20242934 2024-2025-2 《网络攻防实践》第3周作业-编程知识

20242934 2024-2025-2 《网络攻防实践》第3周作业

news/2025/3/13 19:44:30/文章来源:https://www.cnblogs.com/yifan123/p/18770803

1.实验内容
实验一：网络嗅探：网络嗅探利用计算机网络接口截获其他计算机数据报文，以监听数据流中包含的有效信息。由于捕获到的数据报文是经过封包处理的二进制数据，故还要结合网络协议分析技术。
使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探，回答问题：你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器？他们的IP地址都是什么？
实验二：网络协议分析：网络协议分析从底向上逐层解析网络协议，同时进行IP分片包以及TCP会话的重组，解析与保存各个网络层次上的所有包头字段信息，以及最高层的应用层数据。
使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析，回答如下问题并给出操作过程:
你所登录的BBS服务器的IP地址与端口各是什么？
TELNET协议是如何向服务器传送你输入的用户名及登录口令？
如何利用Wireshark分析嗅探的数据包，并从中获取你的用户名及登录口令？
实验二：取证分析实践，解码网络扫描器（listen.cap）
攻击主机的IP地址是什么？
网络扫描的目标IP地址是什么？
本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？
你所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么，并描述其工作原理。
在蜜罐主机上哪些端口被发现是开放的？
攻击主机的操作系统是什么？
2.实验过程
实验一：
将kali虚拟机网络模式改变为桥接模式，并查询本机ip地址

运行命令 sudo tcpdump -n src 192.168.200.2 and tcp dst port 80 and "tcp[13] & 18 =2"

打开浏览器，在地址栏中输入https://www.sina.com.cn/，访问新浪网。

所以，访问 7 个 Web 服务器，ip地址分别为203.208.39.194 ； 2.23.210.82 ； 34.107.221.82 ；202.108.15.155 ； 60.9.5.121 ；101.28.133.120 ； 123.125.216.178
实验二：
在Kali Linux的终端中运行命令luit -encoding gbk telnet bbs.mysmth.net

所以ip地址为120.92.212.76
虚拟机中打开wireshark，双击选择eth0这个网卡，wireshark开始抓包

所以端口为23
Telnet 连接建立后，本地输入用户名与口令，客户端依 ASCII 码转二进制，封装进协议数据包发往服务器。服务器解析数据包，提取字符转成可识别形式。完成接收后与系统用户信息比对，据此返回登录成功或失败的响应。
随便选择一个Telnet分组，单击鼠标右键，选择“FOLLOW”>“TCP STEAM”。
我们可以从一堆乱码中找到我们的用户名“guest”

实验三：
启动Kali Linux的终端，运行命令sudo apt install snort，安装入侵检测工具snort。
在listen.pcap所在文件夹中单击鼠标右键，选择“在这里打开终端”。
在终端处输入并运行命令：sudo snort -A console -q -u snort -c /etc/snort/snort.conf -r listen.pcap

从上面的信息可以看出，攻击主机的IP地址为172.31.4.178，网络扫描目标的IP地址为172.31.4.188。
从第三行SCAN nmap XMAS中可看出，攻击者使用nmap工具进行端口扫描。
在Wireshark中筛选ARP

通过 arp 数据包可以看到攻击机进行了主机扫描nmap -sP 172.31.4.178

icmp过滤发现有数据包交互，说明进行了icmp ping扫描，即nmap -sP 172.31.4.188

观察到数据包有大量进行了TCP SYN扫描，攻击机进行了nmap -sS 172.31.4.188 扫描
如果靶机的活跃端口是开放的，那么靶机会给攻击机发送一个带有SYN=1和ACK=1标志的数据包。
所以，在wireshark中输入筛选条件tcp.flags.ack1 and tcp.flags.syn1，回车。

得知21,22,23,25,53,80,139,445,3306,3632,5432,8009,8180这几个端口是活跃的
进入Kali Linux虚拟机。
在listen.pcap所在文件夹中打开终端，在终端中输入sudo apt install p0f，安装被动检测工具p0f。
然后输入命令p0f -r listen.pcap，回车运行。

通过 p0f 工具探测到攻击机操作系统,探测到攻击机操作系统为 linux 2.6
3.学习中遇到的问题及解决
问题1：复旦大学的bbs进入不了
问题1解决方案：可以通过luit -encoding gbk telnet bbs.mysmth.net 进入清华的bbs
问题2：不知道怎样将listen.pcap复制到Kali Linux虚拟机中。
问题2解决方案：在网络中搜索，知道可以直接将 Windows 上的 listen.pcap 文件拖进 Kali Linux 虚拟机的桌面或其他指定位置
4.学习感悟、思考等
在实践中碰见一些奇怪的坑问题，真的是太难解决了，有时候浪费半天时间还是解决不了，好在最后还是解决了。