（1）协议解码：对数据链路层至应用层各层协议头进行结构化解析，支持超过2000种协议规范；
（2）流重组与追踪：支持TCP流的完整重组与追踪，可将同一TCP连接上的双向数据按顺序呈现；
（3）统计与分析：提供协议层次统计、端点统计、会话列表、流量图等多维度分析视图；
（4）过滤表达式：支持显示过滤器，可基于协议字段值实时筛选数据包。

本实验中，主要利用Wireshark的TCP流追踪（Follow TCP Stream） 功能，对TELNET协议的交互内容进行明文还原与分析。

4 TELNET协议
TELNET（Teletype Network）是一种基于TCP协议的应用层协议，用于提供远程终端登录服务，其IANA分配的默认端口号为23。从协议安全性的角度，TELNET具有以下特征：
（1）明文传输：包括用户名、口令及所有会话内容在内的数据，均以ASCII明文形式在网络上传输，未采用任何加密或完整性保护机制；
（2）脆弱性：由于缺乏认证保密性与传输机密性保障，TELNET协议在开放网络中极易遭受中间人攻击、会话劫持及被动嗅探；
5 端口扫描与扫描工具
端口扫描是网络探测与渗透测试中信息收集阶段的核心技术，其目标是通过向目标主机的特定端口发送探测报文，依据响应特征推断端口状态（开放、关闭或被过滤），进而推测目标主机所提供的网络服务类型。
Nmap（Network Mapper） 是当前应用最广泛的网络扫描与安全审计工具，支持多种扫描技术。本实验中攻击者使用的扫描方式为SYN半开扫描（SYN Stealth Scan），其工作原理如下：

1、攻击者向目标端口发送TCP SYN数据包；
2、若目标端口开放，则返回SYN+ACK数据包，攻击者收到后立即发送RST数据包终止连接，不完成三次握手；
3、若目标端口关闭，则返回RST+ACK数据包；
4、若无响应，则判定端口可能被防火墙过滤。

二、实验过程
1.动手实践tcpdump
（1）抓取百度相关的流量
输入sudo tcpdump -i eth0 host baidu.com or port 443 -w baidu.pcap

打开浏览器，访问 https://www.baidu.com，等待页面完全加载完成。
输入tcpdump -r baidu.pcap -n | grep -oE '([0-9]{1,3}.){3}[0-9]{1,3}' | sort | uniq 使用 tcpdump 直接查看 IP 列表

2.动手实践Wireshark
(1)抓包
打开wireshark开始抓包，访问服务器
输入sudo wireshark
输入luit -encoding gbk telnet bbs.newsmth.net

访客模式登录：输入guest


（2）BBS 服务器的 IP 地址与端口
IP 地址：显然IP地址是120.92.212.76
端口：默认 TELNET 端口是23

（3）TELNET 协议如何传送用户名及登录口令
从本机向bbs服务器传送的guest





3.取证分析实践，解码网络扫描器（listen.cap）
输入sudo apt update
sudo apt install p0f


输入tshark -r listen.pcap -T fields -e ip.src | sort | uniq -c | sort -nr

输入tshark -r listen.pcap -T fields -e ip.dst | sort | uniq -c | sort -nr

执行以下命令 sudo p0f -r listen.pcap

攻击主机的IP地址：172.31.4.178
网络扫描的目标IP地址：172.31.4.188
本次案例中是使用了NAMP扫描工具发起这些端口扫描
（4）你所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么





观察攻击者发送 SYN 包后，收到目标返回的 SYN+ACK 包，攻击者立即发送 RST 包终止连接，没有完成三次握手的最后 ACK.

执行命令 tcp.flags.syn1 and tcp.flags.ack1 and ip.src == 172.31.4.188
有3306，23，80，25等端口开放

（5）在蜜罐主机上哪些端口被发现是开放的？
执行命令 tcp.flags.syn == 1 and tcp.flags.ack == 1 and ip.src == 172.31.4.188

有3306，139，23，80，25，22，21等端口开放
（6）攻击主机的操作系统是什么？

攻击机的操作系统是Linux 2.6.x
三、学习中遇到的问题及解决
问题1：

解决方式：在学习通下载文件，并将listen.pcap拖动到kali的命令行里进到该文件目录内

问题2：无法进行wireshark抓包
解决方式：将listen.pcap拖动到kali的命令行输入wireshark

四、学习感悟、思考等

本次实验围绕网络流量分析展开，包含三个主要环节：使用 tcpdump 抓取百度访问流量、使用 Wireshark 分析 TELNET 登录过程、基于 listen.pcap 文件进行取证分析。在 tcpdump 抓包环节，通过设置过滤条件捕获与百度服务器及 HTTPS 端口相关的流量。实际观察发现，一次简单的网页访问涉及多个服务器地址，反映出当前网络服务背后的分布式部署结构。通过提取并统计 IP 地址，可以直观看到通信节点的分布情况。在 Wireshark 分析环节，对 TELNET 协议登录过程进行抓包。由于该协议以明文形式传输数据，登录时输入的用户名在数据包中直接可见，无需任何解密操作。这具体说明了明文协议在传输敏感信息时的安全缺陷。在取证分析环节，通过 tshark 统计 IP 地址、使用 p0f 识别操作系统、分析 TCP 报文特征，逐步还原了一次端口扫描的攻击过程。攻击者采用 SYN 半开扫描方式，其 SYN→SYN+ACK→RST 的报文序列在流量中清晰可辨。通过本次实验，我基本掌握了 tcpdump 和 Wireshark 的操作方法，加深了对网络协议交互过程的理解，也对网络取证的基本思路有了实际体会。