20231901 2023-2024-2 《网络攻防实践》第三周作业

最新推荐文章于 2024-05-15 09:28:05 发布
最新推荐文章于 2024-05-15 09:28:05 发布
阅读量780 收藏 25
点赞数 13
文章标签: 网络 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/TS1903/article/details/136916841
版权

20231901 2023-2024-2 《网络攻防实践》第三周作业

1.知识点梳理与总结

1.1实验内容

(1)动手实践tcpdump

使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探,回答问题:你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?

(2)动手实践Wireshark

使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:

  • 你所登录的BBS服务器的IP地址与端口各是什么?
  • TELNET协议是如何向服务器传送你输入的用户名及登录口令?
  • 如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?
(3)取证分析实践,解码网络扫描器(listen.cap)

  • 攻击主机的IP地址是什么?

  • 网络扫描的目标IP地址是什么?

  • 本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?

  • 你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。

  • 在蜜罐主机上哪些端口被发现是开放的?

  • 攻击主机的操作系统是什么?

1.3实验过程

1.3.1动手实践tcpdump

  • (1)使用命令ifconfig查看本机IP地址为192.168.32.3。
    在这里插入图片描述

  • (2)使用tcpdump对本机向外的通信进行抓包,然后再浏览器中访问https://blog.csdn.net(由于暂时访问不上学校官网,因此使用csdn官网)。可以看到抓到包前几项是打开浏览器时的记录,后面才是访问csdn是访问的Web服务器,IP地址如图所示为:152.195.38.76,203.200.49.66,116.163.41.132,203.208.41.34。
    在这里插入图片描述

1.3.2动手实践Wireshark

(1)输入命令访问BBS服务器,这里我使用telnet访问水木社区,命令如下:
luit -encoding GBK telnet bbs.newsmth.net
可以得到如图所示界面:
在这里插入图片描述
(2)打开Kali自带的Wireshark抓包,选择eth0网卡,然后在终端输入guest以访客登入水木社区,然后在Wireshark过滤器中输入telnet对telnet协议的数据包进行过滤,抓包结果如图所示,由此可知水木社区服务器的IP地址为120.92.212.76,端口为23即telnet服务的端口。
在这里插入图片描述
(3)继续追踪TCP流可以发现,输入的guest以明文方式向服务器进行传输,如图所示,其中在输入用户名的时候,telnet使用的模式为一次一个字符方式,即客户端输入一个字符,服务器即回显相同的字符,下图为输入gue时的显示:
在这里插入图片描述
下图为输入guest时的显示:
在这里插入图片描述
而在输入密码的时候服务器则不显示,通过这个特点即可获取到用户名和密码,在这里由于使用了guest账户,所以没有密码,因此用户名为guest。:
在这里插入图片描述

1.3.3取证分析实践,解码网络扫描器(listen.cap)

(1)将 listen.pcap 复制到kali虚拟机中,使用snort对二进制记录文件进行入侵检测。

  • sudo apt-get update // 更新APT库
  • sudo apt-get install snort // 安装snort
    在这里插入图片描述
  • 使用sudo apt-get install snort进行安装(出现紫红色框后强制关闭终端再打开)
  • 使用cp命令将listen.pcap复制到/etc/snort/这个路径下
    在这里插入图片描述
  • 在/etc/snort/目录下输入以下指令:snort -A console -q -u snort -c /etc/snort/snort.conf -r ~/listen.pcap (-A开启报警模式,-q不显示状态报告,,-u为初始化后改变snort的UID,-c为使用后面的配置文件,进入IDS模式,-r从pcap格式的文件中读取数据包 )
从图中可以发现本次攻击是使用nmap扫描,攻击机ip是172.31.4.178,靶机ip 是172.31.4.188

在这里插入图片描述
(2)使用arp包更新目标的MAC地址,如图所示使用Wireshark的过滤器扫描出arp包,可以看到攻击机对靶机进行了4次询问,如下图,其中的蓝色框画出来的部分是靶机询问攻击机的MAC地址。
在这里插入图片描述

  • 可以看出攻击机第一次nmap扫描和第二次nmap扫描之间没有数据包,则第一次nmap扫描为探测目标IP是否活跃,指令为 nmap -sP 172.31.4.188。
    在这里插入图片描述
  • 以tcp作为过滤条件
    从数据包中观察到攻击机使用了许多构造的标志位,以触发不同的响应包,因此可能是攻击机进行远程主机的操作系统检测,其攻击命令为nmap -O(这里用回kali,seed界面太小啦!)
    在这里插入图片描述
  • 查看ICMP包
    发现攻击机Ping了靶机两次,这可能是攻击机判断与靶机的网络连通性,以及靶机是否在线。
    在这里插入图片描述
  • 查看SSH、MySQL、SMTP包
    发现都有对应的包,说明应该是使用了nmap的-sV扫描探测端口开启的服务以及版本信息。
    在这里插入图片描述
  • 用以下命令进行筛选确认靶机哪些端口是开启的。
tcp.flags.syn == 1 and tcp.flags.ack == 1
可以看到3306,139,23,80,25,22,53,21,445等端口活跃

