20222807 2022-2023-2 《网络攻防实践》第三周作业

实践三 网络嗅探与协议分析

1.实验内容

（1）动手实践tcpdump

使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探，回答问题：

• 你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器？他们的IP地址都是什么？

（2）动手实践Wireshark

使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析，回答如下问题并给出操作过程:

• 你所登录的BBS服务器的IP地址与端口各是什么？
• TELNET协议是如何向服务器传送你输入的用户名及登录口令？
• 如何利用Wireshark分析嗅探的数据包，并从中获取你的用户名及登录口令？

（3）取证分析实践，解码网络扫描器（listen.cap）

• 攻击主机的IP地址是什么？

• 网络扫描的目标IP地址是什么？

• 本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？

• 你所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么，并描述其工作原理。

• 在蜜罐主机上哪些端口被发现是开放的？

• 攻击主机的操作系统是什么？

2.实验过程

（1）动手实践tcpdump

首先将kali设置为桥接模式，打开kali，输入ifconfig查看ip地址为192.168.43.213，如下所示：

输入sudo tcpdump -n src 192.168.43.213 and tcp port 80 and "tcp[13] & 18 =2"指令并运行，开始嗅探

打开浏览器，输入www.tianya.cn载入网页，并进入首页

此时嗅探结果如下所示：

可见浏览器访问了11个web服务器，ip分别如下：
203.208.50.66
125.39.216.189
152.195.38.76
124.225.206.22
124.225.69.77
124.225.135.230
124.225.206.22
124.225.214.214
218.77.130.160
124.225.214.206
124.225.65.30

（2）动手实践Wireshark

打开kali虚拟机终端，输入luit -encoding gbk telnet bbs.fudan.edu.cn访问复旦大学BBS服务器，发现ip为202.120.225.9

打开wireshark开始捕获，在过滤信息中输入ip.addr==202.120.225.9来过滤，在终端中输入guest，捕获结果如下所示，发现其端口号为23：

在终端输入用户名和密码，在wireshark上抓包并进行tcp流追踪，如下所示，可以知道输入的用户名为root，密码为0451

（3）取证分析实践，解码网络扫描器（listen.cap）

首先，下载listen.pcap文件并将其复制到kali虚拟机中，

对listen.pcap文件进行初步分析，使用wireshark打开，如下所示：

发现tcp连接中大多数是由172.31.4.178发送到172.31.4.188的，推测攻击主机的ip为172.31.4.178，网络扫描的目标主机的ip为172.31.4.188

实验需要用到snort这一工具，首先换源并更新，然后使用sudo apt-get install snort安装

输入sudo snort -A console -q -u snort -c /etc/snort/snort.conf -r listen.pcap并执行，结果如下所示，可以看出是使用nmap扫描的

由于nmap是使用ARP确定MAC地址的，再wireshark种筛选ARP包，根据时间判断，攻击机对靶机发动了四次攻击，第一次攻击是使用nmap -SP的方式进行

观察第二次攻击的最后，攻击者发送了一系列带有标志位的数据包，可以判断攻击者对靶机进行了操作系统扫描，即nmap -O命令的攻击

观察第三次攻击的数据包，攻击机向靶机发送了大量的SYN包，靶机对其进行逐一回复，可见是在进行半开放全端口扫描，即nmap -sS方式

观察第四次攻击的数据包，攻击机在进行同样的扫描的同时，对于可以进行通信的端口进行了进一步的交流，可见是在进行nmap -sV的开放服务检测

在wireshark筛选栏中输入tcp.flags.syn = =1 and tcp.flags.ack== 1来筛选靶机活跃的端口，如下所示，可以看到开放的端口有21,22,23,25,53,80,139,445,3306,3632,5432,8009,8180

最后，使用p0f插件，输入p0f -r listen.pcap命令，运行可以看到攻击机的操作系统为Linux 2.6

3.学习中遇到的问题及解决

• 问题1：在第一步中将kali虚拟机设置为桥接模式之后，虚拟机无法连接网络。
• 问题1解决方案：查阅相关的博客，按照教程进行虚拟机的网络配置，解决了问题。
• 问题2：使用sudo apt-get install snort时无法安装snort
• 问题2解决方案：首先尝试使用sudo apt-get update来更新源，发现报错，查阅博客得知需要维护签名，完成后，更新源后发现仍无法安装snort，按照博客教程更换源并更新，完成安装

4.学习感悟、思考等

本次实验中学到了许多实践性的知识，虽然在过程中遇到了大量问题，但只要用心查找都可以将问题解决

参考资料

• [《网络攻防技术与实践》诸葛建伟著]