Descripción del empleo

Texto del trabajo

1. El contenido de Práctica (resumen del conocimiento)

sniffer de red

Se define : una red sniffer técnicas de escucha utilizado por los hackers que utilizan una interfaz de red de ordenadores para interceptar los paquetes de datos destinados a otros ordenadores, el usuario contraseña de la cuenta de escuchar para el flujo de datos o información privada contenida.
Red sniffer : Herramientas para la red sniffing tecnología llamada red sniffer. Sniffer capturado paquete de datos es datos binarios después de procesamiento de paquetes , y por lo tanto a menudo combinados con tecnología de análisis de protocolo de red para los datos de red a resolver sniff, a fin de recuperar el contenido de cada capa de la red de protocolo TCP pila de protocolo / IP y el evento información de capa de aplicación enviado.
Principio e Implementación de red Sniffer
- obras Ethernet: Ethernet utiliza la tecnología CSMA / CD, el uso de un mecanismo de difusión, todas las estaciones de trabajo conectadas a la red pueden ver la transferencia de datos por la red. Un host de red es un dispositivo de hardware que recibe los datos transmitidos. Enviar tarjeta y recibir paquetes de datos para completar el trabajo. Para la tarjeta de datos de entrada tiene cuatro modos:
  - El modo de difusión: en este modo de la tarjeta es capaz de recibir datos de la red de difusión.
  - modo de multidifusión: en este modo, la tarjeta puede recibir los datos de multidifusión.
  - Modo Directo: único destino coincida con la dirección MAC. La tarjeta puede recibir los datos.
  - El modo promiscuo: No importa cuál es la dirección MAC de destino es la tarjeta de red puede recibir todos los datos monitoreados .
- Red de vigilancia de principio:
  - Propiedades usando el conjunto de tarjeta de red Ethernet en modo promiscuo herramienta de estado, una vez que la tarjeta esté ajustada en esta modalidad, se pueden recibir información a través de cada uno de sus paquetes.
- Compartida de red sniffing: un cubo conectado al concentrador Renyiyitai anfitrión puede oler todo el tráfico de red en todo el centro.
- Interactiva espionaje en red: la transmisión de datos por MAC tabla de asignación de direcciones. Por lo general hay tres maneras oler:
  - MAC ataques dirección de inundación
  - MAC spoofing
  - ARP spoofing
El software de red sniffer
- software sniffer de red UNIX-plataforma
  - libpcap captura de paquetes de desarrollo de la biblioteca: el desarrollo de la biblioteca UNIX-plataforma de modo de núcleo captura de paquetes basada en estándares BPF proporciona a la aplicación.
  - tcpdump sniffer de software: el programa sniffer más antiguo y más versátil. Es programa genérico paquete de órdenes sniffer y análisis de la red, lo que permite que el usuario sea capaz de paquetes de interceptación y de visualización específico TCP / IP desde el host de red se encuentra. La clave toma ventaja de regla de filtro BPF también utilizan análisis tcpdump profundidad de paquetes y mentiras de datos de red.
  - Wireshark sniffer: es la interfaz gráfica de plataforma mejor software sniffer basado en UNIX actual. Los paquetes de red pueden ser capturados, y un análisis de protocolo detallado.
- Hay versiones de que el trasplante correspondiente en UNIX-como plataformas en las plataformas Windows, además de snifferPro y así sucesivamente.

Análisis del protocolo de red

Se define : un analizador de protocolo de red se resuelve además para capturar paquetes de red apreciados sniffer medios técnicos necesarios, se refiere a los datos en paquete de formato binario transmitido en la red se analiza para recuperar el contenido método de información y de red capas de protocolo arte transferir .
Principio : una capa de analizador de protocolo de red por la capa de abajo hacia arriba de análisis de protocolo requerido red, simultáneamente fragmentos de paquetes IP recombinante y sesiones TCP, necesidad de analizar la totalidad de la información de campo de cabecera almacenado en la capa de red, y los datos de capa de aplicación de más alto nivel, y proporcionado al usuario a entender la gama completa de información de paquetes de red.
Descomprimir el proceso de paquete de datos se ilustra:
Tecnología : tiene una fuente correspondiente para lograr tal Tcpdump, Wireshark y Snort en el software de código abierto.

