職務記述書

ジョブのテキスト

1.練習内容（知識の要約）

ネットワークスニファ

定義されている：盗聴技術スニファネットワークは、他のコンピュータ宛てのインターセプトデータパケットに、コンピュータ・ネットワーク・インタフェースを使用して、ハッカーによって使用される、ユーザーアカウントのパスワードは、データ・ストリームのために聞くか、個人情報が含まれています。
ネットワークスニファ：ネットワークスニファと呼ばれるネットワーク盗聴技術のためのツール。スニファは、データパケットが取り込まれ、パケット処理後のバイナリデータ、従ってしばしばそうネットワークプロトコルTCP / IPプロトコルスタックの各レイヤの内容を復元するように、解決スニフネットワークデータにネットワークプロトコル解析技術と組み合わせますアプリケーション層の情報イベントが送信されます。
原則とネットワークスニファの実装
- イーサネットが機能：イーサネットは、ブロードキャスト・メカニズムの使用をCSMA / CD技術を使用して、ネットワークに接続されているすべてのワークステーションは、ネットワーク上のデータ転送を見ることができます。ネットワークカードホストは、送信されたデータを受信するハードウェアデバイスです。カードの送信と作業を完了するために、データパケットを受信します。着信データカードの4つのモードがあります。
  - ブロードキャストモード：このモードでは、カードが放送データのネットワークを受信することができます。
  - マルチキャストモード：このモードでは、カードがマルチキャストデータを受信することができます。
  - ダイレクトモード：唯一の宛先MACアドレスと一致します。カードは、データを受信することができます。
  - プロミスキャスモード：いいえ、宛先MACアドレスが何であるかは問題でネットワークカードがすべて監視されたデータを受け取ることができます。
- ネットワーク監視の原則：
  - イーサネットNICのセットを使用して、プロパティ無差別モードでカードがこのモードに設定された後の状態ツールは、それがそのパケットのそれぞれを介して情報を受け取ることができます。
- 共有ネットワークは、スニッフィング：ハブRenyiyitaiホストに接続されたハブは、ハブ全体にすべてのネットワークトラフィックを盗聴することができます。
- 対話型ネットワークスニッフィング：MACアドレスマッピングテーブルでデータを送信します。スニッフィング3つの方法が通常あります。
  - MACアドレスフラッディング攻撃
  - MACスプーフィング
  - ARPスプーフィング
ネットワークスニファソフトウェア
- UNIXプラットフォームのネットワークスニファソフトウェア
  - libpcapのパケットキャプチャライブラリ開発：標準ベースのパケットキャプチャカーネルモードBPFのUNIXプラットフォーム開発ライブラリには、アプリケーションに提供しました。
  - ソフトウェアスニファのtcpdump：最も古く、最も汎用性の高いスニファプログラム。これは、ユーザーがホストが配置されているネットワークからのインターセプトと表示特定のTCP / IPパケットのことができるようにすることができ、一般的なコマンドパケットネットワークスニファと解析プログラムです。BPFフィルタルールのキーテイク利点は、ネットワーク・データ・パケットと嘘のtcpdumpの詳細な分析を使用しています。
  - Wiresharkのスニファソフトウェアは：それは、現在のUNIXベースのプラットフォーム最高のスニファソフトウェアのグラフィカル・インターフェースです。ネットワークパケットがキャプチャされ、詳細なプロトコル分析することができます。
- UNIXライクsnifferProに加えて、Windowsプラットフォーム上のプラットフォームなどに対応する移植のバージョンがあります。

ネットワークプロトコル分析

定義されている、ネットワーク・プロトコル・アナライザは、さらに、必要な技術的手段スニファネットワークを理解キャプチャパケットに分解された情報とネットワークプロトコル層技術の方法転送コンテンツを回復するために解析され、ネットワーク上に送信バイナリ形式のパケット内のデータを指します。。
原理：必要なネットワークプロトコル、同時に組換えIPパケットのフラグメントおよびTCPセッション、ネットワーク層上に格納されたヘッダフィールド情報の全てを解析する必要があり、最高レベルのアプリケーション層データを解析ボトムアップから層によるネットワークプロトコルアナライザの層、及びネットワークパケットの情報の完全な範囲を理解するためにユーザに提供します。
データパケット示す処理を解凍します。
テクノロジーは、オープンソースソフトウェアでは、このようなtcpdumpを、WiresharkのとSnortのを達成するために、対応するソースを持っています。

