20199112 2019-2020-2 《网络攻防实践》第 4 周作业

目录

• 实践内容及过程
  • 网络嗅探技术定义
  • 网络嗅探的危害和作用
  • 网络嗅探技术与工具分类
  • 以太网
  • 类 Unix 平台网络嗅探器软件
  • Tcpdump 嗅探器软件
  • 网络嗅探的检测
  • 网络嗅探器的防范措施
  • 实践：Tcpdump
  • 网络协议分析技术原理
  • Wireshark
  • 实践：Wireshark
  • 取证分析实践：解码网络扫描
  • 攻防对抗实践
• 学习中遇到的问题及解决
• 实践总结
• 参考资料

实践内容及过程

网络嗅探技术定义

网络嗅探（Sniff）是一种黑客常用的窃听技术，它利用计算机的网络接口截获目的地为其他计算机的数据报文，以监听数据流中所包含的用户账户密码或私密信息等。

网络嗅探的危害和作用

危害：

• 被动地、静默地嗅探数据，窃取机密信息；
• 嗅探底层网络协议信息，为发起进一步攻击收集信息；
• 为攻击者进行中间人攻击提供帮助；
• 隐蔽性强，难以被发现。

应用价值：

• 网络管理员可以找出网络中的潜在问题，并加以解决；
• 为网络入侵检测系统提供底层数据来源基础，捕获原始网络传输报文，由检测系统发现入侵迹象；
• 开发网络应用的程序员，可用于实际捕获与分析所开发应用程序的网络报文收发情况，并对之进行分析。

网络嗅探技术与工具分类

按照所监听的链路层网络分类	按照实现形式分类
以太网、Wi-Fi	软件嗅探器、硬件嗅探器

以太网

以太网是一种计算机局域网技术。IEEE 组织的 IEEE 802.3 标准制定了以太网的技术标准，它规定了包括物理层的连线、电子信号和介质访问层协议的内容。以太网是目前应用最普遍的局域网技术，取代了其他局域网技术如令牌环、FDDI 和 ARCNET。

类 Unix 平台网络嗅探器软件

（1）libpcap 抓包开发库
libpcap 是类 Unix 平台上基于内核态 BPF 向应用程序提供的标准抓包开发库。

（2）tcpdump 嗅探器软件
tcpdump 是最老的也是最通用的嗅探器程序。它提供命令行模式，支持使用 BFP 语法的过滤条件进行网络上数据包的选择性嗅探，然后进行 TCP/IP 协议栈的协议分析，并以每行一个数据包捕获内容的方式呈现嗅探结果。

（3）wireshark 嗅探器软件
wireshark 是当前类 Unix 平台下最好的基于图形界面的嗅探器软件。

Tcpdump 嗅探器软件

TCPDump 可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供 and、or、not 等逻辑语句来帮助你去掉无用的信息。

网络嗅探的检测

• 在同一主机上，可以检查网卡是否运行在混杂模式下，来发现正在进行监听的嗅探器；
• 基于混杂模式下操作系统和协议栈的不同特性，来检测出网络中其他主机上的嗅探器。

网络嗅探器的防范措施

• 采用安全的网络拓扑，尽量采用交换式网络，并通过在交换机上设置 VLAN 等技术手段，对网络进行合理的分段，从而尽量使得网络包只被转发到目的主机上；
• 用静态 ARP 或者 MAC-端口 映射表代替动态机制；
• 重视网络数据传输的集中位置点的安全防范，如网关、路由器、交换机等；
• 避免使用明文传输口令或敏感信息的网络协议，而使用加密及安全增强的网络协议进行替代。

实践：Tcpdump

使用 Tcpdump 对在本机上访问 www.tianya.cn 网站过程进行嗅探，回答问题：浏览器将访问多少个 Web 服务器？它们的 IP 地址是什么？

打开终端，输入以下命令：

sudo tcpdump -nn '(tcp[tcpflags] & tcp-syn !=0 and tcp[tcpflags] & tcp-ack!=0) and (host 192.168.1.12)'

其中 192.168.1.12 是本机的 IP 地址，上述命令抓取 SYN 和 ACK 不为 0 的数据包，关于二者的含义详见参考文献。

输入命令后，浏览器访问 www.tianya.cn ，终端有如下输出：

可知访问的 Web 服务器有：

IP	位置
124.225.65.154	海南省海口市 电信
124.225.214.206	海南省海口市 电信
106.120.159.126	北京市 电信
124.225.135.230	海南省三亚市 电信
103.79.25.53	北京市海淀区 BGP多线
218.77.130.200	海南省海口市 电信
124.225.214.214	海南省海口市 电信

网络协议分析技术原理

1. 首先网络嗅探得到的原始数据是在链路层传输的二进制数据包，大多数情况是以太网数据帧；
2. 对以太网数据帧进行结构分析，定位出帧头各字段结构，根据帧头的 type 字段确定网络层协议类型，大多数情况是 IP 协议，并提取数据帧中包含的网络层数据内容；
3. 进一步对 IP 数据包进行分析，如果设置了分位片，则进行 IP 分片重组，根据 IP 协议头中的 Protocol 字段，确定传输层协议类型，通常情况是 TCP 或 UDP，并提取 IP 数据包中的传输层数据内容；
4. 继续根据 TCP 或 UDP 的目标端口确定具体的应用层协议，如 http、ftp、telnet 等协议数据包，并对 TCP 或 UDP 数据包进行拼接重组，得到应用层特定协议的应用交互内容；
5. 依据相应的应用层协议对数据进行整合恢复，得到实际传输的数据。

