20212929 2021-2022-2 《网络攻防实践》第三周作业

目录

1.实践TCPDUMP。

2.实践wireshark。

3.分析实践。

1. 动手实践TCPDUMP

使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探,回答问题:你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?

(1) 查看本机IP。

clip_image002

(2) 输入命令:sudo tcpdump -n src 192.168.200.3 and tcp port 80 and "tcp[13] & 18 == 2"

clip_image004

(3) 打开www.tianya.cn

clip_image006

(4)然后分析服务器IP:124.225.206.22:80。

clip_image008

(5)服务器地址为。

clip_image010

(6)通过nslookup tianya.cn查看,确认了天涯的IP地址。

clip_image011

(7) 总共有7个服务器

124.225.135.230

124.225.65.170

124.225.135.225

124.225.69.77

124.225.214.206

111.206.209.249

124.225.206.22

2. 实践wireshark

你所登录的BBS服务器的IP地址与端口各是什么?

TELNET协议是如何向服务器传送你输入的用户名及登录口令?

如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?

(1) 输入命令:luit -encoding gbk telnet bbs.fudan.edu.cn。

clip_image012

(2) 可以看到复旦大学BBS论坛,其IP地址为:200.120.225.9。

clip_image014

(3) 打开wireshark,输入ip.addr==202.120.225.9,查看端口。

clip_image016

(4) 输入账号ldfq查看TELNET流,依次往下查看可以得到账号和密码。

clip_image018

clip_image020

clip_image022

clip_image024

密码123456。

clip_image026

clip_image028

clip_image030

clip_image032

clip_image034

clip_image036

3 取证分析.

攻击主机的IP地址是什么?

网络扫描的目标IP地址是什么?

本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?

你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。

在蜜罐主机上哪些端口被发现是开放的?

攻击主机的操作系统是什么?

(1) 在wireshark中打开listen.pcap

点击查看所有的IPV4地址。

clip_image037

clip_image039

(2) 安装snort

sudo apt-get update

sudo apt-get install snort。

clip_image041

(3) 将样例文件放入home文件夹下,输入命令

sudo snort -A console -q -u snort -c /etc/snort/snort.conf -r /home/kali/listen.pcap

发现使用nmap扫描的。

clip_image043

(4) 攻击地址为172.31.4.178,靶机为172.31.4.188。

clip_image045

(5) 由于nmap通过ARP确定MAC地址的,在wireshark中筛选ARP,找到目标地址为broadcast,形式为Who has 172.4.31.188?TELL 172.4.31.178,在第一次和第二次扫描之后,没有更多的数据包了,可以判断为nmap -SP命令。

clip_image047

(6) 继续观察第二次扫描的数据包,发现攻击机向靶机发送了TCP/UDP/ICMP数据包,由于第二次扫描的时间没有第三次长,应该不是对所有端口进行扫描,并通过构造标志位,触发响应包,判断为系统探测,因此猜测为nmap -O命令。

clip_image049

(7) 第三次扫描,跨度很大从NO.2072-NO.133220,大致扫描了6万多端口,因此所使用的命令大概率为nmap -sS。

clip_image051

(8) 第四次扫描中,通过筛选端口tcp.port==80可以查看是否包含HTTP协议,发现确实包含HTTP/TELNET/SMTP等协议,而在收到ACK之后并没有发送RST结束而是发送ACK建立连接,可以判断为网络服务扫描,所以命令是nmap -sV。

clip_image053

clip_image055

clip_image057

(9) 通过命令tcp.flags.syn == 1 and tcp.flags.ack == 1,筛选活跃端口,可以看到开放的端口有21,22,23,25,53,80,139,445,3306,3632,5432,8009,8180。

clip_image059

(10) 安装p0f插件。命令:p0f -r listen.pcap。再输入一次p0f -r listen.pcap就可以查看操作系统版本信息为Linux 2.6.x

clip_image061

clip_image062

4. 问题及解决

问题1:Kali无法连接网络。

解决:之前在实验室,桥接模式可以直接上网,但是在地下一层,发现桥接、自定义VM0网络都无法连接,NAT模式可以连接上网。回到实验室,NAT模式又无法连接,而桥接又可以连接上网。

5. 感想

通过本次实验,我发现了实践出真知,只有亲自动手才会了解的更加深入,而且要多和同学交流,不懂的问题要多向同学请教。

posted @ 2022-03-29 17:21  浪的飞起  阅读(138)  评论(0编辑  收藏  举报