emeraldy

博客园 首页 新随笔 联系 订阅 管理
20242903 2024-2025-2 《网络攻防实践》实验三

学号 2024-2025-2 《网络攻防实践》实验三

1.实验要求

(1)动手实践tcpdump

使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探,回答问题:你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?

(2)动手实践Wireshark

使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:

你所登录的BBS服务器的IP地址与端口各是什么?
TELNET协议是如何向服务器传送你输入的用户名及登录口令?
如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?
(3)取证分析实践,解码网络扫描器(listen.cap)

攻击主机的IP地址是什么?

网络扫描的目标IP地址是什么?

本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?

你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。

在蜜罐主机上哪些端口被发现是开放的?

攻击主机的操作系统是什么?

2.实验过程

2.1动手实践tcpdump

这里直接使用的kali上的自带的tcmpdump工具,由于tianya.cn无法访问,于是选择访问sina.com.cn这里输入指令sudo tcpdump -n host www.sina.com.cn



监听到的过程如图,这里打开了新浪首页,然后再点击其中的一条新闻推送,可以看到kali主机192.168.200.6与IP地址为111.13.225.96.443和111.62.129.51.443的两台web服务器进行了交互

2.2动手实践Wireshark




这里我是从BBSguide网站找的第一家最近发布的BBS服务器,名字叫做从13th Floor BBS,地址为13th.hoyvision.com,开放端口为6400,Wireshark 捕获的 TCP 握手数据包中可以看到目的 IP 地址和端口号。他的IP地址和端口号为76.237.109.226,端口号为6400,和网站上的是一样的。



在 Wireshark 的显示过滤器中输入tcp.port==6400,仅显示与 Telnet 相关的数据包。随后使用“TCP Stream”显示整个 Telnet 会话中客户端和服务器之间的数据交互。找到服务器发送的登录提示(如 “login:” 或 “Username:”),以及后续你输入的用户名和提示输入 “Password:” 后你输入的登录口令。由于 Telnet 数据以纯文本形式传输,所有这些信息都是明文可见的。

2.3取证分析实践,解码网络扫描器




首先需要安装snort工具,在kali终端输入如上述的指令后查看snort的版本号如上

下载listen.pacp文件,由于下载了vmware tools因此直接拖动进入kali终端后在wireshark中打开如上,由此可以看到攻击主机应该是172.31.4.178向172.31.4.188发起了TCP连接,但具体发动的何种攻击仍然不知道


使用了snort -c /etc/snort/snort.lua -r /home/kali/Desktop/listen.pcap -A alert_full -l /var/log/snort/命令来查看日志中有无发现是何种攻击,但是无法显示,只有大致的数据包统计和各类型命令总的情况,于是在/etc/snort/snort.lua 文件中加入enable_builtin_rules = true后得以显示,显示的攻击类型如下

发动的是Nmap攻击

在wireshark中查看数据,根据Nmap攻击的基本流程,会先查看目标主机是否活跃,对应上述1-9的Arp包


Nmap中常用的为SYN扫描,在wireshark中过滤器输入tcp.flags.syn == 1 and tcp.flags.ack == 0可以看到

wireshark中输入tcp.flags.syn == 1 and tcp.options.mss过滤器,合理怀疑攻击机输入了nmap -O指令查看靶机的操作系统


过滤tcp.port == 22 or tcp.port == 80 or tcp.port == 443,怀疑攻击机使用了nmap -sV识别目标端口上运行的具体服务及其版本信息


通过tcp.flags.syn == 1 and tcp.flags.ack == 1命令查看到活跃的端口有21、22、23、25、53、80、139、445、3306、8009、8180等

输入指令
sudo apt install p0f
sudo p0f -r listen.pcap后得到分析文件,查找os,操作系统为Linux 2.6.x

3.学习中遇到的问题及解决

  • 问题:查看snort日志中有无发现是何种攻击,但是无法显示
  • 问题解决方案:

    参照同学的解决办法在/etc/snort/snort.lua 文件中加入enable_builtin_rules = true后得以显示,enable_builtin_rules = true 这句话在 Snort 3 的 snort.lua 配置文件中用于启用 Snort 内置规则。如果 不启用(即 enable_builtin_rules = false),那么 Snort 只会使用手动加载的规则(如社区规则 snort3-community-rules 或自定义规则)

4.学习感悟、思考等

对于snort工具使用有了一定的了解度,之前对于wireshark都是抓取捕获流量,还没有对于捕获后的.pcap文件例如listen.pcap进行过分析,这次分析后发现攻击者的每一个命令其实都能通过包寻找到攻击的痕迹,可以推测出攻击者究竟使用的何种攻击指令和攻击的流程,比较有意思。

参考资料

https://www.cnblogs.com/rosy09/p/18772676

posted on 2025-03-18 22:31  emarldy  阅读(31)  评论(0)    收藏  举报