在蜜罐主机上哪些端口被发现是开放的?
攻击主机的操作系统是什么?
### 2.实验过程
#### 2.1动手实践tcpdump
使用tcpdump开源软件对在本机上访问https://www.besti.edu.cn/
回答问题:你在访问 https://www.besti.edu.cn/ 网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?
在网络适配器设置中,将kali虚拟机的网络连接模式改为桥接模式,打开Kali-Linux虚拟机。
通过ifconfig指令,查询虚拟机kali的IP地址信息(本次实验中为192.168.43.246)
终端输入命令sudo tcpdump -n src 192.168.43.246 and tcp port 80 and “tcp[13]&18=2”
打开电科院官网,可以看到访问 https://www.besti.edu.cn 过程中访问问4个Web服务器,ip分别为152.195.38.76,34.107.221.82,203.208.50.98以及最后一个电科院的ip123.121.151.1。
#### 2.2动手实践Wireshark
键入命令 telnet bbscloud.com访问BBS云论坛。
发现其IP地址为39.98.128.52。
打开虚拟机自带的wireshark,然后查看端口,发现其端口号为23
通过Wireshark抓包,观察TELNET是通过明文的方式一个个字符传输数据的,我们能够发现在向服务器传输用户名及登录口令时,是一个字符一个字符传递的。
#### 2.3 取证分析实践,解码网络扫描器
将listen.pcap拷贝到kali虚拟机中,使用wireshark打开listen.pcap
通过数据包IP地址等信息分析可发现 ,攻击机IP地址为172.31.4.178,靶机IP地址为172.31.4.188
运行命令sudo apt install snort,安装入侵检测工具snort。
安装snort时,屏幕中会出现一个配置菜单,输入Y表示“确定”,按回车即可
然后执行sudo snort -A console -q -u snort -c /etc/snort/snort.conf -r listen.pcap,得到如下结果:
从“SCAN nmap XMAS”中可看出,攻击者使用nmap工具进行端口扫描。
通过指令tcp.flags.syn == 1 and tcp.flags.ack == 1 and ip.src==172.31.4.188,筛选数据交互过程中的数据包,查看靶机开放了哪些端口
通过分析,发现开放的端口有3306,80,25,22,53,21等等。
在输入框中输入筛选条件arp or nbns,回车,可以得到:
可以看到,NBNS协议和ARP协议包分为多段,通过ARP协议和NBNS协议,攻击者可以得到目标主机的IP地址,进而对其发起攻击。
通过进一步分析,我们可以得出攻击者的方式为:活跃主机检测、扫描操作系统、扫描开放端口、扫描开放服务
攻击者发出了很多广播信息,详细信息均有“Who has 172.31.4.188?”,因此说明这一段中,攻击者通过ARP广播的方式进行了活跃主机检测。
从下图我们可以看到,TCP的SYN包与ACK包有时候是一个SYN一个ACK,有时候是一堆SYN一堆ACK,还出现了如下图所示的特殊标记。有理由推测,攻击者在这一段扫描了目标主机的操作系统。因为不同的操作系统有不同的端口和服务,攻击者通过这种方式,探测目标主机存在哪些服务来基本确定目标主机操作系统的范围。
在所示的SYN包和ACK包,我们可以推测,攻击者在这一次攻击中使用了全端口扫描的指令。
还有处TCP之外的一些其他协议,这说明攻击者通过与检测出的端口进行上层的交流,检测到了一些网络服务,可以得出,攻击者在这一次攻击中扫描了服务。
最后使用p0f工具帮助查看攻击机的操作系统
在Kali Linux虚拟机终端中输入sudo apt-get install p0f安装p0f工具:
输入sudo p0f -r listen.pcap可以看到攻击机的操作系统为Linux 2.6.x
### 3.学习中遇到的问题及解决
* 问题:在第一个实验问题中打开虚拟机拟机无法联网
* 问题解决方案:将虚拟机改为桥接模式后,配置相应的网关即可
### 4.学习感悟、思考等)
本次实验我感觉需要自己动手动脑的地方更多了,要多分析一些网络数据,也学习了tcp dump的一些命令,还有wireshark的过滤等功能。
### 参考资料
https://bbs.csdn.net/topics/614080187
* …
1020
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
