《网络攻防实践》第四周作业-20199132

1.实践内容

网络嗅探

对网络接口截获目的地为其他计算机的数据报文。
实现网络嗅探的技术工具称为网络嗅探器。嗅探器用于捕获的数据报文都是封包处理的二进制数据。

• 以太网与WiFi是目前有线局域网与LAN和WLAN最流行的链路层协议，也是网络嗅探主要对象。
• 网络嗅探器分为软件和硬件两种嗅探器，硬件嗅探器称为协议分析仪。软件嗅探器为操作系统上的应用

网络嗅探的原理与实现

• 以太网工作原理：以太网中数据的传播以“帧”为单位，网卡通常包括48位MAC地址，以太网帧头中的MAC地址与目标MAC地址相连。网卡驱动程序一般只会接受MAC地址与网卡自身MAC地址相匹配的数据帧。
  嗅探常用攻击：
• MAC地址洪泛攻击：向交换机发送大量含有虚构MAC地址和IP地址的数据包。使得交换机向所有端口广播数据包。
• MAC欺骗：假冒监听助剂网卡，使交换机不断更新端口映射表。
• ARP欺骗：利用IP地址和MAC地址之间进行转换时的协议漏洞，达到MAC地址欺骗。

类UNIX平台的网络嗅探技术：

• BPF是系统数据链路层的一种原始接口，提供原始链路层封包的收发功能。并支持“过滤”封包。
• Libpcap是UNIX平台的抓包数据库，与内核态的BPF包嗅探与过滤机制相配合。将嗅探的数据包存在pcap记录文件中。
• tcpdump嗅探软件：进行TCP/IP协议分析，并以每行一个数据包捕获内容的方式呈现嗅探结果。
• wireshark嗅探器

2.实践过程

tcpdump实践

任务：利用tcpdump对在本机上访问www.tianya.cn网站过程进行嗅探。在访问网站首页时，浏览器将访问多少个web服务器，IP地址是什么？
虚拟机的IP192.168.3.130
使用命令

tcpdump -nn '(tcp[tcpflags] & tcp-syn !=0 and tcp[tcpflags] & tcp-ack!=0) and (host 192.168.3.7

或者 host tianya.cn
均可以完成抓包

由图片可以看到，系统访问的ip地址有

124.225.65.154
218.77.130.200
202.108.23.152
124.225.135.230
14.225.214.206
72.21.202.25

wireshark实践

任务：使用wireshark对在本机上以telnet方式登录BBS进行嗅探与协议分析。
1.BBS服务器的IP地址与端口？
2.telnet协议是如何向服务器传送你输入的用户名及登录口令？
3.如何利用wireshark分析嗅探的数据包，并从中获取用户名及登录口令？
以下操作均在kali linux上完成
登录复旦大学的bbs，因为复旦大学的bbs支持游客模式，这样就省去了注册时间。
打开wireshark进行监听，同时在终端中输入 luit -encoding gbk telnet bbs.fudan.edu.cn

在终端中可以看到IP地址为202.120.225.9 使用wireshark寻找这个IP地址，可以看到端口为23

在搜索框中搜索Telnet，寻找到在该ip地址下tcp流并进行追踪。因为该文件都是明文的，所以可以看到用户名guest，并且发现用户名为空。

取证分析实践

任务：人为构造的到一台蜜罐主机的5次不同类型的端口扫描

• 攻击主机IP地址是什么？
• 网络扫描的目标IP是什么？
• 本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的
• 你所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么，并描述其工作原理
• 蜜罐主机上哪些端口被发现是开放的
• 攻击主机的操作系统是什么
  IP地址和端口扫描
  用wireshark打开listen.pcap文件进行分许，在最上面一栏的统计中选择会话，可以得到攻击机的ip是172.31.4.178,网络扫描的ip是172.31.4.188
  

参考别的同学的做法，使用snort也可以达到同样的效果。

运行指令 sudo snort -A console -q -u snort -c /etc/snort/snort.conf -r ~/listen.pcap
攻击者的扫描方法，并描述其工作原理
在wireshark对listen.pcap进行ARP查询，可以发现是使用nmap扫描主机是否活跃。

蜜罐主机上哪些端口被发现是开放的
由于我们已经确定了这些扫描是由nmap所发起的，而nmap在发起端口扫描之前总是先通过Ping扫描和针对80端口的探测确定目标主机是否活跃。
通过过滤器搜索icmp，可以定位ICMP协议对应的Ping扫描，实现两次Ping扫描。

在数据包中存在大量SYN请求包，这是攻击机57738端口向目标主机进行的TCP SYN扫描，目的是用于扫描目标主机的端口是否活跃，如果活跃则目标主机会反馈一个SYN|ACK包，攻击机端口会立刻发送一个RST包关闭这个链接，目标端口不活跃则会反馈RST|ACK包，指令可能为nmap -sS -p ip地址 端口172.31.4.188

在蜜罐主机上发现那些端口是开放的？
tcp.flags.syn == 1 and tcp.flags.ack == 1可以过滤出SYN | ACK的数据包，即为目标主机反馈扫描机的端口活跃信息。

攻击主机的操作系统是什么
安装p0f工具
使用命令：p0f -r /home/kali/Desktop/listen.pcap
可以得到系统为linux2.6.x

攻防对抗实践

3.学习问题中遇到的问题

• 使用wireshark很多地方不知道该如何使用，很多要查的东西我都不知道是什么意思。
  解决：阅读wireshark用法掌握了wireshark的用法。
• snort工具安装后一直无法使用
  解决：给予snort.conf可读可写可执行权限 ：sudo chmod 777 /etc/snort/snort.conf

4.学习感想和体会

感觉使用wireshark很多地方对我来说都是黑盒技术，尤其是关于计算机网络以及TCP/IP协议的知识。决定要阅读计算机网络这本书，进行补课。

参考文献

超级详细Tcpdump 的用法
wireshark用法