在这里插入图片描述
(3)查看攻击主机的操作系统

  • 在终端中输入命令 sudo apt-get install p0f,安装p0f工具。
    在这里插入图片描述
  • 进入listen.pcap所在目录中使用命令 sudo p0f -r listen.pcap,得出攻击机系统为 Linux 2.6.x。
    在这里插入图片描述

3.学习中遇到的问题及解决

问题1: 在kali虚拟机下,下载snort后,无法找到snort.conf。
解决方案1: 利用同学提供的方案,在seed中可以找到snort.conf。
问题2: 在seed虚拟机中安装snort时,选择默认窃听口eth0显示错误。
解决方案2: 直接关闭终端,再次打开即可。
问题3: 在移动listen.pcap到/etc/snort文件下时,无权限。且无法使用snort对二进制记录文件进行入侵检测。
解决方案3: 在命令前加sudo,并随后移动到snort文件下进行操作。

4.学习感悟、思考等

通过本次实验我学习了tcpdump相关命令、wireshark的过滤等功能,尤其是在wireshark分析攻击者和靶机之间的问询所表示的含义,同时在本实验中遇到了不少的问题,也锻炼了我解决问题的能力,总的来说本次实验非常有意义!

5.参考资料

[诸葛建伟. 网络攻防技术与实践[M]. 电子工业出版社, 2011-6.]

