20211906 2021-2022-2 《网络攻防实践》第三周作业

1 学习总结

实践tcpdump、Wireshark以及进行取证分析实践,解码网络扫描器(listen.cap)

2 实验过程

2.1 实践tcpdump:使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探,回答问题:你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?

首先打开www.tianya.com

然后在terminal运行命令sudo tcpdump src 192.168.192.5 and tcp dst port 80


可以看到 访问了124.225.206.22 、124.225.65.173 、124.225.135.230 、120.192.89.130
再用nslookup查询tianya.cn,可以验证。

2.2 实践Wireshark:使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:

a.你所登录的BBS服务器的IP地址与端口各是什么?
b.TELNET协议是如何向服务器传送你输入的用户名及登录口令?
c.如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?
首先在winxp命令行输入 telnet.bbs.fudan.edu.cn 打开

可以看到 端口号为23,ip地址为202.120.225.9

telnet是使用明文向服务器传送用户名和命令的。
可以通过wireshark中analyze->follow TCP Stream得到用户名和登录口令。

2.3 取证分析实践,解码网络扫描器(listen.cap)

a.攻击主机的IP地址是什么?
b.网络扫描的目标IP地址是什么?
c.本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
d.你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
e.在蜜罐主机上哪些端口被发现是开放的?
f.攻击主机的操作系统是什么?

首先在云班课下载listen.cap文件然后用wireshark打开

发现172.31.4.178和172.31.4.188之间来回传递
因为请求数据包(如 TCP SYN包、ICMP Echo包等)是从172.31.4.178发起,可以确定172.31.4.178为攻击方。则172.31.4.188位网络扫描的ip地址。
接着在kali上先下载snort,使用sudo apt-get install snort命令

输入sudo apt-get install python-pip

然后输入sudo chmod 777 /etc/snort/snort.conf给予snort.conf可读可写可执行权限

运行指令sudo snort -A console -q -u snort -c /etc/snort/snort.conf -r /home/kali/Downloads/listen.pcap

可以看到是使用了nmap扫描工具对这些端口发起扫描。
接着用arp为条件过滤,得到了目标主机的mac地址。

因为nmap在发起端口扫描之前总是先通过Ping扫描和针对80端口进行探测,确定目标主机是否活跃,通过过滤器搜索icmp,可以定位ICMP协议对应的Ping扫描。

我们可以看到存在大量SYN请求包,这是因为攻击机进行的TCP SYN扫描,目的是用于扫描目标主机的端口是否活跃,如果活跃则目标主机会反馈一个SYN|ACK包,攻击机端口会立刻发送一个RST包关闭这个链接,目标端口不活跃则会反馈RST|ACK包。

然后输入过滤条件:tcp.flags.syn == 1 and tcp.flags.ack == 1,可以过滤出SYN|ACK的数据包,可以确定以下端口开放:
21,22,23,25,53,80,139,445,3306,5432,8009,8180这几个端口是活跃的

可以通过TTL字段值可以帮助我们识别操作系统类型,根据TTL==64,推测攻击机的操作系统为linux。

再输入 sudo p0f -r /home/kali/Downloads/listen.pcap 探测,得知版本为linux 2.6.x。(要先安装p0f)

3.问题

3.1 在安装snort时总是出现Unable to locate package。先用sudo apt-get update.仍然无效。然后再试试sudo apt-get upgrade.

posted @ 2022-04-03 11:34  itumes  阅读(57)  评论(0编辑  收藏  举报