20199131 2019-2020-2 "práctica ataque a la red y la defensa", la cuarta semana de trabajo

Others 2020-03-26 00:03:56 views: null

Identificación del Estudiante 20199131-2020-2 "ataque a la red y la práctica de defensa", la cuarta semana de trabajo

1. cardado conocimiento y resumen

sniffer de red 1.1:

  • Los paquetes de datos utilizando la interceptación de interfaz de red de ordenador enviada a otros ordenadores, las redes necesitan utilizar sniffer sniffer de red, analizador de paquetes de datos capturado después de paquete es procesado de datos binarios , por lo que a menudo se utiliza técnicas de análisis de protocolo de red a datos de la red a resolver sniff para recuperar el contenido de información de la capa de aplicación de las capas de protocolo de red en la pila de protocolos TCP / IP y el real transmitida
  • pila de protocolos TCP / IP es la suma de una serie de protocolo de red, la configuración de comunicación troncal de red de núcleo, que define cómo el aparato electrónico conectado a Internet, y cómo se transfieren datos entre ellos. protocolo TCP / IP utiliza cuatro capas, a saber, la capa de aplicación, capa de transporte, capa de red y la capa de enlace
  • Succionador de acuerdo con el enlace se puede dividir en: una LAN cableada (Ethernet, Wi-Fi), y sniffer de red de área local inalámbrica , la diferencia es un sniffer inalámbrico puede leer y analizar dichos paquetes de datos cumplen con los estándares IEEE 802.11 protocolo de transmisión inalámbrica.
  • Funciona Ethernet : Ethernet es compartida transmisión de datos de canal de comunicación en unidades de tramas, la trama Ethernet incluye la dirección y la dirección MAC de destino MAC de la fuente de transmisión. Cuando el sitio necesita enviar datos, el paquete de pila de protocolo TCP / IP, la capa de enlace de datos "de montaje" para la cabecera y el extremo trama se transmite al medio de comunicación compartido. controlador de la NIC en el modo normal, sólo aceptan destino de la trama de datos de direcciones MAC y los propios partidos de direcciones MAC. Sin embargo, la tarjeta será el modo promiscuo todas las tramas de datos recibidos a través de un medio de comunicación compartido que está conectado.
  • redes de conmutación de red compartida y:
    conexión de red a través del cubo se llama una red compartida, de manera topología de red basada en autobús, transmiten físicamente. Esta conexión conduce a todos los hosts en la misma conexión del eje al transmitir paquetes de datos, serán enviados a cada host, el tráfico de cualquier lata anfitrión sniff en todo el concentrador de red.
    Establecido a través de la red de conmutación se denomina conmutación de red, el interruptor en la presencia de "dirección de MAC - tabla de asignación de puerto", de modo que el paquete se envía a una tarjeta de red específica.
  • Sniffing red conmutada:
    MAC ataque dirección de la inundación : el envío de grandes cantidades de paquete de datos que contiene la dirección MAC y la dirección IP del imaginario para el interruptor, por lo que no puede manejar desbordamiento de la tabla de asignación, el interruptor entra en obras como concentrador.
    MAC spoofing : tarjeta falsa de estar escuchando un mapa en el host, el conmutador se actualiza.
    ARP spoofing (más común): vulnerabilidad cuando se utiliza la conversión de protocolo entre la dirección IP y la dirección MAC, la suplantación de identidad alcanza MAC.

tecnología de análisis de protocolo de red

  • Principio : sniffer de red es un formato binario del original interceptado paquetes a través del contenido de los paquetes durante el montaje, a fin de obtener la información que contiene especificación de protocolo, la pila de acuerdo con los paquetes de datos de protocolo TCP / IP para restaurar la re-formato y el contenido de las capas de protocolo en cada
  • Un proceso típico de analizador de protocolo de red incluye los siguientes pasos:
    los datos en bruto (1) de red Sniffer obtiene de enlace de datos de transmisión de paquete de capa binario.
    (2) el análisis de la estructura de trama, cada uno de los campos de cabecera del marco de la estructura obtenida, determinada de acuerdo con el campo de tipo de protocolo de la cabecera de capa de red, y extrae los datos que contienen el contenido de la capa de red.
    analizada (3) IP de paquetes adicionalmente para determinar el tipo de protocolo de capa de transporte, una capa de transporte para extraer el contenido de datos.
    (4) de puerto de destino TCP o UDP se determina para determinar el protocolo de capa de aplicación específica, para proporcionar el contenido de la aplicación interactiva protocolo específico de capa de aplicación.
    (5) la integración de la recuperación de datos basado en el protocolo de capa de aplicación respectivo, y la transmisión de datos real.

comando TCPDump



2. práctica

Una tarea tcpdump

Tcpdump utilizar software de código abierto para acceder al sitio www.tianya.cn proceso en esta máquina oler, responda a la pregunta: ¿Cuando visita www.tianya.cn de inicio, el navegador cuántos acceso al servidor Web? ¿Cuáles son sus direcciones IP?
Uso comando nslookup para averiguar la dirección IP de www.tianya.cn

consulta la dirección IP local y está utilizando la interfaz de red

es fácil saber el navegador de tres web para acceder a la dirección IP del servidor como se muestra a continuación:

Tarea dos Wireshark

software de código abierto Wireshark para utilizar Telnet para conectarse a los BBS locales oler y análisis de protocolos, responda a las siguientes preguntas y dar la operación:
(1) qué dirección IP y el puerto del servidor BBS que se registran cada una?
(2) el protocolo TELNET es cómo transferir el nombre de usuario que ha introducido el nombre de usuario y contraseña del servidor?
(3) cómo utilizar el análisis analizador de paquetes de Wireshark, y obtener su nombre de usuario y contraseña de acceso?
Abrir la captura de Wireshark realiza en la línea de comandos bbs.fudan.edu.cn telnet de entrada, registro de registro para ver los resultados de la captura.
(1) puede ser visto por la dirección IP del servidor de inicio de sesión BBS: 202.120.255.9

telnet puerto utilizado es 23, también conocido puerto paquete de análisis de registros 23

paquete seleccionado un telnet, flujos TCP, de la siguiente pista como la figura. mostrar, se puede ver el nombre de usuario y contraseña, y puede saber TELNET entrada de la transmisión de protocolo para el nombre de usuario y contraseña del servidor se transmite sin cifrar

La tercera tarea práctica de análisis forense, escáner de red decodificación

¿Qué dirección IP (1) es el atacante?
¿Qué dirección IP de destino (2) es escaneado en red?
(3) en este caso es el uso de herramientas que iniciaron estos escaneo de puertos escanear?
(4) los archivos de registro que ha analizado, el atacante utiliza un método de exploración que, ¿cuál es el escaneo de puertos de destino, y describir cómo funciona.
(5) en el puerto host honeypot que se encuentra para ser abierto?
¿Qué sistema operativo (6) host atacante es?
Con lección de clase abierta Wireshark de la nube de descarga listen.pcap, el uso Conversación en la barra de menú de estadísticas, seleccione IPv4 se puede ver, un gran número de paquetes de datos enviados entre 172.31.4.178 172.31.4.188 y, puede determinar el ataque tuvo lugar en el entre estos dos ip.

Tcp A partir de los paquetes capturados puede ser transmitida sustancialmente se ven 172.31.4.188 ACK de acuse de recibo de paquetes puede especular que este es el ip host de destino, es decir, la dirección IP de destino es 172.31.4.188 exploración de la red, por lo que otra dirección IP 172.31.4.178 para atacar a la IP del anfitrión;

por herramienta de escaneo de puertos Nmap.
Como condición para el filtro ARP, aviones de ataque en el dominio de paquetes de solicitud de emisión de difusión ARP, si recibe paquete de respuesta ARP que está activo, se puede obtener la dirección MAC del host de destino.

siempre la primera exploración de puertos nmap realiza antes de iniciar una exploración por Ping y el puerto 80 para detectar, identificar el host de destino está activo, a través de la ICMP búsqueda filtro, Ping Scan puede localizar el protocolo ICMP correspondiente.

Usted puede ver que hay un gran número de solicitud paquete SYN en el paquete, que es un puerto TCP SYN scan aviones de ataque 57738 al host de destino, el puerto con el fin de escanear el host de destino está activo, si el activo principal de destino de realimentación un SYN | paquete ACK, el puerto de aviones de ataque envía un paquete RST para cerrar el enlace, el puerto de destino estará inactivo retroalimentación RST | paquete ACK.

Se encontró en el honeypot puertos abiertos: Condiciones de filtro de entrada: tcp.flags.syn == 1 y tcp.flags.ack == 1 , se puede filtrar hacia fuera SYN | paquete ACK, es decir, todo el puerto de realimentación está abierto. Compruebe
para ver puede determinar el puerto abierto:
21 es (FTP), 22 es (SSH), 23 se (Telnet), 25 (SMTP), 53 es (Dominio), 80 (HTTP), 139 (SSN), 445 (Microsoft-DS),
3306 (MySQL), 5432 (PostgreSQL ), 8009,8180 estos puertos están activos.

valor del campo TTL nos ayuda a identificar el tipo de sistema operativo, de acuerdo con TTL == 64, especuló que el sistema operativo de la máquina de ataque es Linux.
TTL (tiempo de vida, el tiempo de supervivencia) es un valor del paquete de protocolo IP, cuando usamos el comando Ping para la conectividad de red o la prueba de velocidad, el equipo local enviará paquetes al host de destino, pero algunos paquetes debido a algunas razones especiales no se pueden entregar correctamente al host de destino, si el valor TTL no está establecido, entonces el paquete será siempre en la parte superior de la red de transmisión, desperdiciando recursos de la red. Los paquetes pasarán a través de más de un router, cuando el paquete de datos a través de un enrutador cuando, TTL Guardar automáticamente cuando la transmisión es de al menos 1, reducido a 0 si el objeto no se transfiere al host, entonces el paquete se pierde automáticamente , entonces el router envía un mensaje ICMP al remitente original.

Ataque y defensa contra la práctica

escaneo Nmap por el atacante, el defensor con tcpdump olfateando con el análisis Wireshark, y el análisis del objeto escaneado y el atacante nmap comando de cada uso.

WinXP utilizado como avión de ataque (192.168.200.2), escaneo de Nmap realiza; kali (192.168.200.7) como el lado defensivo, la entrada tcpdump -i eth0 -w tcp.pcap escuchar y guardar el archivo como tcp.pcap. tcp.pcap abierto reutilización Wireshark analizó

resultados de la exploración nmap son como sigue:


3. Los problemas y las soluciones encontradas en el estudio

  • Pregunta 1: pantalla del terminal ilegible china
  • Problema 1 Solución: Ajuste de la codificación de caracteres de terminales

4. Resumen práctica

Sintiendo más y más conocimiento del aprendizaje, el conocimiento y el conocimiento poco a poco se pondrá delante de las series de aprendizaje.

material de referencia

Supongo que te gusta

Origin www.cnblogs.com/lilei0915lgz/p/12571490.html
Recomendado
Clasificación
Diario
Más
2024-05-20(5)
2024-05-19(0)
2024-05-18(30)
2024-05-17(4)
2024-05-16(22)
2024-05-15(5)
2024-05-14(10)
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)

Code World

© 2018 codetd.com