本文介绍了如何使用tcpdump和Wireshark对网络流量进行嗅探,包括对访问www.besti.edu.cn和TELNET登录BBS的案例。作者还实践了取证分析,解码网络扫描器,并分享了在Kali与Ubuntu环境下遇到的问题及其解决方案,强调了网络数据分析对网络安全的重要性。
1.实验内容
(1)动手实践tcpdump
使用tcpdump开源软件对访问www.besti.edu.cn网站过程进行嗅探.查看它访问了哪些网站,IP地址都是什么。
(2)动手实践Wireshark
使用Wireshark开源软件对在ubuntu上以TELNET方式登录BBS进行嗅探与协议分析。
(3)取证分析实践,解码网络扫描器(listen.cap)
2.实验过程
任务一:
1、kali先sudo su进入root
查询本机的IP地址为:192.168.200.4(这个好像只有net网络连接模式会显示IP)
问题:kali里面没网,之后无法进入学校网站,网络设置改为桥接模式后依然没网,换了ubuntu进行实验,OK。查看Ubuntu的IP地址为:192.168.200.2
(但我之后好像换为net模式,kali就有网了,反正在哪个里面做都是一样的)
2、输入命令sudo tcpdump src 192.168.200.4 and “tcp[13] & 18 =2"和sudo tcpdump src 192.168.200.4 and tcp dst port 80
我们可以看到访问web服务器有哪些
任务二:
使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析
在Ubuntu终端输入命令telent bbs.fozztexx.com
可以查到网址为:50.79.157.209
new一下
创建账号,设置密码,同时进行抓包
用wireshark进行抓包,先打开wireshark,在过滤器中输入telnet and ip.addr==刚刚所查的ip地址
账户数据包的获取:
一条条点击查看(对应我的用户名tzq)
密码的获取:(同理,一条条点开看就好了,就没有截所有的图)
任务三:
取证分析实践,解码网络扫描器(listen.cap)
注意:安装snort可以在ubuntu,方便
其他的在kali里面做。
1、通过命令sudo apt-get install snort 安装snort,
然后输入以下命令
由上图可知是由IP为172.31.4.178使用nmap扫描IP为172.31.4.188
打开wireshark,用wireshark打开listen.cap,在过滤栏中筛选ARP数据包
以tcp为条件进行扫描
观察到数据包,发现攻击机发送的数据包中使用了大量构造的标志位,以触发不同的响应包,推测是攻击机进行远程主机的操作系统检测,其攻击命令为nmap -O
数据包中有很多数据
以tcp.flags.syn ==1 and tcp.flags.ack ==1进行过滤
可以过滤出所有的SYN、ACK的数据包
先安装p0f工具
命令:sudo apt-get install p0f
进入listen.pcap所在目录使用命令sudo p0f -r listen.pcap
攻击机系统为linux2.6.x
3.学习中遇到的问题及解决
- 问题1:kali里面没网,换桥接模式重启后还是没网
- 问题1解决方案:在Ubuntu里做也一样,后来换为net模式,kali就有网了
- 问题2:实验三中snort的下载
- 问题2解决方案:在Ubuntu中下载snort比较顺畅
4.学习感悟、思考等
通过本次实验,我学会了使用tcpdump和Wireshark进行网络数据包捕获和分析,了解了网络数据包的传输过程和协议特点,同时进行了网络取证分析实践。通过解码网络扫描器数据包,我能够识别出关键信息并加强对网络安全的意识,也提高了动手能力。
参考资料
- 前人的博客 https://bbs.csdn.net/topics/614180644
- https://mbd.baidu.com/ma/s/Wi8heYaX
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
