20212917于欣月 2021-2022-2 《网络攻防实践》第三周作业
20212917于欣月 2021-2022-2 《网络攻防实践》第二周作业
目录
1.实验要求及过程
-
(1)动手实践tcpdump
使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探,回答问题:你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么? -
解:①将kali虚拟机网络模式改为桥接模式,使用
ifconfig
查询ip地址,得到192.168.31.226
②输入命令sudo tcpdump src 192.168.31.226 and tcp port 80
开始监听
③使用浏览器,访问www.tianya.cn,监听结果过多,截图只放部分。
④根据结果整理得出,访问的Web服务器有:
124.225.206.22
124.225.69.77
124.225.135.230
111.206.209.249
124.225.214.206
124.225.65.170
124.225.135.225
-
(2)动手实践Wireshark
使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:
你所登录的BBS服务器的IP地址与端口各是什么?
TELNET协议是如何向服务器传送你输入的用户名及登录口令?
如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令? -
解:①输入命令
luit -encoding gbk telnet bbs.fudan.edu.cn
②使用Wireshark进行捕捉,在终端中输入guest后,查看Wireshark捕获到的结果,发现BBS的ip是202.120.225.9,端口号是23。
③Telnet协议在传输用户名和密码时采用的时明文传输,所以可以通过捕获登录的包,追踪TCP流,看到用户名和密码。用户名为guest,密码为空
-
(3)取证分析实践,解码网络扫描器(listen.cap)
攻击主机的IP地址是什么?
网络扫描的目标IP地址是什么?
本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
在蜜罐主机上哪些端口被发现是开放的?
攻击主机的操作系统是什么? -
解:①使用snort对二进制文件进行入侵检测。首先通过
sudo apt-get instll snort
安装snort。
②进入/etc/apt目录,使用sudo chmod 777 snort.conf
,给snort.conf文件权限。
③使用sudo snort -A console -q -u snort -c /etc/apt/snort.conf -r listen.pcap(自己listen.pcap的路径)
进行检测,可以确认攻击者的IP是172.31.4.178,扫描的目标IP是172.31.4.188,是用nmap工具进行扫描的。
④用Wireshark打开listern.pcap,选择Analyze→Conversation Filter→TCP,也可以确认攻击者的IP是172.31.4.178,扫描的目标IP是172.31.4.188。
⑤对nmap扫描进行分析,因为nmap每次探测主机活跃是在广播域内广播arp request报文,所以在Wireshark中筛选ARP。可以知道5、7等这种是开始扫描的标志。
⑥首先要明确,nmap每次扫描之前都会进行主机活跃探测,可以发现5在最开始,并且与下一次的7之间,攻击者并未向靶机再发送其余数据包,所以可以知道这是在探测主机是否活跃,对应于namp -sP这个命令。
⑦第二次攻击从第七条开始,第二次攻击的末尾数据包。攻击机使用了大量构造的标志位,通过触发不同的响应包,从而判断这些流量对远程主机的操作系统探测,对应于nmap -O。结果如下:
⑧第三次扫描的往返是13W数据包,估计扫描端口六万多。所以应该是指定端口扫描,对应的是namp -sS -p 1-65535(-p指定扫描的端口数)指令进行扫描。
⑨第四次扫描的时间高于前三次扫描的时间,可以假设最后一次为namp -sV 靶机IP网络服务探测。寻找一个http,第四次扫描建立了握手和HTTP连接,因此扫描方式为namp -sV 靶机IP。
⑩确定端口,要用筛选tcp.flags.syn == 1 and tcp.flags.ack == 1
,可以得到开放的端口有21 22 23 25 53 80 139 445 3306 5432 8009 8180
确定操作系统,使用apt-get install p0f
安装p0f,用p0f -r listen.pcap
进行探测得到结果如下,可以发现os是Linux 2.6.X
2.学习中遇到的问题及解决
- 问题1:
apt-get install ***
安装失败 - 答:需要先用
apt-get update
更新一下,如果更新失败,很可能是源的问题,更换成阿里云的源最稳妥。
3.学习感想和体会
- 第一部分的实验与另一门课程的实践非常相似,所以这部分没有什么压力,第三部分取证分析实践我认为是最难的,需要很多的知识,而且还与上次实践中的nmap联系起来了,如果不是本次实践,我可能根本不会了解到这些。