20199127 2019-2020-2 "práctica ataque a la red y la defensa", la cuarta semana de trabajo

Others 2020-03-26 07:03:42 views: null

20199127 2019-2020-2 "práctica ataque a la red y la defensa", la cuarta semana de trabajo

Esta obra pertenece cursos "Ataque a la red y la práctica de defensa."
Cuando el trabajo requiere En cuarto lugar sniffer de red de trabajo y analizador de protocolos
Mi objetivo en este curso es Aprender ataque a la red y las tecnologías relacionadas con la defensa, sujete el ataque a la red y las capacidades relacionadas con la defensa
En aspectos particulares de la tarea que me ayudó a alcanzar las metas La tecnología del aprendizaje olfateando la red, información analítica transmitidos en la red
referencia El volumen de TCP / IP detalladas 1: Protocolo ; WireShark Tutorial - descubrimiento de hackers (5) - (nmap) de sonda de barrido ; Wireshark puntas con filtro de visualización ; Manual de sourt

sniffer de red y analizador de protocolos

1. El contenido de Práctica

Cuarta capítulo incluye un analizador de rastreador de red y el protocolo de red, los dos juntos para analizar los datos interceptados se pueden dividir en las siguientes secciones en particular en forma de peine.

olfateando la red:

1, una introducción básica a sniffer de red

Usando una interfaz de red de ordenadores de la red sniffer dirección de destino del paquete de datos interceptado se otros ordenadores para supervisar la información privada contenida en el flujo de datos. Herramientas para la red de tecnología de la inhalación llamados sniffer de red. Interceptó un paquete de datos binarios pase, por lo general técnicas analíticas a datos de la red a resolver sniff en conjunción con protocolos de red.

Network Sniffer es una de las técnicas de penetración red atacantes utilizan con frecuencia, por lo general después de obtener el acceso a la red interna implementado en una gran cantidad de los atacantes. Puede silencio, los datos de forma pasiva oler transmitida por la red. Por lo tanto, para la detección y prevención de espionaje en red es bastante difícil. Impedir sustancialmente la detección de método que comprende: una red sniffer detecta: si la tarjeta de inspección se ejecuta en modo promiscuo. Puede ser diferente para el modo promiscuo sabor juzgado por el sistema operativo y la pila de protocolo. 2, una red sniffer precauciones: utilizando topología de red segura (red conmutada), en lugar de dinámica evitar ARP estática que transmiten el texto en claro, atención a la protección de los nodos en la red (routers, interruptores, etc.).

2, Principio y Ejecución

principio:

Ethernet es una transmisión de datos del canal de comunicación compartido en unidades de tramas, la trama Ethernet incluye la dirección y la dirección MAC de destino MAC de la fuente de transmisión. Cuando el sitio necesita enviar datos, el paquete de pila de protocolo TCP / IP, la capa de enlace de datos "de montaje" para la cabecera y el extremo trama se transmite al medio de comunicación compartido. controlador de la NIC en el modo normal, sólo aceptan destino de la trama de datos de direcciones MAC y los propios partidos de direcciones MAC. Sin embargo, la tarjeta será el modo promiscuo todas las tramas de datos recibidos a través de un medio de comunicación compartido que está conectado.

Network Sniffer para lograr:

1, sniffer de red compartida: un cubo conectado al concentrador de acogida Renyiyitai pueda interceptar todo el tráfico de red en todo el centro.

2, el rastreador de red interactiva: la transmisión de datos por MAC tabla de asignación de direcciones. En general, existen tres formas oler: ①MAC ataque dirección de la inundación: el conmutador envía un paquete de datos que contiene un gran número de dirección ficticia MAC y la dirección IP de la tabla de asignación de desbordamiento no se puede procesar en las obras de conmutación como un concentrador. ②MAC engaño: Suele utilizarse para romper el control de acceso de LAN basado en direcciones MAC. ③ARP engaño: el uso de vulnerabilidades de protocolo cuando la conversión entre direcciones IP y las direcciones MAC, la suplantación de identidad alcanza MAC.

