20251910 2025-2026-2 《网络攻防实践》第3次作业

目录

• 20251910 2025-2026-2《网络攻防实践》第3次作业
  • 1.实验内容
    • 1.1实验要求
    • 1.2知识点梳理
  • 2.实验过程
    • 2.1实践tcpdump
    • 2.2实践wireshark
    • 2.3取证分析实践
  • 3.学习中遇到的问题及解决
  • 4.学习感悟、思考等）

20251910 2025-2026-2《网络攻防实践》第3次作业

1.实验内容

1.1实验要求

（1）动手实践tcpdump

使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探，回答问题：你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器？他们的IP地址都是什么？

（2）动手实践Wireshark

使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析，回答如下问题并给出操作过程:

1.你所登录的BBS服务器的IP地址与端口各是什么？

2.TELNET协议是如何向服务器传送你输入的用户名及登录口令？

3.如何利用Wireshark分析嗅探的数据包，并从中获取你的用户名及登录口令？

（3）取证分析实践，解码网络扫描器（listen.cap）

1.攻击主机的IP地址是什么？

2.网络扫描的目标IP地址是什么？

3.本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？

4.你所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么，并描述其工作原理。

5.在蜜罐主机上哪些端口被发现是开放的？

6.攻击主机的操作系统是什么？

1.2知识点梳理

（1）TCPDump

TCPDump是一个命令行网络抓包工具，它可以实时捕获、解析网络接口上传输的数据包，支持按协议、IP、端口等条件过滤，并将数据包输出到文件中进行进一步分析。

（2）网络嗅探

网络嗅探是一种用于监听和分析计算机网络通信流量的技术，它通过捕获和复制网络中的数据包来检测网络流量、识别网络威胁和漏洞等。借助嗅探技术，安全人员可以实时抓取网络中的数据包，分析通信内容，排查网络故障并识别潜在的入侵行为。当网络出现异常传输或疑似泄密时，可以通过嗅探工具解析流量特征，定位异常主机与恶意通信行为。

（3）Wireshark

Wireshark是一款常用的网络数据包分析工具。它能够实时抓取网络中传输的各类数据包，并以可读的形式展示数据包的协议类型、源地址目的地址、数据内容等详细信息。该工具借助网络抓包驱动接口获取网卡数据，广泛用于网络故障排查、网络协议学习等，是网络运维和安全人员的常用工具。

2.实验过程

2.1实践tcpdump

在kali中使用tcpdump监控访问本机与www.163.com进行通信的包。在管理员模式下输入指令如下：

tcpdump -n src 192.168.200.5 and dst host www.163.com

紧接着我们打开浏览器访问www.163.com

我们可以看到在此过程中数据包经过了124.163.161.96服务器

2.2实践wireshark

在kali中打开wireshark选择eth0网卡进行监听

使用telnet访问清华大学BBS论坛，命令如下：

luit -encoding gbk telnet bbs.mysmth.net

并在此过程中使用wireshark开始抓包

暂停抓包，在顶部输入框中输入telnet，过滤出所有的telnet包，可以看到kali与BBS服务器的telnet协议通信记录

通过这些telnet通信记录，可以分析出BBS服务器的ip地址为120.92.212.76，参与通信的端口为telnet协议默认的23号端口

继续追踪telnet包的TCP流，转换编码方式后，可以看到输入的登录信息是以明文的方式传输给了BBS服务器，可以得到我们的用户名和登录口令

2.3取证分析实践

在学习通上下载listen.pcap文件

在图片中可以看到，172.31.4.178和172.31.4.188进行了通信，首先建立了TCP连接，172.31.4.178首先发起了TCP连接的握手，可以将其判定为攻击机，被攻击机ip为172.31.4.188

安装snort工具，在管理员模式下命令如下：

apt-get install snort

使用snort对listen.pcap文件进行分析，查看分析的结果，可以得出攻击者使用nmap进行扫描

在过滤器中输入arp，查看两者之间arp协议的通信记录，可以看到大量的arp请求，可以推测出攻击机进行了nmap -P操作

紧接着，我们在过滤器中输入tcp.flags.syn == 1 && tcp.flags.ack == 0，来过滤那些只发送了SYN而没有收到ACK的包，可以发现有大量SYN包发送给被攻击机的各个端口，且这些通信都没有后续连接，我们可以判断攻击机正在使用nmap -sS指令执行全端口的扫描

我们在过滤器中输入tcp.flags == 0x00，来判断攻击机是否使用nmap进行了隐秘扫描，可以看到有一些通信记录，可能使用了nmap -sN指令

我们在过滤器中输入tcp && tcp.len > 0，来判断攻击机是否对开放端口发送带数据载荷的探测包，可以发现存在大量记录，判断攻击者使用了nmap -sV指令来扫描开放的服务

我们查看那些在端口扫描后正确建立了通信的连接，可以发现可以看到有3306，139，23，80，25，22，53，21等端口开放

安装p0f工具，并使用其分析listen.pcap文件，在分析结果中我们可以看到攻击机的操作系统是linux 2.6.X

3.学习中遇到的问题及解决

1.不知道怎么使用wireshark分析nmap的扫描方式
解决方法：复习上次实验中使用的nmap扫描方式，并学习其原理，借助ai工具完成学习

4.学习感悟、思考等）

经过本次实验我对nmap扫描工具背后的原理有了更深的理解，掌握了基本的wireshark使用技巧，且对SYN，ACK，LEN等包结构有了更深的理解，复习了上次课程学习的知识，并为下节课程使用这些结构通过一定的技巧进行攻击打下了基础