20231901黄丁韫
关注
  • 13
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SXU-网络攻防第六次作业-sql注入进阶
12-27
山西大学网络攻防第六次作业——sql注入进阶 把test靶场中的报错注入,时间注入,堆叠注入,宽子节注入进行练习.这四个注入在127.0.0.1/test/sql/路径下﹒按破解步骤进行,至少做到爆表名这一步﹒每个步骤都要按考试要求去做:保留每次攻击的输入和执行结果截图
SXU-2022-2023第一学期网络攻防期末考试答案(个人版,99.8分).pdf
12-31
山西大学2022-2023第一学期网络攻防期末考试答案 此答案为本人考试时亲自实操完成,99.8分
SXU-网络攻防作业-boolean注入
12-27
山西大学网络攻防作业五——boolean注入 本次作业交文档(参考老师上课发的word的格式,提交结果部分为截图) 练习boolean注入的过程,从文档1646 '中的确定是否有注入开始﹒l用uagents做测试,要求破解第三个字段,并且在不打开S&L显示的情况下
SXU-网络攻防第7次作业-文件上传
12-27
山西大学网络攻防第7次作业——文件上传 自己试一下今天上课讲的五种文件上传方式,文件截断绕过攻击可以不做,把步骤截图保存到文档 1. 文件上传 2. JS检测绕过攻击 3. 文件后缀绕过攻击 4. 文件类型绕过攻击 5. 图马绕过 6. 竞争条件攻击
20231909 2023-2024-2 《网络攻防实践》第2次作业
weixin_57750189的博客
03-14 901
通过这次实验,在锻炼网络攻防的动手能力。同时我也发现了自己的不足和薄弱之处,需将理论与实践结合不断提升自己。4.使用Nessus开源软件对靶机环境进行扫描,回答以下问题并给出操作命令。3.使用nmap开源软件对靶机环境进行扫描,回答以下问题并给出操作命令。因为kali中集成了nmap的开源工具,所以使用kali进行实验。1.对sina.com.cn进行DNS域名查询,获取各种信息。⑤查看靶机各个端口上网络服务存在哪些安全漏洞。你认为如何攻陷靶机环境,以获得系统访问权。《网络攻防技术与实践
20231901 2023-2024-2 《网络攻防实践》第二作业
TS1903的博客
03-15 590
网络攻防实验二
20231901 2023-2024-2 《网络攻防实践》第六作业
TS1903的博客
04-22 718
如下图所示,可以观察到RDS渗透攻击的间隔时间大约为6秒,推测攻击者预先编写了一系列需要执行的shell指令,并使用msadc(2).pl渗透工具一次执行。跟踪数据包的tcp数据流,如下图可知,存在特殊字符%C0%AF,这是Unicode编码,由此判断攻击者进行了Unicode攻击以打开boot.ini文件。此时要根据靶机版本选择合适的targets,例如这里是靶机系统为:Windows 2000,则只需加一行如下命令set target 1,如果还是不行,可以把靶机改成英文版。
20231901 2023-2024-2 《网络攻防实践》第四作业
TS1903的博客
04-01 941
网络攻防实验环境中完成TCP/IP协议栈重点协议的攻击实验,包括ARP缓存欺骗攻击、ICMP重定向攻击、SYN Flood攻击、TCP RST攻击、TCP会话劫持攻击。
20231901 2023-2024-2 《网络攻防实践》第五作业
TS1903的博客
04-11 683
配置Linux操作系统平台上的iptables,或者Windows操作系统平台上的个人防火墙
SXU-网络攻防2022-2023学年第一学期期末考试题
12-28
山西大学网络攻防2022-2023学年第一学期期末考试题 山西大学网络攻防2022-2023学年第一学期期末考试题 山西大学网络攻防2022-2023学年第一学期期末考试题 山西大学网络攻防2022-2023学年第一学期期末考试题 山西大学...
20231901 黄丁韫 2023-2024-2 《网络攻防实践》第八作业
TS1903的博客
04-28 923
(1)首先我们查看脱壳后的RaDa.exe文件内容,输入代码,可以看到有大量函数调用名以及其他字符串,但是并未查找到作者信息。(2)最后,通过资料查找发现还可以使用IDA PRO Free 工具,获取脱壳后Rada.exe的相关信息,如下图所示,成功找到作者信息和发布时间,还有邮箱等。通过网络资料学习到,md5sum命令用于生成和校验文件的md5值,是一种逐位校验文件内容的算法,这里我们输入指令md5sum。如下图所示,摘要为caaa6985a43225a0b3add54f44a0d4c7。
20231905 2023-2024-2 《网络攻防实践》第2次作业
weixin_47501353的博客
03-16 938
(1) 从www.besti.edu.cn、baidu.com、sina.com.cn中选择一个DNS域名进行查询,获取如下信息:DNS注册人及联系方式、该域名对应IP地址、IP地址注册人及联系方式、IP地址所在具体地理位置。(2) 尝试获取BBS、论坛、QQ、MSN中某一好友的IP地址,并查询获取该好友所在的具体地理位置。(3) 使用nmap开源软件对靶机环境进行扫描,回答以下问题并给出操作命令。(4)使用Nessus开源软件对靶机环境进行扫描,回答以下问题并给出操作命令。
ipv4手动设置网络的相关知识
m0_57692904的博客
05-10 282
作用:告诉计算机哪些是网络号,哪些是主机号。组合表示方式:192.168.1.1/(又称:主机号和网络号组成)2.家庭网络基础组成。
CPU占用率过高排查
Tony_long7483的博客
05-14 450
如果有人伪造TC-BPDU报文恶意攻击,设备短时间内会收到很多TC-BPDU报文,频繁的删除操作会导致CPU占用率比较高。·如果设备已经配置了loop-detect eth-loop alarm-only,但是没有看到告警,检查设备是否产生海量日志,某些异常情况下如受到攻击、运行中发生了错误、端口频繁Up/Down等,设备会不停打印诊断信息或日志信息。· CPU占用率高是设备本身的一种现象,直观表现为display cpu-usage命令查询结果中整机CPU占用率“CPU usage”偏高,如超过70%。
netstat协议
最新发布
lovemelovefish的博客
05-15 370
本机各端口的网络连接情况。
以太网网络变压器型号
Hqst88888的博客
05-10 302
额定电流:表示变压器的额定输入和输出电流,通常以毫安(mA)为单位。额定电压:表示变压器的额定输入和输出电压,通常以伏特(V)为单位。额定功率:表示变压器的额定输入和输出功率,通常以瓦特(W)为单位。外形尺寸:表示变压器的外形尺寸,通常以长、宽、高(mm)为单位。环境温度:表示变压器的工作环境温度,通常以摄氏度(℃)为单位。端子类型:表示变压器的端子类型,通常有SMD、THT等类型。绝缘等级:表示变压器的绝缘等级,通常以等级符号表示。0℃~+70℃表示工作环境温度范围为0℃至+70℃;
计算机网络原原理学习资料分享笔记---第三章/第三节(为有梦想的自己加油!)
Java000I的博客
05-13 971
2 、收到 1 个ACKn。1 、正确接收到序号在接收窗口范围内的分组PTKn,发送ACKn,窗口滑动。序号为基序号,则发送一个ACKn,接收窗口滑动到序号n+ 1 的位置。3 )发送方如果收到ACK,则继续发送后续报文段,否则重发刚刚发送。3 )发送方如果收到ACK,则继续发送后续报文段,否则重发刚刚发送。发送方接收到NAK,表示接收方没有正确接收数据,则将出错的数据重。2 )接收方如果差错检测无误且序号正确,则接收报文段,并向发送方。2 )接收方如果差错检测无误且序号正确,则接收报文段,并向发送方。
DHCP原理
2401_83330816的博客
05-11 556
DHCP (Dynamic Host Configuration Protocol,动态主机配置协议)是由Internet工作任务小组设计开发的,专门用于为TCP/IP网络中的计算机自动分配TCP/IP参数的协议,是一个应用层协议,使用UDP的67和68端口。DHCP的前身是BOOTP协议(BootstrapProtocol),BOOTP被创建出来为连接到网络中的设备自动分配地址,后来被DHCP取代了,DHCP比BOOTP更加复杂,功能更强大。
CVE-2023-3519
07-27
source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值