20232831 2023-2024-2 《网络攻防实践》第3次作业



20232831 2023-2024-2 《网络攻防实践》第3次作业

1.实验内容

(1)动手实践tcpdump
(2)动手实践Wireshark
(3)取证分析实践,解码网络扫描器(listen.cap)

2.实验过程

(1)动手实践tcpdump

使用tcpdump开源软件对在本机上访问www.besti.edu.cn网站过程进行嗅探,回答问题:你在访问www.besti.edu.cn网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?
一开始,我也是修改虚拟机为桥接模式,再进行实验,但是发现实验无法进行,具体如下:
在这里插入图片描述
在这里插入图片描述
修改为桥接模式以后将会发现,变成了本地回环127.0.0.1,无法联网。
在这里插入图片描述
经过查询原因得知,必须在虚拟机的虚拟网络编辑器中设置Vmnet0为桥接模式。且连接的是你电脑的网卡,而不能选择自动。
在这里插入图片描述
即选择Inter(R) Wireless 这个无线网卡(我当前是用WIFI进行网络连接的)
在这里插入图片描述
成功修改后,即实现了网络连接。从这开始继续以下实验。
在这里插入图片描述
首先,输入以下代码进行监听。(IP即为查询后所得到的桥接模式下Kali虚拟机的IP)

sudo tcpdump -n src 192.168.10.55 and tcp port  80 and "tcp[13]&18=2"

在这里插入图片描述
打开监听后,即可进入dky网站,进行嗅探。
在这里插入图片描述
第一次监听嗅探,出现了多个IP。

23.59.252.184
104.18.38.233
124.166.233.36
152.195.38.76
192.168.200.108(学校官网www.besti.edu.cn)

在这里插入图片描述
在这里插入图片描述
使用nslookup查询www.besti.edu.cn的IP,发现IP为192.168.200.108,这个地址是个内网,也许是因为连接了学校的校园网的缘故,因此和学校的官网ip处于同一网段,所以这里显示的也是一个内网IP。(猜测)
在这里插入图片描述
第二次监听,包括学校官网IP,一起共有3个IP。
在这里插入图片描述
共三个,分别是

23.67.75.171
152.195.38.76
192.168.200.108(学校官网www.besti.edu.cn)

感觉找到学校的官网IP为内网地址,感觉奇怪,因此又用Bilibili.com测试了一下:
在这里插入图片描述
共两个

47.103.24.173(bilibili.com)
116.163.41.132

因此得出结论,对访问学校官网的嗅探监听是正确的,也许是因为连接了学校的校园网的缘故,因此和学校的官网ip处于同一网段,所以这里显示的也是一个内网IP。(猜测)

(2)动手实践Wireshark

使用Wireshark开源软件对在本机上以TELNET方式登录BBS(bbs.fozztexx.com)进行嗅探与协议分析,回答如下问题并给出操作过程:

首先,使用以下命令进入BBS,并打开wireshark,并使用telnet进行筛选监听的报文记录,截图如下:

luit -encoding gbk telnet bbs.fozztexx.com

该BBS的IP为50.79.157.209
在这里插入图片描述
使用telnet过滤后结果如下所示:
在这里插入图片描述
进入BBS后,我进行了账号的创建,输入了NEW(表示新建一个账号),而后依次输入账号密码,分别为dky和123456
在这里插入图片描述
输入本机的IP地址,即192.168.10.55,进行筛选并查找报文,找到了端口号为23的一条记录,且其中的Data数据为d(即账号名dky),即为双方通信过程中传递账号密码的过程。因此右键点击follow进行TCP流跟踪,得到了整个通信过程。
在这里插入图片描述
①你所登录的BBS服务器的IP地址与端口各是什么?
IP地址:50.79.157.209
端口:23
②TELNET协议是如何向服务器传送你输入的用户名及登录口令?
Telnet协议使用TCP/IP协议族作为传输层协议,在进行远程登录之前,需要先建立TCP连接,即三次握手,。首先,客户端向服务器发起连接请求,服务器在接收到连接请求后,回复确认信号,建立连接。

此后,一旦输入并提交用户名和登录口令,Telnet就将发送它们给服务器。
③如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?
过滤双方的IP地址,并点击follow追踪TCP流,即可获取
在这里插入图片描述
账号密码等等输入的信息:
在这里插入图片描述

(3)取证分析实践,解码网络扫描器(listen.cap)

进行实践,并回答以下问题:

①攻击主机的IP地址是什么?
172.31.4.178
②网络扫描的目标IP地址是什么?
172.31.4.188
③本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
nmap端口扫描工具,通过snort工具解析确定的
④你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
详细见下文。
⑤在蜜罐主机上哪些端口被发现是开放的?
21、22、23、25、53、80、139、445、3306、5432、8009、8180等等
⑥攻击主机的操作系统是什么?
即攻击者的操作系统版本为Linux 2.6.x

