20211920 2021-2022-2 《网络攻防实践》第五周作业

1.实验要求

(1)动手实践tcpdump

使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探,回答问题:你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?

  • 访问www.tianya.cn网站首页时,使用tcpdump src 本机IP and tcp dst port 80指令进行查询,本机IP为192.168.200.6。结果如下
    从图中可以看出eth0网卡已经开启包监控模式。
    在浏览器中访问www.tianya.cn

  • 由上图所知(没有截取所有),浏览器访问的Web服务器有以下几个

124.225.206.22(中国 海南 海口)
124.225.69.77
124.225.135.230
124.225.65.170
124.225.214.214
117.18.237.29(亚太地区)
111.206.209.249(北京)
60.217.246.6(中国 山东 济南)
  • 通过nslookup www.tianya.cn,查询到他的IP地址为124.225.206.22。操作如下:

(2)动手实践Wireshark

使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:
可以先将Wireshark打开,然后在终端中输入指令luit -encoding gbk telnet bbs.fudan.edu.cn登录BBS。进入如下界面

在Wireshark中,通过查询,我们可以获得BBS服务器的IP为202.120.225.9,端口为23。

我们通过追踪TCP流可以看到我们的用户名为ztok,密码为1234,甚至未成功的注册也留下痕迹。如下所示:

(3)取证分析实践,解码网络扫描器(listen.cap)

攻击主机的IP地址是什么?

  • 先下载云班课上分享的listen.pcap文件,在虚机kali上打开。
    从图中可以看出172.31.4.188和172.31.4.178之间进行了大量的通信。所以可以初步确定两个为攻击者ip和目标ip。

网络扫描的目标IP地址是什么?

  • 从下图可以看出,ip172.31.4.178一直在广播寻找172.31.4.188,因此可以确定攻击者主机ip为172.31.4.178,目标ip为172.31.4.188.

本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?

  • 本次案例中是使用了nmap发起的端口扫描,下面进行确定
    打开kali,使用下面命令安装snort
sudo apt-get update
sudo apt-get install snort


输入 snort -A console -q -u snort -c /etc/snort/snort.conf -r /home/zt/桌面/listen.pcap //-A开启报警模式,-q不显示状态报告,-r从pcap格式的文件中读取数据包,通过snort扫描
图中标注可以看出,通过namp进行扫描。

在下面这个数据中,可以确定本次案例所使用的扫描工具为nmap。

你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。

以arp作为过滤条件,寻找目标IP地址为172.31.4.188的主机的MAC地址,可以看到有四个

以icmp作为过滤条件,可以看到两组ICMP request包和ICMP replay包,说明使用了主机扫描,并且确定了目标主机是活跃的,如下:

以tcp作为过滤条件,可以看到在数据包中存在大量SYN请求包,说明攻击机的57738端口向目标主机发起了TCP SYN扫描,以确定目标主机的哪些端口开放,开放的端口则回复SYN|ACK数据包,不活跃的端口则回复RST|ACK数据包,如下:

在蜜罐主机上哪些端口被发现是开放的?

  • 输入过滤条件:tcp.flags.syn == 1 and tcp.flags.ack == 1可以过滤出SYN | ACK的数据包,这是目标主机反馈攻击主机的端口活跃信息。可查看靶机的开放端口有:21 22 23 25 53 80 139 445 3306 3632 5432 8009 8180

攻击主机的操作系统是什么?

使用p0f工具,p0f是一款被动探测工具,能够通过捕获并分析目标主机发出的数据包来对主机上的操作系统进行鉴别,即使是在系统上装有性能良好的防火墙的情况下也没有问题。
首先输入sudo apt-get install p0f安装p0f工具

再输入命令sudo p0f -r listen.pcap, 探测,得知版本为linux 2.6.x得到如下检测结果:

2.学习中遇到的问题及解决

刚开始安装snort时失败,但是网络是通的,所以去火狐浏览器试试打开百度但也失败,关机重启后成功。

3.学习感想和体会

本次实验我学习了如何分析嗅探协议以及如何对攻击行为进行取证分析,对于嗅探器有了更加深刻的了解。出现了一些问题,积极的去查取资料,最终解决。

posted @ 2022-03-30 21:33  张婷20211920  阅读(56)  评论(0编辑  收藏  举报