20212907 2021-2022-2 《网络攻防实践》实践三报告

一.实验原理

1.网络嗅探
·网络嗅探是一种窃听的技术，利用靶机的网络接口来截获报文。因为截获的报文时经过协议处理的，所以一般会和协议分析技术结合使用。嗅探技术可以按照链路层协议进行分类，最主要链路层协议是以太网和WiFi，两者间唯一的区别是无线嗅探技术可以分析无线传输协议，而另一个不可。
·网络嗅探需要用到网络嗅探器，其最早是为网络管理人员配备的工具，有了嗅探器网络管理员可以随时掌握网络的实际情况，查找网络漏洞和检测网络性能，当网络性能急剧下降的时候，可以通过嗅探器分析网络流量，找出网络阻塞的来源。
·本节内容用到的嗅探器简介：
TCPDump：网络数据采集分析工具TcpDump 可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。tcpdump就是一种免费的网络分析工具，尤其其提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的FreeBSD系统中，由于它需要将网络界面设置为混杂模式，普通用户不能正常执行，但具备root权限的用户可以直接执行它来获取网络上的信息。

wireshark：网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。
可以用wireshark 读取tcpdump 生成的pcap文件，用wireshark的图形化界面分析tcpdump 结果数据。wireshark 有图形化界面，而 tcpdump 则只有命令行。

2.网络协议分析
网络协议是网络上所有设备(网络服务器、计算机及交换机、路由器、防火墙等)之间通信规则的集合,它规定了通信时信息必须采用的格式和这些格式的意义。为了获取网络嗅探所截获的，经过封包过程组装的，二进制格式原始报文内容中的内部信息，根据TCP/IP协议栈的协议规范重新还原数据包在各个协议层上的协议格式及内容。因此，网络协议分析是网络嗅探器进一步解析与理解捕获数据包必需的技术手段。

二.实验内容及过程

1.动手实践tcpdump
使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探
回答问题：
·你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器？
·他们的IP地址都是什么？

利用tcpdump使用命令tcpdump -n src 192.169.252.156 and tcp port 80 and tcp[13] = 2 or tcp[13] = 18监听默认网卡

从上图可以看出，系统访问了以下的5个web服务器：
124.225.206.22.80
124.225.69.77.80
124.225.135.230.80
124.225.214.206.80
108.138.165.181.80

通过nslookup tianya.cn命令查看www.tianya.cn对应的IP地址

2.动手实践Wireshark
使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析
回答如下问题并给出操作过程:
·你所登录的BBS服务器的IP地址与端口各是什么？
·TELNET协议是如何向服务器传送你输入的用户名及登录口令？
·如何利用Wireshark分析嗅探的数据包，并从中获取你的用户名及登录口令？
（1）终端输入luit -encoding gbk telnet bbs.fudan.edu.cn 命令访问复旦大学BBS
其IP地址显示为202.120.225.9

（2）打开wireshark，过滤器输入 telnet ，即可过滤显示telnet相关的数据包
其端口号显示为23

（3）使用guest账号登录，利用wireshark的tcp流追踪，可以找到完整的用户名口令及其传输过程

观察图片可知Telnet协议在传输用户名和密码时采用明文传输

3.取证分析实践，解码网络扫描器（listen.cap）
·攻击主机的IP地址是什么？
·网络扫描的目标IP地址是什么？
·本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？
·你所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么，并描述其工作原理。
·在蜜罐主机上哪些端口被发现是开放的？
·攻击主机的操作系统是什么？

（1）下载后打开listen.cap!

（2）攻击的IP地址是172.31.4.178， 网络扫描的目标IP是172.31.4.188，即172.31.4.178 利用nmap扫描了172.31.4.188。

（3）命令行安装snort

命令行输入sudo snort -A console -q -u snort -c /etc/snort/snort.conf -r /home/user/桌面/listen.pcap

nmap每次扫描之前都会进行主机活跃探测，可知其扫描工具为nmap

（4）在wireshark中筛选ARP

可确定一共进行了4次扫描。

在wireshark中筛选ICMP，即 nmap -sP

第一次扫描：
攻击者并未向靶机再发送其余数据包，第一次和第二次扫描没有数据包交互，对应命令是nmap -sP

第二次扫描：
观察第二次扫描数据包的交互，通过末尾数据包，发现攻击机针对1端口的数据包，并使用了大量构造的标志位，以触发不同的响应包，主要是进行远程主机的操作系统探测。
由此得出第二次扫描命令为nmap -O。

第三次扫描：
发现往返数据包量为13W，同时浏览其中的数据包类型，大多为SYN标志，对各类不同端口，不产生任何会话，所以应该是指定端口扫描。
使用namp -sS -p 1-65535进行全端口扫描。

第四次扫描：
扫描时间较长，以tcp.port==80作为筛选条件，判断攻击机与靶机之间http链接是否开启。可能是-sV服务探测或者-A全局扫描，具体进一步查找，SYN标志的半开扫描，建立连接，可以确定nmap -sV

以tcp.flags.syn == 1 and tcp.flags.ack == 1作为筛选条件，确定哪些端口开放，得到开放的端口有21,22,23,25,53,80,139,445,3306,3632,5432,8009,8180

（5）在kali中输入命令apt-get install p0f，安装p0f

命令行输入sudo p0f -r /home/user/桌面/listen.pcap，得知攻击机的操作系统为Linux 2.6.x

三.学习中遇到的问题及解决

• 问题1：按同学的方法输入命令修改主机名后，发现无法解析主机
  
• 问题1解决方案：在网上搜索相关的资料，进入root权限将主机名重新修改回来了。

四.学习感悟、思考等

通过这次学习，了解了网络嗅探的相关知识，但是由于之前没有相关基础，所以学起来要从查资料开始。在同学和老师的指导下解决了相关的问题，对网络攻防的相关了解又加深了一步。在网络协议分析的过程中，需要把原理弄通才能更好地进行分析，从而将问题解决。