20212918 2021-2022-2 《网络攻防实践》第五周(第三次)作业

1、实验内容

(1)动手实践tcpdump

使用tcpdump开源软件对在本机上访问 www.tianya.cn 网站过程进行嗅探。
1)自查IP地址为192.169.200.129
image
2)先在kail上访问www.tianya.cn 网站
image

3)在terminal运行命令sudo tcpdump src 192.168.200.129 and tcp dst port 80,浏览器中打开www.tianya.cn 后监听,发现访问的IP地址主要为124.225.206.22和124.225.69.77。
image

  • 成功得到浏览器访问的Web服务器的IP地址 124.225.135.230 、 124.225.206.22 、 124.225.69.77。
  • 通过 nslookup tianya.cn 命令查看www.tianya.cn 对应的IP地址。
    image

(2)动手实践Wireshark

1)输入luit -encoding gbk telnet bbs.fudan.edu.cn(指定编码格式)命令访问复旦大学BBS服务器,得其IP地址为202.120.225.9
image
2)在wireshark的过滤器直接输入 telnet ,即可过滤显示telnet相关的数据包,通过查看wireshark里面可知其端口号为23
image
可以发现这里传递用户名和密码时,是一个字符一个字符传递的。
image
image
image
image
image
image
同理密码也是明文传输的,容易被获取,非常的不安全。

  • telnet协议是如何向服务器传送你输入的用户名及登录口令的?
    Telnet是一个简单的远程终端协议,Telnet服务是建立在tcp基础之上的
    终端用户通过键盘输入的数据传给操作系统内核的终端驱动进程,由终端驱动进程再将数据传给Telnet客户进程,Telnet客户进程把收到的数据传送TCP,由TCP在客户端和服务器端建立TCP连接,数据就通过TCP连接送到了服务器端,服务器的TCP层将收到的数据送到相应的应用层Telnet服务器进程。

(3)取证分析实践,解码网络扫描器(listen.cap)

1)172.31.4.178和172.31.4.188之间有大量的双向的网络数据包,因此可初步确定两者为攻击主机IP和目标主机IP。
从数据包内容看,所有的响应数据包(如TCP /RST包、 SYN/ACK包、 ICMP Echo Reply包等)均是从 172.31.4.188 发出, 可以确定172.31.4.188是被扫描的目标主机。而请求数据包(如 TCP SYN包、ICMP Echo包等)则是从172.31.4.178发起,可以确定172.31.4.178为攻击方。
image

  • 使用Snort工具对记录文件进行入侵检测,确定攻击者使用的扫描工具。
    apt-get install snort
    update-rc.d snort disable
    chmod 777 /etc/snort/snort.conf
    snort -A console -q -u snort -c /etc/snort/snort.conf -r 你的路径/listen.pcap
    image

2)以ARP条件进行过滤,出现四个攻击开始的标志,因为在每次扫描之前,nmap会通过ARP更新目标MAC地址,可以看到攻击机和靶机之间有4组数据包,所以进行了4次扫描。
image
3)以ICMP为条件过滤发现,有攻击机和靶机之间的双向数据包,说明进行了ICMP ping扫描,即 nmap -sP 172.31.4.188。
image
4)以TCP条件进行过滤,观察到进行了大量的TCP扫描,如图可以看到攻击机向靶机发送SYN请求包,靶机返回SYN,ACK确认连接,攻击机响应,说明该端口开放,所以攻击机进行了nmap -sS 172.31.4.188 扫描。
image
5)过滤端口53,观察该端口的数据包发现攻击机和靶机之间建立了TCP和DNS连接用以探测网络服务
image
6)过滤端口1,观察发现攻击机发送了大量的SYN触发响应包,目的是探测靶机操作系统。攻击机使用nmap -o 172.31.4.188探测靶机操作系统,原理是发送探针数据包获取目标主机的响应数据包,分析操作系统的"指纹"从而确定操作系统,这些探针数据包可以利用TCP、UDP、ICMP等协议发现操作系统之间的差别。
image
7)输入tcp.flags.syn == 1 and tcp.flags.ack == 1进行过滤,得到SYN,ACK数据包,即攻击机扫描后即靶机反馈的端口活跃相关信息。如图,可以确定21,22,23,25,53,80,139,445,3306,3632,5432,8009,8180这几个端口是活跃的。
image
8)利用工具p0f,这是一个操作系统识别工具。其利用被动指纹识别,在不干涉双方通信的情况下,通过嗅探的方式来分析流经某一网卡的流量以达到指纹识别的目的。安装 p0f:sudo apt-get install p0f 确定攻击机的操作系统: p0f -r listen.pcap 攻击机操作系统为Linux 2.6.x:
image

2、学习中遇到的问题及解决

  • 在安装snort的时候,安装出错。
    解决方法:路径错误,重新将命令行中的snort文件的位置调整到实际snort文件的位置。

3、实验感想

在本次实验中,我学习到很多新的工具用法和知识,包括对tcpdump以及解码网络扫描器的使用等,也对wireshark软件的使用更加得心应手。当然,也遇到了很多问题,在网上查资料以及询问同学后,成功的解决了问题。这次实验对于我学习以及解决问题的能力得到了很多的提升。

posted @ 2022-04-02 15:12  別來無恙〆  阅读(36)  评论(0编辑  收藏  举报