实践三 网络嗅探与协议分析

1 实验过程

1.1 动手实践tcpdump

使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探，回答问题：你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器？他们的IP地址都是什么？

访问天涯主页，输入"sudo tcpdump src 192.168.200.4 and tcp dst port 80"。

图1.1 www.tianya.cn的IP

从图中可以看出有一下IP：

117.18.237.29

60.217.246.6

124.255.135.230

124.255.65.173

124.255.206.22

124.255.135.230

117.18.237.29

然后通过"nslookup tianya.cn"命令查看www.tianya.cn对应的IP地址，验证我们tcpdump的正确性。

图1.2 验证www.tianya.cn的IP

可以看出124.255.206.22是www.tianya.cn的IP。

1.2 动手实践Wireshark

使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析，回答如下问题并给出操作过程:

1.2.1 你所登录的BBS服务器的IP地址与端口各是什么？

首先打开Wireshark，然后在终端输入"luit -encoding gbk telnet bbs.fudan.edu.cn"进入复旦大学BBS论坛。

图1.3 复旦大学BBS论坛

之后利用Wireshark捕获，选择Protocol方式，捕获后可以看到地址为：202.120.225.9，可以看出端口为23。

图1.4 端口和IP

1.2.2 TELNET协议是如何向服务器传送你输入的用户名及登录口令？

Telnet协议在传输用户名和密码时采用的时明文传输。Telnet连接的时候直接建立TCP连接，所有传输的数据都是明文传输，所以是一种不安全的方式。

1.2.3 如何利用Wireshark分析嗅探的数据包，并从中获取你的用户名及登录口令？

点击相关数据包进行分析，追踪TCP流，选择对话，可以看出是明文传输。

图1.5 用户名和密码

可以看到嗅探的数据包用户名为guest，密码为空。

1.3 取证分析实践，解码网络扫描器（listen.cap）

1.3.1 攻击主机的IP地址是什么？

首先下载云班课上分享的listen.pcap，用wireshark打开待分析的二进制记录文件。然后在菜单栏中Statistics（统计）下的Conversation（会话），选择IPV4。

图1.6 统计图

可以看出只有172.31.4.178和172.31.4.188之间有大量的双向网络数据包，因此可初步确定两者为攻击主机IP和目标主机IP。再选择过滤TCP数据包，查看会话数据包内容，所有的请求数据包则是从172.31.4.178发起，可以确定172.31.4.178是攻击主机。

图1.7 攻击机和目标IP

因此攻击主机的IP地址是172.31.4.178。

1.3.2 网络扫描的目标IP地址是什么？

图1.7可以看出响应数据包均是从172.31.4.188发出，172.31.4.188是被扫描的目标主机。网络扫描目标的IP地址是172.31.4.188。

1.3.3 本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？

 

我认为使用的是nmap扫描工具。

因为nmap扫描时使用的指令有一定的特征。即nmap扫描的原理和ping类似，在每次扫描前，nmap会通过arp更新目标MAC地址。根据此特点进行arp包过滤，得到的文件如图1.8。其中找到了四次"who has 172.31.4.188?tell172.31.4.178"，从而可以判定四次扫描的起点是No.5、No.7、No.2071和No.133220这四个数据包。因此第一步次扫描猜测是使用"nmap -sP"指令。

图1.8 分析扫描工具

1.3.4 你所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么，并描述其工作原理。

由于是模拟实验，扫描机和目标机在同一网段，nmap也可以对该类目标采用arp协议进行探测，可以直接在广播域内广播arp request报文，如果收到arp response报文即为活跃。可以得到目标主机mac地址。由于我们已经确定了这些扫描是由nmap所发起的，而nmap在发起端口扫描之前总是先通过ping扫描和针对80端口的探测确定目标主机是否活跃。通过过滤器搜索icmp，可以定位icmp协议对应的ping扫描，实现两次ping扫描。

图1.9 icmp报文的ping扫描

在数据包中存在大量SYN请求包，这是攻击机57738端口向目标主机进行的TCP SYN扫描，目的是用于扫描目标主机的端口是否活跃，如果活跃则目标主机会反馈一个SYN|ACK包，攻击机端口会立刻发送一个RST包关闭这个链接，目标端口不活跃则会反馈RST|ACK包，指令可能为"nmap -sS -p XXX端口 172.31.4.188"。

图1.10 扫描端口

1.3.5 在蜜罐主机上哪些端口被发现是开放的？

输入"tcp.flags.syn == 1 and tcp.flags.ack == 1"过滤条件，可以过滤出SYN|ACK的数据包，即为目标主机反馈扫描机的端口活跃信息。可以确定21,22,23,25,53,80,139,445,3306,3632,5432,8009,8180这几个端口是活跃的。

图1.11 活跃端口

1.3.6 攻击主机的操作系统是什么？

首先需要更新软件源中所有的列表以便安装p0f。

图1.12 更新软件源中所有的列表

然后安装p0f。

图1.13 安装p0f

输入指令"p0f -r /home/kali/Desktop/listen.pcap"，对文件进行分析。

图1.14 p0f开始分析

进行分析探测得到结果，认为是Linux 2.6.X。

图1.15 分析结果

2 学习中遇到的问题及解决

2.1 pf0的安装

pf0安装前需要先更新更新软件源中所有的列表，否则无法安装。

2.2 复旦大学BBS

Lunix和Windows进入复旦大学BBS的指令不一样，使用错误会有乱码。

3 学习感想和体会

通过本次实验，我学习的网络嗅探与协议分析的基本原理和方法。更熟悉使用了各种网络工具，特别是对各种报文的过滤方法。提高了从繁杂的信息中获取有用信息的能力。也提高的自我学习的能力，让我受益匪浅。