20252807 2025-2026-2 《网络攻防实践》 第3次作业

1. 实验内容

1.实践tcpdump：使用tcpdump开源软件对在本机上访问网站过程进行嗅探，并回答问题：
你在访问网站首页时，浏览器将访问多少个Web服务器？他们的IP地址都是什么？
2.实践wireshark：使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析，并回答问题：
你所登录的BBS服务器的IP地址与端口各是什么？
TELNET协议是如何向服务器传送你输入的用户名及登录口令？
如何利用Wireshark分析嗅探的数据包，并从中获取你的用户名及登录口令？
3.取证分析实践，解码网络扫描器（listen.cap），并回答问题：
攻击主机的IP地址是什么？
网络扫描的目标IP地址是什么？
本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？
你所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么，并描述其工作原理。
在蜜罐主机上哪些端口被发现是开放的？
攻击主机的操作系统是什么？

2. 实验过程

2.1 实践tcpdump

在kali命令行开启通信抓包访问www.163.com，输入指令如下：

sudo tcpdump -n src 192.168.200.6 and dst host www.163.com

可以看到经过的IP地址为60.221.222.1。

2.2实践wireshark

在kali内部打开wireshark，选择eth0网卡进行监听。

telnet访问精华大学BBS论坛，命令为

luit -encoding gbk telnet bbs.mysmth.net

暂停抓包，得到结果如下：

过滤出telnet包，可以得出BBS服务器的IP地址为120.92.212.76，端口为23：

选择一个包，选择follow，追踪TCP流：

选择GBK显示，得到结果：

可以得出我们的用户名及登录口令为guest。
由于Telnet是明文传输，我们可以直接用wireshark进行嗅探分析。

2.3 取证分析实践

用wireshark打开listen.pcap文件：

首先发起TCP连接的IP是172.31.4.178，可以判定其为攻击机，所以目标IP是172.31.4.188。

安装snort工具：
输入命令：

apt-get update
Y
apt-get install snort

下载完成，进行查看：

接下来可以进行分析了，输入命令查看：

snort -c /etc/snort/snort.lua -r /home/kali/Desktop/listen.pcap -A alert_full

可以得出攻击机使用的是nmap进行的扫描。
然后使用wireshark过滤出arp包，可以推测出在使用nmap -P查看目标主机是否活跃：

在wireshark过滤器中输入

tcp.flags.syn == 1 and tcp.flags.ack == 0

可以看到攻击机使用的是nmap中的SYN扫描。

上图中有大量的SYN和ACK，说明网络层在交互，怀疑攻击机在使用nmap -O查询目标主机的操作系统。

同时，观察包的结构，攻击机还可能使用nmap -sV来扫描开放的服务。

输入命令查看活跃的端口：

tcp.flags.syn == 1 and tcp.flags.ack == 1

可以观察到有21、22、23、25、53、80、139、445、3306、8009、8180等端口活跃。
安装p0f工具，输入命令：

apt-get install p0f

进入listen.pcap所在文件夹，输入命令：

p0f -r listen.pcap

可以得出操作系统为Linux 2.6.x。

3. 学习中遇到的问题及解决

1、在使用snort时，显示如下：

不能显示出是什么攻击。
解决方案：在/etc/snort/snort.lua 文件中加入enable_builtin_rules = true，如下所示：

最终得以显示出：

4.学习感悟、思考等

本次实验让我对网络协议分析有了更直观的认识。通过 tcpdump 捕获访问网页，我学会了从众多数据包中筛选出不同 Web 服务器的 IP，理解了网页加载背后多源请求的原理。使用 Wireshark 分析 TELNET 登录 BBS 时，亲眼看到用户名和口令以明文传输，真切体会到明文协议的脆弱性，也熟练掌握了过滤与追踪流的方法。在解码网络扫描器日志时，逐步还原攻击者的扫描手法、开放端口与操作系统特征，提升了安全取证的分析思路。实验中遇到配置和过滤难题时，同学间互帮互助得以解决，正是这种合作让困难变得迎刃而解。