20211908 孟向前 2021-2022-2 《网络攻防实践》第三周作业

实践三 网络嗅探与协议分析
1.实验要求
(1)动手实践tcpdump
使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探,回答问题:你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?
将Kali虚拟机网络连接模式改为桥接模式,查询本机IP地址为192.168.43.68

打开Kali虚拟机终端,输入命令sudo tcpdump -n src 192.168.43.68 and tcp port 80 and “tcp[13] & 18=2”

在浏览器打开网址“天涯论坛”,监听结果进行分析。
观察发现主要访问的Web服务器。

五个Web服务器,IP地址如下:
124.225.206.22
124.225.69.77
124.225.135.230
124.225.214.206
124.225.214.214
(2)动手实践Wireshark
使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:
a.你所登录的BBS服务器的IP地址与端口各是什么?
b.如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?
在Kali虚拟机中输入luit -encoding gbk telnet bbs.fudan.edu.cn(指定编码格式)访问复旦大学BBS服务器,发现其IP地址为202.120.225.9

本地打开wireshark,并开始捕获。

通过wireshark发现其端口为23,通过追踪TCP流发现其用户名为GUEST.

c.TELNET协议是如何向服务器传送你输入的用户名及登录口令?
telnet是使用明文向服务器传送用户名和登录口令的。
(3)取证分析实践,解码网络扫描器(listen.cap)
在Kali虚拟机安装snort:

打开listen.pcap所在的文件夹,输入命令:
Snort -A console -q -u snort -c /etc/snort/snort.conf -r listen.pcap

出现错误,把权限提升至root,并把listen.pcap复制到root目录下新创建的文件夹里,再次输入刚才的命令。

a.攻击主机的IP地址:172.31.4.178
b.网络扫描的目标IP地址:172.31.4.188
c.本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
用snort分析listen.pcap可知分析工具为nmap.
d.你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
用Wireshark打开listen.pcap,分析查找。

nmap -sP 172.31.4.188 活跃主机检测
nmap -O 172.31.4.188 扫描操作系统
nmap -sS 1-65535 172.31.4.188 扫描开放端口
nmap -sV 172.31.4.188 扫描开放的服务
e.在蜜罐主机上哪些端口被发现是开放的?
21,22,23,25,53,80,139,445,3306,5432,8009,8180

f.攻击主机的操作系统是什么?
输入命令:apt-get install p0f,安装p0f

安装成功,输入命令:p0f -r listen.pcap

执行完毕

可得攻击机的操作系统是Linux 2.6.x
2.学习中遇到的问题及解决
问题:工具操作命令无法执行
解决:许多工具需要先开启root模式,然后才能进行操作。
3.学习感想和体会
通过本次实验,学习了tcpdump和namp的一些命令,以及wiresharkd,snort和p0f工具的相关操作,还不是很熟练,需要多总结多练习。

posted on 2022-03-29 22:14  仰望星空dream  阅读(36)  评论(0编辑  收藏  举报