20212919-王雨婷 2021-2022-2《网络攻防实践》第5周作业

学号 20212919-王雨婷 《网络攻防实践》第5周实践 网络嗅探与协议分析

1.实验内容

（1）动手实践tcpdump
（2）动手实践Wireshark
（3）取证分析实践，解码网络扫描器（listen.cap）
本次实验主要学习如何使用tcpdump开源软件对网站进行嗅探，同时利用wireshark软件对登录BBS服务器进行嗅探与协议分析，以及利用snort、p0f进行取证分析时间，解码网络服务器。

嗅探技术: 主要用于网络上的数据包，见识网络流量，状态，数据等信息.嗅探技术是一把双刃剑，作为管理工具，可以监视网络状态，数据流程以及网络上信息传输，但黑客常用于获取敏感信息.嗅探技术是一种很重要的网络安全攻防技术，是一种被动攻击行为，具有隐蔽性.网络嗅探需要用到网络嗅探器，其最早是为网络管理人员配备的工具，有了嗅探器网络管理员可以随时掌握网络的实际情况，查找网络漏洞和检测网络性能，当网络性能急剧下降的时候，可以通过嗅探器分析网络流量，找出网络阻塞的来源。网络嗅探是网络监控系统的实现基础。

Wireshark: Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。在过去，网络封包分析软件是非常昂贵的，或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的途径取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之一。

入侵检测：是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全审计、监视、进攻识别和响应），提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遭到袭击的迹象。入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。

2.实验过程

（1）动手实践tcpdump
设置kali的网络适配器为桥接模式。

查询kali的IP地址为192.168.31.228。

在kali端输入sudo tcpdump -n src 192.168.31.228 and tcp port 80 and "tcp[13] & 18 =2"，进入浏览器访问网站：www.tianya.cn，tcpdump，得到的嗅探结果如下所示：

由图中可知我们访问www.tianya.cn网站首页时，浏览器访问了4个Web服务器分别是
124.225.206.22.80 |124.225.69.77.80 | 124.225.135.230.80 |124.225.214.206.80

（2）动手实践Wireshark
使用Wireshark软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析，输入luit -encoding gbk telnet bbs.fudan.edu.cn进入登录界面，看到ip地址为202.120.225.9。

使wireshark软件进行抓包操作。可以知道BBS服务器IP地址202.120.225.9，端口为23。

如下图所示看到涉及Telnet协议的包，其为用户提供了在本地计算机上完成远程主机工作的能力。

可以知道Telnet协议以明文的形式向服务器传送输入的用户名及登录口令，可以看到用户名为wwwytt,登录口令为12341234，可以说Telnet是很不安全了。

（3）取证分析实践，解码网络扫描器（listen.cap）

• 攻击主机的IP地址是什么？
• 网络扫描的目标IP地址是什么？
• 本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？
• 你所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么，并描述其工作原理。
• 在蜜罐主机上哪些端口被发现是开放的？
• 攻击主机的操作系统是什么？

打开kali攻击机，输入sudo apt-get install snort进行对snort软件的安装

从云班课下载资源文件listen.pcap到虚拟机桌面上

用wireshark打开listen.pcap文件对其进行数据分析。

分析攻击IP地址是172.31.4.178，网络扫描的目标IP是172.31.4.188

攻击机在进行攻击之前，都会存在一个过程就是nmap向靶机发送ARP请求包，ARP是地址解析协议，来看看靶机是否处于活跃的状态。

输入 snort -A console -q -u snort -c /etc/snort/snort.conf -r listen.pcap 开启报警模式，查看完成后看到使用namp扫描。

以arp过滤包，找到IP地址为172.31.4.188的主机的MAC地址，有以下四个

以icmp过滤包，看到两组ICMP request包和ICMP replay包，表示确实对主机进行扫描，同时目标主机为活跃状态

以tcp过滤包，看到数据包中有很多SYN请求包，说明攻击机成功发起TCP SYN扫描

将tcp.flags.syn == 1 and tcp.flags.ack == 1为过滤条件，看到过滤出的SYN | ACK的数据包，这是目标主机反馈攻击主机的端口活跃信息。可查看蜜罐主机23,80,25,22,53,21等等端口是开放状态。

p0f是个被动的探测工具，通过捕获并分析目标主机发出的数据包来对主机上的操作系统进行鉴别，即使安装了防火墙也可以。
输入sudo apt-get install p0f安装下载p0f工具

输入p0f -r listen.pcap,看到攻击机的操作系统为Linux 2.6.x

3.学习中遇到的问题及解决

• 问题1：kali在输入ifconfig时未出现正常的ip地址
  

• 问题1解决方案：将网络设置为桥接模式，再次ifconfig就可以看到ip了
  
  

• 问题2：打开kali的搜狐浏览器无法接通网络，web浏览器点击无反应
  

• 问题2解决方案：重新安装新镜像即成功

4.学习感悟

此次试验相对顺利，但一直都会遇到不同的物理问题。感觉kali不太稳定，比如刚开始花了很长时间解决查找ip地址失败的问题，网上的方法也都试了个遍，最后重新安装了新的kali才解决，但隔一天再打开那个出问题的kali又恢复正常可以查看ip了，又或者访问bbs服务器时也是抓不到完整的包，再重启一遍wireshark就解决了，总之物理环境出现问题，耐心重做一遍或者重启一下设备都会有转机，以后的实验中肯定还会遇到这类问题，还要再耐心一点。

参考资料

《网络攻防技术与实践》