20211906 2021-2022-2 《网络攻防实践》第三周作业

1 学习总结

实践tcpdump、Wireshark以及进行取证分析实践，解码网络扫描器（listen.cap）

2 实验过程

2.1 实践tcpdump：使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探，回答问题：你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器？他们的IP地址都是什么？

首先打开www.tianya.com

然后在terminal运行命令sudo tcpdump src 192.168.192.5 and tcp dst port 80

可以看到访问了124.225.206.22 、124.225.65.173 、124.225.135.230 、120.192.89.130
再用nslookup查询tianya.cn,可以验证。

2.2 实践Wireshark：使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析，回答如下问题并给出操作过程:

a.你所登录的BBS服务器的IP地址与端口各是什么？
b.TELNET协议是如何向服务器传送你输入的用户名及登录口令？
c.如何利用Wireshark分析嗅探的数据包，并从中获取你的用户名及登录口令？
首先在winxp命令行输入 telnet.bbs.fudan.edu.cn 打开

可以看到端口号为23，ip地址为202.120.225.9

telnet是使用明文向服务器传送用户名和命令的。
可以通过wireshark中analyze->follow TCP Stream得到用户名和登录口令。

2.3 取证分析实践，解码网络扫描器（listen.cap）

a.攻击主机的IP地址是什么？
b.网络扫描的目标IP地址是什么？
c.本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？
d.你所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么，并描述其工作原理。
e.在蜜罐主机上哪些端口被发现是开放的？
f.攻击主机的操作系统是什么？

首先在云班课下载listen.cap文件然后用wireshark打开

发现172.31.4.178和172.31.4.188之间来回传递
因为请求数据包（如 TCP SYN包、ICMP Echo包等）是从172.31.4.178发起，可以确定172.31.4.178为攻击方。则172.31.4.188位网络扫描的ip地址。
接着在kali上先下载snort，使用sudo apt-get install snort命令

输入sudo apt-get install python-pip

然后输入sudo chmod 777 /etc/snort/snort.conf给予snort.conf可读可写可执行权限

运行指令sudo snort -A console -q -u snort -c /etc/snort/snort.conf -r /home/kali/Downloads/listen.pcap

可以看到是使用了nmap扫描工具对这些端口发起扫描。
接着用arp为条件过滤，得到了目标主机的mac地址。

因为nmap在发起端口扫描之前总是先通过Ping扫描和针对80端口进行探测，确定目标主机是否活跃，通过过滤器搜索icmp，可以定位ICMP协议对应的Ping扫描。

我们可以看到存在大量SYN请求包，这是因为攻击机进行的TCP SYN扫描，目的是用于扫描目标主机的端口是否活跃，如果活跃则目标主机会反馈一个SYN|ACK包，攻击机端口会立刻发送一个RST包关闭这个链接，目标端口不活跃则会反馈RST|ACK包。

然后输入过滤条件：tcp.flags.syn == 1 and tcp.flags.ack == 1，可以过滤出SYN|ACK的数据包，可以确定以下端口开放：
21,22,23,25,53,80,139,445,3306,5432，8009，8180这几个端口是活跃的

可以通过TTL字段值可以帮助我们识别操作系统类型，根据TTL==64,推测攻击机的操作系统为linux。

再输入 sudo p0f -r /home/kali/Downloads/listen.pcap 探测，得知版本为linux 2.6.x。（要先安装p0f）