20242825 2024-2025-2 《网络攻防实践》第三周作业

news/2025/3/18 11:58:48/文章来源:https://www.cnblogs.com/bhy28/p/18778669

@

目录
  • 一. 实验内容
    • 1.1 实验内容概述
    • 1.2 实验相关知识概述
  • 二. 实验过程
    • 2.1 动手实践tcpdump
      • 2.1.1 实验要求
      • 2.1.2 实验过程展示
      • 2.1.3 所使用网址链接
    • 2.2 动手实践Wireshark
      • 2.2.1 实验要求
      • 2.2.2 实验过程展示
        • 1. 你所登录的BBS服务器的IP地址与端口各是什么?
        • 2. TELNET协议是如何向服务器传送你输入的用户名及登录口令?
        • 3. 问题回答
    • 2.3 取证分析实践,解码网络扫描器(listen.cap)
      • 2.3.1 实验要求
      • 2.3.2 实验过程展示
        • 1. 筛选ARP:
        • 2. 查询ICMP:
        • 3. 查询TCP:
        • 4. tcp.flags.syn == 1 and tcp.flags.ack == 1查询:
        • 遇到问题:
        • 解决:
        • 5. 问题回答:
  • 三、学习中遇到的问题及解决
  • 四、学习感悟、思考等
  • 参考资料:

一. 实验内容

1.1 实验内容概述

本次实验主要包含了以下内容:

  1. 动手实践tcpdump
    使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探,回答问题:你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?

  2. 动手实践Wireshark
    使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:
    (1) 你所登录的BBS服务器的IP地址与端口各是什么?
    (2) TELNET协议是如何向服务器传送你输入的用户名及登录口令?
    (3) 如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?

  3. 取证分析实践,解码网络扫描器(listen.cap)
    (1) 攻击主机的IP地址是什么?
    (2) 网络扫描的目标IP地址是什么?
    (3) 本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
    (4) 你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
    (5) 在蜜罐主机上哪些端口被发现是开放的?
    (6) 攻击主机的操作系统是什么?

1.2 实验相关知识概述

  1. tcpdump
    tcpdump 是一款功能强大的网络数据包分析工具,常用于 Unix - like 系统,如 Linux、FreeBSD 等。它基于命令行操作,能实时捕获并分析网络流量,在网络故障排查、安全审计、网络性能优化等领域发挥关键作用。
    工作原理:tcpdump 借助操作系统提供的底层网络接口,像 Linux 的 libpcap 库,获取网络数据包。其核心工作流程为:首先,与网络接口建立连接,将网络接口设置为混杂模式,这样能捕获经过该接口的所有数据包,包括发往其他主机的数据包。然后,根据用户设定的过滤规则,对捕获的数据包进行筛选。符合规则的数据包被进一步处理,比如打印到终端、存储到文件,不符合的则被丢弃。在处理数据包时,tcpdump 会解析数据包的头部信息,提取如源 IP 地址、目的 IP 地址、端口号、协议类型等关键内容。

  2. Wireshark
    Wireshark 是一款非常流行的网络协议分析工具,它允许用户捕获和分析网络上的数据包。Wireshark 提供了深入分析网络流量的能力,可以帮助用户理解网络协议的工作原理,以及排查网络问题。
    通常用于网络管理和故障排查以及网络安全分析。由于它能够捕获和分析网络上的所有数据包,因此在安全敏感的环境中使用时需要谨慎,以避免违反隐私和安全政策。

二. 实验过程

2.1 动手实践tcpdump

2.1.1 实验要求

使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探,并回答问题:

  • 你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?
  • 他们的IP地址都是什么?

