文章目录
1.实验内容
(1)动手实践tcpdump
一、tcpdump作用
Linux作为网络服务器,特别是作为路由器和网关时,数据的采集和分析是不可少的。TcpDump是Linux中强大的网络数据采集分析工具之一。
tcpdump可以根据使用者需求对网络上传输的数据包进行捕获的抓包工具,windows平台有wireshark等工具,tcpdump可以将网络中传输的数据包的“包头”全部捕获过来进行分析,其支持网络层、特定的传输协议、数据发送和接收的主机、网卡和端口的过滤,并提供and、or、not等语句进行逻辑组合捕获数据包或去掉不用的信息。
使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探,回答问题:你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?
(2)动手实践Wireshark
Wireshark
网络封包分析软件
Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是截取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。
在过去,网络封包分析软件是非常昂贵的,或是专门属于盈利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的途径取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Ethereal是全世界最广泛的网络封包分析软件之一。
使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:
你所登录的BBS服务器的IP地址与端口各是什么?
TELNET协议是如何向服务器传送你输入的用户名及登录口令?
如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?
(3)取证分析实践,解码网络扫描器(listen.cap)
攻击主机的IP地址是什么?
网络扫描的目标IP地址是什么?
本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
在蜜罐主机上哪些端口被发现是开放的?
攻击主机的操作系统是什么?
2.实验过程
(1)动手实践tcpdump
使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探,回答问题:你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?
使用命令查看本机IP地址
ifconfig
使用tcpdump对本机向外的通信进行抓包,然后再浏览器中访问www.tianya.cn。
sudo tcpdump -n src 192.168.32.65 and tcp port 80 and "tcp[13]&18=2"
(2)动手实践Wireshark
使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:
你所登录的BBS服务器的IP地址与端口各是什么?
TELNET协议是如何向服务器传送你输入的用户名及登录口令?
如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?
sudo luit -encoding GBK telnet bbs.fudan.edu.cn
我们先选择new注册一个账户,用户名为kubopiy,密码是20222927,然后开启wireshark抓包,重新访问BBS服务器
可以从ip报头中的得知BBS服务器的ip为202.120.225.9,从tcp报头中得知服务的端口是23。
从前两个包可以看出,telnet是通过明文的方式一个个字符传输数据的,输入用户名时,我在键盘中键入“l”时,telnet协议使用明文的方式将“l”传输给服务器,服务器回复“l”回显在我们的命令行中。
中间包挨个查,能查到用户名kubopiy
对于输入密码时的情况,传输时还是以明文传输,只不过回显的时候服务器回显“*”而不是对应的明文。
由以上原理,我们挨个查看telnet包,就可以获得完整的用户名“kubopiy”和密码“20222927”。
也可以通过追踪TCP流可以看到用户名和密码
(3)取证分析实践,解码网络扫描器(listen.cap)
攻击主机的IP地址是什么?
172.31.4.178
使用wireshark打开listen.pcap
可以看到都是ip 172.31.4.178向ip 172.31.4.188发送包,然后ip 172.31.4.188给ip 172.31.4.178回复,所以ip 172.31.4.178是攻击机,ip 172.31.4.188是靶机。
网络扫描的目标IP地址是什么?
172.31.4.188
本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
这里应该是使用nmap端口扫描,原理是tcp半开放扫描。攻击机向靶机发出握手申请,如果靶机回复[SYN,ACK],说明该端口开放,比如图中的80等端口,这时候攻击机就就不需要回复第三次握手的确认[ACK]了,因为这里只是为了探测端口是否开放,而不是为了真的建立连接,所以回复[RST]即可。攻击机向靶机发出握手申请,如果靶机回复[RST,ACK],说明该端口是关闭的,比如图中的110端口。通过这个原理,我们可以用以下命令进行筛选确认靶机哪些端口是开启的。
你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
使用“ssh”、“mysql”、“smtp”等进行筛选,发现都有对应的包,说明应该是使用了nmap的-sV扫描探测端口开启的服务以及版本信息。
tcp包太多了,我们使用“!tcp”筛选一下看一下其他包
发现有ping四次的ICMP包,这可能是攻击机判断与靶机的网络连通性,以及靶机是否在线的。
攻击机访问了靶机上的web服务。
ajp13包,攻击者可能尝试进行AJP13漏洞攻击。
安装snort
换源
vim /etc/apt/sources.list
deb http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib
deb-src http://mirrors.ustc.edu.cn/kali kali-rolling main non-free contrib
apt-get clean && apt-get update
sudo apt-get install bison -y
apt-get install libpcre3-dev
进入libpcap
./configure && make && makeinstall
进入snort
./configure --enable-sourcefire && make && sudo make install
在蜜罐主机上哪些端口被发现是开放的?
通过过滤器的 tcp.flags.syn == 1 and tcp.flags.ack == 1
可以过滤出SYN | ACK的数据包,这是目标主机反馈攻击主机的端口活跃信息。可查看靶机的开放端口有:21 22 23 25 53 80 139 445 3306 5432 8009 8180
攻击主机的操作系统是什么?
使用p0f工具,p0f是一款被动探测工具,能够通过捕获并分析目标主机发出的数据包来对主机上的操作系统进行鉴别,即使是在系统上装有性能良好的防火墙的情况下也没有问题。
在终端先输入 sudo apt-get install p0f 安装p0f
sudo p0f -r listen.pcap | grep "os"
得知版本为linux 2.6.x
3.学习中遇到的问题及解决
- 问题1:snort安装不了
- 问题1解决方案:先进行换源,安装各种依赖
- 问题2:无法使用yum
- 问题2解决方案:换apt里面的其它包,可以找到替换包
4.学习感悟、思考等)
这次取证比较简单,没有涉及镜像、内存取证,涉及到的数据也没有进行加密,对流量取证有了新的认知,并对监听、wireshark的使用有了新的认知。
326
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
