20242816 2024-2025-2 《网络攻防实践》第3次作业

20242816 2024-2025-2 《网络攻防实践》第3次作业

1 实验内容

本次实验分为三个部分，分别为实践tcpdump、实践Wireshark和解码网络扫描器

动手实践tcpdump：

使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探，回答问题：你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器？他们的IP地址都是什么？

动手实践Wireshark

使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析，回答如下问题并给出操作过程:
你所登录的BBS服务器的IP地址与端口各是什么？
TELNET协议是如何向服务器传送你输入的用户名及登录口令？
如何利用Wireshark分析嗅探的数据包，并从中获取你的用户名及登录口令？

取证分析实践，解码网络扫描器（listen.cap）

攻击主机的IP地址是什么？
网络扫描的目标IP地址是什么？
本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？
你所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么，并描述其工作原理。
在蜜罐主机上哪些端口被发现是开放的？
攻击主机的操作系统是什么？

2 实验过程

2.1 动手实践tcpdump

将kali网络适配器设置为NAT模式

查看本机ip地址

使用tcpdump对本机访问网站过程进行嗅探

访问学校官网，www.besti.edu.cn

查看嗅探结果

可以查看到访问的ip地址等信息

2.2动手实践Wireshark

访问清华bbs服务器luit -encoding gbk telnet bbs.mysmth.net

在wireshark中查询捕包结果

可以看到ip地址为120.92.212.76，端口为23

查看tcp报文，可以发现是明文方式传输，在客户端输入一个字符，服务器响应一个字符

通过明文传输这个性质可以获取用户的用户名和登录口令

2.3取证分析实践，解码网络扫描器（listen.cap）

在kali中下载listen.cap，并通过wireshark打开

、
可以在tcp报文中发现都是172.31.4.178的主机发起的tcp连接请求，因此172.31.4.178为攻击机，172.31.4.188主机在响应tcp连接，因此172.31.4.188为目标机

下载p0f

查看使用的扫描工具，由图所示为Nmap

攻击机通过arp request报文，查询目标机的mac地址

攻击机通过icmp ping扫描，确定目标机的状态否活跃

攻击机通过一直发起tcp连接请求但不进行相应，通过半开放式扫描攻击目标机

通过tcp.flags.syn == 1 && tcp.flags.ack == 1过滤，来查看开放端口分别有21 22 23 25 53 80 139 445 3306 3632 5432 8009 8180

攻击机还进行了nmap的-sV扫描来扫描目标机的端口服务和版本号

通过sudo p0f -r listen.pcap查看攻击机的操作系统为Linux 2.6.x

3 遇到的问题

问题1：通过桥连模式没法连接到互联网

解决： 将网络适配器修改为NAT模式

4 学习感悟

通过本次实验，复习了wireshark的使用方法，通过捕获数据包以及添加筛选条件可以很方便的查询到想查询的网络信息。特别是BBS网站的明文数据更加警示我们要重视网络安全问题，要加强隐私的保护，也要加强数据传输时的安全措施，进行相应的加密来保障数据安全

参考资料

https://bbs.csdn.net/topics/618329110?spm=1001.2014.3001.6377