网站开发公司加盟,公司网站开发 nodejs,海外转运网站建设,网站页面跳转怎么做目录 20232831 2023-2024-2 《网络攻防实践》第3次作业1.实验内容2.实验过程#xff08;1#xff09;动手实践tcpdump#xff08;2#xff09;动手实践Wireshark#xff08;3#xff09;取证分析实践#xff0c;解码网络扫描器#xff08;listen.cap#xff09; 3.学习… 目录 20232831 2023-2024-2 《网络攻防实践》第3次作业1.实验内容2.实验过程1动手实践tcpdump2动手实践Wireshark3取证分析实践解码网络扫描器listen.cap 3.学习中遇到的问题及解决4.学习感悟、思考等参考资料 20232831 2023-2024-2 《网络攻防实践》第3次作业
1.实验内容
1动手实践tcpdump 2动手实践Wireshark 3取证分析实践解码网络扫描器listen.cap
2.实验过程
1动手实践tcpdump
使用tcpdump开源软件对在本机上访问www.besti.edu.cn网站过程进行嗅探回答问题你在访问www.besti.edu.cn网站首页时浏览器将访问多少个Web服务器他们的IP地址都是什么 一开始我也是修改虚拟机为桥接模式再进行实验但是发现实验无法进行具体如下 修改为桥接模式以后将会发现变成了本地回环127.0.0.1无法联网。 经过查询原因得知必须在虚拟机的虚拟网络编辑器中设置Vmnet0为桥接模式。且连接的是你电脑的网卡而不能选择自动。 即选择InterR Wireless 这个无线网卡我当前是用WIFI进行网络连接的 成功修改后即实现了网络连接。从这开始继续以下实验。 首先输入以下代码进行监听。IP即为查询后所得到的桥接模式下Kali虚拟机的IP
sudo tcpdump -n src 192.168.10.55 and tcp port 80 and tcp[13]182打开监听后即可进入dky网站进行嗅探。 第一次监听嗅探出现了多个IP。 23.59.252.184 104.18.38.233 124.166.233.36 152.195.38.76 192.168.200.108学校官网www.besti.edu.cn 使用nslookup查询www.besti.edu.cn的IP发现IP为192.168.200.108这个地址是个内网也许是因为连接了学校的校园网的缘故因此和学校的官网ip处于同一网段所以这里显示的也是一个内网IP。猜测 第二次监听包括学校官网IP一起共有3个IP。 共三个分别是 23.67.75.171 152.195.38.76 192.168.200.108学校官网www.besti.edu.cn 感觉找到学校的官网IP为内网地址感觉奇怪因此又用Bilibili.com测试了一下 共两个 47.103.24.173bilibili.com 116.163.41.132 因此得出结论对访问学校官网的嗅探监听是正确的也许是因为连接了学校的校园网的缘故因此和学校的官网ip处于同一网段所以这里显示的也是一个内网IP。猜测
2动手实践Wireshark
使用Wireshark开源软件对在本机上以TELNET方式登录BBSbbs.fozztexx.com进行嗅探与协议分析回答如下问题并给出操作过程
首先使用以下命令进入BBS并打开wireshark并使用telnet进行筛选监听的报文记录截图如下
luit -encoding gbk telnet bbs.fozztexx.com该BBS的IP为50.79.157.209 使用telnet过滤后结果如下所示 进入BBS后我进行了账号的创建输入了NEW表示新建一个账号而后依次输入账号密码分别为dky和123456。 输入本机的IP地址即192.168.10.55进行筛选并查找报文找到了端口号为23的一条记录且其中的Data数据为d即账号名dky即为双方通信过程中传递账号密码的过程。因此右键点击follow进行TCP流跟踪得到了整个通信过程。 ①你所登录的BBS服务器的IP地址与端口各是什么 IP地址50.79.157.209 端口23 ②TELNET协议是如何向服务器传送你输入的用户名及登录口令 Telnet协议使用TCP/IP协议族作为传输层协议在进行远程登录之前需要先建立TCP连接即三次握手。首先客户端向服务器发起连接请求服务器在接收到连接请求后回复确认信号建立连接。
此后一旦输入并提交用户名和登录口令Telnet就将发送它们给服务器。 ③如何利用Wireshark分析嗅探的数据包并从中获取你的用户名及登录口令 过滤双方的IP地址并点击follow追踪TCP流即可获取 账号密码等等输入的信息
3取证分析实践解码网络扫描器listen.cap
进行实践并回答以下问题
