20242802 2023-2024-2《网络攻防实践》第三周作业

20242802 2023-2024-2 《网络攻防实践》第三周作业

目录

• 20242802 2023-2024-2 《网络攻防实践》第三周作业
  • 1.实验内容和主要知识点
  • 3.实验过程
    • （1）动手实践tcpdump
    • （2）动手实践Wireshark
    • （3）取证分析实践，解码网络扫描器（listen.cap）
  • 4.学习中遇到的问题及解决
  • 5.学习感悟、思考

1.实验内容和主要知识点

1. tcpdump 嗅探实验：通过 tcpdump 对访问天涯社区网站的过程进行网络包捕获，分析浏览器访问过程中涉及的 Web 服务器数量及其 IP 地址。实验中涉及网络包的捕获命令设置，以及对捕获到的网络包中源 IP、目的端口等信息的筛选和解读。
   • 使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探，回答问题：你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器？他们的IP地址都是什么？
2. Wireshark 分析 TELNET 登录实验：利用 Wireshark 捕获以 TELNET 方式登录 BBS 的数据包，分析登录过程中用户名和密码的传输方式，以及如何从捕获的数据包中提取登录信息。
   • 你所登录的BBS服务器的IP地址与端口各是什么？
   • TELNET协议是如何向服务器传送你输入的用户名及登录口令？
   • 如何利用Wireshark分析嗅探的数据包，并从中获取你的用户名及登录口令？
3. 取证分析实验：通过 Wireshark 分析 pcap 文件，确定攻击主机和目标主机的 IP 地址，识别使用的扫描工具和扫描方法，分析扫描过程中的端口开放情况以及攻击主机的操作系统类型。实验中涉及 pcap 文件的加载和分析，使用 p0f 工具对操作系统进行识别，以及 nmap 命令的使用来对目标主机进行进一步的扫描和分析。
   • 攻击主机的IP地址是什么？
   • 网络扫描的目标IP地址是什么？
   • 本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？
   • 你所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么，并描述其工作原理。
   • 在蜜罐主机上哪些端口被发现是开放的？
   • 攻击主机的操作系统是什么？

• 网络嗅探：网络监控技术，用于捕获和分析网络中传输的数据包。它通过监听网络接口，获取经过该接口的所有网络通信数据，并对这些数据进行解析和分析，可以了解网络流量的内容、结构和行为。
• tcpdump：开源的命令行网络嗅探工具，可以根据特定的协议、IP 地址、端口号等条件捕获数据包。

3.实验过程

（1）动手实践tcpdump

使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探，回答问题：你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器？他们的IP地址都是什么？

首先将kali虚拟机网络适配器变为桥接模式

确定本机的ip为：192.168.31.22

确定IP后可以把进行监听

sudo tcpdump -n src 192.168.31.22 and tcp port  80 and "tcp[13]&18=2"

开始监听之后，访问网站，进行嗅探。视频中访问的是天涯www.tianya.cn网站，现在已经无法访问，我们想再访问天涯可以通过如下网址：

https://top.chinaz.com/site_www.tianya.cn.html

• 浏览器将访问多少个Web服务器？他们的IP地址都是什么？

123.129.194.153
60.9.5.124.80
60.222.116.80
192.168.200.108
2.23.77.188.80

（2）动手实践Wireshark

使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析

首先进入BBS，并打开wireshark，筛选出telnet查看监听的报文：

luit -encoding gbk telnet bbs.mysmth.net

可以根据找的清华的IP：120.92.211.176，打开wireshark，双击选择eth0网卡，来捕获

• 所登录的BBS服务器的IP地址与端口各是什么？

在过滤器中输入telnet筛选出对应的数据包，可以看到BBS服务器IP地址是120.92.212.76，端口是23

• 如何利用Wireshark分析嗅探的数据包，并从中获取你的用户名及登录口令？

输入guest可以以访客登录，此时选择追踪TCP可以看到输入的用户名guest

• TELNET协议是如何向服务器传送你输入的用户名及登录口令？

（3）取证分析实践，解码网络扫描器（listen.cap）

打开Kali虚拟机，在WireShark中进行listen.pcap文件的分析

kali虚拟机在之前没有安装过snort,先进行安装

sudo su
sudo apt-get update 
sudo apt-get install snort

查看snort 版本

将listen.pcap文件传入虚拟机并且移动到指定文件下

安装并使用p0f工具，对攻击机操作系统版本的查询

sudo apt install p0f

• 攻击主机的IP地址是什么？网络扫描的目标IP地址是什么？攻击主机的操作系统是什么？

sudo p0f -r /home/kali/Desktop/listen.pcap

找到攻击主机的IP：172.31.4.178

网络扫描的目标IP：172.31.4.188

攻击主机的操作系统：Linux 2.6.X

筛选arp

通过nmap命令扫描的目标是否活跃并且对其操作系统，端口和服务进行查看

nmap -P 172.31.4.188 
nmap -O 172.31.4.188 
nmap -sS -P 1-65535 172.31.4.188 
nmap -sV 172.31.4.188 

筛选tcp数据包

• 在蜜罐主机上哪些端口被发现是开放的？

通过筛选可以查看哪些端口是活跃的：

tcp.flags.syn == 1 and tcp.flags.ack == 1

分别是端口：80，443，23等

4.学习中遇到的问题及解决

• 问题1：kali虚拟机无法联网
  

• 问题1解决方案：

修改/etc/network/interfacesi文件后重连网络就可以ping通baidu了

  GNU nano 8.2                   /etc/network/interfaces                            
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface
auto eth0
iface eth0 inet dhcp

• 问题2：复旦大学bbs无法访问。
• 问题2解决方案：更换成水木清华社区进行实验 ，通过luit -encoding gbk telnet bbs.mysmth.net 进入清华的bbs。

5.学习感悟、思考

在实验过程中，使用 tcpdump 和 Wireshark 进行网络包捕获和分析，让我感受到了网络通信的复杂性和数据包的丰富信息，本次实验之前我也曾使用过Wireshark但是只抓取过tcp的数据报。通过分析访问网站和登录 BBS 的过程，我看到了网络协议在实际应用中的运行机制。特别是 TELNET 协议的明文传输特性，让我深刻认识到在不安全的网络环境下，用户的敏感信息很容易被窃取。在取证分析实验中，通过对 pcap 文件的分析，我学习到了如何识别网络攻击行为和攻击者的手段。了解攻击者使用的扫描工具和扫描方法，以及如何通过网络包分析确定攻击主机和目标主机的信息，让我对网络安全事件的调查和分析有了更清晰的思路。同时，也了解了p0f 工具对操作系统进行识别的使用方法。