网络攻防实验三

news/2025/3/17 10:37:50/文章来源:https://www.cnblogs.com/yl6830/p/18776337

1.实验内容

(1)动手实践tcpdump

使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探,回答问题:你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?

(2)动手实践Wireshark

使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:

  1. 你所登录的BBS服务器的IP地址与端口各是什么?
  2. TELNET协议是如何向服务器传送你输入的用户名及登录口令?
  3. 如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?

(3)取证分析实践,解码网络扫描器(listen.cap)

  1. 攻击主机的IP地址是什么?
  2. 网络扫描的目标IP地址是什么?
  3. 本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
  4. 你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
  5. 在蜜罐主机上哪些端口被发现是开放的?
  6. 攻击主机的操作系统是什么?

2.实验过程

2.1动手实践tcpdump

kali的网络连接一直出问题,经过找资料得知,将网络配置还原就行,这点很重要,不然后续实验无法进行。 打开命令,用sudo su命令进入root模式,用ifconfig查看自己的kali的IP地址。我的IP地址是192.168.40.128

img

访问www.tianya.cn网站一直打不开,所以使用tcpdump对本机向外的通信进行抓包,然后在浏览器中访问www.anh.edu.cn(安徽大学网址) 输入sudo tcpdump -n src 192.168.40.128 and tcp port 80 and “tcp[13]&18=2”就可以看到访问 www.ahu.edu.cn过程中访问问了多个服务器。

img

对ip地址进行查询可以看到归属地为安徽省合肥市

img

2.2 动手实践Wireshark

如果复旦的bbs连接不上,可以通过luit -encoding gbk telnet bbs.mysmth.net 进入清华的bbs命令来访问这个BBS服务器,可以看到它的IP地址是120.92.212.76。

同时打开wireshark进行监听,可以看到它的端口号为23

img

img

选择分析-追踪流-TCP Stream,找到明文账号密码,选GBK编码不会乱码

img

img

2.3 取整分析实践

解码网络扫描器(listen.pcap)

用 Wireshark 打开 listen.pcap,分析请求与数据回复包,判断攻击机IP地址是“172.31.4.178”,网络扫描目标IP地址(即靶机IP地址)是“172.31.4.188”

img

通过wireshark打开listen.pcap数据包,在过滤栏中筛选ARP数据包,得出172.31.4.178对172.31.4.188的ARP请求,并且攻击机没有向靶机再发送其他的数据包,推测其攻击命令是namp -SP,因为使用该命令可以快速扫描指定目标的存活主机,而无需对其进行详细的端口扫描。

img

再以tcp作为过滤条件,观察数据包,发现攻击机发送的数据包中有大量构造的标志位,以触发不同的响应包,推测是攻击机进行远程主机的操作系统检测,其攻击命令为对目标主机进行操作系统检测的nmap -O,nmap 工具在进行操作系统检测时会发送特定的探测数据包,并根据目标主机对这些数据包的响应来推断目标主机的操作系统类型。

img

img

发现数据包中一共有13万条数据,且大多为SYN标志,推测是攻击机进行端口扫描,其命令为nmap -sS -p 1-65535,使用 SYN 扫描方式扫描目标主机的开放端口。

以tcp.port80作为筛选条件,具体进一步查找,SYN标志的半开扫描,建立连接,推测其命令为nmap -sV,因为在进行半开扫描时,扫描器发送一个TCP SYN包给目标主机的特定端口,如果收到了一个TCP RST包作为响应,表示该端口是关闭的;但如果收到一个TCP SYN/ACK包,表示该端口是打开的。通过分析目标主机对SYN包的响应,可以得知目标主机上特定端口的状态。

img

以tcp.flags.syn ==1 and tcp.flags.ack ==1为条件进行过滤。可以看到开放的端口有3306、139、23、80、25、22、53、21、445、5432、8009、8180等

img

在kali上sudo apt-get install p0f安装p0f,之后在listen.pcap文件所在的目录中使用命令sudo p0f -r listen.pcap可以看到攻击机系统为 Linux 2.6.x。(如果sudo apt-get install p0f不能成功,可以试一下先sudo apt updatesudo apt install p0f)。

img

3.学习中遇到的问题及解决

问题1:一开始在kali上打不开tianya.cn

问题1解决方案:后面选择选一个网站就行,tianya确实打不开不知道为啥。

问题2:虚拟机没办法联网

问题2解决方案:默认还原网络配置就行。

4.学习感悟、思考等

这次试验使用了tcpdump工具进行抓包分析,练习了wireshark分析抓包实验等,收获使用 tcpdump这样的工具进行抓包分析是非常有益的实践,通过 Wireshark 进行抓包分析可以让更直观地查看和解释数据包的内容,深入了解网络通信过程中所传输的信息,这些操作下来让自己的动手能力也提高了。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/900276.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Debian:apt-get命令汇总

apt-get命令 是Debian Linux发行版中的APT软件包管理工具。所有基于Debian的发行(常见的 10 个基于 Debian 的 Linux 发行版)都使用这个包管理系统。deb包可以把一个应用的文件包在一起,大体就如同Windows上的安装文件。语法 apt-get [OPTION] PACKAGE 选项 apt-get install…

