20241909 2024-2025-2《网络攻防实践》第三次作业

目录

1.知识点梳理与总结

1.1实验要求

(1)动手实践tcpdump

使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探,回答问题:你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?

(2)动手实践Wireshark

使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:

你所登录的BBS服务器的IP地址与端口各是什么?
TELNET协议是如何向服务器传送你输入的用户名及登录口令?
如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?
(3)取证分析实践,解码网络扫描器(listen.cap)

攻击主机的IP地址是什么?

网络扫描的目标IP地址是什么?

本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?

你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。

在蜜罐主机上哪些端口被发现是开放的?

攻击主机的操作系统是什么?

1.2知识点梳理

(1)TCPDump
TCPDump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤,并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

(2)网络嗅探
网络嗅探需要用到网络嗅探器, 其最早是为网络管理人员配备的工具, 有了嗅探器网络管理员可以随时掌握网络的实际情况,查找网络漏洞和检测网络性能,当网络性能急剧下降的时候,可以通过嗅探器分析网络流量,找出网络阻塞的来源。网络嗅探是网络监控系统的实现基础。

(3)Wireshark
Wireshark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。

2.动手实践

2.1动手实践tcpdump

首先将kali的网络模式设置为桥接模式设置为与本机IP相同
在这里插入图片描述
通过命令提权后查看本机ip,为192.168.43.102
在这里插入图片描述
使用tcpdump对本机向外的通信进行抓包,在浏览器中访问https://www.baidu.com/
先利用上节课的知识查询百度的ip键入命令sudo tcpdump -n src 192.168.43.102 and tcp port 80 and "tcp[13]&18=2"]
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
可以看到访问了多个服务器,可以看到前几项是打开网页的访问记录,后面才是访问百度的web服务器,IP地址为60.9.5.121。可以看到此IP与查到的百度IP并不相同,由于cdn加速导致。

2.2动手实践Wireshark

键入命令luit -encoding GBK telnet bbs.newsmth.net 访问BBS服务器,这里使用telnet访问水木社区
可以得到如下界面
在这里插入图片描述
打开Kali自带的Wireshark进行抓包,网卡选择eth0网卡,在终端输入guest以访客登入,在Wireshark中使用过滤器将telnet协议的数据包过滤,如下图
在这里插入图片描述
可知IP地址为120.92.212.76, telnet服务的端口为23
继续追踪TCP流可以发现,输入的guest以明文方式向传输如下图。
在这里插入图片描述

2.3取证分析实践,解码网络扫描(listen.cap)

(1)将listen.pcap拷贝到kali中,键入命令sudo apt-get install snot
在这里插入图片描述
键入sudo apt-get update 更新源文件
在这里插入图片描述

使用cp命令将listen.pcap复制到/etc/snort/路径下
在这里插入图片描述
转到/etc/snort/目录下
在这里插入图片描述
输入命令sudo snort -c snort.lua -r listen.pcap -A alert _full
在这里插入图片描述

从图中可以看出此次攻击使用Namp扫描,攻击机ip是172.31.4.178,靶机ip是172.31.4.188,前三个问题的答案就找到了

(2)直接将listen.pcap拖入wireshark,使用arp包更新目标MAC地址,可以看到攻击机对靶机进行了四次询问,框出来的部分是靶机询问攻击机的MAC地址
在这里插入图片描述
说明攻击者先执行了nmap -sP 172.31.4.188的命令
找到第2071个分组*在这里插入图片描述可以看到有很多带有标志位的数据包,说明攻击者在进行操作系统的探测,通过构造各种各样的包发送给靶机,从靶机的回复中寻找操作系统的特征
命令为nmap -O 172.31.4.188
然后看第三次攻击,它发送的数据包和接受的数据包非常多,一共有13万个,这些包几乎全都是syn包
说明在做全端口的扫描,采用的是tcp半开放扫描方式,nmap -sS -p 1-65535 172.31.4.188
在这里插入图片描述
最后看最后一次攻击,可以看到有telnet,http,dns等数据包,说明nmap在检测靶机开放了什么服务,命令为nmap -sV 172.31.4.188
在这里插入图片描述
通过下面的命令进行筛选确认靶机开启的端口,可以看到有3306,139,23,80,25,22,53,21等端口开放
在这里插入图片描述
(3)查看攻击机主机的操作系统
在终端中输入命令sudo apt-get install p0f,安装p0f
在这里插入图片描述
键入sudo p0f -r listen.pcap‘
在这里插入图片描述
可以看到攻击机的操作系统是linux 2.6.X

3学习中遇到的问题及解决

问题一:开始时只将listen放在桌面上导致命令找不到文件
解决方法:查询后将listen直接放入了/etc/snort/中
问题二:使用sudo snort -c snort.lua -r listen.pcap -A alert _full命令时报不能打开的错
解决方法:经过咨询桑奇彦同学后,在snort中修改成下图即可

在这里插入图片描述

4学习感悟

通过这次实验,我深入了解了网络嗅探技术及其在实际网络安全中的应用。使用tcpdump、Wireshark等工具,我能实际捕获和分析网络数据包,这让我更清晰地理解了网络协议和攻击手段。最后感谢桑奇彦同学在第三个实验中的倾力相助。

参考资料

  • 《网络攻防技术与实践》
posted @ 2025-03-16 22:08  覆盌  阅读(111)  评论(0)    收藏  举报