20199111 2019-2020-2 《网络攻防实践》第四周作业
学号 2019-2020-2 《网络攻防实践》第四周作业
1.实践内容
1.1 网络嗅探
1.1.1 网络嗅探技术定义
网络嗅探利用计算机的网络接口截获目的地址为其他计算机的数据报文,以监听数据流中包含的用户账户密码或是私密信息
1.1.2 网络嗅探的实现原理
目前局域网中大部分网络节点都为交换式网络,这就为我们嗅探目的地址非本机地址的数据包带来了一定困难。在交换式网络中,通过一些技术手段使得本不应到达的数据包到达本地,实现嗅探
1.1.3 技术手段
- MAC地址洪泛攻击
MAC地址洪泛攻击是指向交换机发送大量虚构的MAC地址和IP地址的数据包,致使交换机的MAC地址-端口映射表溢出无法处理,使得交换机进入所谓的“打开失效”模式,也就是开启了类似集线器的工作模式,向所有端口广播数据包,这使得网络嗅探就会变得和在共享网络环境下一样容易
- MAC欺骗
MAC地址欺骗是本地主机假冒所要监听的主机网卡,攻击者将本地的MAC地址伪装成目标地址的MAC地址,并且将这样的数据包通过交换机发送出去,使得交换机不断的更新他的“MAC地址-端口映射表”,从而让交换机相信攻击者的主机地址就是目标主机的MAC地址,这样交换机就会将本应发送给目标主机的数据包发送给攻击者,从而达到数据嗅探的结果
- ARP欺骗
ARP欺骗是利用IP地址与MAC地址之间进行转换是的协议漏洞,达到MAC地址欺骗的目的。攻击者通过对网关和目标主机进行ARP欺骗实现截获两者之间的通信数据包
1.1.4 网络嗅探工具
类UNIX:tcpdump、wireshark
Windows:windump、wireshark、SnifferPro
1.1.5 网络嗅探检测与防护
- 用静态ARP或者MAC-端口映射,该措施是为了防止利用MAC地址欺骗、ARP欺骗等手段进行嗅探的手法
- 重视网络节点的防火措施,如网关、路由和交换机等
1.2 协议分析
1.2.1 网络协议分析技术原理
- 嗅探到原始数据
- 对以太网数据帧进行结构分析
- 进一步对IP数据包进行分析
- 根据TCP与UDP目标端口确定具体应用层协议
- 根据相应应用层协议对数据进行整合恢复
1.2.2 wireshark数据包分析工具
- wireshark使用
- 监听指定主机为源地址:[src|dst]host< host>
- 选择长度符合要求的包:less|greater
- 过滤tcp、udp及端口号[tcp|udp] [src|dst]port< port>
- 利用and、or、not连接多个条件
- 使用过滤栏设置可以只查看符合要求的数据包
- 过滤器对大小写敏感
2.实践过程
2.1 实践tcpdump
通过nslookup tianya.cn得到天涯社区的IP地址为221.182.218.229
运行命令tcpdump src 192.168.6.8 and tcp dst port 80
通过上图结果可知,在访问tianya.cn的过程中,访问了两个 web 服务器,分别为:
221.182.218.238 #海南省海口市 移动
221.182.218.229 #海南省海口市 移动
2.2 实践wireshark
以 bbs.fudan.edu.cn 为例
(1)打开 wireshark ,选择菜单栏上Capture -> Option,勾选 WLAN 网卡(如果在虚拟机上进行试验则勾选对应网卡)
(2)打开 telnet 服务(win10中默认是关闭的,此时以 telnet 方式登录 BBS 会报错)
控制面板 ——> 启用或关闭 Windows 服务 ——> 勾选 Telnet
(3)在终端输入telnet bbs.fudan.edu.cn进入论坛
(4)可以看到其IP地址为202.120.225.9;端口为 23 ;输入 guest 进入
(5)在过滤器中输入ip.src == 202.120.225.9可以看到 telnet 协议数据包
(6)通过追踪 TCP 流可以看到我们的账号和密码(Telnet协议在传输用户名和密码时采用的时明文传输)
2.3 取证分析实践
(1)根据下图可得攻击机为172.31.4.178,靶机为172.31.4.188
(2)然后输入snort -A console -q -u snort -c /etc/snort/snort.conf -r /home/kali/listen.pcap 通过 snort 扫描我们可以知道是进行的nmap攻击
(3)通过 arp 数据包可以看到攻击机进行了主机扫描nmap -sP 172.31.4.178
(4)在过滤器中输入tcp.flags.syn == 1 and tcp.flags.ack == 1,得到开放的端口
(5)通过 p0f 工具探测到攻击机操作系统,探测到攻击机操作系统为 linux 2.6
注:p0f是一款被动探测工具,能够通过捕获并分析目标主机发出的数据包来对主机上的操作系统进行鉴别,即使是在系统上装有性能良好的防火墙的情况下也没有问题
p0f工作原理:当被动地拦截原始的TCP数据包中的数据,如可以访问数据包流经的网段,或数据包发往,或数据包来自你控制的系统;就能收集到很多有用的信息:TCP SYN 和SYN/ACK数据包就能反映TCP的链接参数,并且不同的TCP协议栈在协商这些参数的表现不同
p0f工具具体的相关使用方法如下(https://blog.csdn.net/he_and/article/details/88350861)
3.学习中遇到的问题及解决
- 问题1:在安装 snort 和 p0f 工具的时候会报错,错误如下
E: Unable to locate package mysql-server
E: Unable to locate package mysql-client
- 问题1解决方案:查阅之后发现需要 update ,于是执行如下命令
apt-get update # root 权限下
4.实践总结
-
每一次作业过程中都会出现一些奇奇怪怪的小问题,需要不停的查阅资料找到解决方法,在学习网络攻防的同时也锻炼了其他的能力
-
随着这两次攻防实践的进行,愈发感觉到了网络方面知识的不足,还需要在使用工具的同时加强原理的学习
