20252914 2025-2026-2 《网络攻防实践》第3次作业

20252914 2025-2026-2 《网络攻防实践》第3周作业

1.知识点梳理与总结

一、TCPdump 实践相关知识点

1. 数据包嗅探(抓包)基本原理

  • 网卡工作在混杂模式下可以捕获流经网卡的所有数据包

  • tcpdump 是基于 libpcap 的命令行抓包工具

2. DNS 域名解析过程

  • 访问域名 `www.tianya.cn` 前,必须先进行 DNS 查询

  • 核心知识点:DNS 协议、A 记录、递归查询、迭代查询

3. HTTP/HTTPS 访问过程

  • 浏览器访问网站时,会发起TCP 三次握手建立连接

  • 现代网站通常使用 HTTPS(TCP 443端口),替代传统HTTP(80端口)

  • 一个网页会加载多个资源(图片、JS、CSS、广告等),因此会连接多个Web服务器

4. Web 服务器多 IP/多域名现象

  • 大型网站常用部署方式:CDN、负载均衡、多域名资源

  • 核心知识点:CDN 原理、虚拟主机、同站多服务器部署

二、Wireshark + Telnet 实践相关知识点

1. Telnet 协议基础

  • Telnet 是明文传输的远程登录协议,无任何加密机制

  • 默认端口:TCP 23

  • 核心风险:所有数据(用户名、密码、按键操作)均以明文在网络中传输

2. 客户端—服务器交互模型

  • 核心知识点:C/S 架构、TCP 面向连接特性、三次握手建立会话

3. Telnet 明文传输特征

  • 用户输入的用户名、密码会被逐字符或逐行封装在 TCP 段中发送

  • 传输流程:键盘输入 → 应用层 Telnet → 传输层 TCP → 网络层 IP → 数据链路层

4. Wireshark 抓包与协议分析

  • 基础操作:选择抓包接口、设置过滤规则(`telnet` / `tcp.port == 23`)

  • 核心操作:按流追踪(Follow TCP Stream)还原完整会话内容

  • 关键步骤:从数据包负载(Payload)中直接提取明文账号密码

三、取证分析:listen.cap 解码网络扫描器相关知识点

1. 网络取证与流量分析

  • 核心用途:从捕获文件(.cap/.pcap)还原网络攻击行为

  • 分析重点:识别扫描行为、攻击源 IP、目的 IP、扫描类型

2. 网络扫描技术原理

  • 核心目的:端口扫描(判断目标主机端口开放状态)

  • 常见扫描类型:

    • TCP 全连接扫描

    • SYN 半开放扫描(隐形扫描,隐蔽性强)

    • FIN / NULL / XMAS 扫描(规避部分防火墙检测)

  • 核心知识点:TCP 标志位(SYN、ACK、FIN、RST)的作用

3. 扫描行为的流量特征

  • 流量特点1:短时间内大量向目标主机不同端口发送探测包

  • 流量特点2:存在异常的 TCP 标志位组合(如仅发送SYN包)

  • 流量特点3:无正常应用层数据,仅进行连接试探

4. 端口状态判断(基于扫描流量)

  • 开放端口:目标主机回应 SYN+ACK 包

  • 关闭端口:目标主机回应 RST 包

  • 过滤端口:目标主机无响应或返回 ICMP 不可达报文

2.实验过程

一、使用tcpdump开源软件对www.163.com进行嗅探

首先将 Kali 虚拟机的网络适配器设置为桥接模式,确保其可正常访问网站
image

访问baidu.com进行检验:
image

在kali机终端输入ifconfig,查看eth0网卡的IP地址:192.168.31.241
image

输入指令sudo tcpdump -n src 192.168.31.241 and tcp port 80 and "tcp[13]&18=2"(捕获 从 192.168.31.241 主机发送出去、TCP 协议、端口为 80(HTTP 协议)、且 TCP 头部 SYN 标志位为 1、ACK 标志位为 0 的数据包。)
image
出现了6个不同的IP地址,这六个服务器其IP地址分别为:
123.6.194.31,140.207.198.246,162.159.142.9,114.250.69.34,60.9.5.121,23.200.86.218

