20211903 2021-2022-2 《网络攻防实践》实践三报告

1.实验内容

(1)动手实践tcpdump,使用tcpdump开源软件对在本机上访问某些网站过程进行嗅探网站相关信息。
(2)动手实践Wireshark,使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析。
(3)取证分析实践,解码网络扫描器(listen.cap),利用snort、p0f软件进行取证分析实践,解码网络服务器。

2.实验过程

(1)动手实践tcpdump
使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探,回答问题:你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?



查询本机IP地址为192.168.11.102。



共访问了124.225.206.22,124.225.135.230,124.225.214.206,124.225.214.214,124.225.65.173,124.225.65.170,13.33.81.115,3.134.20.240,八个web服务器。

(2)动手实践Wireshark
使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:
你所登录的BBS服务器的IP地址与端口各是什么?
TELNET协议是如何向服务器传送你输入的用户名及登录口令?
如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?
通过在终端输入luit -encoding gbk telnet bbs.fudan.edu.cn进入复旦大学BBS论坛。可得知其IP地址为202.120.225.9。


通过wireshark中的IP地址找到,发现其端口为23。

Telnet协议在传输用户名和密码时采用的时明文传输,所以我们可以通过跟踪TCP流,发现登录用户名为guest。
(3)取证分析实践,解码网络扫描器(listen.cap)
攻击主机的IP地址是什么?
网络扫描的目标IP地址是什么?
本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
在蜜罐主机上哪些端口被发现是开放的?
攻击主机的操作系统是什么?

使用kali虚拟机中的WireShark打开云班课网盘中老师上传的listen.pcap文件。

我们查看该文件中的IPv4统计信息,我们可以在打开的文件中 看到攻击主机的IP为172.31.4.178,网络扫描的目标IP是172.31.4.188。



输入指令sudo snort -A console -q -u snort -c /etc/snort/snort.conf -r /home/kali/listen.pcap

通过snort指令所查询的结果可以看出是采用namp发起的扫描,分析得到攻击的IP地址是172.31.4.178,网络扫描的目标IP是172.31.4.188。

nmap每次探测主机活跃是在广播域内广播ARP REQUEST报文,所以要在Wireshark中筛选ARP,可以发现共有who has 172.31.4.188?tell172.31.4.178。

第一次扫描在5和6之后,之后又是一次arp,所以第一二次之间没有数据包,所以作用仅为测试主机是否为活跃的,所以第一次命令为nmap -sP。

第二次扫描的数据包中有大量的TCP协议、ICMP等协议数据,所以可以得知第二次扫描为操作系统nmap -O扫描。

第三次扫描有大量的往来数据包,可得知此次扫描为指定端口SYN TCP扫描,所以第三次扫描使用的指令为nmap -sS。

第四次扫描有大量的ICMP,HTTP,TELNET,SMB,SMTP等协议数据,,进行网络服务探测扫描,因此可得知第四次扫描使用的指令为nmap -sV。

通过设置过滤器tcp.flags.syn == 1 and tcp.flags.ack == 1过滤出[SYN,ACK]数据包,并确定哪些端口开放,
由筛选结果可得到开放的端口有21,22,23,25,53,80,139,445,3306,3632,5432,8009,8180。



安装P0F

在终端中输入指令sudo p0f -r /home/kali/listen.pcap,并在结果中可得到为操作系统版本为版本为linux 2.6.x。

3.学习中遇到的问题及解决

  • 问题1:使用snort操作文件时找不到此文件
  • 问题1解决方案:重新输入详细路径即可打开。
  • 问题2:加载listen.pcap文件时显示无法连接到文件
  • 问题2解决方案:通过cd /home/kali到达其所在的目录,再使用sudo p0f指令即可连接成功。

4.学习感悟、思考等)

在本次的实验中,我学到如何使用最简单的tcp dump对某些网站进行嗅探,利用其在访问某个网站过程中进行抓包,并通过数据包来获取网站各类信息。在本次实验中初步的熟悉了使用wireshark软件,并在使用软件的过程中复习了TCP的三次握手和四次挥手,加深了对各个协议的实际应用的理解。并完成了利用snort、p0f进行取证分析的实践,学习了对抓取信息的统计分析。

posted @ 2022-03-28 18:41  lollipop0204  阅读(90)  评论(0编辑  收藏  举报