20212916 2021-2022-2 《网络攻防实践》第三次(第五周)作业

目录

1.实验内容. 1

2.实验过程. 1

2.1实验一、动手实践TCP dump. 1

2.2动手实践wireshark 2

2.3取证分析实践. 5

2.3.1使用snore查看攻击机和靶机的IP地址、攻击者采用的工具... 6

2.3.2使用wireshark分析攻击者所采用的攻击方式... 7

1.3.3.使用p0f分析攻击机的操作系统... 10

3.我的问题. 10

1. 实验内容

网络嗅探与协议分析

(1)动手实践tcpdump

使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探

你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?

他们的IP地址都是什么?

(2)动手实践Wireshark

使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析

你所登录的BBS服务器的IP地址与端口各是什么?

TELNET协议是如何向服务器传送你输入的用户名及登录口令?

如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?

(3)取证分析实践,解码网络扫描器(listen.cap)

攻击主机的IP地址是什么?

网络扫描的目标IP地址是什么?

本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?

你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。

在蜜罐主机上哪些端口被发现是开放的?

攻击主机的操作系统是什么?

2.实验过程

2.1实验一、动手实践TCP dump

2.2.1网络配置的修改

使用Kali虚拟机,将网络改为桥接模式,确保可以连接互联网。使用ifconfig命令查询IP地址。

clip_image002

先使用sudo su命进行提权,然后输入命令进行监听,这是在网页中进入天涯论坛的首页,之后可以看到进入天涯论坛主页时访问的IP地址。

clip_image004

2.2动手实践wireshark

用 ctrl+z 命令退出监听。在Kali Linux终端运行命令 luit -encoding gbk telnet bbs.fudan.edu.cn,访问复旦大学BBS。

回答问题一:这里可以看见其IP地址为202.120.225.9

clip_image006

按照提示注册,输入用户名和密码

clip_image007

打开系统的wireshark

clip_image009

选取eth0,开始捕获

clip_image011

利用命令筛选特定的IP地址之间的访问。打开捕捉,然后重新进入复旦BBS并输入用户名和密码。这时回到wireshark,关闭捕获(主要是数据太多不好分析,所以在输入用户名和密码之后关闭)。此时可以看见这一过程的IP地址访问情况。

clip_image013

回答问题一:在复旦界面找到IP地址。Shark进行捕获,筛选数据,分析,看到端口号为23

clip_image015

回答问题二:telnet是使用明文向服务器用户传送用户名和密码的。

回答问题三:此时选取一行,右键,查看TCP流,可以看见我们的用户名和密码。

clip_image017

2.3取证分析实践

下载安装snort,我的安装会显示无法定位软件位置,所以先提权,然后输入apt-get update 回车,然后安装就可以啦!

clip_image019

clip_image021

安装完成之后在云班课下载listen.pcap文件,并复制到Kali的桌面。

clip_image022

2.3.1使用snore查看攻击机和靶机的IP地址、攻击者采用的工具

在listen.pcap所在文件夹中单击鼠标右键,选择“在这里打开终端”

clip_image024

回答问题一、二:在终端处输入命令 sudo snort -A console -q -u snort -c /etc/snort/snort.conf -r listen.pcap 在终端中出现如下信息,其中我们可以看到攻击主机IP地址为172.31.4.178 ,网络扫描目标的地址为172.31.4.188 。

回答问题三:从第三行可以得出攻击者使用nmap工具进行端口扫描。

clip_image026

回答问题四:攻击者使用了namp的-Sp Nmap进行ping扫描,用于判断主机是否存活。

2.3.2使用wireshark分析攻击者所采用的攻击方式

用wireshark打开listen.pcap文件。在筛选框输入 arp or nbns 回车。

可以看到 NBNS协议和ARP协议包分为多段1-8 2069-2072 133220-133221 135315-135316 135573-135579,通过ARP协议和NBNS协议,攻击者可以得到目标主机的IP地址,进而对其发起攻击。

clip_image028

分析可知,攻击者的攻击方式有:活跃主机检测、扫描操作系统、扫描开放端口、扫描开放服务。

1-8 攻击者发送很多光广播信息,详细信息均有 who has 172.31.4.188? 说明本段攻击者采用ARP广播的方式进行了活跃主机检测。

第七个包开始,攻击机发送,靶机回复,在进行端口扫描的操作。

clip_image030

第二次攻击最后面,扫描操作系统,猜测操作系统

clip_image032

SYN以及对 SYN的回复,这是全端口扫描

clip_image034

对于可以连接上的接口,进行了深入交流,检测靶机开放了什么服务

clip_image036

回答问题五:筛选开放端口,info就是开放的端口,有 21 22 23 25 53 80 139 445 3306 5432 8009 8180

clip_image038

clip_image040

2.3.3使用p0f分析攻击机的操作系统

安装p0f,在桌面打开终端,输入sudo apt install p0f,安装p0f

clip_image042

回答问题六:输入命令p0f -r listen.pcap,可以看到攻击机的操作系统为Linux2.6.x

clip_image044

3.我的问题

在实验中要安装snort,一直显示出错

解决:需要更新命令,而且在键入命令之前必须要进行提权,否则无法成功完成之后就可以顺利的安装啦!

虚拟机突然连不上网络,但是物理机显示网络连接正常

解决:重启,重启可以解决大部分问题,亲测可以解决连不上网的问题。

posted @ 2022-04-01 10:40  20212916  阅读(87)  评论(0编辑  收藏  举报