20199323 2019-2020-2「ネットワーク攻撃と防御の練習」作業週4
1.練習内容
网络嗅探是一种黑客常用的窃听技术,它利用计算机的网络接口截获目的地为其他计算机的数据报文,以监听数据流中包含的用户账户密码或私密信息等。实现网络嗅探的技术工具为网络嗅探器。
网络嗅探技术分类:按监听的链路层网络分类分为以太网和WIFI。无线嗅探器支持对WIFI的监听。无限嗅探器和有线嗅探器的唯一区别是无线嗅探器可以读取和分析符合IEEE 802.11等无线传输协议的数据包。
ソフトウェアとハードウェアスニファスニファの実現の形に、スニファは、専用の専用のハードウェアにより、ネットワーク上のデータをキャプチャし、分析するためのハードウェア、スピードの利点、いっぱいです。いくつかの侵入検知、ファイアウォール、およびその他の機器は、ハードウェア・ベースランニングスニファです。
交换式网络的嗅探:
- MAC地址泛洪攻击:指向交换机发送大量含有虚构MAC地址和IP地址的数据包,致使交换机的“MAC地址——端口映射表”溢出无法处理,是交换机打开失效模式,向所有端口广播数据包。
- MAC欺骗:假冒所要监听的主机网卡,攻击者将通过源MAC地址伪造成目标地址的源MAC地址,并将这样的数据包通过交换机发送出去,使得交换机不断更新他的“MAC地址——端口映射表”。
- ARP欺骗:利用IP地址与MAC地址之间进行转换时的协议漏洞,达到MAC地址欺骗。
UNIクラスのプラットフォームのネットワークスニファ技術は、主にBPFのlibpcapパケットキャプチャライブラリ・ツールとユーザーモードカーネルモードによって達成される
Windowsのプラットフォームの実装技術スニファネットワーク:
Windowsは盗聴やインタフェースを下請け標準的なネットワークを提供していない、あなたが追加する必要がありますああ、そのプログラムまたはネットワーク構成要素は、UNIXプラットフォームモジュールBPF NPFの最も一般的なタイプと互換性があり、パケットそのまま、パケットをフィルタリングするために使用され、ユーザ・モード・モジュールに渡されます。そして、同様にWinPcapをLIBPCAP。
ソフトウェアツール:
UNIXプラットフォームで、libpcapを、tcpdumpを、wiresharkの
Windowsプラットフォーム、tcpdumpを
ネットワークプロトコルアナライザの原理:底層から層ネットワークプロトコルにより断片化IPパケットとTCPセッションを再構築しながら、上向きの解析、各ネットワーク層パケットヘッダフィールド情報、ならびにアプリケーション層データコンテンツの最高レベルを保存するために解決する必要があります。
2.練習
tcpdumpを
スニッフィングこのマシン上でプロセスwww.tianya.cnサイトにアクセスするためのオープンソースソフトウェアを使用TCPDUMP、質問に答える:あなたはホームwww.tianya.cnアクセスすると、ブラウザどのように多くのWebサーバーへのアクセスを?自分のIPアドレスとは何ですか?
カーリー仮想端末は、入力のtcpdump SRC 192.168.200.4とTCP DSTポート80を開かれ 、 その後、オープンwww.tianya.cn、
124.225.65.154,124.225.135.230,218.77.130.200,106.120それぞれ、複数のIPアドレスを定期的に表示され.159.126、nslookupを入力しwww.tianya.cnを、自身のIP 124.225.65.154で発見されました
wiresharkの:
地元のスニッフィングBBSとプロトコル解析のログオンに使用するtelnetのためのWiresharkオープンソースソフトウェアは、以下の質問にお答えし、操作を与える:
あなたは、各Aをログに記録されている(1)どのようなIPアドレスとポートBBSサーバ?
(2)Telnetプロトコルを使用すると、サーバのログイン名とパスワードを入力したユーザー名を転送する方法ですか?
