1.实验内容
(1)动手实践tcpdump
使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探,回答问题:你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?
(2)动手实践Wireshark
使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:
- 你所登录的BBS服务器的IP地址与端口各是什么?
- TELNET协议是如何向服务器传送你输入的用户名及登录口令?
- 如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?
(3)取证分析实践,解码网络扫描器(listen.cap)
- 攻击主机的IP地址是什么?
- 网络扫描的目标IP地址是什么?
- 本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
- 你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
- 在蜜罐主机上哪些端口被发现是开放的?
- 攻击主机的操作系统是什么?
2.实验过程
2.1动手实践tcpdump
kali的网络连接一直出问题,经过找资料得知,将网络配置还原就行,这点很重要,不然后续实验无法进行。 打开命令,用sudo su
命令进入root模式,用ifconfig
查看自己的kali的IP地址。我的IP地址是192.168.40.128
访问www.tianya.cn网站一直打不开,所以使用tcpdump对本机向外的通信进行抓包,然后在浏览器中访问www.anh.edu.cn(安徽大学网址) 输入sudo tcpdump -n src 192.168.40.128 and tcp port 80 and “tcp[13]&18=2”
就可以看到访问 www.ahu.edu.cn过程中访问问了多个服务器。
对ip地址进行查询可以看到归属地为安徽省合肥市
2.2 动手实践Wireshark
如果复旦的bbs连接不上,可以通过luit -encoding gbk telnet bbs.mysmth.net 进入清华的bbs命令来访问这个BBS服务器,可以看到它的IP地址是120.92.212.76。
同时打开wireshark进行监听,可以看到它的端口号为23
选择分析-追踪流-TCP Stream,找到明文账号密码,选GBK编码不会乱码
2.3 取整分析实践
解码网络扫描器(listen.pcap)。
用 Wireshark 打开 listen.pcap,分析请求与数据回复包,判断攻击机IP地址是“172.31.4.178”,网络扫描目标IP地址(即靶机IP地址)是“172.31.4.188”
通过wireshark打开listen.pcap数据包,在过滤栏中筛选ARP数据包,得出172.31.4.178对172.31.4.188的ARP请求,并且攻击机没有向靶机再发送其他的数据包,推测其攻击命令是namp -SP
,因为使用该命令可以快速扫描指定目标的存活主机,而无需对其进行详细的端口扫描。
再以tcp作为过滤条件,观察数据包,发现攻击机发送的数据包中有大量构造的标志位,以触发不同的响应包,推测是攻击机进行远程主机的操作系统检测,其攻击命令为对目标主机进行操作系统检测的nmap -O
,nmap 工具在进行操作系统检测时会发送特定的探测数据包,并根据目标主机对这些数据包的响应来推断目标主机的操作系统类型。
发现数据包中一共有13万条数据,且大多为SYN标志,推测是攻击机进行端口扫描,其命令为nmap -sS -p 1-65535
,使用 SYN 扫描方式扫描目标主机的开放端口。
以tcp.port80作为筛选条件,具体进一步查找,SYN标志的半开扫描,建立连接,推测其命令为nmap -sV
,因为在进行半开扫描时,扫描器发送一个TCP SYN包给目标主机的特定端口,如果收到了一个TCP RST包作为响应,表示该端口是关闭的;但如果收到一个TCP SYN/ACK包,表示该端口是打开的。通过分析目标主机对SYN包的响应,可以得知目标主机上特定端口的状态。
以tcp.flags.syn ==1 and tcp.flags.ack ==1为条件进行过滤。可以看到开放的端口有3306、139、23、80、25、22、53、21、445、5432、8009、8180等
在kali上sudo apt-get install p0f
安装p0f,之后在listen.pcap文件所在的目录中使用命令sudo p0f -r listen.pcap
可以看到攻击机系统为 Linux 2.6.x。(如果sudo apt-get install p0f
不能成功,可以试一下先sudo apt update
再sudo apt install p0f
)。
3.学习中遇到的问题及解决
问题1:一开始在kali上打不开tianya.cn
问题1解决方案:后面选择选一个网站就行,tianya确实打不开不知道为啥。
问题2:虚拟机没办法联网
问题2解决方案:默认还原网络配置就行。
4.学习感悟、思考等
这次试验使用了tcpdump工具进行抓包分析,练习了wireshark分析抓包实验等,收获使用 tcpdump这样的工具进行抓包分析是非常有益的实践,通过 Wireshark 进行抓包分析可以让更直观地查看和解释数据包的内容,深入了解网络通信过程中所传输的信息,这些操作下来让自己的动手能力也提高了。