实验要求

和结对同学一起完成,分别作为攻击方和防守方,提交自己攻击和防守的截图

1)攻击方用nmap扫描(给出特定目的的扫描命令)
2)防守方用tcpdump嗅探,用Wireshark分析(保留Wireshark的抓包数据),分析出攻击方的扫描目的和nmap命令

nmap扫描实验

nmap的简单介绍

nmap是一个网络探测和安全扫描程序,系统管理者和个人可以使用这个软件扫描大型的网络,获取哪台主机正在运行以及提供什么服务等信息。nmap支持很多扫描技术,例如:UDP、TCP connect()、TCP SYN(半开扫描)、ftp代理(bounce攻击)、反向标志、ICMP、FIN、ACK扫描、圣诞树(Xmas Tree)、SYN扫描和null扫描。nmap还提供了一些高级的特征,例如:通过TCP/IP协议栈特征探测操作系统类型,秘密扫描,动态延时和重传计算,并行扫描,通过并行ping扫描探测关闭的主机,诱饵扫描,避开端口过滤检测,直接RPC扫描(无须端口映射),碎片扫描,以及灵活的目标和端口设定。
nmap运行通常会得到被扫描主机端口的列表。nmap总会给出well known端口的服务名(如果可能)、端口号、状态和协议等信息。每个端口的状态有:open、filtered、unfiltered。open状态意味着目标主机能够在这个端口使用accept()系统调用接受连接。filtered状态表示:防火墙、包过滤和其它的网络安全软件掩盖了这个端口,禁止 nmap探测其是否打开。unfiltered表示:这个端口关闭,并且没有防火墙/包过滤软件来隔离nmap的探测企图。通常情况下,端口的状态基本都是unfiltered状态,只有在大多数被扫描的端口处于filtered状态下,才会显示处于unfiltered状态的端口。

ping测试

要进行nmap扫描首先要检查攻击机与靶机之间的联通情况,可通过ping命令进行测试。
攻击机IP:222.28.136.43
靶机IP:222.28.136.42

nmap扫描

namp -o 222.28.136.42激活对TCP/IP指纹特征(fingerprinting)的扫描,获得远程主机的标志 

namp -v 222.28.136.42进行详细信息扫描

使用tcpdump嗅探,用Wireshark分析(保留Wireshark的抓包数据)

tcpdump嗅探
tcpdump
普通情况下,直接启动tcpdump将监视第一个网络接口上所有流过的数据包。

tcpdump host 222.28.136.42
打印攻击机 与 靶机 之间通信的数据包

使用tcpdump嗅探,用Wireshark分析,获得的udp数据包

参考资料

http://www.cnblogs.com/ggjucheng/archive/2012/01/14/2322659.html