2.練習

手：tcpdumpの

このマシン上のウェブサイトのwww.tianya.cnプロセスにアクセスするためのオープンソースソフトウェアのスニフ使用するのtcpdump。あなたがホームwww.tianya.cn訪れ、ブラウザどのように多くのWebサーバへのアクセス：質問に答えますか？自分のIPアドレスとは何ですか？

最初の訪問kail上Www.tianya.cnサイト
実行コマンド端子においてsudo tcpdump src 192.168.200.3 and tcp dst port 80、前記src及びdstIPパケットの送信元アドレスを示す送信方向キーを決定し192.168.200.3、そのわずか80キャプチャTCPプロトコルパケットのポートを示します。
成功したWebサーバーのIPアドレスにアクセスするためのブラウザを取得し124.225.135.230、124.225.65.154 、124.225.214.205、124.225.65.155。
することでnslookup tianya.cn、コマンドのIPアドレスを対応www.tianya.cn見ます。
ビューの関連情報は、コマンドで見つけることができるtcpdump host tianya.cn、tcpdump -nn '(tcp[tcpflags] & tcp-syn !=0 and tcp[tcpflags] & tcp-ack!=0) and (host 192.168.0.11)'など。後者は-nn、アプリケーションのポート番号に変換後の表示からドメインIP、ポート名に監視パケットの各々を変換指定(tcp[tcpflags] & tcp-syn !=0 and tcp[tcpflags] & tcp-ack!=0)同時にSYNとACKパケットの把持と。

手：Wiresharkの

タスク：ローカルスニッフィングBBSとプロトコル解析にログインするのtelnetの使用のWiresharkオープンソースソフトウェア。操作与えられた質問に答えます：

どのようなIPアドレスとポートBBSサーバはあなた各Aが記録されますか？
Telnetプロトコルを使用すると、サーバのログイン名とパスワードを入力したユーザー名を渡す方法ですか？
どのようにWiresharkのパケットスニファ分析を使用すると、ユーザー名とログインパスワードを取得しますか？

意志最初のオープンのtelnet、ホスト上のtelnetを選択してください
オープンwiresharkの
bbs.fudan.edu.cn例えば、コマンドライン入力でのtelnet bbs.fudan.edu.cnフォーラムへ
これは、BBSサーバがIPであることがわかっログインして202.120.225.9、入力newレジスタ
そして、再入力：
Telnetの直接入力Wiresharkのフィルタは、フィルタは、パケットをWiresharkのポート番号23を見て見ることができ、関連するTelnetを、表示することができます
ここで見つけることができる場合には、ユーザー名とパスワードを渡し、文字は文字の転送です。
あなたが転送されたパスワードが平文で送信されて見ることができ、それは非常に危険な見明確なのtelnetで送信され、入手が容易です。
これは、TCPストリームを追跡することによって、ユーザ名とパスワードも見ることができます
Telnetプロトコルを使用すると、サーバのログイン名とパスワードを入力したユーザー名を渡す方法ですか？
- Telnetは簡単なリモート端末プロトコルであり、Telnetサービスは、TCPに基づいて構築されています
- 端末によって駆動される端末のキーボード入力のオペレーティング・システム・カーネルのプロセスを介してエンドユーザにデータを駆動し、次にTCPクライアントとサーバーによって確立のTelnet、Telnetクライアントは、受信したTCPデータ伝送を処理するクライアント・プロセスへデータを処理しますTCP接続データを介して、TCP接続がサーバーに送信され、対応するアプリケーション層のTelnetサーバプロセスに、受信したデータのサーバTCP層。

練習の仕事 - フォレンジック分析の練習：ネットワークスキャンをデコード

ポートの5種類の人工物の分析は、ハニーポットのホストをスキャンします。各スキャンtcpdumpのバイナリ形式のネットワークログファイルのキャプチャや店舗トラフィックへのSnortネットワーク侵入検出器。
問題：

