inetsim服务实践(包括各种协议数据包的分析)

于 2024-09-03 15:23:11 发布
阅读量1.1k 收藏 27
点赞数 27
文章标签: 网络 网络安全 web安全 安全 网络协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_74035288/article/details/141861460
版权

一、创建虚拟网络

1.1搭建虚拟网络

二、虚拟网路中机器互相ping通

2.1第一台win7 ping kali

2.2第二台win7 ping kali

2.3第一台win7 ping 第二台win7

三、Inetsim服务部分及抓包分析

3.1 inetsim服务配置

3.2抓包分析

①DNS协议

②TCP协议

③ARP协议

④ICMP协议

⑤HTTPS协议

⑥HTTP协议

四、一些问题的发现与解决

4.1 配置问题

4.2 网络问题

五、总结

一、创建虚拟网络

1.1搭建虚拟网络

配置kali网络参数

配置第一台win7的网络参数

配置第二台win7的网络参数

二、虚拟网路中机器互相ping通

服务端Kali IP 为 192.168.81.10

第一台win7 IP 为 192.168.81.20

第二台win7 IP 为 192.168.81.40

2.1第一台win7 ping kali

Kali ping 第一台win7

2.2第二台win7 ping kali

Kali ping 第二台win7

2.3第一台win7 ping 第二台win7

第二台win7 ping 第一台win7

三台虚拟器互相ping通

三、Inetsim服务部分及抓包分析

3.1 inetsim服务配置

可输入:/redirect 向下查找redirec字符串,光标移至此

输入

向上查找字符串redirect port

退出保存

现运行inetsim:

在第一台win7上访问任一URL,页面回显如下:

3.2抓包分析

(PS:要么在kali中打开wareshark 进入eth0网卡里观测分析,要么在自己物理机打开wareshark进入自己设置的那个仅主机模式局域网中观测分析,我这里是VMnet2网卡)

①DNS协议

(用win7访问4399.com)

数据包显示,客户机192.168.81.20给服务器192.168.81.10发送DNS请求数据包,请求解析4399.com的域名,服务器返回DNS应答数据包,告诉客户机4399.com的域名是192.168.81.10

(因为inetsim服务发挥作用,服务器给出了虚假的解析域名地址信息)

DNS请求包中:

客户机请求4399.com的域名信息。

DNS应答包中:

服务器对该请求做出了回应。

②TCP协议

(用win7访问4399.com)

可以清楚的看到TCP三次握手,连接的建立与释放。

源端口号:49161 目的端口号:80

发送序列号:0   确认序列号:0

Flags:SYN-同步序列号

Window:窗口大小

Checksum:校验和

Urgent Pointer:紧急指针

③ARP协议

(用win7访问4399.com)

ARP请求报文:

目的MAC地址:00:0c:29:cf:1e:14 源MAC地址:00:0c:29:ee:59:ba

帧类型:ARP 硬件类型:1

协议类型:IPV4 硬件地址长度:6B

协议地址长度:4B

Opcode:表示ARP报文的种类;取值为1,表示请求报文;若取值为2,表示ARP应答报文。

发送端MAC地址:00:0c:29:ee:59:ba(信息体的发起端)

发送端IP地址:192.168.81.10(信息体的发起端)

目的端MAC地址:00:00:00:00:00:00

目的端IP地址:192.168.81.20

ARP应答报文:

发送端MAC地址:00:0c:29:00:1e:14(信息体的发起端)

发送端IP地址:192.168.81.20(信息体的发起端)

目的端MAC地址:00:0c:29:ee:59:ba

目的端IP地址:192.168.81.10

④ICMP协议

(用客户端192.168.91.20 ping 服务端192.168.81.10)

可以清楚的看到,四次请求,四次应答一一对应。

请求报文:

网络协议:IPV4 IP帧首部长度:20B

服务类型:0x00 IP帧总长度:60B

Protocol:协议类型 ICMP(1) 首部校验和:0x15b6

源地址IP:192.168.81.20 目标地址IP:192.168.81.10

ICMP请求报文类型为8

ICMP应答报文类型为0

⑤HTTPS协议

(用win7访问https:4399.com)

https数据包:

相较于访问http:4399.com,用https协议页面提示了证书错误,抓包显示TLS层认证,且为密文传输。可以看出https比http更加安全。

http数据包:

⑥HTTP协议

(用win7访问http:www.7k7k.com/520.jpg)

抓包查看

http请求与应答:

(用win7访问http:www.7k7k.com/520.exe)

可以运行和下载520.exe文件。

查看数据包:

虽然里面是空的。

四、一些问题的发现与解决

4.1 配置问题

关于配置好kali虚拟机inetsim服务后,win7只有访问kali服务器的IP才会出现inetsim default HTML page页面,访问别的网站不会出现的问题。

几经探索,终于发现问题所在,访问服务器IP或者其他网页抓包显示53端口不可达,运行inetsim显示tcp udp 53端口出问题。

正常情况下应该是下图:

根据报错信息,应该是我装的kali系统与inetsim软件某些地方不适配造成的。

更新inetsim无果。最终重装了一台2021版本的kali,我原来的是2024年的kali,然后按ppt重新配置后,一切正常。

4.2 网络问题

关于如何让kali能够上网。

①kali虚拟机网络适配器设置为net

②更改配置文件

③重新加载网络配置

④即可成功上网

Ping 百度也可以ping通

、总结

·这次实践花了大量的时间解决inetsim服务问题,在这个过程中,通过不断地修改虚拟机的配置和了解学习inetsim服务,锻炼了操作能力。

·通过此次实践,我们现在有了一个功能齐全的假DNS服务器,它将响应任何DNS请求,我们将得到一个真正的,当我们在该网络内引爆某个恶意软件时,恶意软件会调用的每个域名的良好列表,仅仅是因为我们现在在kali上运行了inetsim服务,它是一个非常强大的工具。

·要养成备份重要文件,做快照的习惯,防止机器崩掉只能从头再来。

·通过本次实践,我认识到自身能力的欠缺与不足,需要更多的了解信息安全的相关技术与知识,学习更多的协议,掌握更多的技术。

·关于inetsim服务,推荐一个学习了解视频,很好的视频。

【恶意软件分析 网络流量分析工具 INetSim讲解及使用过程演示】 https://www.bilibili.com/video/BV1JS421A7VW/?share_source=copy_web&vd_source=e30154cb9f1373f020c86a54a675be46