3, Unix-sniffer: conmutación (Switched) en la capa de enlace de datos y las redes no conmutada (no conmutados) existen diferencias entre las redes. En la redes no conmutada, Ethernet paquetes a través de cada dispositivo de la red, cada dispositivo del sistema sólo la vista deseado como su dirección de destino del paquete enviado. Sin embargo, el dispositivo se encuentra en modo promiscuo (modo promiscuo) es bastante fácil de ver el modo de dispositivo permite que todos los paquetes, independientemente de lo que su destino Sí. La mayor parte del programa de captura de paquetes, el tcpdump por ejemplo, su dispositivo de escucha por defecto en modo promiscuo.

4, la red de Windows oler: Windows olfateando y sistemas de captura no proporcionan la interfaz, pero hay un controlador de dispositivo virtual en modo de núcleo, la NPF puede filtrar los paquetes. Winpcap utilizar para generar el paquete de datos es más flexible que el uso de raw sockets, más rica en características. En la toma de prima a base, ya que los enchufes primas ciertas limitaciones, la estructura de paquete de un paquete que el protocolo más subyacente sólo IP paquetes no se puede configurar en los paquetes de protocolo de capa de IP, tales como enlace paquete de la capa no se puede configurar, el Winpcap puede configurar en función de la paquete de capa de enlace de datos.

tecnología de análisis de protocolo de red

Red de principio técnica de análisis de protocolo: el formato binario del paquete de datos transmitido en la red se analiza para recuperar las capas de protocolo de la red de información y la transferencia de métodos de la técnica de contenido.

técnicas de análisis de protocolo de red proceso detallado: obtenido por olfateando el paquete sin procesar binario enlace de datos de capa, el análisis de estructura de trama de Ethernet, el análisis del paquete IP, para determinar el protocolo de capa de aplicación específica, la recuperación de datos integrada para obtener el real transmisión de los datos. herramientas de uso común, tales como Wireshark.

2. práctica

Un trabajo: la práctica tcpdump
Tarea: para visitar el sitio en este proceso www.tianya.cn máquina de aspiración uso de tcpdump. Al acceder a la página Web, el navegador va a acceder al servidor web cuántos, qué dirección IP?

Utilice tcpdump para sniff. En principio: para establecer un protocolo de enlace TCP de tres vías, HTTP paquete de solicitud, HTTP paquete de respuesta, TCP cuatro licencia agitando. Por lo que el navegador va a acceder al número de servidores web que TCP de tres vías no es igual al arrastre SYN ACK no es igual a 0 y 0 paquete, introduzca el siguiente comando: tcpdump -nn 'tcp[tcpflags] & tcp-syn != 0 and tcp[tcpflags] & tcp-ack != 0 and(host 192.168.200.64)and(port 80)'donde la dirección IP para la dirección de host local, el puerto 80 para la navegación web, si sin nombre de puerto, también será consultada por el puerto IP 443, 443 de puerto para el puerto de la navegación web, utiliza principalmente para HTTPS servicio es proporcionar cifrado y el puerto HTTP seguro por otro transmisión.

La dirección IP principal es la siguiente:

221.182.218.229
221.182.218.244
72.21.202.25
99.86.113.26
99.86.113.16
221.182.218.238

dirección IP que será diferente cada vez que visite, utilizar nslookup para verificar la exactitud de tcpdump, de acuerdo con el final del código fuente de la Casa Mundial se puede encontrar en el servidor de nombres de dominio en cuestión, tales como passport.tian.cn, static.tianya.cn; fase dos para verificar la exactitud de la más contraste.

Trabajo dos: la práctica de Wireshark
Tarea: Uso de Wireshark a telnet para iniciar sesión en los BBS locales oler y análisis de protocolo.

  1. dirección IP y el puerto del servidor BBS?

