20232925 2023-2024-2 《网络与系统攻防技术》第3次作业

20232925 2023-2024-2 《网络与系统攻防技术》第3次作业

1.实验内容

(1)动手实践tcpdump

使用tcpdump开源软件对在本机上访问www.besti.edu.cn网站过程进行嗅探，回答问题：你在访问www.besti.edu.cn网站首页时，浏览器将访问多少个Web服务器？他们的IP地址都是什么？

(2)动手实践Wireshark

使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析，回答如下问题并给出操作过程:
你所登录的BBS服务器的IP地址与端口各是什么？
TELNET协议是如何向服务器传送你输入的用户名及登录口令？
如何利用Wireshark分析嗅探的数据包，并从中获取你的用户名及登录口令？

(3)取证分析实践，解码网络扫描器（listen.cap）

攻击主机的IP地址是什么？
网络扫描的目标IP地址是什么？
本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？
你所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么，并描述其工作原理。
在蜜罐主机上哪些端口被发现是开放的？
攻击主机的操作系统是什么？

2.实验过程

2.1 动手实践tcpdump

打开Kali虚拟机，通过ifconfig指令，查询IP地址信息如图一，为192.168.200.2。

图一

通过如下指令启动tcpdump开始进行抓包并进行过滤，同时从浏览器访问www.besti.edu.cn。

sudo tcpdump -n src 192.168.200.5 and tcp port 443 and "tcp[13]&18=2"

图二

如图二，从结果来看访问了123.121.157.1。

(2)动手实践Wireshark

1.通过如下指令访问BBS服务器，这里用的是水木清华的BBS服务器，结果如图三所示。

luit -encoding GBK telnet www.newsmth.net

图三

之后输入guest用访客模式进入，此间在kali中启动wirekshark对本机流量进行监控，抓取流量如图四所示。

图四 通过对报文的分析可得出BBS的IP地址为120.92.212.76，端口为23，telnet服务端口。

2.如图五所示，追踪TCP流可以发现输入的guest以明文方式向服务器进行传输。telnet使用的模式为一次一个字符方式，即客户端输入一个字符，服务器即回显相同的字符，而在输入密码的时候服务器则不回显。

图五

(3)取证分析实践，解码网络扫描器

1.用wireshark打开listen.pcap,然后通过统计->IPV4 Statistics-> Source and destination Address，如图六和图七所示，可以发现IP地址为172.31.4.178和172.31.4.188之间由大量通信报文，大多由172.31.4.178向172.31.4.188发送，所以可以判断172.31.4.178为攻击机，172.31.4.188为靶机。

图六

图七

2.通过命令tcp.flags.syn == 1 and tcp.flags.ack == 1 and ip.src == 172.31.4.188作为过滤条件，如图八所示，可以发现开放端口有：21,22,23,25,53,80,139,445,3306,3632,5432,8009,8180。

图八

3.攻击者使用的扫描方法如下有四种方式。如题九，为TCP connect扫描，特征为攻击机发送SYN，靶机回复SYN/ACK，攻击机回复RST。

图九

然后如图十所示半开放扫描，攻击机发送SYN到目标端口，如果收到SYN/ACK回复，那么判断端口是开放的；如果收到RST包，说明该端口是关闭的。

图十

如图十一所示，利用tcp.flags.ack == 1 and ip.src == 172.31.4.178过滤，是TCP ACK扫描，用来测试主机盒防火墙功能。发送ACK包，如果收到RST包，说明该端口没有被防火墙屏蔽；没有收到RST包，说明被屏蔽。

图十一

如图十二所示，是TCP Xmas扫描。Xmas tree包是指flags中FIN URG PUSH被置为1的TCP包，收到对方RST回复包，那么说明该端口是关闭的；没有收到RST包说明端口可能是开放的或被屏蔽的。

图十二

4.通过如下命令安装p0f:

apt-get updata
apt-get install p0f

然后启动p0f检测listen.pcap,如图十三所示。

p0f -r listen.pcap

图十三

扫描结果如图十四所示，发现是通过nmap扫描。

图十四

后继续分析，如图十五，攻击机的操作系统版本为Linux 2.6.x。

十五

3.学习中遇到的问题及解决

问题1：在访问www.besti.edu.cn时，使用tcpdump -n src 192.168.200.5 and tcp port 80 and "tcp[13]&18=2"进行过滤，结果获取了大量请求报文。
问题1解决方案：因为是https传输，所以将80端口改为443端口。

问题2：在访问BBS使用命令

luit -encoding GBK telnet www.newsmth.net

但是结果会报错一串乱码。
问题2解决方案：安装GBK编码成功访问。

4.学习感想和体会

这次实验主要学习tcpdump，wirekshark等工具的使用，通过这些抓包工具能够对网络流量进行嗅探，并能分析这些流量获取明文的账户密码信息。此外能利用一些工具结合wireshark进行溯源查看攻击机的信息。所以平常通信要主要保护个人信息，尽量不使用明文传输的协议，在网络输入账户密码也要注意是否已经加密。

参考资料