20252905 2025-2026-2 《网络攻防实践》第三周作业

20252905 2025-2026-2 《网络攻防实践》第三周作业

1.实验要求

1.1主要任务

(1)动手实践tcpdump

使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探,回答问题:你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?

(2)动手实践Wireshark

使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:

  1. 你所登录的BBS服务器的IP地址与端口各是什么?
  2. TELNET协议是如何向服务器传送你输入的用户名及登录口令?
  3. 如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?

(3)取证分析实践,解码网络扫描器(listen.cap)

  1. 攻击主机的IP地址是什么?
  2. 网络扫描的目标IP地址是什么?
  3. 本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
  4. 你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
  5. 在蜜罐主机上哪些端口被发现是开放的?
  6. 攻击主机的操作系统是什么?

1.2知识点梳理

  • tcpdump是Linux下强大的命令行抓包工具,现代服务器的分布式架构导致每次都会访问多个服务器,每个服务器承担不同的资源类型

  • wireshark,在传统的telnet协议下,传输的数据为明文结果,可以直接从数据包中导出数据

    本次实验的核心知识点包括:tcpdump和Wireshark的基本用法(过滤语法、TCP流追踪)、Telnet/HTTP等明文协议的安全风险、SYN扫描等端口探测技术的工作原理、以及通过数据包特征识别扫描行为和操作系统的方法。从安全防护角度,加密通信(SSH/HTTPS)、最小端口开放、以及入侵检测系统对异常扫描的监控是防御此类攻击的有效手段。实验让我认识到,数据包分析是网络安全的基础能力,技术本身无善恶,关键在于使用者的目的与职业道德。

2.实验过程

2.1动手实践tcpddump

在kali虚拟机上查看网卡等基本信息
image

由流量可知,访问了三个服务器,其中第二个IP地址访问了两次,IP地址分别为34.107.221.82,120.253.255.98
image
下载必要插件,准备下一步工作
image

2.2动手实践wireshark

输入luit -encoding gbk telnet bbs.mysmth.net,成功访问到清华BBS对应内容
image
访问社区内容
image
开始筛选端口号为23的数据流
image

访问的本机地址和目标网址ip得到了,目标ip地址为120.92.212.76,并观察对应端口号为23
image
image
点开数据包后,可以访问获取到更细节的信息
image
Telnet客户端与服务器建立了TCP连接,这个连接默认会以23号端口进行,用户输入客户端和口令后,会封装为telnet数据包,并且通过刚刚建立完成的TCP连接进行发送,服务器接受到数据之后自动解析出对应的信息,完成与数据库端进行的身份验证,刚刚输入的身份为guest,进行筛选,可以找到对应的报文,具体信息在telnet中
image

安装sudo apt-get install snort
image
输入内容sudo snort -c /etc/snort/snort.conf -r listen.pcap -A console

2.3取证分析时间,解码网络扫描器

打开listen.pcap文件,用arp进行筛选,得到攻击主机的IP地址是172.31.4.178,网络扫描的目标IP地址是172.31.4.188
image
输入nmap没有筛选结果,但是看到了大量的syn包,这个是默认的nmap扫描方式
原理是:
攻击者向目标端口发送 SYN 包
如果端口开放,目标返回 SYN+ACK 包
如果端口关闭,目标返回 RST 包
攻击者收到SYN+ACK后,不发送最后的ACK,而是发送 RST 终止连接
这样不会在目标系统完成完整的三次握手,因此不会记录在应用日志中,隐蔽性较好
image
由图可知,开放了21,22,23,25等端口,对应FTP,SSH,Telnet,SMTP等协议
image

安装p0f
image

输入命令,找到对应的版本内容,为linux2.6,完成所有实验内容
image

3.学习中遇到的问题及解决

问题1:找不到listen.pcap文件
解决办法:翻遍了kali虚拟机,以为在本机上,后经邹宇豪同志提醒发现在学习通里,但是kali的vmtools一直修不好,后来用了一个云端共享软件传了一下就好了
问题2:kali虚拟机的鼠标光标找不到,一直靠感觉摸索着做完了前三次实验。
解决办法:经张致豪、吴岳峰同学提醒,是由于直接在官网下的kali版本与vmware不匹配问题,在vmware中选项,自定义硬件部分将版本调到17.0后,光标就可见了,感谢!

4.感悟思考

​ 本次实验通过tcpdump和Wireshark两种抓包工具,实践了网络数据包的捕获与分析技术。在访问www.tianya.cn时发现,网站首页并非单一服务器提供服务,而是由多个Web服务器协同响应,这体现了大型网站使用CDN加速和分布式架构的特点。通过Wireshark分析Telnet登录BBS的过程,直观展示了Telnet协议的严重安全缺陷:用户名和密码在网络中以明文形式传输,任何在网络中监听的人都能通过“Follow TCP Stream”功能直接获取登录凭证,这正是Telnet被SSH取代的根本原因。

​ 本次实验的核心收获在于理解了网络通信的透明性与脆弱性:一方面,任何网络通信都会在传输过程中留下可被捕获的数据痕迹;另一方面,明文传输协议(如Telnet、HTTP)和未加密的服务端口(如23、21)构成了网络安全的薄弱环节,成为攻击者的突破口。从安全防护角度,加密通信(SSH替代Telnet、HTTPS替代HTTP)、最小端口开放原则、以及通过snort等入侵检测系统对异常扫描行为的监控,都是防御此类攻击的有效手段。实验也让我认识到,无论是作为攻击者还是防御者,掌握数据包分析能力都是网络安全工作的基本功——攻击者利用它寻找漏洞,防御者利用它发现威胁,而技术的价值最终取决于使用者的目的和职业道德。

posted @ 2026-03-30 14:12  Rainloop  阅读(7)  评论(0)    收藏  举报