Edge浏览器的设备仿真模式下显示鼠标指针

在使用Edge浏览器进行网页开发时,设备仿真模式是一个非常有用的工具,它可以帮助开发者模拟不同设备上的用户体验。但在设备仿真模式下,鼠标指针会显示为一个圆形触摸指示器,而不是我们熟悉的鼠标箭头,这可能会对精确测试鼠标交互造成影响。 改变方法 在设备仿真工具栏中,…

openmanus 代码分析 #2 - agent classes

根据你提供的 agent 目录下各个类的信息,下面是对应的 PlantUML 代码,用于绘制类图展示这些类之间的关系:@startuml定义抽象基类 abstract class BaseAgent {+ name: str+ description: Optional[str]+ system_prompt: Optional[str]+ next_step_prompt: Optional[str]+ l…

实践四:数据模型与数据库

实践四:数据模型与数据库 内容概述:本节课我们将引入数据模型(model),通过创建数据模型和数据表,我们就可以将信息存储在数据库中,并将数据库中的信息呈现在页面上。 1. 在完成实践一、实践二、实践三的基础上开始本项目,进入激活虚拟环境。pipenv shel提示:接下来我们…

clickhouse 开启认证 SQL 方式

ClickHouse 访问控制 RBAC 用户账户:包含身份信息、权限、允许的主机、角色和设置。 角色:权限容器,可分配给用户或其他角色。 行策略:定义表中行的可见性。 设置配置文件:集中管理用户/角色的配置参数。 配额:限制资源使用(如查询次数、内存)。 权限层级 权限按层级划…

No.66 Vue---Vue引入路由配置、路由传递参数、嵌套路由配置

一、Vue引入路由配置在Vue中,我们可以通过 vue-router 路由管理页面之间的关系 Vue Router 是 Vue.js 的官方路由。它与 Vue.js 核心深度集成,让用 Vue.js 构建单页应用变得轻而易举.1.1 在vue中引入路由 第一步:安装路由npm install -save vue-router第二步:配置独立的路由…

开源!Django-Vue3-Admin的Python后台管理系统

DjangoAdmin 是一个基于 Django + Vue3 的前后端分离的后台管理系统,采用了最新的前后端技术栈,内置了丰富的功能模块,可以帮助开发者快速搭建企业级中后台产品。Django-Vue3-Admin 项目简介 Django-Vue3-Admin 是一个基于 Django + Vue3 的前后端分离的后台管理系统,采用了…

陕西人文:1964年陕西14座古县因何纷纷“改县名”?

2016年11月西安市户县撤县设区,改名鄠邑区。其中有一节简介:”1964年“鄠县”改名“户县”,实际上在同一时期改名的还有:盩厔,邠县,醴泉,栒邑,汧阳,郿县,郃阳,雒南,商雒、洵阳,沔县,鄜县,葭县,这13个古县。 【户县老县城】鄠县(hu xian)就是现在之西安市鄠邑区…

在鸿蒙NEXT中实现完全自定义导航栏

在日常app开发中,导航栏扮演着重要的角色。鸿蒙提供了系统导航栏Navigation,它支持很多属性的修改,但是应用需求更加灵活多变,比如有的导航栏有背景图片,有的导航栏要求渐变色,有的导航栏需要随时隐藏和显示等等。 遇到这些需求系统的Navigation就无法实现,这时候我们就需…

鸿蒙开发中console.log和hilog的区别

在日常开发中打印日志是调试程序非常常用的操作,在鸿蒙的官方文档中介绍了hilog这种方式,有些前端转过来的友友发现console.log也可以进行日志打印。有一段时候幽蓝君也非常喜欢使用console.log,因为它看起来好像更加简单方便。 那么今天幽蓝君就来和大家说一说console.log和…

HarmonyOS NEXT开发实战教程--招聘app

这一周忙到起飞,只能在周末发个文章。今天的内容比较简单,是一个招聘app,适合新手友友参考,大佬们可以直接忽略。 看一下效果图:这是一个比较常见的应用,大家做这类应用建议大家先分析一下应用和页面的结构,避免写完发现错了又改。 这个应用首先有4个tabbaritem,是很常…

解决vscode XHR failed

问题:主要流程: 获取自己的COMMIT_ID(就是一串数字,每个人的不一样) 下载vscode-server-linux-x64.tar.gz文件 解压vscode-server-linux-x64.tar.gz,移动解压后的所有文件到~/.vscode-server/bin/COMMIT_ID目录获取COMMIT_ID cd ~/.vscode-server/bin && ls # 那串数字…