2.1.2 实验过程展示

由于www.tianya.cn网站现无法打开,故改为访问www.besti.edu.cn网站过程进行嗅探。
首先进行虚拟机设置更改,点击编辑虚拟机进入后,将网络配置修改为虚拟机桥接模式,再进行实验。
在这里插入图片描述
在这里插入图片描述
此次实验用www.besti.edu.cn网址来进行实验。
首先使用以下命令进入root模式,并查询虚拟机kali的IP地址。

sudo su
ifconfig

查询出IP地址为 192.168.31.218 。
在这里插入图片描述
使用tcpdump以下命令对本机向外的通信进行抓包,命令如下:

sudo tcpdump -n src 192.168.200.5 and tcp port 80 and “tcp[13]&18=2”

然后在浏览器中访问www.besti.edu.cn 。
在这里插入图片描述
使用sudo命令后可以看到抓取包。
可以看到访问 www.besti.edu.cn/过程中访问问了多个服务器。
在这里插入图片描述
刚没截完整图,重新运行一遍:
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
其中,对IP地址为:123.121.157.1.80 进行查询。
在这里插入图片描述
可以看到归属地为北京市丰台区。

2.1.3 所使用网址链接

总结一下用来查询IP地理位置网址:
https://www.ipshudi.com/

2.2 动手实践Wireshark

2.2.1 实验要求

使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:
(1) 你所登录的BBS服务器的IP地址与端口各是什么?
(2) TELNET协议是如何向服务器传送你输入的用户名及登录口令?
(3) 如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?

2.2.2 实验过程展示

1. 你所登录的BBS服务器的IP地址与端口各是什么?

这次实验中使用[https://bbs.fozztexx.com/]来进行操作,在Kali上使用以下命令来访问这个BBS服务器:

luit -encoding gbk telnet bbs.fozztexx.com

可以看到该BBS的IP地址是50.79.157.209 。
在这里插入图片描述
同时打开wireshark进行监听,使用telnet过滤后结果如下所示:
在这里插入图片描述
在这里插入图片描述
可以看到它的端口号为23 。
在这里插入图片描述

2. TELNET协议是如何向服务器传送你输入的用户名及登录口令?

进入BBS后,输入NEW进行新账号创建,而后依次输入账号密码,分别为BHY和123456。
在这里插入图片描述
本机IP地址,即192.168.31.218为检索条件,进行筛选并查找报文,找到了端口号为23的一条记录,即为双方通信过程中传递账号密码的过程。
然后单击右键点击follow进行TCP流跟踪,便可得到了整个通信过程。
在这里插入图片描述
在这里插入图片描述

3. 问题回答

①你所登录的BBS服务器的IP地址与端口各是什么?
IP地址:50.79.157.209
端口:23

②TELNET协议是如何向服务器传送你输入的用户名及登录口令?
Telnet协议使用TCP/IP协议族作为传输层协议,在进行远程登录之前,需要先建立TCP连接,即三次握手,。首先,客户端向服务器发起连接请求,服务器在接收到连接请求后,回复确认信号,建立连接。
此后,一旦输入并提交用户名和登录口令,Telnet就将发送它们给服务器。

③如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?
过滤双方的IP地址,并点击follow追踪TCP流,即可获取
在这里插入图片描述
账号密码等等输入的信息:
在这里插入图片描述

2.3 取证分析实践,解码网络扫描器(listen.cap)

2.3.1 实验要求

取证分析实践,解码网络扫描器(listen.cap):
(1) 攻击主机的IP地址是什么?
(2) 网络扫描的目标IP地址是什么?
(3) 本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
(4) 你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
(5) 在蜜罐主机上哪些端口被发现是开放的?
(6) 攻击主机的操作系统是什么?

2.3.2 实验过程展示

打开Kali虚拟机,在WireShark中进行listen.pcap文件的分析。
Kali虚拟机传入listen.pcap文件的方式(其实它可以直接进行文件的拖入,即将Windows上的文件直接拖进虚拟机的桌面即可)
在这里插入图片描述
将 listen.pcap 复制到kali虚拟机后,使用snort对二进制记录文件进行入侵检测。
对于snort以前未安装,所以在打开kali终端后首先使用以下命令进入root终端进行安装:

sudo su
sudo apt-get update 
sudo apt-get install snort 

在这里插入图片描述
在这里插入图片描述
安装完成,继续实验。
使用以下命令对文件进行复制以及使用:

cp listen.pcap /etc/snort/
snort -A console -q -u snort -c /etc/snort/snort.conf -r ~/listen.pcap 

用Wireshark打开listen.pcap文件进行分析:
单击右键 --> 选择第一个以Wireshark打开即可。
在这里插入图片描述
打开文件如下图所示:
在这里插入图片描述
下面按照要求进行一一查询即可。

1. 筛选ARP:

