# [20212901 薛德凡 《网络攻防实践》第三次作业]

[20212901 薛德凡 《网络攻防实践》第三次作业]

1.实验内容

(1)使用TCPDump对访问网站过程中传送的数据包进行嗅探,并对数据包进行分析。
(2)在kali_ubuntu上使用自带的Wireshark软件对在本机上以TELNET方式登录BBS进行嗅探,并分析端口、用户名和口令的传送和获取等。
(3)对给定的listen.cap文件进行取证分析,得到一系列攻击机和靶机的之间的信息。

2.实验过程

1、动手实践tcpdump

(1)打开VMwork平台,将攻击机Kali网络模式设置为桥接模式

image-20220330210904896

(2)查看当前kali攻击机的ip地址:192.168.11.151

img

(3)在kali攻击机中输入sudo tcpdump -n src 192.168.11.151 and tcp port 80 and "tcp[13] & 18 =2",

image-20220330211607444

(4)然后浏览器访问网站:www.tianya.cn

(5)嗅探结果如下:

image-20220330212155959

(6)问题:在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?

问题解决:访问天涯网站过程中总共访问了7个web服务器,他们的ip地址分别为:124.225.206.22 124.255.69.77 124.225.135.230 124.225.214.206 124.225.214.214 44.240.24.191 13.249.126.209.80

2、动手实践Wireshark:使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析。

(1)在终端输入luit -encoding gbk telnet bbs.fudan.edu.cn 访问复旦的服务器,发现ip地址为202.120.225.9。

image-20220330212844368

(2)打开wireshark,捕获对应登录数据包,如图所示,我所登录的BBS服务器的IP地址是202.120.225.9,端口是23

image-20220330213156898

image-20220330212905582

(3)用游客模式guest登录该服务器

image-20220330213018758

(4)通过Wireshark抓包,观察TELNET协议对应数据包中的data,我们能够发现在向服务器传输用户名及登录口令时,是一个字符一个字符传递的。下图可以发现数据包中包含字母g、g、u。可以分析得到传输的信息为gguueesstt,传输方式为明文传输。

image-20220330213316443

image-20220330213320398

image-20220330213323882

image-20220330213328982

(5)当我们以新用户进行登录时,通过分析数据包可以获得用户名和口令,输入用户名为xdfxdf,密码为xdfxdf111

image-20220330222147876

(6)通过wireshark捕获此次注册对应的数据包,可以分析得到输入对应的用户名和密码。

image-20220330222230889

image-20220330222308116

image-20220330222313605

3、取证分析实践,解码网络扫描器(listen.cap)

(1)在kali攻击机处输入apt-get install snort,安装snort

image-20220330222442487

(2)从云班课下载资源文件listen.pcap,用wireshark打开,分析得到攻击的IP地址是172.31.4.178,网络扫描的目标IP是172.31.4.188

image-20220330222615577

(3)下载snort之后,终端输入命令sudo snort -A console -q -u snort -c /etc/snort/snort.conf -r listen.pcap
其中参数意义:
-A 设置报警模式
-q 安静模式,不显示标志和状态报告
-u 初始化后改变Snort的UID
-c 使用配置文件,这会使得snort进入IDS模式,并从中读取运行的配置信息
-r 从pcap格式的文件中读取数据包

分析可得是使用namp发起的端口扫描

image-20220330222732720

(4)以arp作为筛选条件,通过分析攻击机与靶机的ip,与数据包的序列号可得总共进行了4次扫描。

image-20220330223019395

(5)第一次扫描:本处数据包序列5-7之间数据包较少,攻击者并未向靶机再发送其余数据包,推测攻击机在探测主机是否活跃,对应nmap -sP 172.31.4.188。

image-20220330223903505

攻击者并未向靶机再发送其余数据包,所以可以知道这是在探测主机是否活跃,对应于namp -sP这个命令。

(6)第二次扫描:以端口1作为筛选条件,发现大量来自攻击机的SYN触发响应包用于探测靶机操作系统,可以判断嗅探命令为nmap -o 172.31.4.188

image-20220331153511142

(7)第三次扫描:本处可以发现攻击机与靶机之间来回通信包含约13w数据包,大致为攻击机向靶机发送SYN请求包,靶机返回SYN,ACK确认连接,攻击机响应来测试端口是否开放,可以判断嗅探命令为nmap -sS 172.31.4.188

image-20220331153815929

(8)第四次扫描:设置筛选条件为tcp.port==80,判断攻击机与靶机之间http链接是否开启,分析可得嗅探命令为nmap -sV 172.31.4.188

image-20220331154258511

(9)选取筛选条件为tcp.flags.syn == 1 and tcp.flags.ack == 1,确定开放端口为21 , 22 , 23, 25, 53, 80, 139, 445,3306, 5432, 8009 , 8180 。

image-20220331154729084

(10)在攻击机中使用命令apt-get install p0f,安装p0f,并使用p0f -r /home/kali/Desktop/listen.pcap,发现攻击机的操作系统为Linux 2.6.x

image-20220331154859933

3.学习中遇到的问题及解决

问题1:访问复旦大学服务器时,对应的中文是乱码

image-20220331155934375

问题1解决方案:通过sudo vim /etc/apt/sources.list命令更换源,命令sudo dpkg-reconfigure locales选择对应的语言

image-20220331160808123

问题2:下载snort时出现下载不成功的现象。

问题2解决方案:更换源后需要sudo apt-get update进行更新。

4.学习感想和体会

​ 本次实验内容让我对nmap的扫描方式有了更深的理解,调用了一些kali攻击机的工具,让我对kali也更加熟悉。扫描分析部分,由于本科期间学习过相关攻击的原理,因此通过数据包之间的关联即可分析得到结果。对于日后从事网络流量分析有很大的帮助。

posted @ 2022-03-31 16:16  纯蓝色111  阅读(74)  评论(0编辑  收藏  举报