第三次作业

1实验要求

（1）动手实践tcpdump

使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探，回答问题：你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器？他们的IP地址都是什么？

（2）动手实践Wireshark

使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析，回答如下问题并给出操作过程:

1. 你所登录的BBS服务器的IP地址与端口各是什么？
2. TELNET协议是如何向服务器传送你输入的用户名及登录口令？
3. 如何利用Wireshark分析嗅探的数据包，并从中获取你的用户名及登录口令？

（3）取证分析实践，解码网络扫描器（listen.cap）

1. 攻击主机的IP地址是什么？

2. 网络扫描的目标IP地址是什么？

3. 本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？

4. 你所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么，并描述其工作原理。

5. 在蜜罐主机上哪些端口被发现是开放的？

6. 攻击主机的操作系统是什么？

 

2实验过程

1.动手实践TCP dump

背景知识：tcpdump，就是：dump the traffic on a network，根据使用者的定义对网络上的数据包进行截获的包分析工具。 tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

登录天涯社区

 

打开kali,使用ifconfig查看本机ip，本机ip为192.168.1.108

 

使用tcpdump src 192.168.1.108 and tcp dst port 80指令进行查询

 

 

 

 

得到浏览器访问的Web服务器有

124.225.206.22

124.225.65.173

 

通过nslookup www.tianya.cn,查询到他的IP地址为124.225.206.22

 

2.wireshark的使用

登录复旦大学网站，并注账号，进入网站

 

同时打开wireshark，开始捕获

在复旦界面找到IP地址。筛选捕获的数据分析

 

由于Telnet是用明文向服务器传送数据的，追踪TCP，可以轻易获取刚刚传输过程中的账号密码。

 

3.使用snort查看攻击机和靶机的IP地址、攻击者采用的工具

打开终端，输入如下指令，更新并安装snort

 

 在终端处输入命令 sudo snort -A console -q -u snort -c /etc/snort/snort.conf -r listen.pcap 在终端中出现如下信息，其中我们可以看到攻击主机IP地址为172.31.4.178 ，网络扫描目标的地址为172.31.4.188 。

用wireshark打开listen.pcap文件。在筛选框输入 arp or nbns 回车。

 

扫描前nmap

 1-8说明攻击者采用ARP广播的方式进行了活跃主机检测。

 攻击者采用扫描操作系统进行攻击，猜测操作系统。

 

全端口扫描攻击，对于可以连接的借口进行深入交流，检测靶机开放了什么服务。

 

 查看靶机开放窗口，有21,22,23,25,58,80,139,445,3306,3632,5432,8009,8180

使用p0f工具，能捕获并分析目标主机发出的数据包来对主机上的操作系统进行鉴别，即使是面对防火墙也可以使用。

首先安装p0f，输入指令  sudo apt install p0f，输入命令，p0f -r listen.pcap,观测到攻击机操作系统为Linux 2.6.x

 

 

 

 

3期间碰到的问题

1无法安装snort，

解决办法，输入apt-get update进行更新

2 p0f找不到攻击机操作系统

解决办法，后面发现是由于自身操作提前结束了扫描。