因为nmap会根据arp更新目标MAC地址,因此通过查询ARP地址,即可得到攻击者通过广播的形式查询靶机172.31.4.178的MAC地址:
在这里插入图片描述

2. 查询ICMP:

查询icmp可以发现,攻击机和靶机之间存在双向数据包,说明进行了批量的ping扫描进行主机扫描,以确认目标靶机是否活跃。
在这里插入图片描述

3. 查询TCP:

查询TCP,可以发现进行了大量的TCP扫描,例如攻击机向靶机发送SYN请求包,靶机返回SYN,ACK确认连接,攻击机响应,说明该端口开放。反之,如果靶机返回RST,ACK,则说明靶机的该端口关闭。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

4. tcp.flags.syn == 1 and tcp.flags.ack == 1查询:

通过查询tcp.flags.syn == 1 and tcp.flags.ack == 1可以得到靶机所有开放的端口,例如有21、22、23、25、53、80、139、445、3306、8180等端口。
在这里插入图片描述
在这里插入图片描述
最后,通过以下命令安装p0f工具,并使用该工具进行攻击者的攻击机操作系统版本的查询
使用以下命令进行安装查询:

sudo apt install p0f 
sudo p0f -r listen.pcap 

刚才安装后忘记截图了,重新用命令检查一遍:
在这里插入图片描述

遇到问题:

这里遇到问题,使用p0f命令显示找不到文件。
在这里插入图片描述
因为当时直接拖进kali虚拟机桌面,所以在文件系统中查询listen.pcap文件真实路径如下图所示:
在这里插入图片描述
询问kim后得知需要更改一下路径命令:
在这里插入图片描述

解决:

更改一下查询命令:

sudo pof -r /home/kali/Desktop/listen.pcap

查询成功:
在这里插入图片描述
即攻击者的操作系统版本为Linux 2.6.x 。
在这里插入图片描述

5. 问题回答:

解码网络扫描器(listen.cap):
(1)攻击主机的IP地址是什么?
答: 172.31.4.178
(2)网络扫描的目标IP地址是什么?
答: 172.31.4.188
(3)本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
答: 本次案例使用了nmap端口扫描工具,通过snort工具解析确定的。
(4)你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理?
答: 攻击者使用了广播查询的方式。
(5)在蜜罐主机上哪些端口被发现是开放的?
答: 有21、22、23、25、53、80、139、445、3306、8180等端口。
(6)攻击主机的操作系统是什么?
答: 攻击机操作系统版本为Linux 2.6.x 。

三、学习中遇到的问题及解决

在这次实验中,主要问题有以下几点:

问题:listen.pcap文件的传输路径以及后续用p0f检测问题,无法查询到文件。

解决方案:点击文件夹查询文件正确路径后更改代码便可实现查询。具体过程可见2.3.2.4 - 2.3.2.5小节。

四、学习感悟、思考等

  • 在本次实验中,实验目标主要是学习并掌握基础的网络嗅探与协议分析技术,例如TCPDump、Wireshark以及取证分析等三个方面相关知识。这些活动的主要目的是在进行更深入的测试或攻击之前,促使用户捕获、检查和分析通过网络传输的数据包。在网络安全领域,网络嗅探和协议分析是渗透测试和安全评估的重要组成部分。
  • 在这次实验中,我加深了对于协议分析技术的知识学习,进一步巩固了相关知识,为后面开展网络攻防实验打下坚实的基础。

参考资料:

https://blog.csdn.net/weixin_49071539/article/details/110433028

https://blog.csdn.net/weixin_49114503/article/details/132993612

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/900878.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

安装 SQL Server 后在开始菜单中找不到 SQL Server XXXX 配置管理器

找不到,没有的话,就没办法了。。。 可以 Win+R 打开运行窗口,输入右侧命令,打开对应版本的配置管理器: SQL Server 2022:SQLServerManager16.mscSQL Server 2019:SQLServerManager15.mscSQL Server 2017:SQLServerManager14.mscSQL Server 2016:SQLServerManager13.ms…

