20199328 2019-2020-2 《网络攻防实践》第4周作业

20199328 2019-2020-2 《网络攻防实践》第4周作业

1.实践内容

网络嗅探

  • 网络嗅探定义:1.利用计算机网路接口截获目的地为其他计算机的数据报文,已监听数据流中所包含的用户账户密码或私密信息等。2.通常在攻击者获得内部网络中一台主机的访问权后实施,能够被动地、静默地嗅探网络L传输的数据, 并从中窃取机密估息。3.网络管理员可以利用网络嗅探来捕获与分析网络的流量信息,以便找出所关心网络中潜打的问题, 并加以解决。
  • 网络嗅探分类:1.网络嗅探技术可以按照所监听的链路层网络进行分类。 无线嗅探器与 “ 有线” 嗅探器唯一区别是无线嗅探器可以读取和分析符合如lEEE 802.11等无线传输协议的数据包。2.网络嗅探器也可以按照实现形式分为软件嗅探器和硬件嗅探器两种,硬件件嗅探器是通过专用硬件对网络数据进行捕获和分析的,速度快、捕获数据全面但是成本高,软件型则成本更低,但速度和全面性有所欠缺
  • 网络嗅探原理:1.以外网卡工作原理:网卡驱动程序支持一种混杂模式,处千该模式下的网卡能够接收一切通过它连接共享通信媒介的数据帧,而不管该数据帧是否是传给它的。而为了嗅探以太网上的流量,就需要将网卡设置为混杂模式。2.共享式网络与交换式网络:在共享网络中,集线器的工作模式使得同一集线器上连接的所有主机在发送数据包时,都会发往每一台主机,因此其中任一主机都能够嗅探整个集线器上的全部网络流量。2.交换式网:交换机根据映射表与数据包的目标MAC地址进行转发的,因此可以有效地避免网络广播风暴,减少网络数据被嗅探的风险。但还是可以通过一些手段进行嗅探:MAC地址洪泛攻击、MAC欺骗、ARP欺骗
  • 不同平台网络嗅探实现:1.类UNIX平台的网络嗅探技术主要通过内核态的BPF和用户态的libpcap抓包工具库实现。2.Windows橾作系统拥有一个与libpcap库相兼容的标准抓包接口WinPcap
  • 网络嗅探软件:1.类UNIX 平台上的网络嗅探器软件一般都是基千标准接口BPF与libpcap, 最常用的包括 libpcap 抓包开发库、tcpdump以及 wireshark嗅探器软件等。2.windows平台下的嗅探软件:wireshark、snifferPro等
  • 网络嗅探的检测与防范:1.网络嗅探的检测:在同一主机上,可以通过检查网卡是否运行在混杂模式下,来发现正在进行监听的嗅探器。此外,也可以基千混杂模式下操作系统和协议栈的不同特性,来检测出网络中其他主机上的嗅探器。2.网络嗅探的防范措施:①采用安全的网络拓扑。②用静态ARP或者MAC-端口映射表代替动态机制。③重视网络数据传输的集中位甡点的安全防范。④避免使用明文传输口令或敏感信息的网络协议,而使用加密及安全增强的网络协议进行替代。

网络协议分析

  • 网络协议分析技术原理:网络协议分析是指对网络上传输的二进制格式数据包进行解析, 以恢复出各层网络协议伈息以及传输内容的技术方法。
  • 基本流程:得到链路层传输的二进制数据包->对以太网数据帧进行结构分析->进一步对IP数据包进行分析->继续根据TCP或UDP的目标端口确定具体的应用层协议->依据相应的应用层协议对数据进行整合恢复,得到实际传输的数据。

2.实践过程

动手实践: tcpdump

使用 tcpdump 开源软件对在本机上访问 www.tianya.cn 网站过程进行嗅探, 回答问题:你在访问 www.tianya.cn 网站首页时, 浏览器将访问多少个 Web 服务器?他们的 IP 地址都 是什么?
在terminal中输入:

 sudo tcpdump src 192.168.200.2 and tcp dst port 80 

经观察发现访问了一下几个服务器IP

124.225.135.230 位于澳大利亚

124.225.135.230 位于海南省


谷歌服务器转到天涯服务器

动手实践: Wireshark

使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:

你所登录的BBS服务器的IP地址与端口各是什么?

TELNET协议是如何向服务器传送你输入的用户名及登录口令?

如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?

我们选取的BBS的IP为120.92.212.76,端口号为23

利用telnet过滤出来,并TCP追踪BBS的IP作为源地址的可以发现用户名

进一步选择追踪方向发现用户名和密码

实践作业

1.攻击主机的IP地址是什么?
2.网络扫描的目标IP地址是什么?
3.本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
4.你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
5.在蜜罐主机上哪些端口被发现是开放的?
6.攻击主机的操作系统是什么?

我们使用winxp去进行nmap,选择kali去进行tcpdump,wireshark进行抓包

通过分析wireshark我们可以看到攻击主机ip为192.168.174.128,网络扫描目的ip为192.168.174.129
我们对抓包过程进行过滤

通过分析日志文件,我们可以是对tcp进行扫描,分析得出攻击机使用的命令是nmap -sV 192.168.174.129
攻击主机的操作系统是WinXP

3.学习中遇到的问题及解决

  • 问题1:虚拟机突然连不上网
  • 问题1解决方案:恢复了默认的网络环境

4.实践总结

有些原理上的东西还是要注意一下的,不要做纯工具党。实践过程中除了虚拟机突然连不上网以外,整个实验还算比较顺利。

posted @ 2020-03-22 17:11  刘琳杰20199328  阅读(329)  评论(0编辑  收藏  举报
返回顶部