20199134 2019-2020-2 "ataque a la red y la defensa práctica" trabajo la semana 4
1. El contenido de Práctica
sniffer de red 1.1
1.1.1 definiciones
red informática interfaz mediante sniffer de red interceptado paquetes de datos a otros equipos, con el fin de controlar de forma eficaz la información contenida en el flujo de datos. Puesto que los paquetes de datos capturados a través del procesamiento de paquetes son datos binarios, sino que también se combina con la técnica de análisis de protocolo de red.
1.1.2 Principio
En la actualidad, la LAN y protocolos de LAN inalámbricas más populares de la capa de enlace como Ethernet por cable y Wi-Fi. Con la tecnología sniffer en Ethernet como un ejemplo para explicar. Las redes Ethernet compartidos y en red conmutada al implementar la LAN. Compartido conexión de red utilizando un concentrador, el uso de un componentes de conmutador de red interactivas, el reenvío de los datos a través del conmutador.
1.1.3 modo sniffer
1) la dirección MAC ataque por inundación 2) Dirección MAC spoofing 3) ARP spoofing
1.1.4 herramientas
Los más comúnmente utilizados en UNIX-como plataformas, incluyendo el desarrollo de bibliotecas libcap etéreo, tcpdump y Wireshark. Hay versiones de que el trasplante correspondiente en UNIX-como plataformas en las plataformas Windows, además de snifferPro y así sucesivamente.
1.1.5 Precauciones
1) la red de seguridad topología: el segmento de red razonable para tratar de hacer el paquete de red se reenvía sólo para el host de destino. Por segmento de red más fina, una red sniffer menos información puede ser recogida.
2) o tabla estática ARP MAC- asignación de puertos en lugar de los mecanismos dinámicos: configurando una tabla ARP estática en correspondencia anfitrión importante o una puerta de enlace, y el establecimiento de una tabla de asignación de puerto estático MAC- en el conmutador, se puede prevenir mediante el uso de falsificación de direcciones MAC, ARP spoofing.
3) evitando el uso de protocolo de red de transmisión de contraseña o información sensible: protocolos de red alternativos seguros fuertes.
1.2 Análisis Protocolo
1.2.1 Principio
Red de Análisis de capa de protocolo por capa desde el protocolo de red de análisis de abajo hacia arriba, los fragmentos de paquetes IP simultáneamente recombinantes y sesiones TCP, el análisis, y la parte superior de los datos de capa de aplicación y la información almacenada en todos los campos de cabecera de la capa de red.
Descomprimir el paquete de datos como sigue:
1.2.2 tecnología
En el software de código abierto como tcpdump, Ethereal, resoplido tiene una implementación de código fuente correspondiente.
2. práctica
2.1, tcpdump
Tcpdump utilizar software de código abierto para acceder al sitio www.tianya.cn proceso en esta máquina oler, responde a la pregunta :? Su dirección IP cuando se visita la página web www.tianya.cn casa, el navegador accederá al número de servidores Web ¿Qué es?
Ejecutar el comando tcpdump src 192.168.6.8 y tcp dst puerto 80
Haciendo uso de los resultados, durante la visita en tianya.cn, acceder al servidor web de la siguiente manera:
223.119.248.10 de Hong Kong, China Mobile
221.182.218.244 de la ciudad de Haikou, provincia de Hainan, China Mobile
120.201.249.88 paso de la ciudad de Dandong, provincia de Liaoning, China
2,2, Wireshark
Uso Wireshark para telnet para iniciar sesión en las BBS locales sniffing y análisis de protocolo. 1) la dirección IP y el puerto del servidor BBS? 2) el protocolo Telnet es cómo transferir el nombre de usuario que ha introducido el nombre de usuario y contraseña del servidor? 3) la forma de utilizar el análisis de analizador de paquetes Wireshark, y para obtener un nombre de usuario y contraseña de acceso?