Wireshark

Wireshark（前称 Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark 使用 WinPCAP 作为接口，直接与网卡进行数据报文交换。在过去，网络封包分析软件是非常昂贵的，或是专门属于盈利用的软件。Ethereal 的出现改变了这一切。在 GNUGPL 通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal 是全世界最广泛的网络封包分析软件之一。

实践：Wireshark

使用 Wireshark 软件对在本机上以 telnet 方式登录 BBS 进行嗅探与协议分析，回答：

1. 你所登录的 BBS 服务器的 IP 地址与端口各是什么？
2. telnet 协议是如何向服务器传送你输入的用户名及登录口令的？
3. 如何利用 Wireshark 分析嗅探的数据包，并从中获取你的登录名及登录口令？

打开 Wireshark，开启捕获。

打开终端，输入以下命令访问复旦大学 BBS：

telnet bbs.fudan.edu.cn

抓包结果：

由上可知，服务器 IP 为 202.120.225.9，端口为 23

Telnet 使用明文传输用户名和密码。

在终端中，使用“guest”用户登录 BBS。

在 Wireshark 的过滤规则中输入 telnet，可查看所有使用该协议的数据包，如下图，依次可找到 Data 项中刚才登录的 “guest” 用户名字符串（单字符传送）：



其他字符数据截图省略。

取证分析实践：解码网络扫描

下载老师提供的 pcap 包，使用 Wireshark 打开，依次打开 Statistics - Conversations

可知，攻击机 IP：172.31.4.178，网络扫描的目标 IP：172.31.4.188

打开 kali 实验环境，安装 snort 工具，对上述 pcap 包进行入侵检测：

sudo apt-get install snort

给予所有权限：

sudo chmod 777 /etc/snort/snort.conf

进入 pcap 包所在目录后，执行：

sudo snort -A console -q -u snort -c /etc/snort/snort.conf -r listen.pcap

由此可见，攻击机使用 nmap 扫描目标网络。

以下对扫描过程进行分析：

首先筛选 ARP 数据包，下图中第5、6、7、8号数据包之间没有额外的其他数据包，所以可以知道这是采用 namp -sP 探测活跃主机。

接下来筛选 tcp.port == 57738 and tcp.flags.syn == 1 and tcp.flags.ack == 0 ，表示tcp 端口 57738 发送 tcp 请求但无回应。此次扫描基本囊括了靶机上的所有协议和服务，所以猜测是进行了 namp -O扫描靶机上安装的操作系统。

如下图，第三次扫描大致的往返包是 12W，大致扫描了 6W 个端口。由于 nmap 默认只能扫描 1000 个端口，因此可以猜测第三次扫描应该是用命令 nmap -sS 人为指定端口数量。

筛选 tcp.port == 23（23 为 telnet 端口）过滤文件数据。发现攻击机对靶机进行 4 次扫描过程。不难看出在第一、二、三次扫描都只是建立了连接就结束了，但在第四次扫描的时候出现了 telnet 连接；如果使用命令 tcp.port == 22（22 为 ssh 端口）同样可知第一、二、三次都是建立连接，第四次出现了 ssh 连接，所以猜测第四次 nmap 扫描使用了命令 nmap -sV 探测靶机上开放的网络服务。

确定端口：筛选 tcp.flags.syn == 1 and tcp.flags.ack == 1 ，可以得到：

端口有：21、22、23、25、53、80、139、445、3306、5432、8009、8180

确定操作系统：
首先安装 p0f：

sudo apt-get install p0f

使用以下命令探测：

sudo p0f -r listen.pcap

由上图可知，系统为 Linux 2.6.x

攻防对抗实践

kali 攻击机 IP：192.168.237.128
靶机 IP：192.168.119.128
靶机监控：sudo tcpdump -i eth0 -w dump.pcap
攻击机攻击：sudo nmap -sP 192.168.119.128
靶机查看日志：sudo tcpdump -r dump.pcap


上图中“who-has”字段内容表示靶机被探测了主机活跃状态。

学习中遇到的问题及解决

Q：系统没有 telnet
A：通过 brew install telnet 安装

Q：由于网络原因，包管理工具 Homebrew 无法正常安装
A：换源安装：Homebrew 国内一步安装

Q：telnet 访问复旦大学 BBS 出现乱码
A：终端设置中选择中文编码

Q：博客园上传的图片有时候无法正常显示
A：可能是图床服务器出现了问题，考虑更换图床：https://sm.ms

实践总结

本次实践内容是有一定难度的，需要很多计算机网络方面的专业知识，否则很难去理解每一步的含义。

参考资料

• 以太网
• Linux bpf 1.1、BPF内核实现
• TCPDUMP
• Wireshark
• TCP的几个状态 (SYN, FIN, ACK, PSH, RST, URG)
• 李忠兰同学作业
• 解建国同学作业