20199312 2019-2020-2 《网络攻防实践》第4周作业

《网络攻防实践》第4周作业

---

总体结构

这个作业属于哪个课程	https://edu.cnblogs.com/campus/besti/19attackdefense
这个作业的要求在哪里	https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10518
我在这个课程的目标是	学习网络攻防知识，增强动手实践能力。
这个作业在哪个具体方面帮助我实现目标	学习网络信息收集相关技术
作业正文	见下
参考文献	[1].https://www.cnblogs.com/wszme/p/9065268.html
目录 总体结构 1.实践内容 网络嗅探 2.实践过程 tcpdump对天涯论坛进行嗅探 wireshark对网站抓包获取账号密码 取证分析实践，解码网络扫描 攻击主机的IP地址和目的ip地址？ 本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？ 你所分析的日志文件中，攻击者使用了哪种扫描方法，扫描的目标端口是什么，并描述其工作原理。 攻击主机的操作系统是什么？ 攻防对抗实践 3.学习中遇到的问题及解决 4.实践总结

1.实践内容

网络嗅探

• 网络嗅探概述：嗅探器（Sniffer）就是能够捕获网络报文的设备，同时所有的协议分析程序也都称为嗅探器。嗅探器既可指危害网络安全的嗅探程序，也可指网络管理工具。
  嗅探技术按照链路可以分为：有线局域网和无线局域网嗅探技术；也可以按照实现方式分为：软件嗅探器（如Wireshark、tcpdump等等。价廉物美，易于学习使用，也易于交流，但无法抓取网络上所有的传输。）和硬件嗅探器（通常称为协议分析仪，一般都是商业性的，价格也比较贵。），
• 网络嗅探的实现原理：以太网通过使用CSMA/CD协议的共享通信信道进行消息传输。当网卡处于混杂模式下，能够接受一切通过它连接的以太网络的数据帧。
  共享式网络和交换式网络：通过集线器进行连接的网络称为共享式网络，其网络拓扑呈总线的形式，这种连接方式导致同一集线器上的任一主机的数据包将发送到每一台主机；通过交换机连接的网络称之为交换式网络，在交换机中存在“MAC地址-端口映射表”，与交换机相连的任意主机的数据包将定向发送到特定的网卡。
• 交换式网络中的网络嗅探技术：MAC地址洪泛攻击、MAC欺骗、ARP欺骗
• 网络嗅探软件介绍
  类Unix平台下的嗅探软件：tcpdump
  tcpdump可以将网络中传送的数据包完全截获下来提供分析。
  基本命令

//监视指定接口数据包
tcpdump -i eth1
//截获指定ip的数据包
tcpdump host 192.168.1.1
//截获指定ip与指定ip间的数据包
tcpdump host 192，168.1.1 and 192.168.1.2
//截获指定主机、端口的数据包
tcpdump tcp port 90 and host 192.168.1.1

windows平台下的嗅探软件：wireshark

2.实践过程

tcpdump对天涯论坛进行嗅探

sudo tcpdump tcp dst port 80

在terminal中输入上面的代码，获取本机访问的80端口的数据。通知在浏览器中访问天涯论坛。接下来抓包如图所示。

经观察发现访问了一下几个服务器IP
203.208.50.55 经查为google的服务器
221.182.218.244 天涯的服务器
221.182.218.238 访问后为天涯的登陆页面
221.182.218.151 天涯服务器
sucuri.net 一家网络安全公司

wireshark对网站抓包获取账号密码

本机搭建了一个服务器，使用普通的http协议，对此进行抓包，步骤如下：
（1）在浏览器中登陆网址：http://lichen.utools.club/login.php
（2）网页打开成功后，运行wireshark，单机开始按钮抓包。
（3）转到网页的登陆界面，输入测试账号和密码登陆。

（4）在wireshark中单机捕获—停止按钮停止抓包，这时对捕获到的许多数据包进行过滤。在过滤器中输入http,此时会显示所有的HTTP报文。

（5）在HTTP中，定义了客户端和服务器交互的不同方法，其中最基本的方法就是GET和POST。GET和POST这两种方法都能用于客户端向服务器提交数据，常用于用户向服务器提交请求的页面路径或者个人信息等，如用户登录信息。在数据包列表中选择info项有POST或者GET字样的数据包，数据详情栏如图所示
（6）在图中可以看出数据包列表中的包含POST的HTTP数据包显示了登录的账号为lichen，密码为lichen，说明账号和密码在网络中传输时是明文传输。

取证分析实践，解码网络扫描

1. 攻击主机的IP地址是什么？
2. 网络扫描的目标IP地址是什么？
3. 本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？
4. 你所分析的日志文件中，攻击者使用了哪种扫描方法，扫描的目标端口是什么，并描述其工作原理。
5. 在蜜罐主机上发现哪些端口是开放的？
6. 额外奖励问题：攻击主机的操作系统是什么？

