20231917周竞 2023-2024-2 《网络攻防实践》第3次作业

20231917周竞

已于 2024-07-11 12:14:08 修改

阅读量1.3k

点赞数 39

文章标签： linux

于 2024-03-24 17:08:43 首次发布

本文链接：https://blog.csdn.net/weixin_48003281/article/details/136918373

版权

1.实验内容

（1）动手实践tcpdump
使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探，回答问题：你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器？他们的IP地址都是什么？
（2）动手实践Wireshark
使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析，回答如下问题并给出操作过程:
1.你所登录的BBS服务器的IP地址与端口各是什么？
2.TELNET协议是如何向服务器传送你输入的用户名及登录口令？
3.如何利用Wireshark分析嗅探的数据包，并从中获取你的用户名及登录口令？
（3）取证分析实践，解码网络扫描器（listen.cap）
1.攻击主机的IP地址是什么？
2.网络扫描的目标IP地址是什么？
3.本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？
4.你所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么，并描述其工作原理。
5.在蜜罐主机上哪些端口被发现是开放的？
6.攻击主机的操作系统是什么？

2.实验过程

2.1 实验环境

第一次作业中配置的蜜网环境

2.2 实验一：动手实践tcpdump

2.2.1 网络配置的修改

开启Kali Linux虚拟机，修改该虚拟机的网络配置为“桥接”。
在这里插入图片描述
在kali虚拟机中打开终端，输入ifconfig，可查看到虚拟机的IP地址为192.168.43.80

2.2.2 使用tcpdump

在虚拟机的终端中输入并运行命令：sudo tcpdump -n src 192.168.43.80 and tcp port 80
在这里插入图片描述
终端中出现这个提示，说明虚拟机正在监听。

Kali打开浏览器，在地址栏中输入http://www.besti.edu.cn/，访问电科院官网。
在终端中可以看到以下信息：
在这里插入图片描述
通过上面的信息可以看出，在Kali访问电科院官网的过程中，总共访问了两个主机，它们的IP地址是42.248.140.59和123.121.157.1。其中，123.121.157.1就是电科院官网的界面。

2.3 实验二：动手实践wireshark

1.开启命令行，查询本机的IP地址，主机的IP地址为：192.168.43.141；
在这里插入图片描述
2.打开主机的Telnet服务：控制面板-打开程序和功能-启用或关闭服务-选定Telnet客户端服务点击确定后就打开了。

3.打开wireshark准备进行捕获，本实验选择连接水木清华bbs
首先在命令行输入telnet bbs.newsmth.net以此连接到水木社区的bbs
在这里插入图片描述

之后在wireshark中筛选出属于TELNET协议的连接，分析数据包：可以看出，本机IP地址为：192.168.43.141，服务器的地址为：120.92.212.76，所使用端口为23；

筛选出服务器地址找到最初建立TCP连接的三次握手如图：
在这里插入图片描述
逐条查看可以看到所输入的用户名称：guest，表明Telnet以字节为单位及逆行数据传输，如下图所示：

完成登陆验证。

2.4 实验三：取证分析实验

将listen.pcap复制到Kali Linux虚拟机中。
在这里插入图片描述

2.4.1 使用snort查看攻击机和靶机的IP地址、攻击者采用的工具

启动Kali Linux的终端，运行命令sudo apt install snort，安装入侵检测工具snort。
安装snort时，屏幕中会出现一个配置菜单，输入Y表示“确定”，按回车即可。
在这里插入图片描述

在listen.pcap所在文件夹中单击鼠标右键，选择“在这里打开终端”。

之后入：snort -A console -q -u snort -c /etc/snort/snort.conf -r ~/listen.pcap （ -A开启报警模式，-q不显示状态报告，，-u为初始化后改变snort的UID，-c为使用后面的配置文件，进入IDS模式，-r从pcap格式的文件中读取数据包）。可以看出本次攻击使用nmap发起的。
在这里插入图片描述

2.4.2 使用wireshark分析攻击者所采用的攻击方式

用wireshark打开这个listen.pcap文件。
在这里插入图片描述
首先，在输入框中输入筛选条件arp or nbns，回车。

可以明显看出，NBNS协议和ARP协议包分为多段，通过对协议进行分析，攻击者就可以得到目标主机的IP，进一步分析，可以得出活跃开放端口、扫描主机检查、扫描操作系统、扫描开放服务等攻击方式。
可以判断出第一次扫描使用指令：nmap -sP 靶机IP，在第二次扫描使用了指令：nmap -O进行了探测并配合os-db进行操作系统的探测；
在这里插入图片描述
以tcp作为过滤条件，可以看到在数据包中存在大量SYN请求包，还发现为了探测靶机的网络服务，攻击者建立了TCP SYN扫描和ssh连接，这可以确定攻击机对靶机进行了 -sV 的版本扫描。

3.学习中遇到的问题及解决

问题1：Kali改为桥接模式后，使用ifconfig命令查不到IP地址
在这里插入图片描述
问题2：安装snort失败

问题1解决方案：
使用vim /etc/network/interfaces命令修改配置文件。
进入后发现没有网卡eth0的信息，在配置文件中加入代码auto eth0 iface eth0 inet dhcp。
保存退出后重启配置文件，再使用ifconfig后能够查到eth0网卡信息，问题解决。
在这里插入图片描述

问题2解决方案：
更新源

更新完毕后能够正常下载snort

4.学习感悟、思考等

网络空间并不安全，很多工具都可以对网络上的数据包进行嗅探和抓取，从而泄露我们很多隐私。
在实验中处理各种难题的过程也是对新知识的学习，经过三次实验我对于Linux的命令掌握程度显著提升，网络攻防就是需要多学多练。

参考资料

-(https://www.cnblogs.com/bushilushan/p/17085679.html)
-(https://blog.csdn.net/xiannvyeye/article/details/129618354)
-(https://blog.csdn.net/qq_42091101/article/details/104461114)

20231917周竞

关注

39
点赞
踩
16

收藏

觉得还不错? 一键收藏
1
评论
20231917周竞 2023-2024-2 《网络攻防实践》第3次作业

（1）动手实践tcpdump使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探，回答问题：你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器？他们的IP地址都是什么？（2）动手实践Wireshark使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析，回答如下问题并给出操作过程:1.你所登录的BBS服务器的IP地址与端口各是什么？2.TELNET协议是如何向服务器传送你输入的用户名及登录口令？
复制链接

扫一扫