20212917于欣月 2021-2022-2 《网络攻防实践》第三周作业

20212917于欣月 2021-2022-2 《网络攻防实践》第二周作业

目录



1.实验要求及过程

  • (1)动手实践tcpdump
    使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探,回答问题:你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?

  • 解:①将kali虚拟机网络模式改为桥接模式,使用ifconfig查询ip地址,得到192.168.31.226

②输入命令sudo tcpdump src 192.168.31.226 and tcp port 80开始监听

③使用浏览器,访问www.tianya.cn,监听结果过多,截图只放部分。

④根据结果整理得出,访问的Web服务器有:

124.225.206.22
124.225.69.77
124.225.135.230
111.206.209.249
124.225.214.206
124.225.65.170
124.225.135.225
  • (2)动手实践Wireshark
    使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:
    你所登录的BBS服务器的IP地址与端口各是什么?
    TELNET协议是如何向服务器传送你输入的用户名及登录口令?
    如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?

  • 解:①输入命令luit -encoding gbk telnet bbs.fudan.edu.cn

②使用Wireshark进行捕捉,在终端中输入guest后,查看Wireshark捕获到的结果,发现BBS的ip是202.120.225.9,端口号是23。

③Telnet协议在传输用户名和密码时采用的时明文传输,所以可以通过捕获登录的包,追踪TCP流,看到用户名和密码。用户名为guest,密码为空

  • (3)取证分析实践,解码网络扫描器(listen.cap)
    攻击主机的IP地址是什么?
    网络扫描的目标IP地址是什么?
    本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
    你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
    在蜜罐主机上哪些端口被发现是开放的?
    攻击主机的操作系统是什么?

  • 解:①使用snort对二进制文件进行入侵检测。首先通过sudo apt-get instll snort安装snort。

②进入/etc/apt目录,使用sudo chmod 777 snort.conf,给snort.conf文件权限。

③使用sudo snort -A console -q -u snort -c /etc/apt/snort.conf -r listen.pcap(自己listen.pcap的路径)进行检测,可以确认攻击者的IP是172.31.4.178,扫描的目标IP是172.31.4.188,是用nmap工具进行扫描的。

④用Wireshark打开listern.pcap,选择AnalyzeConversation FilterTCP,也可以确认攻击者的IP是172.31.4.178,扫描的目标IP是172.31.4.188。

⑤对nmap扫描进行分析,因为nmap每次探测主机活跃是在广播域内广播arp request报文,所以在Wireshark中筛选ARP。可以知道5、7等这种是开始扫描的标志。

⑥首先要明确,nmap每次扫描之前都会进行主机活跃探测,可以发现5在最开始,并且与下一次的7之间,攻击者并未向靶机再发送其余数据包,所以可以知道这是在探测主机是否活跃,对应于namp -sP这个命令。

⑦第二次攻击从第七条开始,第二次攻击的末尾数据包。攻击机使用了大量构造的标志位,通过触发不同的响应包,从而判断这些流量对远程主机的操作系统探测,对应于nmap -O。结果如下:

⑧第三次扫描的往返是13W数据包,估计扫描端口六万多。所以应该是指定端口扫描,对应的是namp -sS -p 1-65535(-p指定扫描的端口数)指令进行扫描。

⑨第四次扫描的时间高于前三次扫描的时间,可以假设最后一次为namp -sV 靶机IP网络服务探测。寻找一个http,第四次扫描建立了握手和HTTP连接,因此扫描方式为namp -sV 靶机IP。

⑩确定端口,要用筛选tcp.flags.syn == 1 and tcp.flags.ack == 1,可以得到开放的端口有21 22 23 25 53 80 139 445 3306 5432 8009 8180

确定操作系统,使用apt-get install p0f安装p0f,用p0f -r listen.pcap进行探测得到结果如下,可以发现os是Linux 2.6.X

2.学习中遇到的问题及解决

  • 问题1:apt-get install *** 安装失败
  • 答:需要先用apt-get update更新一下,如果更新失败,很可能是源的问题,更换成阿里云的源最稳妥。

3.学习感想和体会

  • 第一部分的实验与另一门课程的实践非常相似,所以这部分没有什么压力,第三部分取证分析实践我认为是最难的,需要很多的知识,而且还与上次实践中的nmap联系起来了,如果不是本次实践,我可能根本不会了解到这些。
posted @ 2022-03-29 00:17  雲深不知处  阅读(72)  评论(0编辑  收藏  举报