20211908 孟向前 2021-2022-2 《网络攻防实践》第三周作业

实践三 网络嗅探与协议分析
1.实验要求
（1）动手实践tcpdump
使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探，回答问题：你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器？他们的IP地址都是什么？
将Kali虚拟机网络连接模式改为桥接模式，查询本机IP地址为192.168.43.68

打开Kali虚拟机终端，输入命令sudo tcpdump -n src 192.168.43.68 and tcp port 80 and “tcp[13] & 18=2”

在浏览器打开网址“天涯论坛”，监听结果进行分析。
观察发现主要访问的Web服务器。

五个Web服务器，IP地址如下：
124.225.206.22
124.225.69.77
124.225.135.230
124.225.214.206
124.225.214.214
（2）动手实践Wireshark
使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析，回答如下问题并给出操作过程:
a.你所登录的BBS服务器的IP地址与端口各是什么？
b.如何利用Wireshark分析嗅探的数据包，并从中获取你的用户名及登录口令？
在Kali虚拟机中输入luit -encoding gbk telnet bbs.fudan.edu.cn(指定编码格式)访问复旦大学BBS服务器，发现其IP地址为202.120.225.9

本地打开wireshark，并开始捕获。

通过wireshark发现其端口为23，通过追踪TCP流发现其用户名为GUEST.

c.TELNET协议是如何向服务器传送你输入的用户名及登录口令？
telnet是使用明文向服务器传送用户名和登录口令的。
（3）取证分析实践，解码网络扫描器（listen.cap）
在Kali虚拟机安装snort:

打开listen.pcap所在的文件夹，输入命令：
Snort -A console -q -u snort -c /etc/snort/snort.conf -r listen.pcap

出现错误，把权限提升至root,并把listen.pcap复制到root目录下新创建的文件夹里，再次输入刚才的命令。

a.攻击主机的IP地址：172.31.4.178
b.网络扫描的目标IP地址：172.31.4.188
c.本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？
用snort分析listen.pcap可知分析工具为nmap.
d.你所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么，并描述其工作原理。
用Wireshark打开listen.pcap,分析查找。

nmap -sP 172.31.4.188 活跃主机检测
nmap -O 172.31.4.188 扫描操作系统
nmap -sS 1-65535 172.31.4.188 扫描开放端口
nmap -sV 172.31.4.188 扫描开放的服务
e.在蜜罐主机上哪些端口被发现是开放的？
21，22，23，25，53，80，139，445，3306，5432，8009，8180

f.攻击主机的操作系统是什么？
输入命令：apt-get install p0f，安装p0f

安装成功，输入命令：p0f -r listen.pcap

执行完毕

可得攻击机的操作系统是Linux 2.6.x
2.学习中遇到的问题及解决
问题：工具操作命令无法执行
解决：许多工具需要先开启root模式，然后才能进行操作。
3.学习感想和体会
通过本次实验，学习了tcpdump和namp的一些命令，以及wiresharkd，snort和p0f工具的相关操作，还不是很熟练，需要多总结多练习。