20212937 曾俊铭 《网络嗅探与协议分析》

20212937 曾俊铭 2021-2022-2 《网络攻防实践》第5周作业

1.实验内容

  • 利用tcpdump对网络访问过程进行嗅探,确定所访问时浏览器所访问的web服务器以及他们的IP地址

  • 利用wireshark在主机通过TELNET方式登录BBS时,抓包分析所登陆服务器的IP和端口等有用信息以及查看登录口令

  • 利用已有的listen.cap文件进行分析,得到攻击机和靶机的IP、端口号等有用信息

2.实验过程

(1)动手实践tcpdump

使用tcpdump开源软件对在本机上访问www.tianya.cn 网站过程进行嗅探

首先将kali虚拟机改为桥接模式直连物理网络:

image

查询虚拟机kali的IP地址:

image

打开kali输入命令行sudo tcpdump -n src 192.168.1.104 and tcp port 80 and "tcp[13]&18=2":

通过在虚拟机kali上浏览器登录 www.tianya.cn:
image

image

监听结果进行分析:
image

由以上截图可知浏览器访问了以下12个Web服务器,IP地址如图

(2)动手实践Wireshark

使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析

打开kali,输入命令行 luit -encoding gbk telnet bbs.fudan.edu.cn,访问复旦大学BBS服务器,找到其IP地址并登录:
image

我们可以发现其IP地址为202.120.225.9

因为桥接真实主机,直接打开真实主机上的wireshark,并抓包分析(此处IP不同因做了好几次):

image

发现其端口号为23,追踪其TCP流分析数据包找到登录口令:

image
image
image
image
image
image

(3)取证分析实践,解码网络扫描器(listen.cap)

下载资源文件listen.pcap,打开,使用菜单栏中Statistics(统计)下的Conversation(会话),选择IPV4,发现172.31.4.178和172.31.4.188之间有大量的双向数据包,由此可知确定两者为攻击主机IP为172.31.4.178和目标主机IP为172.31.4.188

image

将 listen.pcap 复制到kali虚拟机中,使用snort对二进制记录文件进行入侵检测,可以分析出本次攻击是nmap发起的

使用sudo apt-get update 命令更新APT库
image

使用sudo apt-get install snort命令安装snort
image

使用sudo chmod 777 /etc/snort/snort.conf 命令给予snort.conf可读可写可执行权限
image

输入snort -A console -q -u snort -c /etc/snort/snort.conf -r ~/listen.pcap 命令
-A开启报警模式
-q不显示状态报告
-u为初始化后改变snort的UID
-c为使用后面的配置文件,进入IDS模式
-r从pcap格式的文件中读取数据包
image

扫描前nmap会通过arp更新目标MAC地址,所以使用Wireshark的过滤器扫描出arp包,可以看到共进行4次nmap扫描
image

以ICMP为过滤条件分析发现,有攻击机和靶机之间的双向数据包,说明进行了ICMP ping扫描,即 nmap -sP 172.31.4.188
image

以TCP作为过滤条件,观察到进行了大量的TCP扫描,如图可以看到攻击机向靶机发送SYN请求包,靶机返回SYN,ACK确认连接,攻击机响应,说明该端口开放,所以攻击机进行了nmap -sS 172.31.4.188 扫描
image

过滤端口22,观察该端口的数据包发现攻击机和靶机之间建立了TCP和DNS连接用以探测网络服务,所以攻击机对靶机进行了nmap -sV 172.31.4.188的版本检测扫描
image

通过过滤器的 tcp.flags.syn == 1 and tcp.flags.ack == 1 可以过滤出SYN | ACK的数据包,这是目标主机反馈攻击主机的端口活跃信息。可查看靶机的开放端口有:21 22 23 25 53 80 139 445 3306 3632 5432 8009 8180
image

攻击主机的操作系统,可以通过命令行“[root@SOR_SYS ~]# uname -a/ [root@SOR_SYS ~]# cat /proc/version 来查询 image

3.学习中遇到的问题及解决

  • 问题1:将kali虚拟机改为桥接模式之后,无法连接上网?

image

  • 问题1解决方案:因为在实验室直连网线,而虚拟机的虚拟网络编辑器桥接模式没有桥接到对应的网络,重新设置一下就好

  • 问题2:查看攻击机操作系统p0f工具无法下载?

  • 问题2解决方案:使用其他命令行来查看,如# uname -a 或# cat /proc/version来查询

4.学习感悟、思考等)

这次实验跟着视频做并不复杂,主要是要熟练使用命令行和wireshark抓包,并会分析数据包。除此之外,我们了解了通过监听嗅探等方式可以获取隐蔽信息,也初步熟悉了nmap的作用。这次实验收获还行,就是有些操作的数据量有点大,容易漏看错看,再接再厉吧。

posted on 2022-03-29 20:35  曾俊铭  阅读(43)  评论(0编辑  收藏  举报

导航