20232801 2023-2024-2 《网络攻防实践》实验三
1.实验内容
- 动手实践tcpdump :使用tcpdump开源软件对在本机上访问学校官网过程。
- 动手实践Wireshark:使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析。
- 取证分析实践,解码网络扫描器(listen.cap)
#**
2.实验过程
(1)动手实践tcpdump
将kali网络编辑器更改为桥接模式,查看IP地址:192.168.21.223
输入sudo tcpdump -n src 192.168.21.223 and tcp port 80 and “tcp[13]&18=2 后打开浏览器进入学校官网。进行监听。
(2) 动手实践Wireshark
luit -encoding gbk telnet bbs.fozztexx.com 访问BBS服务器。其IP地址为:50.79.157.209
打开wireshark:通过TCP查看,可以发现端口为:23 登录用户名为 VISITOR
(3)取证分析实践,解码网络扫描器
- 攻击主机的IP地址是什么?
172.31.4.178 - 网络扫描的目标IP地址是什么
172.31.4.188 - 本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
nmap端口扫描工具,通过snort工具解析确定的 - 你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
广播查询 - 在蜜罐主机上哪些端口被发现是开放的
3360、139、23、80、25、22、53、21、445、5432、8009、8180 - 攻击主机的操作系统是什么
攻击机操作系统版本为Linux 2.6.x
1.在SeedUbuntu安装 上安装snort
2.修改权限
3.下载listen.pcap
4.使用cp命令将listen.pcap复制到/etc/snort/这个路径下,然后在/etc/snort/目录下输入以下指令:
sudo snort -A console -q -u snort -c /etc/snort/snort.conf -r listen.pcap
可以看到攻击机的IP地址为:172.31.4.178 靶机的IP地址为:172.31.4.188
5.进入kali 机,同样下载listen.cap.使用WireShark进行分析
1.筛选arp :说明攻击者通过广播查询靶机172.31.4.178的MAC地址
2.查询ICMP:发现攻击机与靶机之间存在双向数据包,进行Ping扫描进行主机扫描,确认靶机是否活跃
3.查询TCP
4.tcp.flags.syn == 1 and tcp.flags.ack == 1得到靶机所有的开放端口:3360、139、23、80、25、22、53、21、445、5432、8009、8180
安装pof工具,对攻击机操作系统版本进行查询
sudo apt install p0f
进入listen.pcap 所在的目录,输入 sudo p0f -r listen.pcap 可以看到版本为Linux 2.6.x
3.学习中遇到的问题及解决
- 问题1:kali更换为桥接模式后,获取不到IP地址
- 问题1解决方案:更改虚拟器中VMnet0 桥接模式的自动获取方式,选中自己电脑上无线网卡。在kali上输入以下两条命令:
1. ifconfig eth0 up 2.dhclient eth0
- 问题2:Kali 上下载无法下载snort ;尝试将kali机更新到最新版本;下载辅助包都不可以
- 问题2解决方案:更换在SeedUbuntu上下载
4.学习感悟、思考等
实验中使用Wireshark进行了网络流量的捕获与分析,通过对网络扫描活动的分析,加强了我对网络安全的整体认识。理解攻击者的技术和方法。