一、实验要求
1、动手实践tcpdump
使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探,回答问题:你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?
2、动手实践Wireshark
使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:
(1)你所登录的BBS服务器的IP地址与端口各是什么?
(2)TELNET协议是如何向服务器传送你输入的用户名及登录口令?
(3)如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?
3、取证分析实践,解码网络扫描器(listen.cap)
(1)攻击主机的IP地址是什么?
(2)网络扫描的目标IP地址是什么?
(3)本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
(4)你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
(5)在蜜罐主机上哪些端口被发现是开放的?
(6)攻击主机的操作系统是什么?
二、实践内容
2.1 动手实践tcpdump
使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探,回答问题:你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?
(1)先查询本机IP地址为192.168.11.166。
(2)先在主机上访问www.tianya.cn,然后在kali上输入命令tcpdump src 192.168.11.166 and tcp dst port 80,这里的192.168.11.166是本机IP地址,得到如下结果:
(3)可以看到有几个ip重复出现,分别是124.225.135.230,124.225.69.77,124.225.65.170,124.225.206.22。
再用命令nslookup www.tianya.cn查看天涯网站对应的IP地址,得到结果:
可以看到天涯的IP为124.225.206.22,tcpdump对www.tianya.cn进行嗅探成功。
2.2 动手实践Wireshark
使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:
a.你所登录的BBS服务器的IP地址与端口各是什么?
b.TELNET协议是如何向服务器传送你输入的用户名及登录口令?
c.如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?
(1)打开kali虚拟终端,输入luit -encoding gbk telnet bbs.fudan.edu.cn访问复旦大学BBS服务器,发现其ip地址为202.120.225.9.
(2)本地打开wireshark,并开启捕获。可以看到ip地址为202.120.225.9对应的端口号为23。
(3)通过追踪TCP流发现用户名guest。
2.3 取证分析实践,解码网络扫描器(listen.cap)
a.攻击主机的IP地址是什么?
b.网络扫描的目标IP地址是什么?
c.本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
d.你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
e.在蜜罐主机上哪些端口被发现是开放的?
f.攻击主机的操作系统是什么?
(1)打开从学习通上下载的listen.pcap,在出现的wireshark界面点击 统计(S)——>Conversations——>IPv4,得到如下图:
可以看到往返主机172.31.4.178和主机172.31.4.188之间的数据包很多,远多于其他三组,所以172.31.4.178和172.31.4.188即为攻击主机和靶机主机对应的ip。
(2)从发送的TCP数据包可以看出,ACK数据包都是由172.31.4.188发出的,由此可确定网络扫描的目标IP地址为172.31.4.188。
(3)本次案例中是使用了nmap发起的端口扫描,在kali中,安装snort工具
执行sudo snort -A console -q -u snort -c /etc/snort/snort.conf -r listen.pcap,得到如下结果:
在下面这个数据中,可以确定本次案例所使用的扫描工具为nmap。
(4)以arp作为过滤条件,攻击机在广播域中广播arp request报文,寻找目标IP地址为172.31.4.188的主机的MAC地址。
(5)以icmp作为过滤条件,可以看到两组ICMP request包和ICMP replay包,说明使用了主机扫描,并且确定了目标主机是活跃的,如下:
(6)以tcp作为过滤条件,可以看到在数据包中存在大量SYN请求包,说明攻击机的57738端口向目标主机发起了TCP SYN扫描,以确定目标主机的哪些端口开放,开放的端口则回复SYN|ACK数据包,不活跃的端口则回复RST|ACK数据包,如下:
可以看到序号9、10、13是一组半开放扫描,使用不完整的tcp三次握手来对目标主机进行尝试性的连接,攻击主机的57738号端口对目标ip的3306号端口发送SYN包,目标ip的3306号端口开放,返回一个 TCP SYN & ACK 包,然后攻击主机发送一个 RST 包停止建立连接。还发现除了建立TCP SYN扫描,还建立了ssh连接,这是为了探测靶机的网络服务,于是猜测攻击机对靶机进行了 -sV 的版本扫描。
(7)输入过滤条件:tcp.flags.syn == 1 and tcp.flags.ack == 1,则可以过滤出所有的SYN|ACK的数据包,这是目标主机反馈攻击主机的端口活跃信息,即可得到所有的开放端口,如下:21 22 23 25 53 80 139 445 3306 3632 5432 8009 8180
(8)使用p0f工具,p0f是一款被动探测工具,能够通过捕获并分析目标主机发出的数据包来对主机上的操作系统进行鉴别,即使是在系统上装有性能良好的防火墙的情况下也没有问题。
首先输入sudo apt-get install p0f安装p0f工具,再输入命令sudo p0f -r listen.pcap,得到如下检测结果:
得知攻击主机的操作系统是2.6.x。
三、学习中遇到的问题及解决
1.问题:第一遍打开kali时登不上天涯网站。
解决方法:更改网络适配器设置,改为桥接模式。
2.问题:安装snort时失败。
解决方法:按以下方法操作后,再使用指令sudo apt-get update和sudo apt-get install snort安装成功。
3.问题:安装 p0f 时失败。
解决方法:开始将“0”打成了“O”,更正后安装成功。
四、学习感想和体会
对kali中一些工具的安装方法还是不够熟悉,安装过程中出现了一些错误,通过自己查阅资料以及在同学们的帮助下成功解决了问题。对wireshark及kali中一些指令的理解的也不够深入,在实验过程中还是出现了一些小问题,在之后的学习中需要多查资料,多思考,增强实践能力。
五、参考资料
https://www.cnblogs.com/ql5199/p/16069567.html
https://blog.csdn.net/weixin_43729943/article/details/104221462
8092
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
