# 20251914 2025-2026-2 《网络攻防实践》实验三

20251914 2025-2026-2 《网络攻防实践》实验三

1.实验内容

（1）动手实践tcpdump
使用tcpdump开源软件对在本机上访问www.163.com网站过程进行嗅探

使用的命令是 sudo tcpdump -n src 192.168.43.142 and tcp and ( port 80 or port 443 ) and "tcp[13] & 18 = 2"
对原来的命令进行了一些修改，主要是增加了对443端口的支持，因为163是使用https链接

（2）动手实践Wireshark

使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析

（3）取证分析实践，解码网络扫描器（listen.cap）

2.实验过程

1.实践tcpdump

1.对kali的网络进行配置

2.查询kali的ip地址

3.让kali监听捕获数据包

4.监听得到结果如下，如图所示，我们访问了4个服务器ip，分别如下

2.实践Wireshark

1.利用luit -encoding gbk telnet bbs.mysmth.net命令访问水木清华bbs论坛

2.输入guest进入水木清华bbs论坛

3.打开wireshark，对抓到的内容进行查看，可以看出ip地址是120.92.212.76，端口号是23

4.对tcp流追踪之后，可以发现自己的输入“guest”

3.取证分析实践，解码网络扫描器（listen.cap）

1.使用wireshark打开listen.cap

2.根据框中的内容，可以知道攻击机ip是172.31.4.178，靶机ip是172.31.4.188

3.对listen.cap的arp进行筛选，发现攻击机使用nmap进行攻击，命令为:nmap -sP 172.31.4.188

4.在第二次攻击的末尾，攻击者在构造各种各样的包发给靶机，符合nmap -O特点

5.对图上分析得知，攻击者正在进行半开放扫描

6.对图上分析得知，攻击者正在进行端口扫描，命令为sudo nmap -sS 172.31.4.188

7.分析可知，最后一次使用了-sV扫描

8.使用ip.src172.31.4.188&&tcp.flags.ack1&&tcp.flags.syn==1&&frame.number>=2072&&frame.number<133220命令对数据包进行过滤，由图可知，靶机开放了21、22、23、25、53、80、139、445、3306、3632、5432、8009端口

3.学习中遇到的问题及解决

• 问题1：视频上的命令只对80端口进行监听，但是163主要是使用https协议，使用的是443端口
• 问题1解决方案：使用修改后的命令，sudo tcpdump -n src 192.168.43.142 and tcp and ( port 80 or port 443 ) and "tcp[13] & 18 = 2"

4.学习感悟、思考等）

通过本次对 tcpdump、Wireshark 以及 Snort 日志的综合分析，我深刻体会到了网络协议明文传输的脆弱性。在 Telnet 的实验中，仅仅通过“跟随 TCP 流”就能轻而易举地获取账号密码，这让我明白了现代运维中强制使用 SSH 等加密协议的必要性。
针对 listen.cap 的取证分析让我对隐蔽扫描有了更具象的认识。