MinIO Linux 数据迁移

目录安装下载安装Minio客户端备份数据数据还原数据迁移设置别名迁移 从A服务器,迁移致B服务器,前提,需要两边的 Bucket 相同,如果B服务器没有A服务器里的 Bucket 需要先创建 安装 MinIO Linux 安装使用 & SpringBoot整合MinIO 下载 查看系统架构 Linux uname -m # 输出…

day:24 python模块(4)——json模块

一、json模块 将python转换成字符类型,将字符类型转换成python类型 json模块可以实现json数据的序列化和反序列化 (1)序列化:将可存放在内存中的python 对象转换成可物理存储和传递的形式 实现方法:load() loads() (2)反序列化:将可物理存储和传递的json数据形式转换为在…

OpenWrt Mi R4A千兆编译问题

原帖地址:https://www.right.com.cn/forum/thread-4052254-1-1.html 众多周知,小米R4A千兆版与小米R3G V2在硬件上是一样的,但使用coolsnowwolf编译出来的R3G V2或者R4A固件如果用Breed刷进是无法引导进入系统的; 如果要编译出可以用breed能引导的固件需要修改源码,方法很简…

Cloud Ace 宣布成为 Langfuse 亚太地区首个代理商,提供 LLM 全链路解决方案

Langfuse 作为领先的 LLM 工程平台,助力高效开发和管理生成式 AI 应用。Cloud Ace 提供 Langfuse 企业版许可证,支持大规模开发,强化安全管控,并提供本地化技术支持。Cloud Ace 宣布正式代理 Langfuse 产品,是 Langfuse 在亚太地区唯一的官方授权经销商,全面负责其商用许…

【Azure Fabric Service】演示使用PowerShell命令部署SF应用程序(.NET)

问题描述 在中国区微软云Azure上使用Service Fabrics服务,本地通过Visual Studio 2022的发布.NET应用,发现无法发布!在搜寻官方文档之后,可以通过PowerShell命令来进行发布。本文参考的文档如下: 1:将应用程序部署到 Service Fabric 群集 (https://docs.azure.cn/zh-cn/…

记一次测试环境文件预览OOM问题

同事反映30MB的文件预览不了, 让我帮忙看下. 直接通过异常堆栈找到对应的方法. 大概实现是:GridFSFile dbFile = gridFsTemplate.findOne(query);GridFSDownloadStream gridFSDownloadStream = gridFSBucket.openDownloadStream(dbFile.getObjectId());GridFsResource resource…

这款流行 AI 工具被盗用挖取加密货币,这些隐患你需要知道

OneAPI 是在开源代码托管平台 GitHub 上拥有 2万 Star 的 AI 网关工具,该工具的用户发现安装最新版本镜像后,会固定消耗一定比例的 CPU 。事情经过 OneAPI 是在开源代码托管平台 GitHub 上拥有 2万 Star 的 AI 网关工具,该工具的用户发现安装最新版本镜像后,会固定消耗一定…

ProfiNet转DeviceNet实现Festo阀岛数据批量接入西门子TIA Portal系统

一、案例背景 在汽车零部件制造行业,随着市场竞争的加剧,企业对生产效率和产品质量的要求不断提高。某汽车零部件制造企业主要生产发动机缸体、变速器齿轮等关键零部件,其生产线涉及大量的自动化装配和检测工序。在原有的生产系统中,为实现精确的气动控制,采用了Festo品牌…

013 登录页-Panel中间tabs切换

现在我们来搭建中间这个 可以看到效果 左右都有选项目录,看这里

树上前缀和

树上前缀和 题目链接 多次询问树上的一些路径的权值和点前缀和 \(s[i]\)代表从根节点到节点\(i\)的点权和 先自顶向下计算出前缀和\(s[i]\),然后利用前缀和拼凑\((x, y)\)的路径和 \(s[x] + s[y] - s[lca] - s[fa[lca]]\)边前缀和 \(s[i]\)代表从根节点到节点\(i\)的边权和 先…

Matlab深度学习ResNet、迁移学习多标签图像分类及超分辨率处理Grad CAM可视化分析COCO、手写数字数据集

全文链接:https://tecdat.cn/?p=40982 在当今数字化时代,图像分类和图像超分辨率处理是计算机视觉领域的重要研究方向。深度学习技术的发展为解决这些问题提供了强大的工具。本文将详细介绍如何使用Matlab构建多标签图像分类模型和图像到图像的回归网络,以实现图像超分辨率…