(3)どのようにWiresharkのパケットスニファ分析を使用して、ユーザー名とログインパスワードを取得するには?
有効にするには、オープン、プログラム]をクリックし、[コントロールパネル]を開き、または無効にWindowsの特徴、Telnetクライアントを選択:
オープンwiresharkの、クレソンは、スタートのtelnetですが接続されておらず、その後、関連する情報を確認し、クレソンポート23が開いていません。サイトはbbs.newsmth.net変更次に
図から分かるように、このマシンのIPは192.168.2.228で、掲示板のIPが120.92.212.76で、ポート番号は23です。
ゲストモードを使用してログイン
Wiresharkのビューに
これらの最初の2つのアカウントですビット、長すぎないフルショットを占め、次はパスワードで
スクリーンショット後に使用可能なTelnetプロトコル解析、ユーザー名とログインパスワードの文字への着信ローカルサーバ。
ネットワークスキャンを復号法医学的分析の実施、
攻撃ホストのIPアドレスが1とは何ですか?
第1の開始メッセージので、メインと172.31.4.178 172.31.4.188の間で情報が172.31.4.178攻撃それが航空機、およびTCPパケット188受信したACK肯定応答パケットに従っていることを図に示す
2、ネットワークスキャンどのような宛先IPアドレス?172.31.4.188
3、この場合は、これらのポートスキャンを開始したツールをスキャンを使用することはありますか?あなたはどのように決定したのですか?
nmapの
スキャンlisten.pcapファイルに使用Snortのツール
nmapのスキャンによって生成された番組
4、あなたが分析され、ログファイルには、攻撃者は、宛先ポートスキャンするもので、スキャン方法を使用し、それがどのように動作するかを説明します。
これらのスキャンは、nmapのによって開始され、nmapのは常に最初のポートスキャンを開始する前に、ポート80のアクティブスキャンおよび検出によって対象のホストに対してpingを実行するかどうかを判断しています。フィルターを通したICMP検索は、それがプロトコルICMP pingのスキャンに対応した見ることができます。
図からわかる9、10 13だけTCP SYNスキャンを構成し、スキャン対象のポートは
TCP SYN走査原理:ローカルホストは、ターゲットホストにSYNセグメントを送信し、ターゲットホスト応答パケットSYN = 1、ACK IF = 1、それはポートがアクティブである、そして我々は、ターゲットホストにRSTをお送りしますことを示し、RSTにターゲットホストの応答ならば、それはポートが、この場合には、死んポートであることを意味し、ここで、接続を確立することを拒否私たちはどんな反応をしない。
5、ハニーポット上のポートが開いているものを発見しますか?
上で、TCP SYNをスキャンするの原則のwireshark tcp.flags.syn == 1とtcp.flags.ack == 1つのフィルタSYNをフィルタリングすることができます| ACKパケット、開いているポート21と22がある見ることができ、 23,25,53,80,139,445,3306,3632,5432,8009,8180
6.ボーナス質問:何であるか、ホストオペレーティングシステムを攻撃?
オペレーティング・システムは、TTL値を表示することができ、
-
32 = WIN 98 95
-
64 = LINUXシリーズ
-
255 = UNIXシリーズ
TTL 64は、Linuxようです。
本研究で遭遇3.問題と解決策
-
質問1:これらのポートスキャンを開始するためのスキャンツールを使用することで、何がこの問題を行う方法を知りませんでした
-
質問1:日Qilongの学生を参照してください。
-
質問2:新しい問題Snortは実行のインストール時に、インストールすることができない、Linuxシステムには、次のような問題があります
-
質問2ソリューション:発生する同様の問題への解決策を見つけるのに長い時間のためのインターネットを検索し、
https://blog.csdn.net/weixin_43729943/article/details/104221462
4.練習の概要
知識を組み合わせることが、問題の分析は多くの時間を無駄に、理解したくなかった、教科書の内容を深めているその多くは、これらの問題を、学びました。