二、使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析

输入指令sudo wireshark打开kali的wireshark软件,并选择监听网卡为eth0:
image

输入指令luit -encoding GBK telnet bbs.newsmth.net访问水木清华 BBS:
image

guest身份登录后打开wireshark,抓包接口进行筛选过滤tcp.port == 23 || telnet
image

水木清华BBS服务器IP为120.92.212.76,端口为23(默认端口)
通过Follow → TCP Stream追踪TCP数据流可以看到guest身份信息(TCP 传输时数据会拆成很多小包,单独看一个包看不懂内容,追踪流能按序号重组,还原完整明文):
image
TELNET协议过程:
服务器通过 Telnet 发给客户端明文:login: 或 Username:
客户端输入用户名,系统封装成一个 Telnet 数据包并通过 TCP 协议原文字符直接发给服务器

服务器回应 Password: 提示
客户端输入密码时同样逐字符明文发送

三、取证分析实践,解码网络扫描器(listen.cap)

打开listen.cap包
image

进行过滤tcp.flags.syn == 1 and tcp.flags.ack == 0
image
攻击主机IP为:172.31.4.178;被攻击主机IP为:172.31.4.188
从流量特征判断为 Nmap 扫描工具,因其具有典型的 SYN 半开放扫描行为特征。

扫描方法为:TCP SYN 半开放扫描(SYN Scan)
原理:
攻击者只发送 TCP SYN 包,不完成三次握手;
目标回复 SYN+ACK 则端口开放,回复 RST 则端口关闭。
目标端口:
在 Wireshark 里看 dst port,是 1–65535 范围段。

进行过滤tcp.flags.syn == 1 and tcp.flags.ack == 1
image
记录过滤得到的目标端口号即是蜜罐主机的开放端口

sudo apt-get update
sudo apt-get install snort
执行上述指令更新并下载snort

执行以下指令进行分析:
sudo cp /home/kali/Desktop/listen.pcap /etc/snort/listen.pcap
sudo snort -c /etc/snort/snort.lua -r /etc/snort/listen.pcap -A alert_full
image
通过 Snort 对 listen.pcap 抓包文件的分析,该文件记录的流量以大规模 TCP SYN 半开放端口扫描为主,共包含 135580 个数据包(其中 99.95% 为 TCP 包),短时间内产生了 67657 个 TCP 会话,扫描源向目标发送大量 SYN 连接请求,目标则回复大量 RST 包以关闭连接,Snort 成功识别出该端口扫描行为;流量中仅存在少量正常的 HTTP、DNS、Telnet 流量,未检测到漏洞利用、恶意代码传输等其他高危攻击行为,整体符合网络攻击者入侵前进行主机发现、端口探测的信息收集典型特征。

安装并使用p0f工具,对攻击机操作系统版本的查询
sudo apt install p0f
p0f -r /etc/snort/listen.pcap
image
可以看到攻击机的操作系统版本为 Linux 2.6.x

3.学习中遇到的问题及解决

由于有同学的所遇到问题的参考,实验中并没有遇到太多问题,有些指令错误或者分析结果不清楚给AI看看可以解决。

4.学习感悟、思考等)

通过本次网络取证分析实践,我深刻体会到网络安全防护的严谨性与重要性。从复制抓包文件、调试 Snort 命令,到分析流量日志、定位扫描行为,再到借助 Wireshark、p0f 等工具挖掘隐藏的攻击信息,每一步操作都让我明白,网络攻击并非遥不可及,一次简单的端口扫描就可能成为入侵的开端。同时我也认识到,网络流量中藏着大量关键线索,只有熟练掌握抓包、分析工具的使用方法,才能精准识别异常行为、追溯攻击源头、判断攻击意图,为网络防护提供依据。

参考资料

posted @ 2026-04-12 16:37  20252914  阅读(4)  评论(0)    收藏  举报