(1) Wireshark abierta, capturado en la barra de menús -> Opciones, seleccione la tarjeta WLAN
(2) Abrir el servicio telnet (win10 por defecto está desactivada), Panel de control -> Activar o desactivar los servicios de Windows -> comprobar Telnet
(3) en la entrada de la terminal telnet bbs.fudan.edu.cn Foro
(4) se puede ver la dirección IP 202.120.225.9; el puerto 23; entrada en el invitado
Cleartext Cuando el protocolo Telnet utiliza en la transmisión de nombre de usuario y contraseña. Seguimiento de flujo TCP, podemos ver el nombre de usuario invitado, la contraseña está en blanco
2,3, exploración de la red de decodificación
El objetivo es analizada por artefactos de cinco tipos diferentes de análisis de puertos de host de un honeypot. Cabe señalar que el análisis del tráfico de escaneo de puertos en este caso no es de la captura de "salvaje", pero construye deliberadamente, el propósito de este estudio de casos de nivel de entrada desafiar el único propósito de estudio y oportunidades de formación.
La red de intrusos detector de -snort capturar el tráfico para cada archivo de registro de formato binario de exploración y almacenar tcpdump red. Esta tarea desafiante para cada grupo de 5 exploraciones de dos archivo de registro seleccionado al azar para analizar estos dos documentos, respuestas a las preguntas, y para escribir análisis experimental detallado. A través de este desafío, se puede aprender a utilizar la técnica de captura de paquetes, así como el uso de herramientas de paquetes de decodificación tepdump o habilidades de análisis de paquetes de red Wireshark.
1. ¿Cuál es la dirección IP del equipo atacante?
2. ¿Cuál es la dirección IP de la exploración de la red de destino es?
3. Este caso fue iniciado por el uso de estas herramientas que escanean el puerto de exploración? ¿Cómo se determina?
4. archivo de registro que usted analizó, el atacante utiliza un método de exploración que, ¿cuál es el escaneo de puertos de destino, y describir cómo funciona.
5. conocer en la trampa qué puertos están abiertos?
6. Bono pregunta: ¿Qué ataca el sistema operativo del host es?
(1) acción de la nube listen.pcap lección de clase descargar el archivo, abierto con wireshark
Estadísticas barra de menús -> Conversación -> seleccione IPV4
Sólo un gran número de paquetes de red de dos vías entre 172.31.4.178 y 172.31.4.188
172.31.4.178 se puede determinar atacante, 172.31.4.188 es el host de destino que se escanea.
(2) el análisis a través de archivos pcap herramienta resoplido Wireshark, que se pueden extraer de la herramienta de escaneo de puertos Nmap
APT-GET Snort al instalar el sudo
sudo chmod 777 /etc/snort/snort.conf
la listen.pcap pegar en el archivo / home / kali en
sudo resoplido -A consolar -q -u resoplido -c /etc/snort/snort.conf - r /home/kali/listen.pcap
Se puede ver usando un namp de exploración iniciada.
(3) selección de ARP en Wireshark
Podemos ver el avión de ataque anfitrión estaba escaneando nmap -sP 172.31.4.178 a través de paquetes ARP
paquetes ICMP han encontrado interacción filtra, las instrucciones de ICMP ping exploración, es decir, nmap -sP 172.31.4.188
observó un gran número de paquetes han sido escaneado máquina ataque TCP SYN escanea el nmap -sS 172.31.4.188
(4) en la miel las que se encuentran en el puerto latas huésped es abierto
tcp.flags.syn == 1 y tcp.flags.ack == 1
21,22,23,25,53,80,139,445,3306,3632,5432,8009,8180 que estos puertos están activos
(5) ¿Cuál es el ataque del sistema operativo host
herramienta p0f detectado por el sistema operativo para atacar aviones, aviones de ataque para detectar el sistema operativo para el Linux 2.6
3. Los problemas y las soluciones encontradas en el estudio
- Pregunta 1: la instalación falla, resoplido
- Solución del Problema 1: Actualización de la lista de fuentes sudo apt-get update
- Pregunta 2: Actualización de la lista de fuentes sudo apt-get update también falla
- Problema Solución 2: error, se encontró una gran cantidad de soluciones, pero ninguna de manera que, conseguir un largo tiempo, entonces la trampa y aviones no tripulados se han abierto actualizado correctamente.
4. Resumen práctica
En la práctica, me encontré con algunos problemas en boxes extraña realmente es difícil de resolver, no puede resolver la pérdida de la mitad de un día o demasiado ejercitar mi paciencia.
material de referencia
- [ "Ataque a la red y la tecnología y la práctica de defensa."]