1.实验内容
1、实践tcpdump
使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探,回答问题:你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?
2、实践Wireshark
使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:
你所登录的BBS服务器的IP地址与端口各是什么?
TELNET协议是如何向服务器传送你输入的用户名及登录口令?
如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?
3、取证分析实践,解码网络扫描器
攻击主机的IP地址是什么?
网络扫描的目标IP地址是什么?
本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
在蜜罐主机上哪些端口被发现是开放的?
攻击主机的操作系统是什么?
2.实验过程
2.1动手实践tcpdump
使用tcpdump开源软件对在本机上访问https://www.besti.edu.cn/
回答问题:你在访问 https://www.besti.edu.cn/ 网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?
在网络适配器设置中,将kali虚拟机的网络连接模式改为桥接模式,打开Kali-Linux虚拟机。
通过ifconfig指令,查询虚拟机kali的IP地址信息(本次实验中为192.168.43.246)
2.2动手实践Wireshark
键入命令 telnet bbscloud.com访问BBS云论坛。
发现其IP地址为39.98.128.52。
打开虚拟机自带的wireshark,然后查看端口,发现其端口号为23
通过Wireshark抓包,观察TELNET是通过明文的方式一个个字符传输数据的,我们能够发现在向服务器传输用户名及登录口令时,是一个字符一个字符传递的。
2.3 取证分析实践,解码网络扫描器
将listen.pcap拷贝到kali虚拟机中,使用wireshark打开listen.pcap
通过数据包IP地址等信息分析可发现 ,攻击机IP地址为172.31.4.178,靶机IP地址为172.31.4.188
通过指令tcp.flags.syn == 1 and tcp.flags.ack == 1 and ip.src==172.31.4.188,筛选数据交互过程中的数据包,查看靶机开放了哪些端口
通过分析,发现开放的端口有3306,80,25,22,53,21等等。
在输入框中输入筛选条件arp or nbns,回车,可以得到:
可以看到,NBNS协议和ARP协议包分为多段,通过ARP协议和NBNS协议,攻击者可以得到目标主机的IP地址,进而对其发起攻击。
通过进一步分析,我们可以得出攻击者的方式为:活跃主机检测、扫描操作系统、扫描开放端口、扫描开放服务
攻击者发出了很多广播信息,详细信息均有“Who has 172.31.4.188?”,因此说明这一段中,攻击者通过ARP广播的方式进行了活跃主机检测。
从下图我们可以看到,TCP的SYN包与ACK包有时候是一个SYN一个ACK,有时候是一堆SYN一堆ACK,还出现了如下图所示的特殊标记。有理由推测,攻击者在这一段扫描了目标主机的操作系统。因为不同的操作系统有不同的端口和服务,攻击者通过这种方式,探测目标主机存在哪些服务来基本确定目标主机操作系统的范围。
在所示的SYN包和ACK包,我们可以推测,攻击者在这一次攻击中使用了全端口扫描的指令。
还有处TCP之外的一些其他协议,这说明攻击者通过与检测出的端口进行上层的交流,检测到了一些网络服务,可以得出,攻击者在这一次攻击中扫描了服务。
最后使用p0f工具帮助查看攻击机的操作系统
在Kali Linux虚拟机终端中输入sudo apt-get install p0f安装p0f工具:
输入sudo p0f -r listen.pcap可以看到攻击机的操作系统为Linux 2.6.x
3.学习中遇到的问题及解决
- 问题:在第一个实验问题中打开虚拟机拟机无法联网
- 问题解决方案:将虚拟机改为桥接模式后,配置相应的网关即可
4.学习感悟、思考等)
本次实验我感觉需要自己动手动脑的地方更多了,要多分析一些网络数据,也学习了tcp dump的一些命令,还有wireshark的过滤等功能。
参考资料
https://bbs.csdn.net/topics/614080187
- …
