20241903 2024-2025-2 《网络攻防实践》第3次作业
1.实验内容
本节课主要聚焦于网络嗅探和分析。首先利用tcpdump开源软件对外部服务器ip的80端口活动进行嗅探,检查自己在使用浏览器上的http协议时的流量情况。其次利用wireshark以telnet的形式对北邮人论坛进行嗅探与协议分析。最后,对一个样例包进行取证分析。
2.实验过程
实验一:tcpdump的实践。
将kali机的网路配置改为桥接模式,利用DHCP给kali分配ip,使之在网络上有与主机相同的地位。
配置虚拟网络编辑器,将vmnet0的桥接模式从自动改为你当前宿主主机连的网。
打开命令行,键入ifconfig检查本机ip分配:可见,kali目前ip是192.168.34.37。
在root模式下,键入tcpdump -n src 192.168.34.37 and tcp port 80 and "tcp[13] & 18 =2"开始嗅探。
打开浏览器,进入百度,进入百度贴吧。
出现如下信息:
发现,主要访问过的web服务器有两个:27.221.77.48和111.170.23.48。
实验二:用telnet的形式登录北邮人论坛,使用wireshark进行分析嗅探。
首先键入luit -encoding gbk telnet bbs.byr.cn。进入北邮人论坛。
可以看到,北邮人论坛的ip是114.255.40.186。
接着,我们键入wireshark来打开wireshark。
开启捕获。
可以发现目的端口号是23,源端口号是55498。
通过追踪tcp流,可以看到用户名“guest”:
实验三:对样例包进行取证分析。
首先,使用apt-get install snort下载snort工具。
然后,键入snort -c /etc/snort/snort.lua -r listen.pcap -A alert_full,使用snort.lua配置文件中的规则进行扫描。
可以看到红框取白的地方,说明,使用的端口扫描工具是Nmap,攻击机ip是172.31.4.178,靶机ip是172.31.4.188。
打开wireshark,在搜索栏键入ARP进行arp包的搜索。
找到其中信息栏写“who has 172.31.4.188? Tell 172.31.4.178”的栏,这表示攻击机正在通过arp协议试图找到靶机,可以视为攻击开始的标志。如下图所示,一共有4个包,编号分别是5,7,2071和133220。
回到主界面,如下图所示,我们发现第一次攻击和第二次攻击之间没有做任何操作,因此我们合理推测,第一次攻击是使用nmap来检查主机是否还活跃,即指令为nmap -sP 172.31.4.188。
接着我们分析第二次攻击。在第二次攻击的结尾,我们可以看到如下图所示的许多带有各种标志位的包,因此我们合理推测,是攻击机正在对靶机进行操作系统的扫描。指令是nmap -O 172.31.4.188。
然后我们分析第三次攻击。我们可以发现第三次发送接受数据包非常的多,从编号2071到编号133220有十三万余个,并且全部都是带有从攻击机到靶机的SYN和从靶机到攻击机的回复包,因此我们合理推测是在进行顺序随机的全端口扫描。攻击指令是nmap -sS -p 1-65535 172.31.4.188。
最后我们分析第四次攻击。可以发现在除了常规的SYN扫描之外,攻击机还与靶机进行了更加深入的交流,比如下图中尝试了TELNET和SMTP服务。因此我们猜测攻击机应该在检测开放端口的服务。攻击指令是nmap -sV 172.31.4.188。
接下来我们检测靶机到底开放了哪些端口。我们需要找到在端口扫描过程中靶机回复给攻击机带有SYN和ACK标志的包。我们在wireshark的筛选栏里输入tcp.flags.syn==1 and tcp.flags.ack==1来对符合条件的包进行筛选。
统计之后可以看到,开放的端口有21,22,23,25,53,80,139,445,5432,8009,8180,3306,3632。
接下来我们要从靶机出发反推攻击机的一些信息。我们先键入apt-get install p0f下载p0f。然后键入p0f -r ./Desktop/listen.pcap。查看结果,可以看到它推测的操作系统是Linux 2.6.x。
到此,本次实验全部完成!
3.学习中遇到的问题及解决
- 问题1:kali机改桥接模式之后连不上网。
- 问题1解决方案:由于原先更改网络配置文件的问题导致一直是配置主机的网关,使用手机流量开热点之后即可。
- 问题2:使用snort并没有出现alert警报的结果。
- 问题2解决方案:这是因为snort3的snort.lua规则中默认将alert报警模式关闭了,这导致指令
snort -c /etc/snort/snort.lua -r listen.pcap和snort -c /etc/snort/snort.lua -r listen.pcap -A alert_full的效果是一样的,只会出现统计结果。因此,我们在root模式下nano /etc/snort/snort.lua打开文件,找到下图中的位置,将对应位置的注释标志给删掉,保存退出重试即可。
4.学习感悟
通过本次实验,我深入了解了网络嗅探和协议分析的实践操作。使用tcpdump和Wireshark,我学会了捕获和分析网络流量,发现TELNET协议传输的明文信息存在安全隐患。同时,通过解码网络扫描日志,我掌握了识别攻击者行为的方法,进一步认识到网络安全的重要性。这次实践让我对网络攻防有了更直观的认识,也提升了我的分析能力。