John neo
关注
inetsim虚拟网络服务器,[原创]搭建网络虚拟环境
weixin_39611340的博客
08-06 1604
搭建虚拟恶意软件分析环境前言在分析样本的时,有时会发现样本连接的恶意IP已经失活,需要伪装恶意IP来查看其网络行为,又或者由于样本有扫描等行为,需要获取网络流量,就可以设置这样的分析环境,将所有的网络行为转发到我们自己搭建的服务器上。这样既可以捕获到网络流量,又可以避免扫描到内网的其他机器。创建虚拟机需要创建一个服务器的虚拟机及一个Linux的受害机(可以使用Ubuntu,Kali有些问题),一个...
恶意代码分析-使用apataDNS+inetsim模拟网络环境
bangren3304的博客
09-20 2034
准备工作 虚拟机安装: Win7 Ubuntu apateDNS 密码:wplo inetsim 密码:ghla 客户端Win7需要做的工作 安装apateDNS 服务器端Ubuntu需要做的工作 下载inetsim,解压后将文件夹拷贝到Ubuntu系统。在 inetsim-1.2.5/cnf 下,将原本的配置文件 inetsim.conf 重名为任意不同于此的文件名(使其失效)。创建新...
inetsim安装
ACdream
05-12 692
linux下的权限管理做得是很好的,经常会有需要管理员权限才能安装或者修改的东西第一种姿势:sudo ***(然后输入的是当前用户的密码)第二种姿势:su以root权限来登陆但是这里会出现的情况是:当你一直没有设置过root密码的时候,会一直验证失败的需要:sudo passwd root然后输入当前用户密码,再设置root密码如图:...
ubuntu 14.04 安装 INetSim 模拟Internet
wowolook的专栏
12-03 3000
安装环境:ubuntu 14.04 LTS amd64 英文版 官方主页:http://www.inetsim.org/ 安装参考: http://www.inetsim.org/packages.html http://precisionsec.com/installing-and-configuring-inetsim-on-ubuntu/ http://www.verydemo
虚拟服务INetSim的安装,以及配置
yellow的博客
07-04 3809
INetSim官网给出的安装方法:http://www.inetsim.org/packages.html总结一下是4条指令:1、# echo "deb http://www.inetsim.org/debian/ binary/" > /etc/apt/sources.list.d/inetsim.list2、# wget -O - http://www.inetsim.org/inets...
交通部809协议数据包分析
06-13
809协议数据包分析,包含了位置信息,数据包头解析,对照解析编码,如果数据包和我这里的对不上,就要您仔细研究协议
基于邮件服务协议数据包分析毕业论文.doc
07-09
然后,论文对邮件服务协议数据包分析中的应用进行了详细的研究,包括邮件服务协议数据包分析中的优点、缺点和改进方向等。 论文的主要内容包括: 1. 邮件服务协议概述 邮件服务协议是指在计算机网络中实现电子...
Wireshark分析协议数据包
10-11
在Wireshark中,我们可以分析多种协议数据包包括IP、UDP、TCP、ARP、ICMP以及DNS等。 **IP数据包格式**: IP数据包由多个字段组成,这些字段提供了关于数据包路由和处理所需的信息。例如,源IP地址和目的IP地址...
基于邮件服务协议数据包分析-毕业论文.doc
07-02
本文档是关于基于邮件服务协议数据包分析的毕业论文,论文的主要内容包括TCP/IP协议分析、电子邮件服务协议分析数据包的捕获和分析等。 在电子邮件服务协议中,SMTP(Simple Mail Transfer Protocol)和POP3...
-基于邮件服务协议数据包分析学士学位论文.doc
07-11
基于邮件服务协议数据包分析学士学位论文 本论文主要研究基于邮件服务协议数据包分析,涉及到计算机网络、邮件服务协议数据包分析等知识点。本文从TCP/IP协议分析开始,讨论了邮件服务协议的原理、邮件服务...
在Ubuntu20.04使用INetSim搭建虚拟机局域网详细步骤
qq_45722813的博客
04-09 1199
在Ubuntu20.04使用INetSim搭建虚拟机局域网 平台: VMware16.1 ubuntu20.04虚拟机 windows7虚拟机 一、配置虚拟网卡 首先在VMware中点击【编辑】–>选择虚拟网络编辑器 点击【更改设置】,弹出的windows提示选择【是】 选择【添加网络】 然后选择VMnet2,我这里已经配置过了,下面这张截图只是为了演示 选择【仅主机模式】,取消勾选将主机虚拟适配器连接到此网络 其他默认即可,然后点击【应用】和【确定】 二、安装INetSim INetSim
恶意代码分析实战——使用Apatedns和Inetsim模拟网络环境
妙蛙种子吃了都会妙妙秒的妙脆角的博客
10-13 6187
恶意代码分析实战——使用Apatedns和Inetsim模拟网络环境 注:本次实验主要是《恶意代码分析实战》一书中进入动态恶意代码分析篇章的开始,主要通过Apatedns以及Inetsim来模拟为恶意代码提供其需要的网络环境,本次实验以Lab01-03.exe为例。 一、实验环境及工具。 Vmware虚拟机:win10(win7)、kali 主要工具:Apatedns、Inetsim 二、工具的安装下载 1、Apatedns:需安装至windows虚拟机客户端(win10,win7均可) 下载地址:http
恶意代码分析实战——第二章 虚拟环境搭建
最新发布
weixin_51588494的博客
03-25 601
一、在VMware Workstation菜单栏 ==> 编辑 ==> 虚拟网络编辑器 ==> 添加网络 ,这里选择一个没用过的网络(我这里选的是2)。防止部分恶意代码存在跨网络感染宿主机的情况。创建虚拟网络,一个虚拟机可以同来运行恶意代码,而第二个虚拟机则提供一些必要的网络服务。编辑INetSim的配置文件:inetsim.conf。我这里使用WIN7进行分析恶意代码,Kali进行提供网络服务。在浏览器中输入任意网址,就可以确认虚拟网络服务器是否搭建成功。将win7与kali网络都选择为此网络
kali配置静态IP】
Ghostdoll的博客
06-01 81
【代码】【kali配置静态IP】
计算机病毒实践汇总五:搭建虚拟网络环境
weixin_30652897的博客
05-21 658
在尝试学习分析的过程中,判断结论不一定准确,只是一些我自己的思考和探索。敬请批评指正! 涉及内容: INetSim安装及使用 ApateDNS安装及使用 1. 搭建病毒分析网络环境原因 使用虚拟机作为沙箱能把病毒与外界完全隔离开,但是很多病毒需要连接网络才能触发特定的行为,所以我们需要搭建一个尽量真实的网络环境。 在断网模式下,病毒很可能保持静默或者做一些无关紧要的事来迷惑我们。 在不了解病...
恶意代码分析实战 安装INetSim在CentOS 7上
isinstance的博客
08-30 3293
CentOS 7安装INetSim注: 博主对Perl不太熟,所以搜狗了半天(拒绝百度,从我做起)官方安装步骤inetsim documentation不过写的比较笼统,可以参考参考1.下载安装文件从这里下载一个源文件http://www.inetsim.org/downloads.html然后放入centos里面,解压,然后用root运行setup.sh发现报错Group 'inetsim' do
Ubuntu16.04安装inetsim模拟Internet
yellow的博客
09-11 1133
inetsim官网地址:http://www.inetsim.org/index.html 安装前必须做的的两步: 增加添加inetsim用户组:sudo groupadd inetsim 安装依赖库:sudo apt-get install perl perl-base perl-modules-5.22 libnet-server-perl libnet-dns-perl  libdig
恶意代码分析:虚拟网络环境配置
weixin_30920513的博客
08-31 5445
创建主机网络模式: 主机模式(Host-only)网络,可以在宿主操作系统和客户操作系统之间创建一个隔离的私有局域网,在进行恶意代码分析时,这是通常采用的联网方式。主机模式的局域网并不会连接到互联网,这意味着恶意代码会被包含在虚拟机里,同时也允许某些网络连接。 自定义配置: 让两个虚拟机相互连接。一个虚拟机可以同来运行恶意代码,而第二个虚拟机则提供一些必要的网络服务。两个虚拟机都被...
邮件服务协议数据包分析
"这篇毕业论文主要探讨了基于邮件服务协议数据包分析,涵盖了TCP/IP协议的基础理论以及在电子邮件系统中的应用。论文强调了原创性和使用授权,表明作者对其内容的原创性和版权进行了声明,允许学校进行保存、使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值