20221921 2022-2023-2 《网络攻防实践》实验三

20221921 2022-2023-2 《网络攻防实践》实验三

1.实验内容

1.1实验要求

（1）动手实践tcpdump
使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探，回答问题：你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器？他们的IP地址都是什么？
（2）动手实践Wireshark
使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析，回答如下问题并给出操作过程:
1.你所登录的BBS服务器的IP地址与端口各是什么？
2.TELNET协议是如何向服务器传送你输入的用户名及登录口令？
3.如何利用Wireshark分析嗅探的数据包，并从中获取你的用户名及登录口令？
（3）取证分析实践，解码网络扫描器（listen.cap）
1.攻击主机的IP地址是什么？
2.网络扫描的目标IP地址是什么？
3.本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？
4.你所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么，并描述其工作原理。
5.在蜜罐主机上哪些端口被发现是开放的？
6.攻击主机的操作系统是什么？

1.2相关知识

1.网络嗅探技术
定义：网络嗅探技术是一种黑客常用的窃听技术，利用计算机网络接口截获目的地为其他计算机的数据报文，以监听数据流中所包含的用户账户密码和私密信息等。
危害与作用：嗅探技术是一把双刃剑，对攻击者来说，可以被动地嗅探网络传输数据，不容易被发现，具有很强的隐蔽性和非干扰性；网络管理员也可以用此来检测网络环境，发现问题。
嗅探技术与工具的分类：按照所监听的链路层网络分类，tcpdump支持以太网的嗅探，即有限局域网；Kismet支持WiFi，即无线局域网的嗅探。按照实现形式分为硬件嗅探器和软件嗅探器。

2.网络协议分析
网络协议分析技术
网络协议分析技术原理：对网络上传输的二进制格式数据包进行解析，以恢复出各层网络协议信息以及传输内容的技术方法。
网络协议分析技术的具体流程：通过嗅探得到链路层原始二进制数据包、对以太网帧进行结构分析、对IP数据包进行分析、确定具体的应用层协议、对数据进行整合恢复，得到实际传输数据。

网络协议分析工具Wireshark
wireshark是非常流行的网络封包分析软件，功能十分强大。可以截取各种网络封包，显示网络封包的详细信息。使用wireshark的人必须了解网络协议，否则就看不懂wireshark了。为了安全考虑，wireshark只能查看封包，而不能修改封包的内容，或者发送封包。wireshark能获取HTTP，也能获取HTTPS，但是不能解密HTTPS，所以wireshark看不懂HTTPS中的内容，总结，如果是处理HTTP，HTTPS 还是用Fiddler， 其他协议比如TCP，UDP 就wireshark。

2.实验过程

2.1动手实践tcpdump

使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探，回答问题：你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器？他们的IP地址都是什么？

查询本机的IP地址为192.168.200.5

输入命令 sudo tcpdump -n src 192.168.200.5 and tcp port 80 and “tcp[13]&18=2”


天涯的IP为124.225.206.22，所以tcpdump对www.tianya.cn嗅探成功。

2.2动手实践Wireshark

使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析，回答如下问题并给出操作过程:
1.你所登录的BBS服务器的IP地址与端口各是什么？
2.TELNET协议是如何向服务器传送你输入的用户名及登录口令？
3.如何利用Wireshark分析嗅探的数据包，并从中获取你的用户名及登录口令？

输入luit -encoding gbk telnet bbs.fudan.edu.cn访问复旦大学BBS服务器，发现其ip地址为202.120.225.9。

本地打开wireshark，并开启捕获。
可以看到ip地址为202.120.225.9.对应的端口号为23。

传递用户名和密码时，是一个字符一个字符传递的。

2.3取证分析实践，解码网络扫描器（listen.cap）

1.攻击主机的IP地址是什么？
2.网络扫描的目标IP地址是什么？
3.本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？
4.你所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么，并描述其工作原理。
5.在蜜罐主机上哪些端口被发现是开放的？
6.攻击主机的操作系统是什么？

用wireshark打开listen.pcap，然后点击Statistics-Conversations-IPv4。可以看到主机172.31.4.178和主机172.31.4.188之间的数据包远多于其他三组，所以172.31.4.178为攻击机，172.31.4.188为靶机对应的IP。

从下图中发送的数据包看到，ACK数据包都是由172.31.4.188发出的，由此可知目标IP地址为172.31.4.188。

使用nmap发起的端口进行扫描，在kali中，使用命令sudo apt-get update安装snort工具。执行命令sudo snort -A console -q -u snort -c /etc/snort/snort.conf -r listen.pcap。

用snort分析listen.pacp可知扫描工具为nmap。

以arp为过滤条件，寻找目标IP地址为172.31.4.188的主机的MAC地址。

以icmp作为过滤条件，可以看到使用了主机扫描，并且目标主机是活跃的。

nmap -sP 172.31.4.188 活跃主机检测
nmap -O 172.31.4.188 扫描操作系统
nmap -sS -p1 65535 172.31.4.188 扫描开放端口
nmap -sV 172.31.4.188 扫描开放的服务
输入过滤条件：tcp.flags.syn == 1 and tcp.flags.ack == 1 and ip src=172.31.4.188，则可以过滤出所有数据包，这是目标主机反馈攻击主机的端口活跃信息，即可得到靶机开放的所有端口，21 22 23 25 53 80 139 445 3306 3632 5432 8009 8180

使用p0f工具，p0f是一个被动式的操作系统探测工具，通过攻击机向靶机发送的数据包，看有无特征，猜测攻击机的操作系统，从靶机的角度反推。使用命令sudo apt-get install p0f进行安装，再输入命令sudo p0f -r listen.pcap。

由此可知攻击机的操作系统是2.6.x。

3.学习中遇到的问题及解决

• 问题1：kali连不上网
  
• 问题1解决方案：重启虚拟机。
• 问题2：snort安装不成功
• 问题2解决方案：查阅相关资料解决。https://blog.csdn.net/weixin_43729943/article/details/104221462

4.学习感悟、思考

对wiresharkd的使用不太熟悉，安装snort和p0f的过程有些坎坷，需要查询相关资料。

参考资料

• 《网络攻防技术与实践》
• 博客园
• https://blog.csdn.net/weixin_43729943/article/details/104221462