学号 2021-2022-2 《网络攻防实践》第五周作业

1.实验内容

1.进行tcpdump和wireshark的实践分析

2.取证分析实践，解码网络扫描器

2.实验过程

动手实践tcpdump

本实验将在kali linux中进行，首先将linux改为桥接模式。

由上图可知kali的IP地址为192.168.1.158。并且输入命令 tcpdump -n src 192.168.1.158 and tcp port 80 and "tcp[13] & 18 =2"
接着打开 www.tianya.cn网站。

如上图可知访问了一个web服务器IP地址为 124.225.206.22。

动手实践wireshark

实践将在kali linux中进行
输入命令 luit -encoding gbk telnet bbs.fudan.edu.cn 访问复旦大学BBS服务器。结果如下图所示。

所以BBS服务器IP地址为 202.120.225.9。
打开wireshark开始捕包。

由上可知BBS服务器的端口为23。分析telnet协议数据包发现每一各数据包带一个字母，多个数据包共同传送了用户名信息guest。
使用wireshark分析嗅探的数据包，可以搜索源地址和目的地址分别为攻击机和目标机的ip地址，然后分析所有的数据包，然后找到所需要用户名和口令信息。

取证分析实践

下载listen.cap文件与kali linux中。
首先下载snort工具使用命令 apt-get install snort
下载listen.pcap 文件，并使用snort工具分析文件。
使用命令 sudo snort -A console -q -u snort -c /etc/snort/snort.conf -r listen.pcap
分析结果如下图所示

a.攻击主机的IP地址是什么？
所以攻击者的IP为172.31.4.178

b.网络扫描的目标IP地址是什么？
扫描IP为 172.31.4.188

c.本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？
使用了snmp工具，分析信息中有所提到。

d.你所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么，并描述其工作原理。
用wireshark打开listen.pcap

搜索arp，找到扫描开始标志，如下图所示。

由上图分析可知，攻击开始的标志为包5，7，2071，133220

由上图可知，分析5，7个包得知主机正在做测试靶机活跃度的命令，命令为 nmap -sP 172.31.4.188 。

跳到2071个包

由攻击的包可得出第二次攻击的攻击方式，很多包带有标志位，可以得出正在做操作系统探测的动作，攻击机根据靶机的返回包的特征信息判断操作系统的种类。根据包的端口信息可以判定是21端口。扫描命令为 nmap -O 172.31.4.188

由攻击的各种包可以得出第三次攻击的攻击方式，为半开扫描它利用了TCP连接建立三次握手的第一步，并且没有建立一个完整的TCP连接。
跳到133220个包

由包的分析可知第三次攻击正在做全端口扫描的半开扫描,因为返回的包的数量就是65535个，命令为nmap -sS -p 1-65535 172.31.4.188。