2. práctica

Manos: tcpdump

Tcpdump para oler el uso de software de código abierto para el acceso al sitio Web www.tianya.cn proceso en esta máquina. Responde a la pregunta: cuando visita www.tianya.cn de inicio, el navegador cuántos acceso al servidor Web? ¿Cuáles son sus direcciones IP?

Www.tianya.cn sitio en la primera visita kail
En la terminal de orden de marcha sudo tcpdump src 192.168.200.3 and tcp dst port 80, en el que srcy dstla determinación de la transmisión de la tecla de dirección que indica la dirección de origen del paquete IP 192.168.200.3, indica que sólo el 80 captura el puerto de paquete de protocolo TCP.
Éxito obtener el navegador para acceder a la dirección IP del servidor Web 124.225.135.230, 124.225.65.154 , 124.225.214.205, 124.225.65.155.
Por nslookup tianya.cnvisualización www.tianya.cn dirección IP del comando correspondiente.
Ver información relevante también puede ser visto con el comando tcpdump host tianya.cn, tcpdump -nn '(tcp[tcpflags] & tcp-syn !=0 and tcp[tcpflags] & tcp-ack!=0) and (host 192.168.0.11)'o similares. Este último -nnespecifica la conversión de cada uno de los paquetes monitorizada en el, nombre de puerto dominio IP de la pantalla después de la conversión al número de puerto de aplicación, (tcp[tcpflags] & tcp-syn !=0 and tcp[tcpflags] & tcp-ack!=0)simultáneamente con el agarre de paquetes SYN y ACK.

Manos: Wireshark

Tarea: Uso de Wireshark de software de código abierto para telnet para iniciar sesión en los BBS locales oler y análisis de protocolo. Responder a las preguntas de operación dada:

¿Qué dirección IP y el puerto del servidor BBS que se registran cada una?
protocolo Telnet es cómo pasar el nombre de usuario que ha introducido el nombre de usuario y contraseña del servidor?
Cómo utilizar el análisis analizador de paquetes de Wireshark, y para obtener un nombre de usuario y contraseña de acceso?

Optar por telnet en el host, se abre por primera vez telnet
Wireshark abierto
Con bbs.fudan.edu.cn, por ejemplo, en la entrada de línea de comandos telnet bbs.fudan.edu.cnen el Foro
Se encontró que el servidor registra BBS IP es 202.120.225.9entonces la entrada newde registro
Y luego volver a entrar:
Telnet filtro Wireshark directamente de entrada, el filtro puede mostrar paquetes telnet relacionado, que se puede ver al ver la Wireshark número 23 que
Cuando se puede encontrar aquí pasa el nombre de usuario y una contraseña, un carácter es una transferencia de personajes.
Se puede ver la contraseña de transferencia se transmite sin cifrar, es fácil de obtener, que se transmite en el telnet clara visto muy inseguro.
También puede verse nombre de usuario y contraseña por flujo TCP seguimiento
protocolo Telnet es cómo pasar el nombre de usuario que ha introducido el nombre de usuario y contraseña del servidor?
- Telnet es un simple protocolo de terminal remoto, servicio Telnet se construye sobre la base de TCP
- Conducir datos al usuario final a través del proceso del núcleo del sistema operativo de una entrada de teclado del terminal, impulsado por el terminal procesa los datos en el proceso de cliente de cliente Telnet, Telnet procesa la transmisión de datos TCP recibido, establecidos por el cliente TCP y servidor conexión TCP a través de los datos de conexión TCP es enviada al servidor, la capa TCP del servidor de los datos recibidos para el proceso de servidor Telnet capa de aplicación correspondiente.

trabajo Práctica - práctica análisis forense: decodificación de escaneado en red

El análisis de los artefactos a cinco tipos diferentes de escaneo de puertos una serie honeypot. Resoplido detector de intrusión en la red para la captura y almacenamiento del tráfico cada archivo de registro de red de formato binario de tcpdump exploración.
problema:

¿Cuál es la dirección IP de la máquina de ataque?
¿Qué dirección IP de destino de la exploración de la red es?
El caso que utiliza una herramienta de exploración para iniciar estos escaneo de puertos? ¿Cómo se determina?
Inicia una sesión de archivos analizados, el atacante utiliza un método de exploración que, ¿cuál es el escaneo de puertos de destino, y describir cómo funciona.
Encontrado en el honeypot qué puertos están abiertos?
Lo que operan ataques al sistema host es?