实践过程:
由于Kali里面安装snort总是失败,尝试多次无法进行,因此根据群内同学的建议,在SeedUbuntu中进行snort的安装并进行分析

首先,输入以下命令进行snort的安装,可以看到安装的非常迅速,而在Kali虚拟机中下载速度特别慢,下载好后配置不成功也无法进行实验:

sudo apt-get install snort

在这里插入图片描述
安装结束,即出现以下红紫色界面,关闭此终端,重新打开一个再进行下一步操作:
在这里插入图片描述
使用Xftp进行Windows系统与虚拟机SeedUbuntu的连接,传输listen.pcap文件。(使用共享文件夹等等其他手段也可)
使用以下命令开启SeedUbuntu的SSH服务(前提是确保已经安装了SSH,安装SSH用命令sudo apt-get install openssh-server直接安装即可)

/etc/init.d/ssh start

在这里插入图片描述
ifconfig查看IP
在这里插入图片描述
在XFTP中进行连接设置,输入IP、端口、账号密码。
在这里插入图片描述
连接成功,并传输文件:
在这里插入图片描述
传输后发现文件权限应该不够,权限只有664,直接在XFTP中提升其为777
在这里插入图片描述
在这里插入图片描述
将listen.pcap放到/home后,在终端进入/home,并提升权限为root,将文件复制到/etc/snort/这个路径

sudo su
cp listen.pcap /etc/snort

在这里插入图片描述
使用以下命令,进入snort并对listen.pcap进行分析:

cd /etc/snort

sudo snort -A console -q -u snort -c /etc/snort/snort.conf -r listen.pcap

结果如下:
在这里插入图片描述
由该解析结果可以看出,攻击者使用了nmap端口扫描工具对靶机进行了扫描(图中SCAN nmap),且攻击机IP为172.31.4.178,靶机IP为172.31.4.188。

重新打开Kali虚拟机,继续在WireShark中进行listen.pcap文件的分析。

Kali虚拟机传入listen.pcap文件的方式与上方类似(但是其实它可以直接进行文件的拖入,即将Windows上的文件直接拖进虚拟机的桌面即可,而SeedUbuntu却不能
在这里插入图片描述
使用wireshark打开文件,界面如下:
在这里插入图片描述
nmap会根据arp更新目标MAC地址,因此通过查询arp,即可得到以下内容,这说明攻击者通过广播的形式查询靶机172.31.4.188的MAC地址:
在这里插入图片描述
查询icmp可以发现,攻击机和靶机之间存在双向数据包,说明进行了批量的ping扫描进行主机扫描,以确认目标靶机是否活跃。
在这里插入图片描述
查询TCP,可以发现进行了大量的TCP扫描,例如攻击机向靶机发送SYN请求包,靶机返回SYN,ACK确认连接,攻击机响应,说明该端口开放。反之,如果靶机返回RST,ACK,则说明靶机的该端口关闭。
在这里插入图片描述
通过查询tcp.flags.syn == 1 and tcp.flags.ack == 1可以得到靶机所有开放的端口,例如有21、22、23、25、53、80、139、445、3306、5432、8009、8180等等端口。
在这里插入图片描述
最后,通过以下命令安装p0f工具,并使用该工具进行攻击者的攻击机操作系统版本的查询
安装:

sudo apt install p0f

在这里插入图片描述

sudo p0f -r listen.pcap

即攻击者的操作系统版本为Linux 2.6.x
在这里插入图片描述

此过程中遇到了无法安装 p0f的情况,同时,sudo apt-get update操作也无法使用,难以实现。
因此,我更换了其他镜像源,执行sudo apt-get update操作后重新安装了p0f。
在这里插入图片描述

3.学习中遇到的问题及解决

具体解决过程请见上文

  • 问题1:网络连接修改成桥接模式后断网
  • 问题1解决方案:重新设置网络适配器,将桥接模式直接连接无线网卡
  • 问题2:www.besti.edu.cn网站的嗅探也许存在问题?
  • 问题2解决方案:多次实验,去探测不同的网站,最终对比得出结论——www.besti.edu.cn网站的嗅探结果没问题
  • 问题3:snort无法在Kali上下载
  • 问题3解决方案:更换SeedUbuntu虚拟机进行snort工具的使用
  • 问题4:listen.pcap文件的传输与权限问题
  • 问题4解决方案:多方面参考并最终解决
  • 问题5:无法安装p0f
  • 问题5解决方案:更换镜像,重新安装。

4.学习感悟、思考等

通过本次实验,我学习了网络嗅探与协议分析,学会了多种工具的安装和使用,并学习了分析网络流量,让我深入理解了通信的过程以及攻击者攻击的一个流程,收获颇丰。

参考资料

  • 10
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值