20232917白胤廷 2022-2023-2 《网络攻防实践》实验三

20232917白胤廷 2022-2023-2 《网络攻防实践》实验三

1.实验内容

网络嗅探

（1）定义
网络嗅探是一种黑客常用的窃听技术，利用计算机的网络接口截获目的地为其他计算机的数据报文，以监听数据流中所包含的用户账户密码或私密信息等。

(2)网络嗅探器
实现网络嗅探技术的工具称为网络嗅探器。嗅探器捕获的数据报文是经过封包处理之后的二进制数据，因此通常会结合网络协议分析技术来解析嗅探到的网络数据，这样才能恢复出TCP/IP协议栈上各层网络协议的内容，以及事件发送的应用层信息。

(3)网络嗅探器的原理和实现

以太网工作原理：以太网采用了CSMA/CD技术，由于使用了广播机制，所有与网络连接的工作站都可以看到网络上传递的数据。网卡是网络中主机接收发送数据的硬件设备。网卡完成收发数据包的工作。网卡对于数据的接收有四种模式：
广播模式：该模式下的网卡能够接收网络中的广播数据。
组播模式：该模式下的网卡能够接收组播数据。
直接模式：只有匹配目的MAC地址的。网卡才能接收该数据。
混杂模式：无论其目的MAC地址是什么，网卡都能够接收一切监听到的数据。
网络监听的原理：
利用以太网的特性把网卡置为混杂模式状态的工具，一旦网卡设置为这种模式，它就能接收经过它的每一个信息包。
共享式网络嗅探：使用集线器连接，集线器上任意一台主机都能够嗅探整个集线器上的全部网络流量。
交互式网络嗅探：通过MAC地址映射表来发送数据。通常有以下三种方式实现嗅探：
MAC地址泛洪攻击、MAC欺骗、ARP欺骗
网络协议分析

定义：网络协议分析是网络嗅探器进一步解析与理解捕获数据包必须的技术手段，是指对网络上传输的二进制格式数据包进行解析，以恢复出各层网络协议信息以及传输内容的技术方法。
原理：网络协议分析需要从底向上逐层解析网络协议，同时进行IP分片包以及TCP会话的重组，需要解析与保存各个网络层次上的所有包头字段信息，以及最高层的应用层数据，并提供给用户以了解网络数据包的全方位信息。
技术实现：在开源的软件如Tcpdump、Wireshark和Snort中都有相应源码实现。
网络协议分析工具：Wireshark

2.实验过程

2.1tcpdump

1.用kali进行实验，使用命令 ip addr查看网络信息，如下图所示，kali的IP地址为192.168.200.2

2.使用tcpdump对本机向外的通信进行抓包，命令为：tcpdump -n src 192.168.200.6 and tcp port 443 and “tcp[13]&18=2”

3.查看结果如下图所示，可以发现在访问www.besti.edu.cn网站首页时，浏览器访问了5个Web服务器，它们的IP地址为34.149.100.209、34.107.243.93、123.127.157.1

2.2动手实践Wireshark

1.这里我们用telnet访问水木社区，使用命令为：luit -encoding GBK telnet bbs.newsmth.net，可得如下图所示的界面

2.开启Kali的Wireshark抓包，选择eth0网卡，然后在终端输入guest以访客登入水木社区，访问一段时间后在Wireshark过滤器中输入telnet对telnet协议的数据包进行过滤，如下图所示，可知所登录的BBS服务器的IP地址为120.92.212.76，端口为23即telnet服务的端口。

3.继续追踪TCP流可以发现，输入的guest以明文方式向服务器进行传输，其中在输入用户名的时候，telnet使用的模式为一次一个字符方式，即客户端输入一个字符，服务器即回显相同的字符，而在输入密码的时候服务器则不回显，通过这个特点即可获取到用户名和密码，在这里由于使用了guest账户，所以没有密码，因此用户名为guest。

2.3取证分析实践，解码网络扫描器（listen.cap）

1.直接使用Windows 10中的Wireshark对listen.cap文件进行分析。
2.选择统计 - 会话 - TCP，如图七所示，IP地址为172.31.4.178的主机发送了大量的TCP数据包给IP地址为172.31.4.188的主机，因此有理由怀疑，攻击机的地址为172.31.4.178，靶机的地址为172.31.4.188。

3.在root账户中使用命令apt install p0f进行安装，等待安装完成后输入命令p0f -r listen.pcap > result.txt，待运行完成后输入命令more result.txt在其中键入/app即可发现使用了Nmap扫描工具。

4.TCP connect扫描，该方式使用系统网络API connect向目标主机的端口发起连接，如果无法连接，说明该端口关闭。该方式扫描速度比较慢，而且由于建立完整的TCP连接会在目标机上留下记录信息，不够隐蔽。特征：攻击机发送SYN，靶机回复SYN/ACK，攻击机回复RST。

5.TCP SYN扫描，这是Nmap默认的扫描方式，通常被称作半开放扫描（Half-open scanning）。该方式发送SYN到目标端口，如果收到SYN/ACK回复，那么判断端口是开放的；如果收到RST包，说明该端口是关闭的。特征：攻击机发送SYN后不理会靶机的SYN/ACK回复，直到连接超时靶机回复RST重置连接。

6.接下来是TCP ACK扫描，该方法向目标主机的端口发送ACK包，如果收到RST包，说明该端口没有被防火墙屏蔽；没有收到RST包，说明被屏蔽。该方式只能用于确定防火墙是否屏蔽某个端口，可以辅助TCP SYN的方式来判断目标主机防火墙的状况。Wireshark过滤条件：tcp.flags.ack == 1 and ip.src == 172.31.4.178，先通过过滤条件定位包，然后取消过滤查看双方数据包交互过程。

7.扫描前nmap会通过arp更新目标MAC地址，所以使用Wireshark的过滤器扫描出arp包，可以看到共进行4次nmap扫描。

8.继续使用p0f工具，输入命令p0f -r listen.pcap > result.txt，待运行完成后输入命令more result.txt在其中键入/os即可发现使用了Nmap扫描工具即可发现系统为Linux 2.6.x。

3.学习中遇到的问题及解决

• 问题1：p0f安装失败
• 问题1解决方案：网络环境差更换网络，连接手机热点改变网络环境

4.学习感悟、思考等）

通过实际操作进行了抓包和数据包取证分析，深入了解了抓包方法以及取证分析的基本理念和常用工具。在这次实验中，我成功地查阅了相关资料，完成了实验任务。需要特别注意的是，在使用telnet访问bbs时，发现telnet采用了明文传输方式。这种方式可能导致个人用户名和口令泄露，造成不必要的损失。因此，我们应避免使用telnet服务，而应该选择更安全的访问方式。