信息安全专业实训（第二天）

实训3 网络协议分析

实训任务1 wireshark工具使用

下载并安装了wireshark，学习了软件基本操作，如选择网卡，使用过滤器筛选流量类型，过滤ip地址，保存流量包等。

实训任务2 网络层典型协议数据包的抓取分析

1.打开wireshark，选择有流量的网卡进行抓包

2.分别抓取并分析了arp包、ICMP包、http包等

3.使用过滤器筛选了教师机ip的流量

4.尝试ping一个不存在的ip地址并截取分析echo request数据包的内容。

实训任务3 传输层典型协议数据包的抓取分析

1.首先用命令行ping www.baidu,com获取百度ip。

2.开始抓包，浏览器用IP地址访问百度，停止抓包后通过过滤器过滤ip。

3.打开一个tcp请求报文进行分析。

4.过滤UDP协议，打开一个报文进行分析

实训任务4 FTP安全性分析

1.两人合作，主机A开启FTP服务并打开wireshark开始抓包，主机B登录主机A的FTP服务。

2.主机A使用过滤器过滤ftp，可以看到明文显示的登陆情况。右键选择追踪tcp流，可以看到完整操作。

实训任务5 HTTP/HTTPS安全性对比分析

1.打开wireshark开始抓包，登陆一个http网站

2.完成后保存并分析流量包，在包中搜索登录时的用户名，发现数据明文传输，没有加密。

3.访问一个https网站，同样保存流量包。过滤443端口，分析流量包

4.分别分析了三次握手、四次挥手、Client Hello 信号、Server Hello 信号以及Certificate、Server Key Exchange、Server Hello Done。

实训4 网络攻击溯源与流量分析

流量包与相关内容来自学校的平台。操作均在平台虚拟机中进行。

实训任务1 SYN半链接攻击流量分析

打开数据包后，发现大量来自 192.168.177.155 的 TCP 连接请求，且均为 TCP 三次握手中的第一次 SYN 请求，而且目的端口一直在改变。服务端进行第二次握手之后，客户端并没有响应，由此判断192.168.177.155 这台主机正在对 192.168.177.145 这台主机进行端口扫描。而且扫描模式为 SYN 半连接扫描。

通过设置过滤规则，过滤出192.168.177.145 回复了SYN/ACK 的数据包，可以确定主机开放了哪些端口。

实训任务2 SQL注入攻击流量分析一

1. 打开数据包后，因为要分析针对web的攻击，所以在过滤器中筛选http过滤出相关协议包。

2. 数据包的get请求参数处，发现大量sql语句，由此判断黑客正在对目标进行 sql 注入攻击。通过get请求的来源ip，可以确认黑客的IP。

3. 观察 get 请求包的 user-agent 头为 python-reqursts，可以判断黑客使用了 python 脚本对目标实施的攻击。同时攻击的 payload 中 ascii，和比较符等关键字。说明黑客使用的注入技术为布尔盲注。

4.通过观察get请求的参数以及响应数据包的内容，可以确定黑客逐步确认数据库名称长度、逐位获取数据名称。

实训任务3 SQL注入攻击流量分析二

1.打开流量包后，同样线过滤处http相关的数据包。查看 http 数据包的 get 请求参数处，发现大量的 sql 语句。我们可以判断，黑客正在对目标进行 sql 注入攻击。且来源 IP 为 192.168.177.1。

2.继续向下浏览数据包时发现出现了大量的来自 192.168.177.145 的 IP，因此需要排除此ip的干扰，在过滤器过滤出所有来源 IP 和目的 IP 为 192.168.177.1 的 http 请求。

3.观察 get 请求包的 user-agent 头为 python-reqursts，可以判断黑客使用了 python 脚本对目标实施的攻击。同时攻击的 payload 中具有 sleep()关键字。说明黑客使用的注入技术为时间盲注。

4.观察数据包get请求的参数以及请求包和相应包之间的明显时间差，可以确定黑客获取了数据库长度以及名称。

实训任务4 Web入侵溯源一

1.打开流量包，使用过滤器过滤http相关流量包。从数据包编号为 345 的数据包开始，之后出现了大量的 head 请求，以及大量的 404 响应。且来源 IP 都为同一个 IP，由此我们可以判断出，192.168.177.1 这个 IP 在对网站进行目录爆破。

2.从编号为 20553 的数据包开始收到大量的 POST 请求，POST 请求地址都为 admim/login.php 猜测黑客已经通过目录扫描找到了后台登录的路径。

3.对任意一个POST数据包右键追踪http流，发现黑客逐步通过爆破admin的密码、目录遍历等读到了index.php的源代码。后续黑客向其中注入了一句话木马并写入成功。

实训任务5 Web入侵溯源二

1.打开流量包，使用过滤器过滤http相关流量包。从数据包编号为 1544 的包开始，开始出现 head 请求，以及大量的 404 响应。且访问 IP 都为 192.168.177.1。此时 192.168.177.1 的 IP 正在对网站进行目录爆破。

2.从 37933 个数据包开始，出现对 /dede/login.php 的访问记录。因为 dede 为 dedecms 的默认后台地址。此时黑客可能已经获取到了后台路径，且开始尝试登陆。

3.后续观察发现黑客成功登录，并利用getshell漏洞提交了一句话木马。之后使用菜刀工具对webshell进行了连接。