目录
2.3 取证分析实践,解码网络扫描器(listen.cap)
1.实验内容
1.1网络嗅探:网络嗅探基本介绍
网络嗅探需要用到网络嗅探器,其最早是为网络管理人员配备的工具,有了嗅探器网络管理员可以随时掌握网络的实际情况,查找网络漏洞和检测网络性能,当网络性能急剧下降的时候,可以通过嗅探器分析网络流量,找出网络阻塞的来源。网络嗅探是网络监控系统的实现基础。
1.2网络嗅探:嗅探器软件
目前,大多数的网络嗅探程序都是以 BPF和 libpcap为基础的,其中最常见的有 libcap包开发库, tcpdump, wireshark嗅探程序(Unix和 Windows)。
- libpcap抓包开发库:libpcap发展的最根本的一步就是打开网络设备,设置过滤规则,捕捉数据,关掉网络设备。请参阅 libpcap的细节说明。(虽然很多程序都是简单的两个指令就能做出来,但还是有很重要的作用。)
- tcpdumptcpdump是一个带有分组解析的通用指令行网路嗅探协定。从“src192.168.199.200和 tcp dst端口80,可以看到 HTTP网络中的数据传输。在第1个网路介面上,所有透过 tcpdump`都会被监控。
- Wireshark嗅探:一个开放源码的封包分析工具,它的功能是捕捉网路资料,透过协定解析资料,以最大限度地展现细节,并提供使用者更易于阅读的形式。
2.实验过程
2.1动手实践tcpdump
使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探,回答问题:你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?
首先,打开kali虚拟机终端,输入命令sudo tcpdump -n src 192.168.200.5 and tcp port 80 and "tcp[13]&18=2"
打开web browser,在浏览器中打开网址《天涯论坛》
回答问题: 监听结果进行分析,可以看到,发现主要经过的Web服务器ip地址如下:
用nslookup查询tianya.cn,可以验证。 说明tcpdump对www.tianya.cn进行嗅探成功。
2.2 动手实践Wireshark
使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:
- 你所登录的BBS服务器的IP地址与端口各是什么?
- TELNET协议是如何向服务器传送你输入的用户名及登录口令?
- 如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?
实验过程如下:
打开kali虚拟机终端,输入luit -encoding gbk telnet bbs.fudan.edu.cn访问复旦大学bbs服务器,发现其ip地址为202.120.225.9
本地打开wireshark,并开启捕获
这里输入guest:
复旦的BBS服务器IP地址为202.120.225.9,端口号为23
Telnet协定使用时明文传送使用者名称和口令,透过跟踪 TCP流程,我们可以看见使用者名称guest。
2.3 取证分析实践,解码网络扫描器(listen.cap)
-
攻击主机的IP地址是什么?
-
网络扫描的目标IP地址是什么?
-
本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
-
你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
-
在蜜罐主机上哪些端口被发现是开放的?
-
攻击主机的操作系统是什么?
操作过程如下:
找到listen.pcap,把listen.pcap放到kali虚拟机里
攻击主机的IP地址是什么?网络扫描的目标IP地址是什么?本次案例中是使用了哪个扫描工具发起这些端口扫描?
首先,使用sudo apt-get install安装snort,并对snort.conf可读可写入可执行权限sudo chmod 777/etc/snort/snort.conf,并运行snort -A console -q -u snort -c /etc/snort/snort.conf -r /home/kali/listen.pcap
步骤如下:
输入sudo vim /etc/apt/sources.list
将其修改为:
分别使用wget archive.kali.org/archive-key.asc 下载签名和apt-key add archive-key.asc 安装签名
sudo apt-get install snort,下载snort:
以下选项全部默认
接着输入sudo chmod 777 /etc/snort/snort.conf和snort -A console -q -u snort -c /etc/snort/snort.conf -r ~/listen.pcap
可以看到,使用了nmap扫描,攻击主机的ip地址为172.31.4.178,靶机ip地址为172.31.4.188
还可以使用wireshark打开listen.pcap,得出了被攻击的主机 IP为172.31.4.178,网络扫描的目标IP地址是172.31.4.188
攻击者使用了哪种扫描方法,扫描的目标端口是什么,并描述其工作原理:
首先,我们在Wireshark中过滤ARP,攻击机在广播域中广播request报文,寻找目标IP地址为172.31.4.188的主机的MAC地址。
过滤条件输入icmp,可以看到两组ICMP request包和ICMP replay包,说明使用了主机扫描,并且确定了目标主机是活跃的
以tcp作为过滤条件,可以看到在数据包中存在大量SYN请求包,说明攻击机的57918端口向目标主机发起了TCP SYN扫描,以确定目标主机的哪些端口开放.
输入过滤条件:tcp.flags.syn == 1 and tcp.flags.ack == 1,进行筛选:
结果显示目标上的端口为3306、139、23、80、25、22、53、21、445、5432、8009、8180
用p0f- r listen. pcap进行测试,得出以下结果(先用apt-get installp0f安装),是Linux2.6. X 、
3.学习中遇到的问题及解决
问题1:kali虚拟机无法联网
解决办法:将网络适配器设置改为nat模式。
问题2:在进行下载snort时,出现以下错误:
大概意思是:未设置依赖项。尝试“apt–fix broken install”,不使用包(或指定解决方案)根据问题提示信息,是由于所依赖的包linux-image-4.10.0-35-generic并没有被正确安装导致。linux-image-x.x.x是内核文件,从提示信息上看,应该是升级过程中断导致的问题。
解决办法:执行修复命令,并重新执行更新和升级,确保完整修复问题。
- sudo apt --fix-broken install
- sudo apt-get update
- sudo apt-get upgrade
问题3:在进行修复后,接着又出现以下错误:
解决办法:
1.打开终端 输入sudo dpkg -i --force-overwrite xxx(有问题的地方)
2.修复损坏的包
sudo apt-get -f install
4.学习感悟、思考
通过实验发现自己在电脑网路上的认识还很欠缺,需要进一步深入学习。
参考资料
dpkg-deb: error: paste subprocess was killed by signal (Broken pipe)_joker-wt的博客-CSDN博客