20199323 2019-2020-2 《网络攻防实践》第4周作业

20199323 2019-2020-2 《网络攻防实践》第4周作业

1.实践内容

网络嗅探是一种黑客常用的窃听技术，它利用计算机的网络接口截获目的地为其他计算机的数据报文，以监听数据流中包含的用户账户密码或私密信息等。实现网络嗅探的技术工具为网络嗅探器。

网络嗅探技术分类：按监听的链路层网络分类分为以太网和WIFI。无线嗅探器支持对WIFI的监听。无限嗅探器和有线嗅探器的唯一区别是无线嗅探器可以读取和分析符合IEEE 802.11等无线传输协议的数据包。

按实现形式分为软件嗅探器和硬件嗅探器，硬件嗅探器是通过专用硬件对网络数据尽心捕获和分析的，优点是速度快，全面。一些入侵检测、防火墙等设备也是基于硬件嗅探器运行的。

交换式网络的嗅探：
- MAC地址泛洪攻击：指向交换机发送大量含有虚构MAC地址和IP地址的数据包，致使交换机的“MAC地址——端口映射表”溢出无法处理，是交换机打开失效模式，向所有端口广播数据包。
- MAC欺骗：假冒所要监听的主机网卡，攻击者将通过源MAC地址伪造成目标地址的源MAC地址，并将这样的数据包通过交换机发送出去，使得交换机不断更新他的“MAC地址——端口映射表”。
- ARP欺骗：利用IP地址与MAC地址之间进行转换时的协议漏洞，达到MAC地址欺骗。

类UNI平台的网络嗅探技术主要通过内核态的BPF和用户态的libpcap抓包工具库实现
Windows平台的网络嗅探实现技术：
Windows不提供标准的网络嗅探与转包接口，需要增加一个去哦的那个程序或网络组件，最常用的是与类UNIX平台的BPF模块兼容的NPF，功能是过滤数据包，并将数据包原封不动传给用户态模块。与libpcap类似的是WinPcap。
软件工具：
UNIX平台，libpcap,tcpdump,wireshark
Windows平台，tcpdump

网络协议分析原理：从底向上逐层的解析网络协议，同时进行IP分片包以及TCP会话的重组，需要解析保存各个网络层次的包头字段信息，以及最高层的应用层数据内容。

2.实践过程

tcpdump

使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探，回答问题： 你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器？他们的IP地址都是什么？
打开kali虚拟机终端，输入tcpdump src 192.168.200.4 and tcp dst port 80，然后打开www.tianya.cn，

出现几个重复出现的IP地址，分别为124.225.65.154，124.225.135.230，218.77.130.200，106.120.159.126，输入nslookup www.tianya.cn，查到它的Ip为124.225.65.154

wireshark：

使用Wireshark开源软件对在本机上以telnet方式登录BBS进行嗅探与协议分析，回答如下问题并给出操作过程：
（1） 你所登录的BBS服务器的IP地址与端口各是什么？
（2） telnet协议是如何向服务器传送你输入的用户名及登录口令的？
（3） 如何利用Wireshark分析嗅探的数据包，并从中获取你的用户名及登录口令？
打开控制面板，点击程序，打开启用或关闭Windows功能，选择Telnet Client:

打开wireshark，一开始telnet是豆瓣但是一直连接不上，后来查了相关资料，豆瓣的23号端口没有打开。然后换了个网站bbs.newsmth.net


由上图可见，本机的IP为192.168.2.228，该bbs的Ip为120.92.212.76，端口号为23.
用guest方式登录

查看wireshark


以上是账号的前两位，账号太长就不全截图了，下面是密码


经过截图分析可得telnet协议，把用户名和登陆口令一个字符的传入本地服务器。

取证分析实践，解码网络扫描

1、攻击主机的IP地址是什么？

由图可知，信息主要在172.31.4.178和172.31.4.188之间，因为最先开始发消息的是172.31.4.178攻击机是它，并且根据tcp数据包，188收到ack确认包
2、网络扫描的目标IP地址是什么？172.31.4.188
3、本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？

nmap

使用snort工具进行扫描listen.pcap文件

可知是由nmap扫描生成的
4、你所分析的日志文件中，攻击者使用了哪种扫描方法，扫描的目标端口是什么，并描述其工作原理。
这些扫描是由nmap所发起的，而nmap在发起端口扫描之前总是先通过Ping扫描和针对80端口的探测确定目标主机是否活跃。通过过滤器搜索icmp，可以看出ICMP协议对应的Ping扫描。

由图可知，9、10 13正好构成一个TCP SYN扫描，扫描的目标端口是
TCP SYN扫描原理：本地主机向目标主机发送一个SYN数据段，如果目标主机的回应报文中SYN=1,ACK=1,则说明该端口是活动的,那么接着,我们再发一个RST给目标主机,拒绝建立连接，在这里,如果目标主机的回应为RST,则表示该端口为死端口,在这种情况下,我们不用再做任何回应.
5、在蜜罐主机上发现哪些端口是开放的？
根据tcp syn扫描的原理，在wireshark上tcp.flags.syn == 1 and tcp.flags.ack == 1过滤，可以过滤出SYN | ACK的数据包，可以看出开放的端口有21,22,23,25,53,80,139,445,3306,3632,5432,8009,8180

6、额外奖励问题：攻击主机的操作系统是什么？
操作系统可以通过ttl值查看，

• 32=WIN 98 95

• 64=LINUX系列

• 128=XP.2000.NT.ME

• 255=UNIX系列
  
  ttl是64所以是linux。

3.学习中遇到的问题及解决

• 问题1：中是使用了哪个扫描工具发起这些端口扫描这个问题并不知道怎么做

• 问题1：参考了孙启龙同学的

• 问题2：安装snort时出现了新问题，不能安装，linux系统出现如下问题
  

• 问题2解决方案：在网上搜了很长时间，找到一个出现类似问题的解决方案，
  https://blog.csdn.net/weixin_43729943/article/details/104221462

4.实践总结

对问题的分析要结合所学的知识点，这些问题，很多都是课本上内容的延深，当时没有想明白，浪费了很多时间。