20252903 2025-2026-2 《网络攻防实践》第三周作业

一、核心知识点梳理

1.tcpdump

tcpdump 是一款依托 libpcap 数据包捕获库实现的命令行网络数据包捕获与分析工具，该工具支持对以太网、IPv4/IPv6、TCP、UDP、ICMP 等各类网络协议报文进行实时抓取与解析，可完整呈现数据包的链路层、网络层与传输层信息，通过BPF实现精细化流量筛选，能够精准定位指定主机、端口、协议类型及数据包特征。。

2.网络嗅探

网络嗅探是一种通过捕获与解析网络中传输的数据包，以获取通信内容、协议交互细节及网络拓扑信息的技术手段。

3.Wireshark

Wireshark 是一款开源跨平台网络协议分析软件，其核心依托 libpcap/Npcap 抓包引擎实现数据包采集，支持以太网等各类网络接口的实时流量捕获与离线 pcap/pcapng 文件解析，通过图形化交互界面将原始二进制报文转化为链路层、网络层、传输层至应用层的结构化可读信息，可完整还原 TCP 握手、TLS 协商、DNS 交互、HTTP 传输等全流程通信细节。

4.TELNET

TELNET 是一种基于 TCP 协议的应用层远程登录协议。该协议采用客户端 / 服务器架构，默认使用 TCP 23 端口建立连接，其在通信过程中采用明文传输机制，所有交互指令、认证信息与业务数据均以原始字符形式在网络中传递，不具备加密与完整性校验能力，因此在安全性上存在明显缺陷。

二、核心知识点梳理

1.利用tcpdump进行嗅探实验

• 登录kali查看虚拟机的ip地址为192.168.200.6
  
• 切换到root权限后输入命令
  tcpdump -n src 192.168.200.6 and tcp port 443 and "tcp[13] & 18 =2"
  tcpdump：利用tcpdump开源网络嗅探工具；
  -n：不把 IP 解析成域名，直接显示 IP；
  src IP：抓取IP 192.168.200.6产生的流量；
  tcp port 443：捕获HTTPS 协议（443 端口）服务的流量
  tcp[13] & 18 = 2：筛选出TCP 中的纯 SYN 包
• 按Ctrl+结束抓包，统计去重发现一共访问了 6 个不同的 Web 服务器、IP地址如下34.160.144.191、151.101.89.91、34.107.243.93、58.242.68.137、218.60.173.36
  220.197.35.208

2.对 TELNET 方式登录 BBS 的流量进行嗅探与协议分析

• 打开kali中的wireshark，选择监听网卡eth0
  
• 输入命令访问清华bbs服务器，输入在web端提前注册好的账号密码
  luit -encoding gbk telnet bbs.mysmth.net
  
• 打开wireshark筛选telnet后，发现本机地址192.168.200.6和服务器120.92.212.76之间的往来数据包
  
• 选择对应的数据包，右键选中点击fellow追踪，选择TCP数据流
  
• 红色字母代表客户端向服务器发送的信息，蓝色字母代表服务器向客户端发送的信息，分析出登录使用的用户名为lrq2903
  

3.listen.pcap 网络扫描取证分析实践

• 在kali安装snort
  sudo su sudo apt-get update sudo apt-get install snort
  
• 查看snort版本
  
• 将listen.pcap上传到虚拟机并且移动到指定文件下
  
  
• 安装并使用p0f工具，查询攻击机操作系统版本
  
• 输入命令
  sudo p0f -r /home/kali/Desktop/listen.pcap

3.1攻击主机的IP地址是：172.31.4.178

3.2网络扫描的目标 IP 地址是172.31.4.188

3.3通过 Snort3 规则可以发现本次案例中是使用了namp扫描工具发起这些端口扫描

• 打开listen.pcap，查询arp协议流量，可以发现包含典型的ARP欺骗
  
• 查询ip.src == 172.31.4.178 and tcp.flags，分析流量特征
  

3.4 攻击者在本次攻击中采用的是TCP SYN 半开放端口扫描，从流量中可以发现攻击机向目标主机的21（FTP）、80（HTTP）、23（Telnet）、25（SMTP）、135（RPC）、113（IDENT）、993（IMAPS）等多个常见服务端口发送 TCP SYN 数据包。而TCP SYN 半开放端口扫描攻击的工作原理为：攻击机向目标端口发送 SYN 包发起连接请求，若目标端口开放则会返回 SYN+ACK 响应，此时攻击机并不继续发送 ACK 完成三次握手，而是直接回复 RST 包强制中断连接；若目标端口关闭则会直接返回 RST 包。

• 查询tcp.flags.syn == 1 and tcp.flags.ack == 1，查找在蜜罐主机上的开放端口
  

3.5 在蜜罐主机上以下端口被发现是开放的：21（FTP 文件传输协议）、80（HTTP 超文本传输协议）、25（SMTP 简单邮件传输协议）、139（NetBIOS Windows 网络服务）、445（SMB 服务器消息块 / 文件共享）、22（SSH 安全远程登录）、53（DNS 域名系统），同时还包含 8180、60、74、5807 等自定义或非标准服务端口。

3.6攻击主机的操作系统是Linux 2.6.x

3.学习中遇到的问题及解决

• 问题1：执行 Snort 启动命令时出现错误：ERROR: /etc/snort.lua: can't load /etc/snort.lua: cannot open /etc/snort.lua: No such file or directory，核心原因是命令中指定的 Snort3 配置文件 /etc/snort.lua 路径错误或文件不存在，导致 Snort 无法加载配置并正常启动。
  解决方案：使用正确的配置文件路径/etc/snort/snort.lua重新运行 Snort 命令即可

4.学习感悟与思考

通过这次实验，我不仅掌握了tcpdump和Wireshark的基本使用方法，更在实操中真切理解了流量在网络中的传输、捕获与解析过程。很早以前就学过Telnet协议采用明文传输、存在严重安全缺陷，但直到本次实验，我才真正直观感受到明文协议的安全隐患。在listen.pcap流量取证分析环节，通过安装Snort和p0f工具与分析流量特征，直观看到了TCP SYN半开放扫描方式的攻击方法。我深刻体会到，流量分析是网络安全取证、攻击识别的核心手段，每一个数据包、每一组端口数据，都是排查安全隐患、追溯攻击行为的关键线索。