20212917于欣月 202120222 《网络攻防实践》第三周作业

20212917于欣月 2021-2022-2 《网络攻防实践》第二周作业

目录

• 1.实验要求及过程
• 2.学习中遇到的问题及解决
• 3.学习感想和体会

1.实验要求及过程

• （1）动手实践tcpdump
  使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探，回答问题：你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器？他们的IP地址都是什么？

• 解：①将kali虚拟机网络模式改为桥接模式，使用ifconfig查询ip地址，得到192.168.31.226

②输入命令sudo tcpdump src 192.168.31.226 and tcp port 80开始监听

③使用浏览器，访问www.tianya.cn，监听结果过多，截图只放部分。

④根据结果整理得出，访问的Web服务器有:

124.225.206.22
124.225.69.77
124.225.135.230
111.206.209.249
124.225.214.206
124.225.65.170
124.225.135.225

• （2）动手实践Wireshark
  使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析，回答如下问题并给出操作过程:
  你所登录的BBS服务器的IP地址与端口各是什么？
  TELNET协议是如何向服务器传送你输入的用户名及登录口令？
  如何利用Wireshark分析嗅探的数据包，并从中获取你的用户名及登录口令？

• 解：①输入命令luit -encoding gbk telnet bbs.fudan.edu.cn

②使用Wireshark进行捕捉，在终端中输入guest后，查看Wireshark捕获到的结果，发现BBS的ip是202.120.225.9，端口号是23。

③Telnet协议在传输用户名和密码时采用的时明文传输，所以可以通过捕获登录的包，追踪TCP流，看到用户名和密码。用户名为guest，密码为空

• （3）取证分析实践，解码网络扫描器（listen.cap）
  攻击主机的IP地址是什么？
  网络扫描的目标IP地址是什么？
  本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？
  你所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么，并描述其工作原理。
  在蜜罐主机上哪些端口被发现是开放的？
  攻击主机的操作系统是什么？

• 解：①使用snort对二进制文件进行入侵检测。首先通过sudo apt-get instll snort安装snort。

②进入/etc/apt目录，使用sudo chmod 777 snort.conf，给snort.conf文件权限。

③使用sudo snort -A console -q -u snort -c /etc/apt/snort.conf -r listen.pcap(自己listen.pcap的路径)进行检测，可以确认攻击者的IP是172.31.4.178，扫描的目标IP是172.31.4.188，是用nmap工具进行扫描的。

④用Wireshark打开listern.pcap，选择Analyze→Conversation Filter→TCP，也可以确认攻击者的IP是172.31.4.178，扫描的目标IP是172.31.4.188。

⑤对nmap扫描进行分析，因为nmap每次探测主机活跃是在广播域内广播arp request报文，所以在Wireshark中筛选ARP。可以知道5、7等这种是开始扫描的标志。

⑥首先要明确，nmap每次扫描之前都会进行主机活跃探测，可以发现5在最开始，并且与下一次的7之间，攻击者并未向靶机再发送其余数据包，所以可以知道这是在探测主机是否活跃，对应于namp -sP这个命令。

⑦第二次攻击从第七条开始，第二次攻击的末尾数据包。攻击机使用了大量构造的标志位，通过触发不同的响应包，从而判断这些流量对远程主机的操作系统探测，对应于nmap -O。结果如下：

⑧第三次扫描的往返是13W数据包，估计扫描端口六万多。所以应该是指定端口扫描，对应的是namp -sS -p 1-65535（-p指定扫描的端口数）指令进行扫描。

⑨第四次扫描的时间高于前三次扫描的时间，可以假设最后一次为namp -sV 靶机IP网络服务探测。寻找一个http，第四次扫描建立了握手和HTTP连接，因此扫描方式为namp -sV 靶机IP。

⑩确定端口，要用筛选tcp.flags.syn == 1 and tcp.flags.ack == 1，可以得到开放的端口有21 22 23 25 53 80 139 445 3306 5432 8009 8180

确定操作系统，使用apt-get install p0f安装p0f，用p0f -r listen.pcap进行探测得到结果如下，可以发现os是Linux 2.6.X

2.学习中遇到的问题及解决

• 问题1：apt-get install *** 安装失败
• 答：需要先用apt-get update更新一下，如果更新失败，很可能是源的问题，更换成阿里云的源最稳妥。

3.学习感想和体会

• 第一部分的实验与另一门课程的实践非常相似，所以这部分没有什么压力，第三部分取证分析实践我认为是最难的，需要很多的知识，而且还与上次实践中的nmap联系起来了，如果不是本次实践，我可能根本不会了解到这些。