  2. Cómo telnet protocolo transmite el nombre de usuario que ha ingresado a la contraseña del servidor y de acceso?

  3. Cómo utilizar un analizador de paquetes de Wireshark análisis, y para obtener un nombre de usuario y contraseña de acceso?
    1. máquina física Telnet en el local abierto, como predeterminada win10 está apagado. Específicamente Panel de control - Activar o desactivar los servicios de Windows> - -> Programas> comprobar Telnet. La figura sigue; después de girar el wireshark, ir a buscar paquetes

    2.wireshark abiertos al mismo tiempo, el terminal de entrada telnet bbs.fudan.edu.cnpara entrar en Fudan ASE Foro de China (en busca de encontrar esta otra escuela, pero todavía de buen aspecto Universidad de Fudan), se puede ver la dirección IP de 202.120.225.9; el puerto 23: entra en el invitado

    3. En la entrada del filtro ip.src == 202.120.225.9puede ser considerado como paquetes de protocolo de telnet, podemos ver el número de cuenta y la contraseña (en la transmisión de texto claro utilizando el protocolo Telnet cuando se transmite un nombre de usuario y contraseña) mediante el seguimiento de flujo de TCP; a continuación

Tercera asignación: la práctica el análisis forense
artefactos tarea a un anfitrión honeypot de cinco tipos diferentes de escaneo de puertos.
¿Cuál es la dirección IP de la máquina de ataque?
¿Qué dirección IP de destino de la exploración de la red es?

El caso es el uso de herramientas que iniciaron estos escaneo de puertos escanear? ¿Cómo se determina?

Inicia una sesión de archivos analizados, el atacante utiliza un método de exploración que, lo que el puerto de destino de escaneo, y describir cómo funciona

¿Qué puerto en el honeypot resultó ser abierta?

Lo que operan ataques al sistema host es?

(1) el uso Wireshark para TCPDUMP análisis de formato de archivo de registro de la tela binario, estadística se abrió en la conversación, dos direcciones IP disponibles 172.31.4.178 172.31.4.188 y desde y hacia más de cerca, el contenido de la respuesta pueden ser obtenidos por los atacantes escaneo de puertos IP 172.31.4.178 dirección, la dirección IP de destino de 172.31.4.188

(2) detectaron mediante el escaneo de resoplido. ① Para utilizar resoplido, esnifar primero resolver instalación, ingrese el siguiente comando sudo apt-get install snort, grande _ instalar resoplido fallar.

② error fracaso no lo tomas no recuerdan es, de todos modos, no es apt-get update, informó lo mal no recordaba la última palabra, no me refería a, es demasiado molesto este período, el exceso de consumo tiempo. Necesidad de actualizar la fuente de la biblioteca y modificar la resolución de DNS . Sería llevar a cabo primero de estos dos pasos, dos pasos deben ser usados vim, gran _ , vim del editor en el fracaso fallidos de modificaciones.

③ de error E212: Can't open file for writing, no puede encontrar el enlace de resolver, los estudiantes tienen el mismo problema en su propia búsqueda. Después de resolver este paso, gran _ la actualización falla. Después de escupir sangre ...... ...... Me ha añadido sudo apt-get dist-upgradeeste paso para la actualización. Finalmente resuelto. (De hecho, antes de que también trató de algún otro método, no saben que no hay ayuda a. Además, veo otros estudiantes no se encuentran tantos problemas, tal vez este es su destino)

④ (decirle, este proceso no resolvió la captura de pantalla, realmente no sé no se resuelve después de cada paso para resolver el problema)

3. Cribado en Wireshark ARP, la primera ARP nmap de exploración se determina por la dirección de MAC, y detecta el objetivo antes de cada exploración se ip activo encontrado en destino figura Broadcast, en forma de quién tiene 172.31.4.188?Tell 172,31 .4.178. dirección utilizando ARP medios de barrido de la sonda para el segmento de destino, si el segmento no es ciertas reglas de filtrado, el objetivo puede ser adquirida a través de la red en respuesta a una máquina viable mensaje IPde dirección y MACdirección, luego agarre la topología. Tales como: 172.31.4.178iniciar petición ARP a la red especificada, si no existe la IP, no hay respuesta, debido a la presencia, todas las respuestas se puede ver que no hay paquetes de dirección MAC entre los atacantes primera y segunda exploración nmap nmap exploración. la primera exploración nmap para detectar la IP de destino está activonmap -sP 172.31.4.188

4. el segundo tiempo de exploración no es largo tercer tiempo de exploración, no se debe escanear todos los puertos simultáneamente transmite ataque está diseñado para los paquetes de avión no tripulado TCP / UDP / ICMP, de acuerdo con nmap -Olos principios de la Nmap interna en el que los comprende huellas dactilares más de 2600 sistemas conocidos (en el archivo nmap-os-db archivo), comparándola con la muestra de la huella digital del sistema de generación de paquetes devuelto por la biblioteca, el sistema encuentra una coincidencia, si no emparejado, en forma de probabilidad incluir posible sistema. Guess la segunda exploración es una detección de sistema operativo activo, nmap -Ode exploración.

