20199105 2019-2020-2 《网络攻防实践》第四周作业

这个作业属于哪个课程：网络攻防实践

这个作业的要求在哪里：第四次作业-网络嗅探与协议分析

我在这个课程的目标是：学习网络攻防相关技术并进行实践

这个作业在哪个具体方面帮助我实现目标：学习网络嗅探技术与网络协议分析

一、实验内容

网络嗅探

1. 概述：

网络嗅探利用计算机网络接口截获其他计算机的数据报文，以监听数据流中包含的有效信息。实现网络嗅探的工具称为网络嗅探启，由于捕获到的数据报文是经过封包处理的二进制数据，因此还要结合网络协议分析技术进行解析。

2. 原理与实现：

以太网工作原理：以太网采用CSMA/CD协议的共享通信信道进行消息传输以避免冲突，网络中的站点使用广播机制发送数据。以太网中的数据以帧为单位，接口设备通常是网卡。发送数据时，在数据链路层装配上帧头和帧尾，通过MAC地址匹配数据包的目标。

当网卡处于混杂模式下，能够接受一切通过它连接的以太网络的数据帧。

3. 共享式网络和交换式网络：

根据以太网部署方式不同可分为共享式网络和交换式网络两种。

共享式网络通过集线器(Hub)进行连接，网络拓扑基于总线形式，这种连接方式导致同一集线器上的任一主机的数据包将发送到每一台主机
交换式网络通过交换机连接，在交换机中存在“MAC地址-端口映射表”，所有数据帧通过交换机转发。

考虑成本问题，现多使用交换机连接，交换式网络中的网络嗅探技术：

MAC地址洪泛攻击：发送大量虚假MAC地址，导致映射表溢出
MAC欺骗：修改源MAC地址，假冒所在监听的主机网卡
ARP欺骗：利用IP与MAC转换的协议漏洞

4. 不同平台网络嗅探技术实现：

类UNIX平台下，内核态的BPF是类UNIX系统上数据链路层的一种接口，提供原始链路层封包的收发功能；用户态的libpcap类UNIX系统的抓包工具；二者过滤机制进行配合，共同提供UNIX平台的网络嗅探接口。
windows平台下，通过与libpcap相容的WinPcap进行抓取。

5. 网络嗅探软件

类Unix平台下的嗅探软件：libpcap、tcpdump、wireshark和dsniff、sniffit等等
windows平台下的嗅探软件：wireshark、snifferPro等等

网络协议分析

网络协议分析技术原理：

对网络上传输的二进制格式数据包进行解析，从底向上逐层解析网络协议，同时进行IP分片包以及TCP会话的重组，解析与保存各个网络层次上的所有包头字段信息，以及最高层的应用层数据，以恢复出各层网络协议信息以及传输内容。

数据包解析过程如下图。

wireshark过滤命令总结：

ip过滤：以源地址查找包 ip.src==192.168.200.1，以目的地址查找包 ip.dst==192.168.200.2
端口过滤：tcp.port==80，是把源端口和目的端口为80的包都过滤出来tcp.dstport==80只过滤目的端口为80的包，tcp.srcport==80只过滤源端口为80的包
协议过滤：在Filter框中直接输入协议名即可
http模式过滤：
过滤get包，http.request.method=="GET"
过滤post包，http.request.method=="POST"
可以使用and、or、not连接多个条件

二、实践过程

作业一：动手实践tcpdump

实验原理： tcpdump通用的命令行进行网络嗅探与数据包分析，允许用户能从主机所在网络上截取和显示特定的TCP/IP数据包，利用libpcap库捕获数据，支持BPF过滤规则，而libpcap在linux系统链路层中抓包是通过PF_PACKET套接字来实现的。

任务： 使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探，回答问题：你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器？他们的IP地址都是什么？

根据上一章所学，使用nslookup命令查询天涯网站的ip地址为124.225.65.154

首先，使用ifconfig命令查询本机IP地址为192.168.200.68，打开浏览器访问www.tianya.cn，在终端使用命令 sudo tcpdump src 192.168.200.68 and tcp dst port 80，表示只捕获80端口的TCP协议数据包，监听192.168.200.68的http通信

从图中可以看到，在浏览网页中，访问了两个服务器，IP地址分别为124.255.65.154和218.77.130.200，都在海南

内容分发网络(CDN)是一种新型网络内容服务体系，其基于IP网络而构建，基于内容访问与应用的效率要求、质量要求和内容秩序而提供内容的分发和服务。通俗的讲，就是网络加速。

天涯的网站服务器在海南，运营商是电信，而我在北京访问网站时，因为跨地区，跨运营商的原因，网站打开速度就会比当地客户访问慢很多，因此嗅探到了CDN节点速度慢很多

作业二：利用Wireshark分析嗅探的数据包

原理：

wireshark是一个网络数据包分析工具，可以捕获网络数据包，并进行详细的协议分析。支持tcpdump相关命令通过过滤器设置抓包时过滤。在过滤器栏filter框中输入过滤条件，点击expression调出

TELNET协议传输数据原理：终端用户通过键盘输入的数据传给操作系统内核的终端驱动进程，由终端驱动进程再将数据传给Telnet客户进程，Telnet客户进程把收到的数据传送给TCP，由TCP在客户端和服务器端建立TCP连接，数据就通过TCP连接送到了服务器端，服务器的TCP层将收到的数据送到相应的应用层Telnet服务器进程

任务： 使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析，回答如下问题并给出操作过程:

你所登录的BBS服务器的IP地址与端口各是什么？
TELNET协议是如何向服务器传送你输入的用户名及登录口令？
如何利用Wireshark分析嗅探的数据包，并从中获取你的用户名及登录口令？

在ubuntu上安装telnet

重启telnet服务并查看telnet服务是否开启

尝试telnet网上搜的某BBS，出现了拒绝连接的问题

访问本机，发现可以使用telnet服务

在尝试一波方法之后，发现可能是没开防火墙,使用sudo ufw status查看防火墙状态，果然是inactive

使用sudo ufw enable sudo ufw default deny命令，运行以上两条命令后，开启了防火墙，并在系统启动时自动开启。关闭所有外部对本机的访问，但本机访问外部正常。

使用sudo ufw allow 23，允许外部访问23端口

打开wireshark开始抓包，然后使用telnet访问202.120.255.9，端口为23

（我之前找的IP地址有些问题，无法连接，因此copy了孙启龙同学使用的复旦大学BBS服务器IP地址，感谢~）

过滤器直接输入 telnet ，即可过滤显示telnet相关的数据包，可以详细信息栏看到端口号为23以及与虚拟机中的服务端程序建立TCP连接（三次握手）等信息

通过wireshark打开pcap文件，可以观察到攻击机采用ARP协议进行探测，通过端口扫描判断主机是否存活，可知攻击机与扫描目标主机在同一子网内（根据上一章所学，如果扫描外网会用ICMP包）
原理是在广播域内广播ARP request报文，可以看到 who has 172.31.4.188(目标ip) tell 172.31.4. 178(攻击机ip)，目标主机发送ARP response报文表示活跃，可以得到目标主机mac地址。