20211921李楚涵——实验三

1.实验要求
（1）动手实践tcpdump
使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探，回答问题：你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器？他们的IP地址都是什么？
使用nslookup命令查找出www.tianya.cn的IP地址

查询本机IP地址和正在使用的网卡接口

在kali的浏览器输入www.tianya.com

易知浏览器访问了多个Web服务器 IP地址如下图所示：

（2）动手实践Wireshark
使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析，回答如下问题并给出操作过程:
（a）你所登录的BBS服务器的IP地址与端口各是什么？
（b）TELNET协议是如何向服务器传送你输入的用户名及登录口令？
（c）如何利用Wireshark分析嗅探的数据包，并从中获取你的用户名及登录口令？
打开wireshark，在kali终端输入luit -encoding gbk telnet bbs.fudan.edu.cn由此图可以看到，BBS的地址是202.120.225.9


由此图可以看到BBS和端口号

注册账号为lichuhan 密码是123456 通过wireshark也可以看到账户密码














通过追踪tcp流也可以看到账户密码

（3）取证分析实践，解码网络扫描器（listen.cap）
（a）攻击主机的IP地址是什么？
（b）网络扫描的目标IP地址是什么？
（c）本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？
（d）你所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么，并描述其工作原理。
（e）在蜜罐主机上哪些端口被发现是开放的？
（f）攻击主机的操作系统是什么？
打开下载好的 listen.pcap，选择菜单栏中的统计->会话，再点击IPv4，可以看到 172.31.4.178 和 172.31.4.188 之间有大量的双向的网络数据包，因此可初步确定这两个是攻击主机IP和网络扫描的目标主机IP。

攻击主机的IP地址是： 172.31.4.178 网络扫描的目标IP地址是： 172.31.4.188
将 listen.pcap 复制到kali虚拟机中，使用snort对二进制记录文件进行入侵检测。

可以发现本次攻击是使用nmap发起的。

扫描前nmap会通过arp更新目标MAC地址，所以使用Wireshark的过滤器扫描出arp包，可以看到共进行4次nmap扫描：who has 172.31.4.188?tell172.31.4.178

可以看出攻击机第一次nmap扫描和第二次nmap扫描之间没有数据包,则第一次nmap扫描为探测目标IP是否活跃，指令为 nmap -sP 172.31.4.188
观察第二次扫描后的数据包，发现有大量的TCP协议、ICMP协议、UDP协议数据，并使用了大量构造的标志位，以触发不同的响应包。

猜测该扫描为主动探测操作系统 nmap -O 扫描。
第三次ARP后均为TCP协议数据，并且数据量庞大(从2071排到了133219)，可以看到在数据包中存在大量SYN请求包。

通过过滤器搜索 tcp。

可以看到序号9、10、13是一组半开放扫描，下面红色和蓝色框框中的也是类似，分别监测出目标主机的23号端口、80号端口和139号端口开放。绿色框框中，攻击主机对目标机的955号端口发送了SYN包，该端口返回一个 TCP RST & ACK 包，说明该端口关闭。猜测以扫描的指令可能为 nmap -sS -p 1-65535 172.31.4.188 进行TCP SYN全端口扫描。
在TCP的端口中，某些端口是确定的，比如22号端口用于ssh登录。以22号端口为例使用过滤器命令为 tcp.port == 22。

发现除了建立TCP SYN扫描，还建立了ssh连接，这是为了探测靶机的网络服务，于是猜测攻击机对靶机进行了 -sV 的版本扫描。
通过过滤器的 tcp.flags.syn == 1 and tcp.flags.ack == 1 可以过滤出SYN | ACK的数据包，这是目标主机反馈攻击主机的端口活跃信息。可查看靶机的开放端口有：21 22 23 25 53 80 139 445 3306 3632 5432 8009 8180

使用p0f工具，p0f是一款被动探测工具，能够通过捕获并分析目标主机发出的数据包来对主机上的操作系统进行鉴别，即使是在系统上装有性能良好的防火墙的情况下也没有问题。
在终端先输入 sudo apt-get install p0f安装p0f，再输入 sudo p0f -r listen.pcap 探测，得知版本为linux 2.6.x。

2.学习中遇到的问题及解决
问题1：在这一步的位置一直不对

问题1解决方案：通过更改位置，终于成功


3.学习感想和体会
本章学习了tcpdump的一些命令，其中使用nmap进行网络服务类型探查时wireshark抓包的分析还是不很清楚。多动手，在网上多查资料，才可以完成实验。