①攻击主机的IP地址是什么 172.31.4.178 ②网络扫描的目标IP地址是什么 172.31.4.188 ③本次案例中是使用了哪个扫描工具发起这些端口扫描你是如何确定的 nmap端口扫描工具通过snort工具解析确定的 ④你所分析的日志文件中攻击者使用了那种扫描方法扫描的目标端口是什么并描述其工作原理。 详细见下文。 ⑤在蜜罐主机上哪些端口被发现是开放的 21、22、23、25、53、80、139、445、3306、5432、8009、8180等等 ⑥攻击主机的操作系统是什么 即攻击者的操作系统版本为Linux 2.6.x
实践过程 由于Kali里面安装snort总是失败尝试多次无法进行因此根据群内同学的建议在SeedUbuntu中进行snort的安装并进行分析
首先输入以下命令进行snort的安装可以看到安装的非常迅速而在Kali虚拟机中下载速度特别慢下载好后配置不成功也无法进行实验
sudo apt-get install snort安装结束即出现以下红紫色界面关闭此终端重新打开一个再进行下一步操作 使用Xftp进行Windows系统与虚拟机SeedUbuntu的连接传输listen.pcap文件。使用共享文件夹等等其他手段也可 使用以下命令开启SeedUbuntu的SSH服务前提是确保已经安装了SSH安装SSH用命令sudo apt-get install openssh-server直接安装即可
/etc/init.d/ssh startifconfig查看IP 在XFTP中进行连接设置输入IP、端口、账号密码。 连接成功并传输文件 传输后发现文件权限应该不够权限只有664直接在XFTP中提升其为777 将listen.pcap放到/home后在终端进入/home并提升权限为root将文件复制到/etc/snort/这个路径
sudo su
cp listen.pcap /etc/snort使用以下命令进入snort并对listen.pcap进行分析
cd /etc/snortsudo snort -A console -q -u snort -c /etc/snort/snort.conf -r listen.pcap结果如下 由该解析结果可以看出攻击者使用了nmap端口扫描工具对靶机进行了扫描图中SCAN nmap且攻击机IP为172.31.4.178靶机IP为172.31.4.188。
重新打开Kali虚拟机继续在WireShark中进行listen.pcap文件的分析。
Kali虚拟机传入listen.pcap文件的方式与上方类似但是其实它可以直接进行文件的拖入即将Windows上的文件直接拖进虚拟机的桌面即可而SeedUbuntu却不能 使用wireshark打开文件界面如下 nmap会根据arp更新目标MAC地址因此通过查询arp即可得到以下内容这说明攻击者通过广播的形式查询靶机172.31.4.188的MAC地址 查询icmp可以发现攻击机和靶机之间存在双向数据包说明进行了批量的ping扫描进行主机扫描以确认目标靶机是否活跃。 查询TCP可以发现进行了大量的TCP扫描例如攻击机向靶机发送SYN请求包靶机返回SYNACK确认连接攻击机响应说明该端口开放。反之如果靶机返回RSTACK则说明靶机的该端口关闭。 通过查询tcp.flags.syn 1 and tcp.flags.ack 1可以得到靶机所有开放的端口例如有21、22、23、25、53、80、139、445、3306、5432、8009、8180等等端口。 最后通过以下命令安装p0f工具并使用该工具进行攻击者的攻击机操作系统版本的查询 安装
sudo apt install p0fsudo p0f -r listen.pcap即攻击者的操作系统版本为Linux 2.6.x
此过程中遇到了无法安装 p0f的情况同时sudo apt-get update操作也无法使用难以实现。 因此我更换了其他镜像源执行sudo apt-get update操作后重新安装了p0f。
3.学习中遇到的问题及解决
具体解决过程请见上文
问题1网络连接修改成桥接模式后断网问题1解决方案重新设置网络适配器将桥接模式直接连接无线网卡问题2www.besti.edu.cn网站的嗅探也许存在问题问题2解决方案多次实验去探测不同的网站最终对比得出结论——www.besti.edu.cn网站的嗅探结果没问题问题3snort无法在Kali上下载问题3解决方案更换SeedUbuntu虚拟机进行snort工具的使用问题4listen.pcap文件的传输与权限问题问题4解决方案多方面参考并最终解决问题5无法安装p0f问题5解决方案更换镜像重新安装。
4.学习感悟、思考等
通过本次实验我学习了网络嗅探与协议分析学会了多种工具的安装和使用并学习了分析网络流量让我深入理解了通信的过程以及攻击者攻击的一个流程收获颇丰。
参考资料
使用Xftp5连接Ubuntu虚拟机的步骤Kali Linux E:Unable to locate package 完美解决ChatGpt
