20211919 《网络攻防实践》 第三次作业

1.实验要求

（1）动手实践tcpdump
使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探，回答问题：你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器？他们的IP地址都是什么？
（2）动手实践Wireshark
使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析，回答如下问题并给出操作过程:
你所登录的BBS服务器的IP地址与端口各是什么？
TELNET协议是如何向服务器传送你输入的用户名及登录口令？
如何利用Wireshark分析嗅探的数据包，并从中获取你的用户名及登录口令？
（3）取证分析实践，解码网络扫描器（listen.cap）
攻击主机的IP地址是什么？
网络扫描的目标IP地址是什么？
本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？
你所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么，并描述其工作原理。
在蜜罐主机上哪些端口被发现是开放的？
攻击主机的操作系统是什么？

2.实践内容
2.1 动手实践tcpdump

使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探，回答问题：你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器？他们的IP地址都是什么？

现在主机上访问www.tianya.cn，然后在kali上输入命令tcpdump src 192.168.200.5 and tcp dst port 80 ，这里的192.168.200.5是本机IP地址，得到如下结果：

可以看到有几个ip重复出现，分别是124.225.214.214，124.225.69.77，124.225.65.170，124.225.206.22。
再用命令nslookup www.tianya.cn查看天涯网站对应的IP地址，得到结果：

可以看到天涯的ip为124.225.206.22，tcpdump对www.tianya.cn进行嗅探成功。

2.2动手实践Wireshark

使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析，回答如下问题并给出操作过程:
a.你所登录的BBS服务器的IP地址与端口各是什么？
b.TELNET协议是如何向服务器传送你输入的用户名及登录口令？
c.如何利用Wireshark分析嗅探的数据包，并从中获取你的用户名及登录口令？

a.打开kali虚拟终端，输入 luit -encoding gbk telnet bbs.fudan.edu.cn访问复旦大学BBS服务器，发现其ip地址为202.120.225.9.

本地打开wireshark，并开启捕获

再根据得到的IP地址在Wireshark设置过滤条件ip.addr==202.120.225.9

可以看到ip地址为202.120.225.9.对应的端口号为23。

b.可以发现这里传递用户名和密码时，是一个字符一个字符传递的。

c.也可以通过追踪TCP流可以看到用户名和密码

可以看到guest用户没有密码，很不安全。

2.3 取证分析实践，解码网络扫描器（listen.cap）

a.攻击主机的IP地址是什么？
b.网络扫描的目标IP地址是什么？
c.本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？
d.你所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么，并描述其工作原理。
e.在蜜罐主机上哪些端口被发现是开放的？
f.攻击主机的操作系统是什么？

a.
打开从云班课上下载的listen.pcap，在出现的wireshark界面点击 统计(S)——>Conversations——>IPv4，得到如下图：

可以看到往返主机172.31.4.178和主机172.31.4.188之间的数据包很多，远多于其他三组，所以172.31.4.178和172.31.4.188即为攻击主机和靶机主机对应的ip。

b.

从发送的TCP数据包可以看出，ACK数据包都是由172.31.4.188发出的，由此可确定网络扫描的目标IP地址为172.31.4.188。

c.
本次案例中是使用了nmap发起的端口扫描，在kali中，安装snort工具sudo apt-get update和sudo apt-get install snort
给予所有权限：sudo chmod 777 /etc/snort/snort.conf
进入 pcap 包所在目录后cd Desktop，执行sudo snort -A console -q -u snort -c /etc/snort/snort.conf -r listen.pcap，得到如下结果：

在下面这个数据中，可以确定本次案例所使用的扫描工具为nmap。

d.
以arp作为过滤条件，攻击机在广播域中广播arp request报文，寻找目标IP地址为172.31.4.188的主机的MAC地址

以icmp作为过滤条件，可以看到两组ICMP request包和ICMP replay包，说明使用了主机扫描，并且确定了目标主机是活跃的，如下：

以tcp作为过滤条件，可以看到在数据包中存在大量SYN请求包，说明攻击机的57738端口向目标主机发起了TCP SYN扫描，以确定目标主机的哪些端口开放，开放的端口则回复SYN|ACK数据包，不活跃的端口则回复RST|ACK数据包，如下:


可以看到序号9、10、13是一组半开放扫描，使用不完整的tcp三次握手来对目标主机进行尝试性的连接，攻击主机的57738号端口对目标ip的3306号端口发送SYN包，目标ip的3306号端口开放，返回一个 TCP SYN & ACK 包，然后攻击主机发送一个 RST 包停止建立连接。还发现除了建立TCP SYN扫描，还建立了ssh连接，这是为了探测靶机的网络服务，于是猜测攻击机对靶机进行了 -sV 的版本扫描。

e.
输入过滤条件：tcp.flags.syn == 1 and tcp.flags.ack == 1，则可以过滤出所有的SYN|ACK的数据包，这是目标主机反馈攻击主机的端口活跃信息,即可得到所有的开放端口，如下：21 22 23 25 53 80 139 445 3306 3632 5432 8009 8180

f.
使用p0f工具，p0f是一款被动探测工具，能够通过捕获并分析目标主机发出的数据包来对主机上的操作系统进行鉴别，即使是在系统上装有性能良好的防火墙的情况下也没有问题。
首先输入sudo apt-get install pOf安装pOf工具，再进入 listen.pcap 包所在目录后cd Desktop,输入命令sudo p0f -r listen.pcap，得到如下检测结果：

得知攻击主机的操作系统是2.6.x。

3.学习中遇到的问题及解决
1.安装snort时失败，没有更新APT库。

2.kali刚开机没有网，不能正常进入天涯网，以后将虚拟机挂机试试看。

4.学习感想和体会
对wireshark等工具的使用还是不够熟悉，理解的也不够深入，还需要多查资料，多学习。