一、实验目的
1.掌握利用公开渠道收集目标系统信息的原理和手段;
2.了解互联网中可能给攻击者带来便利的公开信息;
3.通过使用 ARP 和 ICMP 协议对主机进行扫描探测,加深对原理的认识;
4.具备利用 Nmap 扫描器进行主机扫描探测和利用 Wireshark 工具进行数据包分析的能力;
5.加深对操作系统类型探测和端口扫描探测原理的认识;
6.掌握利用 Nmap 进行操作系统类型的探测和端口扫描方法
二、实验设计
1.实验内容: 信息收集
Nmap对目标ip进行扫描
使用Wireshark对扫描流量进行分析
2.实验环境:一台Ubuntu和本机(win 11)为被攻击机,一台kali为攻击机,实验NET网络配置,搭建局域网
3.实验工具:kali,Nmap,Wireshark
三、实验过程(包含实验结果)
1.信息收集
模拟信息收集以www.baidu.com为例
使用 Whois 服务查询网站的域名注册信息,以及对目标网站的域名解析服务器信息的
收集
环境部署:
攻击机ip
本机Ip
Ubuntu Ip
扫描目标IP
使用nmap -sp 192.168.108.110/24通过流量分析可以看出namp通过arp协议,根据在主机位随机生成的ip的有无回应来判读目标主机在局域网内是否存活
nmap在进行ping扫描的时候,因为给出的是ip地址所以捕捉到大量的arp请求,在得到目标的arp后在发生icmpv6请求探测主机存活
扫描目标端口
使用TCP SYN 扫描
Nmap -sS ip
TCP SYN 扫描通过执行下面的步骤来进行工作:
- 源系统向目标系统发送一个同步请求,该请求中包含一个端口号。
- 如果添加在上一步中的所请求的端口号是开启的,那么目标系统将通过同步/应答(SYN/ACK)来响应源系统。
- 源系统通过重置(RST)来响应目标系统,从而断开连接。
- 目标系统可以通过重置/应答(RST/ACK)来响应源系统。
这种连接已经开始建立,所以这被认为是半开放连接。因为连接状态是由 NMAP 来管理的,所以你需要有 Root 权限。
如果被扫描的端口是关闭的,那么将执行下面的步骤:
- 源系统发送一个同步(SYN)请求到目标系统,该请求中包含一个端口号。
- 目标系统通过重置(RST)响应源系统,因为该端口是关闭的。
可以看出nmap发送大量的SYN请求来,根据目标地址来判断对应端口的开发情况
扫描目标主机os
Nmap -O ip
用wireshark抓包
发现采用的是SYN扫描来刺探目标主机信息
四、讨论与分析
Nmap和Wireshark是两种常用的网络管理工具,它们在网络管理工作中提供了不同的帮助和功能:
Nmap(网络映射器):
端口扫描和识别服务:Nmap允许您扫描网络上的主机以确定哪些端口是开放的,以及哪些服务正在运行。这对于识别网络中的潜在安全漏洞非常有用。
操作系统检测:Nmap可以尝试识别主机的操作系统类型和版本。这有助于了解网络中不同设备的特性。
漏洞扫描:Nmap可以检查已知的漏洞,帮助您确定哪些主机受到已知漏洞的威胁。
网络拓扑分析:通过扫描整个网络范围,Nmap可以帮助您创建网络拓扑图,了解网络中的主机和设备之间的关系。
性能评估:通过扫描不同主机和端口,Nmap可以帮助您评估网络性能和响应时间。
Wireshark:
网络流量分析:Wireshark可以捕获和分析网络上的数据包,以便深入了解网络流量,包括协议、数据包内容等。这对于故障排除和网络优化非常有用。
协议分析:Wireshark支持大量网络协议的解析,从以太网到HTTP,使您能够检查通信中的协议细节,包括错误、延迟和性能问题。
安全审计:Wireshark可用于检测和分析网络上的恶意活动,如网络攻击、入侵和恶意软件传播。它可以帮助您识别潜在的安全威胁。
网络优化:通过监视网络流量,Wireshark可以帮助您识别网络瓶颈、高流量区域和性能问题,以优化网络配置。
教育和培训:Wireshark是一个出色的教育工具,用于教授网络原理和协议分析技能。
总的来说,Nmap主要用于主机和服务的识别、漏洞扫描和网络拓扑分析,而Wireshark主要用于网络流量分析、协议分析、安全审计和网络优化。它们通常在网络管理和安全工作中结合使用,以提供全面的网络管理和监控。