20232802 2023-2024-2 《网络攻防实践》实验三
1.实验过程
(1)动手实践tcpdump
将kali的网络模式设置为桥接模式,进入管理员权限后查询本机IP地址为172.20.10.10
输入命令sudo tcpdump -n src 172.20.10.10 and tcp port 80,打开浏览器,访问学校网站besti.edu.cn
可以看到目标网站的服务器IP地址为152.195.38.76,端口号为80
(2)动手实践Wireshark
输入命令luit -encoding gbk telnet bbs.fozztexx.com访问BBS服务器,发现其IP地址为59.79.157.209
输入VISITOR进行登录
在wireshark中输入telnet过滤,可以看到传输数据为Thanks for visiting, hope to see you back real soon!
可以看到BBS服务器使用的端口号为23
(4)取证分析实践,解码网络扫描器(listen.cap)
通过以下命令安装snort
sudo apt-get update
wget archive.kali.org/archive-key.asc #下载签名
apt-key add archive-key.asc #安装签名
sudo apt-get update
sudo apt-get install snort
sudo chmod 777 /etc/snort/snort.conf给snort.conf
snort -A console -q -u snort -c /etc/snort/snort.conf -r listen.pcap
安装成功后可以看到攻击机的地址为172.31.4.178,靶机的地址为172.31.4.188
筛选arp请求包,找到目标IP地址为172.31.4.188的主机的MAC地址
筛选icmp请求包,可以看到两组ICMP request包和ICMP reply包,可以看到靶机使用了主机扫描,确定了目标主机是活跃的。
输入过滤条件:tcp.flags.syn == 1 and tcp.flags.ack == 1,即可找到靶机所有的开放端口
为使用p0f工具,先通过命令sudo apt-get install p0f下载安装p0f工具,输入sudo p0f -r listen.pcap,查看到攻击主机的操作系统是Linux 2.6.x
2.学习中遇到的问题及解决
-
问题1:安装snort的时候卡在了最后一步安装snort相关规则库,通过命令下载了 规则库压缩包后,用命令sudo tar zxvf snortrules-snapshot-29200.tar.gz -C /etc/snort总是报错。
- -
问题1解决方案:我从官网直接下载规则库压缩包发现有124Mb,对比之前下载的压缩包只有100多kb,推断下载的包大概率受损。最后转到了SEEDubuntu上安装并运行snort。世界都晴朗了,操作过程简单直接。
3.学习感悟、思考等)
这次实验让我接触到了tcodump, wireshark,snort等工具,让我领会到了这些网络工具功能的强大,之后要多加应用熟练掌握,以期在网络攻防领域有所了解。