20212801 2021-2022-2 《网络攻防实践》第三周作业

1.实验要求

(1)动手实践tcpdump

使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探,回答问题:你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?

(2)动手实践Wireshark

使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:

  1. 你所登录的BBS服务器的IP地址与端口各是什么?
  2. TELNET协议是如何向服务器传送你输入的用户名及登录口令?
  3. 如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?

(3)取证分析实践,解码网络扫描器(listen.cap)

  1. 攻击主机的IP地址是什么?

  2. 网络扫描的目标IP地址是什么?

  3. 本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?

  4. 你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。

  5. 在蜜罐主机上哪些端口被发现是开放的?

  6. 攻击主机的操作系统是什么?

2.实验过程

  (1)动手实践tcpdump

  shell:tcpdump src 192.168.200.64 and tcp dst port 80 and tcp[13] & 18=2

  

 

 

   访问了4个web服务器,IP地址为:124.225.206.22、124.225.69.77、124.225.135.230、124.225.214.214

(2)动手实践Wireshark

telnet工作原理:

  第一步就是通过telnet端口,使本地跟远程的主机通信。确切的说是建立一个TCP的连接,在这个过程中,我们必须要知道远程主机的域名还有Ip地址才可以进行访问。

  第二步就是给远程计算机所传送的数据一般都是NVT格式的数据,它们的内容主要是我们所输入的一些数据命令或者是口令等符号。实际上这整个的一个过程概括的讲就是从本地计算机给远程计算机发射一个IP数据包的过程。

  第三步就是把远程的主机所传送过来的数据,一般是NVT格式,通过某种协议转换成我们本地的可以接受的一种格式,到达我们的终端。这些数据主要包括我们的命令回显以及一些执行命令所产生的结果。

ip地址:202.120.225.9、端口号:23

 

 

wireshark追踪tcp流

 

 

 

 

 (3)取证分析实践,解码网络扫描器(listen.cap)

由tcp发起方可以看出攻击机ip为172.31.4.178,靶机为172.31.4.188。

 

 

 安装snort:

 

 

 shell:snort -A console -q -u snort -c /etc/snort/snort.conf -r listen.pcap

本次案例中是使用了nmap发起端口扫描。

 

 

可以看到,攻击者进行了四次攻击

 

 

 

 第一次攻击

nmap -sP ip地址,目的是为了询问靶机状态

 

 

 第二次

nmap -O ip,目的是为了获取靶机的操作系统

 

 

 

 

 

 第三次

SYN半开放扫描,扫描开放端口,整个过程大约交互了13万个包并且扫描的端口次序是随机的,所以推测为全端口扫描

nmap -sS -p 1-65535 ip地址

 

 

 第四次攻击

nmap -sV ip地址。协议的种类多样,可以推测出是开放服务的检测。

 

 

 过滤包可以得出靶机开放了21、22、23、25、53、80、139、445、3306、5432、8009、8180端口号。

 

 

 shell:p0f -r listen.pcap,攻击机系统大概率是linux.2.6.x

3.学习中遇到的问题及解决

  snort安装不了,换源后解决。

4.学习感想和体会

  实验不难,跟着视频慢慢做就行了,怕的是缺少一颗沉得住气的心。本次实验的跟多地方都值得深入研究。

posted @ 2022-04-03 15:53  besti-ttyy  阅读(58)  评论(0编辑  收藏  举报