Abrir descargado listen.pcap, seleccione Barra de menú Estadísticas -> Sesiones y haga clic en IPv4, se puede ver 172.31.4.178y 172.31.4.188hay un montón de paquetes de datos bidireccionales entre redes, se puede identificar inicialmente los dos están atacando host IP de destino y el escaneado en red host IP.
Ver contenido de los paquetes datos de la sesión, que se encuentran en todos los paquetes de petición (por ejemplo, TCP SYN paquete) de 172.31.4.178 se inicia, todo el paquete de datos de respuesta (por ejemplo, SYN / ACK de paquetes) se envían desde 172.31.4.188.
dirección IP de la máquina atacante es: 172.31.4.187
Dirección IP de destino de la exploración de la red son: 172.31.4.188
Uso snort archivos de registro de detección de intrusos binario.

sudo apt-get update
sudo apt-get install snort  // 安装snort
sudo chmod 777 /etc/snort/snort.conf // 给予snort.conf可读可写可执行权限
snort -A console -q -u snort -c /etc/snort/snort.conf -r ~/listen.pcap // -A开启报警模式，-q不显示状态报告，，-u为初始化后改变snort的UID，-c为使用后面的配置文件，进入IDS模式，-r从pcap格式的文件中读取数据包

Se puede encontrar en este ataque se inicia utilizando Nmap.
Antes de iniciar el análisis de puertos nmap para determinar el host de destino es siempre la primera y la sonda está activo para 80 puertos por Ping Scan (escaneo host). Buscando a través del filtro icmp, puede estar posicionado correspondiente al protocolo ICMP Ping exploración, la exploración de doble Ping, instrucciones pueden estarnmap -sP 172.31.4.188
Buscar a través del filtro tcp
Podemos ver un conjunto de números 9,10,13 es entreabierta de exploración, utilizando incompleta de tres vías negociación de la conexión TCP con el host de destino provisional Nº 57738 Puerto host atacante envía un paquete SYN al número de puerto de destino IP 3306, Nº 3306 de puerto IP de destino abierto, devuelve un paquete TCP SYN y ACK, a continuación, enviar un paquete RST ataque del anfitrión para establecer una conexión. Esto es típico de un medio de apertura (exploración SYN TCP) de exploración, rojo y marco azul en el siguiente también similares, respectivamente, para supervisar el puerto host de destino 23, el puerto 80 y el puerto 139 está abierto.
Mira el cuadro verde, el puerto host atacante en el equipo de destino envía el número de paquetes SYN 955, los retornos de puerto un paquete TCP RST y ACK, lo que indica que el puerto está cerrado.
Por encima de instrucción de escaneo medio puede estar abierto nmap -sS 172.31.4.188
Se puede ver en la imagen anterior número 135477,135478,135479 es una completa TCP de tres vías, especuló que se abrió por primera exploración (scan de conexión TCP), el apretón de manos para establecer la conexión del puerto host de destino provisional a través de una conexión TCP completa tres veces, y devuelve un paquete ACK 8009 describen el puerto está abierto. instrucción de escaneo puede sernmap -sT -p 8009 172.31.4.188
A través del filtro tcp.flags.syn == 1 and tcp.flags.ack == 1puede filtrar SYN | ACK de paquetes, que es el puerto host de destino regeneración activa atacar anfitrión. Ver el zumbido de los puertos abiertos son:21 22 23 25 53 80 139 445 3306 3632 5432 8009 8180

la práctica de trabajo - ofensiva y defensiva práctica de combate

escaneo Nmap por el atacante (específicamente los propósitos), con defensor tcpdump sniffer, con el análisis Wireshark, y el análisis del objeto escaneado y el atacante nmap mando de cada uso.

Windows XP para el equipo atacante, dirección IP 192.168.200.2, kali para el lado defensivo, la dirección IP 192.168.200.3.

3. Los problemas y las soluciones encontradas en el estudio

Pregunta 1:
Problema 1 Solución: no resuelto

20199324 2019-2020-2 "ataque a la red y la defensa práctica" trabajo la semana 4