La tercera exploración es 13W por paquetes de servicio 6W multipuerto generalmente escaneado, se especula TCP SYN de exploración, es decir, el escaneo de conexiones medio abiertas, es decir nmap -sS, sin el uso de semi-conectado a la conexión TCP completa de exploración. El atacante iniciados paquete de solicitud de SYN; si el puerto está abierto, la respuesta del huésped de destino para paquete SYN ACK, el atacante envía paquetes RST. Si el puerto no está activada, el host de destino se devuelve directamente finaliza la sesión de paquetes RST

6. cuarto de exploración, filtrado de puertos tcp.port==80, el puerto 80 es el Protocolo de transferencia de hipertexto (HTTP) para el servicio World Wide Web (WWW), el descubrimiento cuarto de exploración para establecer una conexión HTTP, es decir, la suposición de exploración como nmap -sVpara determinar el host de destino el tipo de servicios de aplicaciones de red versión de los puertos abiertos y descubrimiento de servicios de red anfitrión exploración principal agrupados para enviar paquetes especialmente diseñados para el host de destino en función de los servicios de red de información de huellas digitales particulares en la realización del protocolo de capa de aplicación contenida, de acuerdo a la retroalimentación incluido en el paquete huellas dactilares, para identificar abierta puertos de servicios de red.

7. Por el cribado tcp.flags.syn == 1 and tcp.flags.ack == 1para determinar los puertos abiertos 21 , 22 , 23, 25, 53, 80, 139, 445,3306, 5432, 8009 , 8180.

8. Uso p0f -r listen.pcappalpación hasta obtener el sistema operativo Linux 2.6.x herramientas P0f escuchar paquetes de tarjetas transmitidos y recibidos, los servicios del sistema operativo de la máquina remota la información de versión de lectura del paquete de datos.

Grupo de cuatro: la práctica ofensivo y defensivo
Tarea: atacante escaneo con nmap, tcpdump sniffer con un defensa, con el análisis de Wireshark, y el análisis de los efectos de escaneo atacante, y el comando nmap de cada uso.

metasploitable-Linux avión no tripulado cuando el atacante, la dirección IP 192.168.200.125. llevó a cabo dos exploraciones ,, la primera vez nmap -sP, la segunda vez nmap -O.

Cuando kali lado defensivo, direcciones IP es 192.168.200.64, mediante la interceptación de las comunicaciones entre un avión de ataque tcpdump y el objetivo tcpdump host 192.168.200.3 and 192.168.200.125. Figura analizar la información ataque se puede obtener, de acuerdo con el verificado.

3. Los problemas y las soluciones encontradas en el estudio

Uno de los problemas: kali no puede acceder, la tarjeta sigue siendo válida después de la restauración

Solución: Encontrar un problema para mí antes de que el servicio se cerró varias VMware, está listo para iniciar manualmente, ya olvidado, abra el servicio y reiniciar la máquina virtual de resolver.

Segundo problema: los problemas de análisis forenses encontradas en la práctica, se han establecido en la tarea detallada específica III.

4. Resumen práctica

1. Para practicar más, mientras que hace experimentos en el momento de averiguar por qué.

2. No saben que preguntar, encuentran problemas en el tiempo para comunicarse con los estudiantes

3. aprender una nueva tecnología es realmente un poco difícil

La primera referencia en el texto

Supongo que te gusta

Origin www.cnblogs.com/xiaoyangJ/p/12571909.html
Recomendado
Clasificación
Diario
Más
2024-05-20(5)
2024-05-19(0)
2024-05-18(30)
2024-05-17(4)
2024-05-16(22)
2024-05-15(5)
2024-05-14(10)
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)

Code World

© 2018 codetd.com