20221915 2022-2023-2 《网络攻防实践》实验三

20221915 2022-2023-2 《网络攻防实践》实验三

1.实验内容

1.1 网络嗅探

• 定义：一种黑客常用的窃听技术，利用计算机IDE网络接口截获目的地为其他计算机的数据报文，嗅探需要用到网络嗅探器，有了嗅探器网络管理员可以随时掌握网络的实际情况，查找网络漏洞和检测网络性能，当网络性能急剧下降的时候，可以通过嗅探器分析网络流量，找出网络阻塞的来源。网络嗅探是网络监控系统的实现基础。
• 共享式网络嗅探：共享式网络主要使用集线器连接，其网络拓扑是基于总线方式，集线器上任意一台主机都能够嗅探整个集线器上的全部网络流量
• 交互式网络嗅探：交互式则主要使用交换机组建，数据帧通过交换机进行数据转发，交换机内存中保存有“MAC地址-端口映射表”。这种嗅探有三种实现方式：MAC地址洪泛攻击、MAC欺骗、ARP欺骗
• 嗅探的防范措施：
  （1）使用更加安全的网络拓扑，使用交换式网络，对网络进行分段；
  （2）使用静态ARP或MAC-端口映射表；
  （3）重视网络安全中集中位置点的安全防范；
  （4）避免使用明文传输口令或敏感信息的网络协议，使用加密及安全的网络协议。

1.2、网络协议分析

• 定义：网络协议分析是对网络上传输的二进制格式数据包进行解析，以恢复出各层网络协议信息以及传输内容的技术方法。
• 技术实现: Tcpdump, Wireshark和Snort
• 分析流程：
  （1）首先网络嗅探得到的原始数据；
  （2）对以太网数据帧进行结构分析，定位出帧头各字段结构，根据帧头的Type字段确定网络层协议类型；
  （3）对IP数据包进行分析，如果设置了分片位，则进行IP分片重组，根据IP协议头中的Protocol字段，并提取IP数据包中的传输层数据内容；
  （4）继续根据TCP或UDP的目标端口确定具体的应用层协议，如http、ftp、telnet等协议数据包，并对TCP或者UDP数据包进行拼接重组，得到应用层特定协议的应用交互内容；
  （5）依据相应的应用层协议对数据进行整合恢复，得到实际传输的数据。

2.实验过程

1.实验要求

（1）动手实践tcpdump
使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探，回答问题：你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器？他们的IP地址都是什么？

现在主机上访问www.tianya.cn，然后在kali上输入命令tcpdump src 192.168.200.5 and tcp dst port 80，这里的192.168.200.5是本机IP地址，得到如下结果：

可以看到有几个ip重复出现，分别是124.225.214.214，124.225.69.77，124.225.65.170，124.225.206.22。
再用命令nslookup www.tianya.cn查看天涯网站对应的IP地址，得到结果：

可以看到天涯的ip为124.225.206.22，tcpdump对www.tianya.cn进行嗅探成功。

（2）动手实践Wireshark 使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析，回答如下问题并给出操作过程:
你所登录的BBS服务器的IP地址与端口各是什么？ TELNET协议是如何向服务器传送你输入的用户名及登录口令？
如何利用Wireshark分析嗅探的数据包，并从中获取你的用户名及登录口令？

1. 打开kali虚拟终端，输入luit -encoding gbk telnet bbs.fudan.edu.cn访问复旦大学BBS服务器，发现其ip地址为202.120.225.9.
   
   本地打开wireshark，并开启捕获
   

再根据得到的IP地址在Wireshark设置过滤条件ip.addr==202.120.225.9

可以看到ip地址为202.120.225.9.对应的端口号为23。

2. 可以发现这里传递用户名和密码时，是一个字符一个字符传递的。
   
   
   
3. 也可以通过追踪TCP流可以看到用户名和密码

可以看到guest用户没有密码，很不安全。

（3）取证分析实践，解码网络扫描器（listen.cap）

1. 攻击主机的IP地址是什么？
2. 网络扫描的目标IP地址是什么？
3. 本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？
4. 你所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么，并描述其工作原理。
5. 在蜜罐主机上哪些端口被发现是开放的？
6. 攻击主机的操作系统是什么？

打开从学习通上下载的listen.pcap，在出现的wireshark界面点击 统计(S)——>Conversations——>IPv4，得到如下图：

可以看到往返主机172.31.4.178和主机172.31.4.188之间的数据包很多，远多于其他三组，所以172.31.4.178和172.31.4.188即为攻击主机和靶机主机对应的ip。
2. 从发送的TCP数据包可以看出，ACK数据包都是由172.31.4.188发出的，由此可确定网络扫描的目标IP地址为172.31.4.188。

3. 本次案例中是使用了nmap发起的端口扫描，在kali中，安装snort工具sudo apt-get update和sudo apt-get install snort
   给予所有权限：sudo chmod 777 /etc/snort/snort.conf
   进入 pcap 包所在目录后cd Desktop，执行sudo snort -A console -q -u snort -c /etc/snort/snort.conf -r listen.pcap，得到如下结果：
   
   在下面这个数据中，可以确定本次案例所使用的扫描工具为nmap。
   

4. 以arp作为过滤条件，攻击机在广播域中广播arp request报文，寻找目标IP地址为172.31.4.188的主机的MAC地址
   
   以icmp作为过滤条件，可以看到两组ICMP request包和ICMP replay包，说明使用了主机扫描，并且确定了目标主机是活跃的，如下：
   
   以tcp作为过滤条件，可以看到在数据包中存在大量SYN请求包，说明攻击机的57738端口向目标主机发起了TCP SYN扫描，以确定目标主机的哪些端口开放，开放的端口则回复SYN|ACK数据包，不活跃的端口则回复RST|ACK数据包，如下:
   
   
   可以看到序号9、10、13是一组半开放扫描，使用不完整的tcp三次握手来对目标主机进行尝试性的连接，攻击主机的57738号端口对目标ip的3306号端口发送SYN包，目标ip的3306号端口开放，返回一个 TCP SYN & ACK 包，然后攻击主机发送一个 RST 包停止建立连接。还发现除了建立TCP SYN扫描，还建立了ssh连接，这是为了探测靶机的网络服务，于是猜测攻击机对靶机进行了 -sV 的版本扫描。

5. 输入过滤条件：tcp.flags.syn == 1 and tcp.flags.ack == 1，则可以过滤出所有的SYN|ACK的数据包，这是目标主机反馈攻击主机的端口活跃信息,即可得到所有的开放端口，如下：21 22 23 25 53 80 139 445 3306 3632 5432 8009 8180
   

6. 使用p0f工具，p0f是一款被动探测工具，能够通过捕获并分析目标主机发出的数据包来对主机上的操作系统进行鉴别，即使是在系统上装有性能良好的防火墙的情况下也没有问题。
   首先输入sudo apt-get install pOf安装pOf工具，再进入 listen.pcap 包所在目录后cd Desktop,输入命令sudo p0f -r listen.pcap，得到如下检测结果：
   
   得知攻击主机的操作系统是2.6.x。

3.学习中遇到的问题及解决

• 问题1：kali刚开机没有网，不能正常进入天涯网
  问题1解决方案： 将虚拟机挂机。

• 问题2：安装snort时失败，没有更新APT库。
  问题2解决方案：

4.学习感悟、思考等

对wireshark等工具的使用还是不够熟悉，理解的也不够深入，还需要多查资料，多学习。

参考资料

• csdn
• 博客园