20221909 2022-2023-2 《网络攻防实践》第3周作业

20221909 2022-2023-2 《网络攻防实践》第3周作业

1.实验内容

（1）动手实践tcpdump

使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探，回答问题：你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器？他们的IP地址都是什么？

（2）动手实践Wireshark

• 使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析，回答如下问题并给出操作过程:
• 你所登录的BBS服务器的IP地址与端口各是什么？
• TELNET协议是如何向服务器传送你输入的用户名及登录口令？
• 如何利用Wireshark分析嗅探的数据包，并从中获取你的用户名及登录口令？

（3）取证分析实践，解码网络扫描器（listen.cap）

• 攻击主机的IP地址是什么？
• 网络扫描的目标IP地址是什么？
• 本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？
• 你所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么，并描述其工作原理。
• 在蜜罐主机上哪些端口被发现是开放的？
• 攻击主机的操作系统是什么？

知识总结

网络嗅探
（1）定义
网络嗅探是一种黑客常用的窃听技术，利用计算机的网络接口截获目的地为其他计算机的数据报文，以监听数据流中所包含的用户账户密码或私密信息等。
（2）网络嗅探器
实现网络嗅探技术的工具称为网络嗅探器。嗅探器捕获的数据报文是经过封包处理之后的二进制数据，因此通常会结合网络协议分析技术来解析嗅探到的网络数据，这样才能恢复出TCP/IP协议栈上各层网络协议的内容，以及事件发送的应用层信息。
（3）网络嗅探器的原理和实现

• 以太网工作原理：以太网采用了CSMA/CD技术，由于使用了广播机制，所有与网络连接的工作站都可以看到网络上传递的数据。网卡是网络中主机接收发送数据的硬件设备。网卡完成收发数据包的工作。网卡对于数据的接收有四种模式：
  • 广播模式：该模式下的网卡能够接收网络中的广播数据。
  • 组播模式：该模式下的网卡能够接收组播数据。
  • 直接模式：只有匹配目的MAC地址的。网卡才能接收该数据。
  • 混杂模式：无论其目的MAC地址是什么，网卡都能够接收一切监听到的数据。
• 网络监听的原理：
  • 利用以太网的特性把网卡置为混杂模式状态的工具，一旦网卡设置为这种模式，它就能接收经过它的每一个信息包。
  • 共享式网络嗅探：使用集线器连接，集线器上任意一台主机都能够嗅探整个集线器上的全部网络流量。
  • 交互式网络嗅探：通过MAC地址映射表来发送数据。通常有以下三种方式实现嗅探：MAC地址泛洪攻击、MAC欺骗、ARP欺骗。

网络协议分析

• 定义：网络协议分析是网络嗅探器进一步解析与理解捕获数据包必须的技术手段，是指对网络上传输的二进制格式数据包进行解析，以恢复出各层网络协议信息以及传输内容的技术方法。
• 原理：网络协议分析需要从底向上逐层解析网络协议，同时进行IP分片包以及TCP会话的重组，需要解析与保存各个网络层次上的所有包头字段信息，以及最高层的应用层数据，并提供给用户以了解网络数据包的全方位信息。
• 技术实现：在开源的软件如Tcpdump、Wireshark和Snort中都有相应源码实现。
• 网络协议分析工具：Wireshark

2.实验过程

（1）动手实践tcpdump

使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行 嗅探，回答问题：你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器？他们的IP地址都是什么？

将Kali-Linux虚拟机网络模式改变成桥接模式，查询虚拟机ip地址为192.168.11.151

使用tcpdump对本机向外的通信进行抓包，然后在浏览器中访问www.tianya.cn网站，可以看到访问www.tianya.cn过程中访问问了多个服务器

（2）动手实践Wireshark

使用命令访问BBS服务器，可以看出BBS的ip地址为202.120.225.9

使用guest账户登录，然后开启wireshark抓包，重新访问BBS服务器

从tcp报头中得知服务的端口是23。

通过追踪TCP流可以发现用户用为guest




从前两个包可以看出，telnet是通过明文的方式一个个字符传输数据的，输入用户名时，我在键盘中键入“l”时，telnet协议使用明文的方式将“l”传输给服务器，服务器回复“l”回显在我们的命令行中。

（3）取证分析实践，解码网络扫描器（listen.cap）

使用wireshark打开listen.pcap

可以看到都是ip 172.31.4.178向ip 172.31.4.188发送包，然后ip 172.31.4.188给ip 172.31.4.178回复，所以ip 172.31.4.178是攻击机，ip 172.31.4.188是靶机。

这里应该是使用nmap端口扫描，原理是tcp半开放扫描。攻击机向靶机发出握手申请，如果靶机回复[SYN,ACK],说明该端口开放，比如图中的80端口，这时候攻击机就就不需要回复第三次握手的确认[ACK]了，因为这里只是为了探测端口是否开放，而不是为了真的建立连接，所以回复[RST]即可。攻击机向靶机发出握手申请，如果靶机回复[RST,ACK]，说明该端口是关闭的，比如图中的110端口。

执行sudo snort -A console -q -u snort -c /etc/snort/snort.conf -r listen.pcap，可以看出扫描方式为nmap扫描

通过这个原理，我们可以用以下命令进行筛选确认靶机哪些端口是开启的，我们可以看到10、12、18、21等端口都是开放的。

使用“ssh”、“mysql”、“smtp”等进行筛选，发现都有对应的包，说明应该是使用了nmap的-sV扫描探测端口开启的服务以及版本信息。



tcp包太多了，我们使用“!tcp”筛选一下看一下其他包，发现有ping四次的ICMP包，这可能是攻击机判断与靶机的网络连通性，以及靶机是否在线的。

攻击机还访问了靶机上的web服务。

半连接长度为60的包太多了，排除一下看还剩哪些包，发现唯一一个udp包，传输的数据是一串“C”，不知道作用是什么。

还有三次握手成功的，访问的是80端口，应该是前面所说的访问http网站。

发现ajp13包挺多的，这里会不会是攻击者在尝试AJP13漏洞攻击呢。

还有一些PGSQL、SMB之类的包，估计是之前说的探测服务及版本相关的。

最后使用p0f看看攻击机是什么操作系统。

3.学习中遇到的问题及解决

• 问题1：kali刚开机没有网，不能正常进入天涯网。
• 问题1解决方案：将虚拟机改为桥接模式，然后再网络配置那里将桥接模式连接网络换成主机连接的网络
• 问题2.安装snort时失败。
• 问题2解决方案：更新源。

4.学习感想和体会

对于一些wireshark中的指令也是第一次使用，对wireshark等工具的使用有了更深的了解，接下来还需要多查一些资料，继续学习。