20252801 2025-2026-2 《网络攻防实践》第3次作业

1. 实验内容

本周主要学习了网络嗅探与协议分析技术，包括以下内容：

• tcpdump 工具的使用：学习如何使用命令行抓包工具对网络流量进行捕获和分析
• Wireshark 工具的使用：学习使用图形化网络协议分析工具进行数据包捕获与协议分析
• 网络取证分析：通过对 pcap 文件的分析，识别网络攻击行为、扫描工具和攻击手法

核心知识点包括：

• 网络数据包的结构与传输原理
• TCP/IP 协议栈的工作机制
• 明文传输协议（如 TELNET）的安全隐患
• 端口扫描技术的原理与识别方法

2. 实验过程

2.1 动手实践 tcpdump

实验目的： 使用 tcpdump 对访问 www.163.com 网站过程进行嗅探

操作步骤：

1. 打开终端/命令行工具
2. 查看本机 IP 地址：192.168.200.8
   
   切换到root权限后输入命令tcpdump -n src 192.168.200.8 and tcp port 80 and "tcp[13] & 18 =2"对本机的网络访问进行嗅探
   打开chrome浏览器访问www.163.com，查看终端中显示的嗅探信息。
   
   可看到访问了6个web服务器
   34.107.221.82
   60.29.234.35
   106.39.192.149
   119.118.172.239
   114.250.70.36
   23.11.39.161

2.2 动手实践 Wireshark

实验目的： 使用 Wireshark 对 TELNET 方式登录 BBS 进行嗅探与协议分析

操作步骤：

1. 打开 Wireshark，选择监听网卡
   

2. 开始抓包
   输入luit -encoding gbk telnet bbs.mysmth.net，以guest身份访问
   
   通过输入telnet进行筛选，发现120.92.212.76和本机IP有大量数据往来
   
   可以看到BBS服务器IP地址是120.92.212.76，端口是23
   
   Q1：你所登录的BBS服务器的IP地址与端口各是什么？
   IP地址为120.92.212.76
   端口号为23
   Q2：TELNET协议是如何向服务器传送输入的用户名及登录口令？
   客户端与服务器建立 TCP 连接
   服务器发送：login:
   输入用户名，客户端直接以明文字符发给服务器
   服务器发送：Password:
   输入密码，客户端同样明文发送，只是本地屏幕不显示
   服务器验证通过，进入 shell
   Q3：如何利用Wireshark分析嗅探的数据包，并从中获取用户名及登录口令？
   以自己的用户名和密码登录清华大学水木社区，在wireshark中找到telnet协议的流量并追踪tcp流，查找用户名和密码即可获取。（由于该网站目前不能注册，所以仍是游客身份登录演示）
   

2.3 取证分析实践 - 解码网络扫描器（listen.cap）

实验目的： 对提供的网络扫描日志文件进行取证分析

首先，安装snort
sudo su
sudo apt-get update
sudo apt-get install snort

查看snort版本：

将listen.pcap文件准备好（可以直接在kali的谷歌浏览器上下载，不必使用FTP传输）并且移动到指定文件下

这里借鉴了汤芯慈同学的方法
输入命令查看攻击主机和目标主机的IP地址，查看 pcap 整体流量，筛选IP通信。显示出大量连续、单向的探测包。
tshark -r listen.pcap -T fields -e ip.src -e ip.dst | head -20

Q1.攻击主机的IP地址是什么？
攻击主机的IP：172.31.4.178
Q2.网络扫描的目标IP地址是什么？
扫描目标IP：172.31.4.188

统计源IP、目的IP流量次数。协议层次统计显示13万多的TCP包，大量TCP SYN单向发包，属于典型端口扫描行为。
tshark -r listen.pcap -qz io,phs

Nmap 扫描有特征指纹（特殊 TCP 标志位、扫描顺序、TTL 值）。输入命令：
tshark -r listen.pcap -Y "tcp.flags.syn==1 && tcp.flags.ack==0"

本次案例中是使用了哪个扫描工具发起这些端口扫描？是如何确定的？
Nmap扫描
流量中出现 Nmap 特征指纹和典型 SYN 半开放扫描行为

查看攻击者扫描的所有目标端口
tshark -r listen.pcap -Y "ip.src==172.31.4.178" -T fields -e tcp.dstport | sort -n | uniq

所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么，并描述其工作原理。
TCP SYN 半开放扫描
扫描的目标端口：1-65535端口
攻击机发送SYN 包，目标机开放端口回复SYN+ACK，关闭端口回复RST，攻击机不回复 ACK，不建立完整连接，隐蔽性强。

筛选目标机回复 SYN+ACK 的包，提取开放端口。输入命令：
tshark -r listen.pcap -Y "ip.src==172.31.4.188 && tcp.flags.syn==1 && tcp.flags.ack==1" -T fields -e tcp.srcport | sort -n | uniq

在蜜罐主机上哪些端口被发现是开放的？
开放端口为21，22，23，25，53，80，139，445，3306，3632，5432，8009，8180

安装p0f。输入指令：sudo apt install p0f

识别攻击机操作系统。输入命令：
p0f -r listen.pcap "host 172.31.4.178"

可以看到攻击机的主要系统：
Linux 2.6.x

3. 学习中遇到的问题及解决

• 问题 1： [listen.pcap没找到，找到后也不知道怎么传输]

  • 解决方案： [询问同学得知listen.pcap在学习通的课件上。其次，没想到直接在kali上使用浏览器下载，我愚蠢地以为将文件通过ftp方式传输过去。我的电脑vmware tool有问题，故不能直接拖拽传输]

• 问题 2： [清华社区没账号密码]

  • 解决方案： [根据官方说明，guest模式也可以进入，省的自己注册帐号了]

4. 学习感悟、思考

通过本次tcpdump 抓包嗅探、Wireshark 协议分析、网络扫描取证解码三项实践，我系统掌握了网络流量捕获、协议交互解析与攻击行为溯源的核心方法，对 TCP/IP 通信机制、常见应用协议原理及网络扫描特征有了更直观、深入的理解。