学号 2021-2022-2 《网络攻防实践》第五周作业

学号 2021-2022-2 《网络攻防实践》第五周作业

1.实验内容

1.进行tcpdump和wireshark的实践分析

2.取证分析实践,解码网络扫描器

2.实验过程

动手实践tcpdump

本实验将在kali linux中进行,首先将linux改为桥接模式。

由上图可知kali的IP地址为192.168.1.158。并且输入命令 tcpdump -n src 192.168.1.158 and tcp port 80 and "tcp[13] & 18 =2"
接着打开 www.tianya.cn网站。

如上图可知访问了一个web服务器IP地址为 124.225.206.22。

动手实践wireshark

实践将在kali linux中进行
输入命令 luit -encoding gbk telnet bbs.fudan.edu.cn 访问复旦大学BBS服务器。结果如下图所示。

所以BBS服务器IP地址为 202.120.225.9。
打开wireshark开始捕包。

由上可知BBS服务器的端口为23。分析telnet协议数据包发现每一各数据包带一个字母,多个数据包共同传送了用户名信息guest。
使用wireshark分析嗅探的数据包,可以搜索源地址和目的地址分别为攻击机和目标机的ip地址,然后分析所有的数据包,然后找到所需要用户名和口令信息。

取证分析实践

下载listen.cap文件与kali linux中。
首先下载snort工具 使用命令 apt-get install snort
下载listen.pcap 文件,并使用snort工具分析文件。
使用命令 sudo snort -A console -q -u snort -c /etc/snort/snort.conf -r listen.pcap
分析结果如下图所示

a.攻击主机的IP地址是什么?
所以攻击者的IP为172.31.4.178

b.网络扫描的目标IP地址是什么?
扫描IP为 172.31.4.188

c.本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
使用了snmp工具,分析信息中有所提到。

d.你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
用wireshark打开listen.pcap

搜索arp,找到扫描开始标志,如下图所示。

由上图分析可知,攻击开始的标志为包5,7,2071,133220


由上图可知,分析5,7个包得知主机正在做测试靶机活跃度的命令,命令为 nmap -sP 172.31.4.188 。

跳到2071个包

由攻击的包可得出第二次攻击的攻击方式,很多包带有标志位,可以得出正在做操作系统探测的动作,攻击机根据靶机的返回包的特征信息判断操作系统的种类。根据包的端口信息可以判定是21端口。扫描命令为 nmap -O 172.31.4.188



由攻击的各种包可以得出第三次攻击的攻击方式,为半开扫描它利用了TCP连接建立三次握手的第一步,并且没有建立一个完整的TCP连接。
跳到133220个包


由包的分析可知第三次攻击正在做全端口扫描的半开扫描,因为返回的包的数量就是65535个,命令为nmap -sS -p 1-65535 172.31.4.188。


由上图包的分析可知,第四次攻击在检测靶机开放了什么服务,扫描主要服务端口。扫描命令为 nmap -sV 172.31.4.188

e.在蜜罐主机上哪些端口被发现是开放的?

使用命令tcp.flags.syn1 and tcp.flags.ack == 1 and ip.src172.31.4.188,得出开放端口为21、22、23、25、53、80、139、445、3306、5432、8009、8180。

f.攻击主机的操作系统是什么?
使用工具p0f,输入命令p0f -r listen.pcap对数据包进行分析,可以从中发现探测到的操作系统版本为Linux 2.6.x。

3.学习中遇到的问题及解决

安装snort工具失败,最后使用重装操作系统和换源的办法成功解决了问题。

4.学习感悟、思考等

通过本次实验提高了我的动手能力,提高了我的数据包的分析能力,使我或得了极大的提高。

posted @ 2022-04-02 20:40  eehh  阅读(84)  评论(0编辑  收藏  举报