攻撃ホストのIPアドレスとは何ですか？
ネットワークスキャンのどのような送信先IPアドレスはありますか？
これらのポートスキャンを開始するためのスキャンツールを使用した場合？あなたはどのように決定したのですか？
あなたがファイルを解析したログは、攻撃者は何が宛先ポートスキャンで、スキャン方法を使用し、それがどのように動作するかを説明します。
ポートが開いているハニーポットに発見されましたか？
ホストは、オペレーティングシステムの攻撃を何ですか？

オープンは、ダウンロードされたlisten.pcapセッション>、とIPv4をクリックし、あなたが見ることができ、その後-統計のメニューバーを選択し、172.31.4.178そして172.31.4.188ネットワーク間の双方向のデータパケットの多くがあり、当初2は、ホストIPとネットワークスキャン対象を攻撃している識別することができますホストのIP。
すべての要求パケットで見つかったセッションのデータパケットの内容を、参照（例えば、TCP SYNパケット）172.31.4.178からは172.31.4.188から送信され、応答データパケット（例えば、SYN / ACKパケット）の全てを開始します。
攻撃ホストのIPアドレスは次のとおりです。 172.31.4.187
ネットワークスキャンの送信先IPアドレスは以下のとおりです。 172.31.4.188
使用して、バイナリログファイルの侵入検知をSnortを。

sudo apt-get update
sudo apt-get install snort  // 安装snort
sudo chmod 777 /etc/snort/snort.conf // 给予snort.conf可读可写可执行权限
snort -A console -q -u snort -c /etc/snort/snort.conf -r ~/listen.pcap // -A开启报警模式，-q不显示状态报告，，-u为初始化后改变snort的UID，-c为使用后面的配置文件，进入IDS模式，-r从pcap格式的文件中读取数据包

これは、nmapのを使用して開始されたこの攻撃で見つけることができます。
ターゲットホストを決定するために、nmapのポートスキャンを開始する前に、常に最初であり、プローブは、Pingのスキャン（ホストスキャン）80ポートのアクティブです。フィルタを検索icmp、ダブルピングのためにスキャンし、プロトコルICMP pingの走査に対応して位置することができる、命令があってもよいですnmap -sP 172.31.4.188
フィルタを介して検索 tcp
私たちは、数字9,10,13のセットはハーフオープンスキャンで見ることができ、ターゲットホスト仮番号57738ポート攻撃ホストへの不完全な3ウェイハンドシェイクTCP接続を使用すると、ポート番号3306のIPターゲットにSYNパケットを送信します3306ターゲットIPポートのオープン番号、TCP SYN＆ACKパケットを返し、その後、RSTパケット攻撃に接続停止を確立するホストを送ります。これは、ターゲットホストポート23を監視するために、それぞれ、同様の、以下に、ポート80とポート139が開いて、赤と青枠スキャン半開（TCP SYNスキャン）の典型です。
緑色のボックスを見ては、ターゲットマシン上の攻撃ホストポートは、ポートが閉じられていることを示す、SYNパケット番号955、ポート戻っTCP RST＆ACKパケットを送信します。
上記ハーフスキャン命令が開放されていてもよいです nmap -sS 172.31.4.188
あなたは数135477,135478,135479上記画像は、フルTCP 3ウェイハンドシェイクで見る、それが最初に開かれたと推測スキャン（TCP接続スキャン）、完全なTCPを3回仮のターゲットホストポート接続を確立するためのハンドシェイク、およびすることができますリターンACKパケット8009は、ポートが開いている説明しました。スキャン指示であってもよいですnmap -sT -p 8009 172.31.4.188
フィルタを介してtcp.flags.syn == 1 and tcp.flags.ack == 1ホストを攻撃対象ホストポートアクティブフィードバックであるACKパケット、| SYNをフィルタリングすることができます。開いているポートのドローンを見る以下のとおりです。21 22 23 25 53 80 139 445 3306 3632 5432 8009 8180