学号20212803 2021-2022-2 《网络攻防实践》第五周作业

学号20212803 2021-2022-2 《网络攻防实践》第五周作业

1.实验内容

1.进行tcpdump和wireshark的实践分析

2.取证分析实践,解码网络扫描器

2.实验过程

动手实践tcpdump

本实验将在kali linux中进行,首先将linux改为桥接模式。

由上图可知kali的IP地址为192.168.1.158。并且输入命令 tcpdump -n src 192.168.1.158 and tcp port 80 and "tcp[13] & 18 =2"
接着打开 www.tianya.cn网站。

如上图可知访问了一个web服务器IP地址为 124.225.206.22。

动手实践wireshark

实践将在kali linux中进行
输入命令 luit -encoding gbk telnet bbs.fudan.edu.cn 访问复旦大学BBS服务器。结果如下图所示。

所以BBS服务器IP地址为 202.120.225.9。
打开wireshark开始捕包。

由上可知BBS服务器的端口为23。分析telnet协议数据包发现每一各数据包带一个字母,多个数据包共同传送了用户名信息guest。
使用wireshark分析嗅探的数据包,可以搜索源地址和目的地址分别为攻击机和目标机的ip地址,然后分析所有的数据包,然后找到所需要用户名和口令信息。

取证分析实践

下载listen.cap文件与kali linux中。
首先下载snort工具 使用命令 apt-get install snort
下载listen.pcap 文件,并使用snort工具分析文件。
使用命令 sudo snort -A console -q -u snort -c /etc/snort/snort.conf -r listen.pcap
分析结果如下图所示

a.攻击主机的IP地址是什么?
所以攻击者的IP为172.31.4.178

b.网络扫描的目标IP地址是什么?
扫描IP为 172.31.4.188

c.本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
使用了snmp工具,分析信息中有所提到。

d.你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
用wireshark打开listen.pcap

搜索arp,找到扫描开始标志,如下图所示。

由上图分析可知,攻击开始的标志为包5,7,2071,133220

e.在蜜罐主机上哪些端口被发现是开放的?

f.攻击主机的操作系统是什么?

3.学习中遇到的问题及解决

4.学习感悟、思考等

posted @ 2022-04-02 20:44  eehh  阅读(101)  评论(0编辑  收藏  举报