20212916 2021-2022-2 《网络攻防实践》第三次(第五周)作业
目录
2.3.1使用snore查看攻击机和靶机的IP地址、攻击者采用的工具... 6
2.3.2使用wireshark分析攻击者所采用的攻击方式... 7
1. 实验内容
网络嗅探与协议分析
(1)动手实践tcpdump
使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探
你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?
他们的IP地址都是什么?
(2)动手实践Wireshark
使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析
你所登录的BBS服务器的IP地址与端口各是什么?
TELNET协议是如何向服务器传送你输入的用户名及登录口令?
如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?
(3)取证分析实践,解码网络扫描器(listen.cap)
攻击主机的IP地址是什么?
网络扫描的目标IP地址是什么?
本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
在蜜罐主机上哪些端口被发现是开放的?
攻击主机的操作系统是什么?
2.实验过程
2.1实验一、动手实践TCP dump
2.2.1网络配置的修改
使用Kali虚拟机,将网络改为桥接模式,确保可以连接互联网。使用ifconfig命令查询IP地址。
先使用sudo su命进行提权,然后输入命令进行监听,这是在网页中进入天涯论坛的首页,之后可以看到进入天涯论坛主页时访问的IP地址。
2.2动手实践wireshark
用 ctrl+z 命令退出监听。在Kali Linux终端运行命令 luit -encoding gbk telnet bbs.fudan.edu.cn,访问复旦大学BBS。
回答问题一:这里可以看见其IP地址为202.120.225.9
按照提示注册,输入用户名和密码
打开系统的wireshark
选取eth0,开始捕获
利用命令筛选特定的IP地址之间的访问。打开捕捉,然后重新进入复旦BBS并输入用户名和密码。这时回到wireshark,关闭捕获(主要是数据太多不好分析,所以在输入用户名和密码之后关闭)。此时可以看见这一过程的IP地址访问情况。
回答问题一:在复旦界面找到IP地址。Shark进行捕获,筛选数据,分析,看到端口号为23
回答问题二:telnet是使用明文向服务器用户传送用户名和密码的。
回答问题三:此时选取一行,右键,查看TCP流,可以看见我们的用户名和密码。
2.3取证分析实践
下载安装snort,我的安装会显示无法定位软件位置,所以先提权,然后输入apt-get update 回车,然后安装就可以啦!
安装完成之后在云班课下载listen.pcap文件,并复制到Kali的桌面。
2.3.1使用snore查看攻击机和靶机的IP地址、攻击者采用的工具
在listen.pcap所在文件夹中单击鼠标右键,选择“在这里打开终端”
回答问题一、二:在终端处输入命令 sudo snort -A console -q -u snort -c /etc/snort/snort.conf -r listen.pcap 在终端中出现如下信息,其中我们可以看到攻击主机IP地址为172.31.4.178 ,网络扫描目标的地址为172.31.4.188 。
回答问题三:从第三行可以得出攻击者使用nmap工具进行端口扫描。
回答问题四:攻击者使用了namp的-Sp Nmap进行ping扫描,用于判断主机是否存活。
2.3.2使用wireshark分析攻击者所采用的攻击方式
用wireshark打开listen.pcap文件。在筛选框输入 arp or nbns 回车。
可以看到 NBNS协议和ARP协议包分为多段1-8 2069-2072 133220-133221 135315-135316 135573-135579,通过ARP协议和NBNS协议,攻击者可以得到目标主机的IP地址,进而对其发起攻击。
分析可知,攻击者的攻击方式有:活跃主机检测、扫描操作系统、扫描开放端口、扫描开放服务。
1-8 攻击者发送很多光广播信息,详细信息均有 who has 172.31.4.188? 说明本段攻击者采用ARP广播的方式进行了活跃主机检测。
第七个包开始,攻击机发送,靶机回复,在进行端口扫描的操作。
第二次攻击最后面,扫描操作系统,猜测操作系统
SYN以及对 SYN的回复,这是全端口扫描
对于可以连接上的接口,进行了深入交流,检测靶机开放了什么服务
回答问题五:筛选开放端口,info就是开放的端口,有 21 22 23 25 53 80 139 445 3306 5432 8009 8180
2.3.3使用p0f分析攻击机的操作系统
安装p0f,在桌面打开终端,输入sudo apt install p0f,安装p0f
回答问题六:输入命令p0f -r listen.pcap,可以看到攻击机的操作系统为Linux2.6.x
3.我的问题
在实验中要安装snort,一直显示出错
解决:需要更新命令,而且在键入命令之前必须要进行提权,否则无法成功完成之后就可以顺利的安装啦!
虚拟机突然连不上网络,但是物理机显示网络连接正常
解决:重启,重启可以解决大部分问题,亲测可以解决连不上网的问题。