攻击主机的IP地址和目的ip地址？

打开下载好的 listen.pcap，选择菜单栏中的统计->会话，再点击IPv4，可以看到 172.31.4.178 和 172.31.4.188 之间有大量的双向的网络数据包，因此可初步确定这两个是攻击主机IP和网络扫描的目标主机IP。

查看会话数据包内容，发现所有的请求数据包（如TCP SYN包）则是从172.31.4.178发起，所有的响应数据包（如SYN/ACK包）均是从172.31.4.188发出。

攻击主机的IP地址是： 172.31.4.187
网络扫描的目标IP地址是： 172.31.4.188

本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？

使用snort对二进制记录文件进行入侵检测。

sudo apt-get update
sudo apt-get install snort  // 安装snort
sudo chmod 777 /etc/snort/snort.conf // 给予snort.conf可读可写可执行权限
snort -A console -q -u snort -c /etc/snort/snort.conf -r ~/listen.pcap // -A开启报警模式，-q不显示状态报告，，-u为初始化后改变snort的UID，-c为使用后面的配置文件，进入IDS模式，-r从pcap格式的文件中读取数据包

可以发现本次攻击是使用nmap发起的。

你所分析的日志文件中，攻击者使用了哪种扫描方法，扫描的目标端口是什么，并描述其工作原理。

在每次扫描前，nmap会通过arp更新目标MAC地址，如图共更新了四次。所有nmap共攻击了四次。

其中第一次没有数据包，所以第一次作为ARP的单独扫描，也就是使用nmap -sp命令判断网段中活跃的主机

判断第二次nmap扫描，扫描端口数量并不太多，并且由下图所示，发现了很多有特殊含义的端口，说明对于端口来说是有针对性的，因此认为是通过nmap-O探测靶机的操作系统。

第三次扫描的端口数大致往返包大致为12W说明是大量的扫描了端口，所以第三次扫描的参数应该是nmap -sS。

使用命令tcp.port == 80（80为web服务端口）过滤文件数据。发现攻击机对靶机进行4次扫描过程。可以看出在第二三次扫描都只是建立了连接就结束了，但在第四次扫描的时候出现了http连接；使用命令tcp.port == 22（22为ssh端口）可知第二三次都是确定目标端口打开，第四次出现了ssh连接。由此知道第四次探知22端口服务的软件版本。因此第四次扫描为nmap -sV，探测靶机上开放的网络服务。


通过过滤器的 tcp.flags.syn == 1 and tcp.flags.ack == 1 可以过滤出SYN|ACK的数据包，这是目标主机反馈攻击主机的端口活跃信息。

靶机的开放端口有：21 22 23 25 53 80 139 445 3306 3632 5432 8009 8180

攻击主机的操作系统是什么？

搜索ICMP，查看

不同的操作系统的默认TTL值是不同的， 所以我们可以通过TTL值来判断主机的操作系统，下面是默认操作系统的TTL：
LINUX 64
WIN2K/NT 128
WINDOWS 系列 32
UNIX 系列 255
按经验来说TTL值为64说明操作系统为LINUX
但是通过测试win10的TLL值也是64

并且当用户修改了TTL值的时候，就会误导我们的判断，所以这种判断方式也不一定准确。
按照其他同学的方法通过p0f获取了攻击机的操作系统LINUX2-6-x

p0f -r listen.pcap

攻防对抗实践

任务：攻击方用nmap扫描，防守方用tcpdump嗅探，用wireshark分析，并分析出攻击方的扫描目的以及每次使用的nmap命令。
靶机 tcpdump -i eth0 -w *.pcap监听并且保存文件。
使用kali攻击LInux靶机nmap -O 192.168.200.10
读取内容 tcpdump -r *.pcap

3.学习中遇到的问题及解决

• 问题1：kali中文乱码
• 问题1解决方案：

1. 在命令行输入”dpkg-reconfigure locales”。进入图形化界面之后，（空格是选择，Tab是切换，*是选中），选中en_US.UTF-8和zh_CN.UTF-8，确定后，将en_US.UTF-8选为默认。
2. 安装中文字体，”apt-get install xfonts-intl-chinese “和” apt-get install ttf-wqy-microhei”，这时发现网页不乱码，系统也不乱码。
3. 重启
   注：kali自带软件院下载速度过慢，通过一下代码更换软件源
   首先打开软件源配置文件

vim /etc/apt/sources.list

在文末加入添加中科大软件源镜像

deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib
deb-src http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib

4.实践总结

kali中文乱码问题花费了我大量的时间进行解决，原因是马虎，输错命令，导致连英文都乱码了。