| 这个作业属于哪个课程 | https://edu.cnblogs.com/campus/besti/19attackdefense |
|---|---|
| 这个作业的要求在哪里 | https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10518 |
| 我在这个课程的目标是 |  |
| 这个作业在哪个具体方面帮助我实现目标 | 取证分析实践,解码网络扫描 |
| 作业正文 | 1.知识点梳理与总结、2.学习中遇到的问题及解决、3.学习感悟、思考等 |
| 其他参考文献 | 见正文最后部分 |
1.实践内容
网络嗅探
- 网络嗅探定义:
1.利用计算机网路接口截获目的地为其他计算机的数据报文,已监听数据流中所包含的用户账户密码或私密信息等。
2.通常在攻击者获得内部网络中一台主机的访问权后实施,能够被动地、静默地嗅探网络L传输的数据,并从中窃取机密估息。
3.网络管理员可以利用网络嗅探来捕获与分析网络的流量信息,以便找出所关心网络中潜打的问题,并加以解决。 - 网络嗅探分类:
1.网络嗅探技术可以按照所监听的链路层网络进行分类。无线嗅探器与 “ 有线”嗅探器唯一区别是无线嗅探器可以读取和分析符合如IEEE802.11等无线传输协议的数据包。
2.网络嗅探器也可以按照实现形式分为软件嗅探器和硬件嗅探器两种,硬件件嗅探器是通过专用硬件对网络数据进行捕获和分析的,速度快、捕获数据全面但是成本高,软件型则成本更低,但速度和全面性有所欠缺 - 网络嗅探原理:
1.以外网卡工作原理:网卡驱动程序支持一种混杂模式,处千该模式下的网卡能够接收一切通过它连接共享通信媒介的数据帧,而不管该数据帧是否是传给它的。而为了嗅探以太网上的流量,就需要将网卡设置为混杂模式。
2.共享式网络与交换式网络:在共享网络中,集线器的工作模式使得同一集线器上连接的所有主机在发送数据包时,都会发往每一台主机,因此其中任一主机都能够嗅探整个集线器上的全部网络流量。
3.交换式网:交换机根据映射表与数据包的目标MAC地址进行转发的,因此可以有效地避免网络广播风暴,减少网络数据被嗅探的风险。但还是可以通过一些手段进行嗅探:MAC地址洪泛攻击、MAC欺骗、ARP欺骗 - 不同平台网络嗅探实现:
1.类UNIX平台的网络嗅探技术主要通过内核态的BPF和用户态的libpcap抓包工具库实现。
2.Windows橾作系统拥有一个与libpcap库相兼容的标准抓包接口WinPcap - 网络嗅探软件:
1.类UNIX
平台上的网络嗅探器软件一般都是基千标准接口BPF与libpcap, 最常用的包括libpcap 抓包开发库、tcpdump以及wireshark嗅探器软件等。2.windows平台下的嗅探软件:wireshark、snifferPro等 - 网络嗅探的检测与防范:
1.网络嗅探的检测:在同一主机上,可以通过检查网卡是否运行在混杂模式下,来发现正在进行监听的嗅探器。此外,也可以基千混杂模式下操作系统和协议栈的不同特性,来检测出网络中其他主机上的嗅探器。
2.网络嗅探的防范措施:
①采用安全的网络拓扑。
②用静态ARP或者MAC-端口映射表代替动态机制。
③重视网络数据传输的集中位甡点的安全防范。
④避免使用明文传输口令或敏感信息的网络协议,而使用加密及安全增强的网络协议进行替代。
网络协议分析
- 网络协议分析技术原理:网络协议分析是指对网络上传输的二进制格式数据包进行解析,
以恢复出各层网络协议伈息以及传输内容的技术方法。 - 基本流程:得到链路层传输的二进制数据包->对以太网数据帧进行结构分析->进一步对IP数据包进行分析->继续根据TCP或UDP的目标端口确定具体的应用层协议->依据相应的应用层协议对数据进行整合恢复,得到实际传输的数据。
2.实践过程
动手实践: tcpdump
使用 tcpdump 开源软件对在本机上访问
www.tianya.cn 网站过程进行嗅探,
回答问题:你在访问 www.tianya.cn 网站首页时,
浏览器将访问多少个 Web 服务器?他们的 IP 地址都 是什么?
在terminal中输入:
sudo tcpdump src 192.168.0.101 and tcp dst port 80
经观察发现访问了一下几个服务器IP
203.208.39.255 位于北京市海淀区 电信
221.182.218.231 位于海南省海口市 移动
221.182.218.229 位于海南省海口市 移动
221.182.218.238 位于海南省海口市 移动
通过nslookup tianya.cn命令查看www.tianya.cn对应的IP地址,验证我们tcpdump的正确性。
动手实践: Wireshark
使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:
你所登录的BBS服务器的IP地址与端口各是什么?
TELNET协议是如何向服务器传送你输入的用户名及登录口令?
如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?
连接telnet论坛的方法(windows)
1、先要在控制面板-程序-程序与功能,左上角启用或关闭windows功能, 勾选打开Telnet客户端功能
2、cmd控制台输入telnet bbs.newsmth.net 连接到水木社区的bbs
telnet bbs.ustc.edu.cn 中科大
telnet bbs.pku.edu.cn 北大
telnet bbs.fudan.edu.cn 复旦
telnet bbs.sjtu.edu.cn 上海交大
telnet bbs.nju.edu.cn 南京大学
telnet bbs.fudan.edu.cn
BBS服务器的IP地址为202.120.255.9,端口为23, Wireshark截图如下
利用telnet过滤出来,并TCP追踪BBS的IP作为源地址的可以发现用户名
进一步选择追踪方向发现用户名和密码
实践作业
1.攻击主机的IP地址是什么?
2.网络扫描的目标IP地址是什么?
3.本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
4.你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
5.在蜜罐主机上哪些端口被发现是开放的?
6.攻击主机的操作系统是什么?
下载云班课上分享的listen.pcap,用wireshark打开待分析的二进制记录文件,使用菜单栏中Statistics(统计)下的Conversation(会话),选择IPV4得到如下图:
只有172.31.4.178和172.31.4.188之间有大量的双向网络数据包,因此可初步确定两者为攻击主机IP和目标主机IP。
再选择过滤TCP数据包,查看会话数据包内容,所有的请求数据包则是从172.31.4.178发起,所以响应数据包均是从172.31.4.188发出, 可以确定172.31.4.178是攻击主机,172.31.4.188是被扫描的目标主机。
1.攻击主机的IP地址是172.31.4.178
2.网络扫描目标的IP地址是172.31.4.188
3.使用的是nmap扫描工具;
4.判断nmap扫描时使用的指令:nmap扫描的原理和ping类似,在每次扫描前,nmap会通过arp更新目标MAC地址,因此过滤文件的arp包如下图,然后找到了四次who has 172.31.4.188?tell172.31.4.178,从而判定四次扫描的起点:No、5,No、7,No、2071,No、133220。第一步次扫描猜测是使用nmap -sP指令。
5.然后使用tcp.port == 57738 and tcp.flags.syn == 1 and tcp.flags.ack == 1指令,可获得开放端口的数据。
6.nmap -O具有判断扫描主机操作系统的功能,第二次扫描从No.7到No.2070,对之间的数据包分析可发现,有许多的端口数据频繁传输,可通过对比不同操作系统之间的差异确定目标机的操作系统类型。
3.学习中遇到的问题及解决
- 问题1:kali虚拟机上安装不了snort
- 问题1解决方案:网上方法尝试无果
4.实践总结
对虚拟机的使用需要极大的耐心。