20252810 2024-2025-2 《网络攻防实践》实验三

20252810 2024-2025-2 《网络攻防实践》实验三

1.实验内容

  1. 网络嗅探基础:使用 tcpdump 抓取指定主机的流量,理解 -n、host、端口过滤等参数的作用。通过对比访问 163.com 时的抓包结果,发现现代网站普遍使用 HTTPS(443 端口),而非传统的 HTTP(80 端口),加深了对应用层协议演进的认识。

  2. Telnet 协议风险:通过 Telnet 登录水木清华 BBS,体验了明文传输的风险。在 Wireshark 中利用“Follow TCP Stream”功能成功提取出统一的游客密码,直观感受到网络监听对未加密通信的威胁。

  3. 网络扫描取证分析:基于给定的 listen.pcap文件,完成了一次完整的攻击溯源:

    通过分析 SYN 包特征,确定攻击者 IP(172.31.4.178)和目标 IP(172.31.4.188)。

    依据相同的源端口、变化的窗口大小等特征,判断扫描工具为 Nmap。

    识别扫描方法为 TCP SYN 半开扫描,并理解其工作原理。

    通过筛选 SYN+ACK 响应包,列出蜜罐主机上开放的端口。

    根据攻击者数据包的 TTL 值(57)推断其操作系统为 Linux,巩固了基于网络层特征的操作系统指纹识别方法。

2.实验过程

(一)

1.修改网络适配器为NAT模式寻找本机IP地址

1.查找本机ip

2.在kali中输入sudo tcpdump -n host 163.com 并打开www.163.com

2.浏览器访问网址

3.查找163.com的IP地址,对比嗅探到的ip,嗅探成功

3.查163ip

(二)

1.输入luit -encoding gbk telnet bbs.mysmth.net访问清华bbs服务器并登录

4.水木芳华

2.查看telnet确定ip为120.92.212.76

5.清华ip

3.追踪telnet流,选择follow--Tcp Stream

6.找密码

4.找到密码(游客身份登录密码统一)

7.找到密码

(三)取证分析

1.在kali中输入sudo su 输入密码:kali

8.登录root

2.查看所有源IP(排除广播和多播) tcpdump -r /etc/listen.pcap -n | awk '{print $3}' | cut -d. -f1-4 | sort -u | grep -v "0.0.0.0"

10.攻击机的IP

3.查看所有目标IP tcpdump -r /etc/listen.pcap -n | awk '{print $5}' | cut -d. -f1-4 | sort -u | grep -v "0.0.0.0"

11.查看所有源IP

4.查看SYN扫描包 tcpdump -r /etc/listen.pcap -n 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack == 0' | head -20

12.确认地址

Q1,2:攻击主机的IP地址是什么?网络扫描的目标IP地址是什么?

由以上结果分析出攻击者IP 172.31.4.178,目标IP 172.31.4.188

Q3:本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?

使用Nmap进行扫描

判断依据:

  • 使用 TCP SYN 半开扫描(Flags [S])

  • 所有扫描包使用相同的源端口(57738)

  • 窗口大小(win)在 1024、2048、3072、4096 之间变化,符合 Nmap 默认扫描的窗口特征

  • 扫描频率和端口选择模式与 Nmap 常见行为一致

Q4:你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。

扫描方法:TCP SYN 半开扫描(也称为 SYN stealth scan)

目标端口(部分列举):

3306, 139, 995, 23, 80, 110, 5900, 256, 554, 888, 57, 25, 22, 3389, 53, 1723, 135, 1720, 199 等

工作原理:

  • 攻击者向目标端口发送 TCP SYN 包。

  • 若端口开放,目标返回 SYN+ACK;若端口关闭,返回 RST。

  • 攻击者收到 SYN+ACK 后立即发送 RST 包终止连接,不完成三次握手,从而在目标日志中留下较少的连接记录。

  • 通过分析收到的响应类型,攻击者判断端口状态。

5.输入tcpdump -r /etc/listen.pcap -n 'src host 172.31.4.188 and tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0' 2>/dev/null | head -10

13.开放端口查询

Q5:在蜜罐主机上哪些端口被发现是开放的?

21, 22, 25, 80, 83, 139, 445, 3306, 5432

6.输入tcpdump -r /etc/listen.pcap -n -v 'src host 172.31.4.178' 2>/dev/null | head -3

14.

Q6:攻击主机的操作系统是什么?

TTL = 57 → 初始 TTL 64,属于 Linux/Unix 类系统

3.学习中遇到的问题及解决

  • 问题1:桥接模式无法读取IP地址

  • 问题1解决方案:改成NAT模式就可以了

  • 问题2:在terminal运行命令 sudo tcpdump src 192.168.200.3 and tcp dst port 80没有抓到163.com的地址

  • 问题2解决方案:通过询问ai,修改命令为sudo tcpdump -n host 163.com,意为抓取所有163.com的相关流量不限制端口。因为前面的实验中,流量走的是443端口,所以我们在80端口中找不到有关信息。

posted @ 2026-03-30 14:19  小熊维迪  阅读(1)  评论(0)    收藏  举报