20199106 2019-2020-2 《网络攻防实践》第四周作业

作业说明

这个作业属于哪个课程	网络攻防实践
这个作业的要求在哪里	第四周作业：网络嗅探与协议分析
我在该课程的目标	对网络攻防技术有一个比较全面的认识，能够掌握基本的攻防操作。
这个作业在哪个具体方面帮助我实现目标	学习了网络嗅探和网络协议分析技术，用以截获并分析数据。

作业正文

实践内容

本周学习了网络嗅探和网络协议分析技术，用以截获并分析数据。

网络嗅探技术

1、定义：利用计算机的网络接口截获目的地址为其他计算机的数据报文，以监听数据流中所包含的私密信息。
2、实现网络嗅探技术的工具称为网络嗅探器。截获到的是经过封包的二进制数据，通常会结合网络协议分析技术来解析嗅探到的网络数据。
3、基本的检测防范方法包括：
1）网络嗅探的检测：如检查网卡是否运行在混杂模式下。也可以通过操作系统和协议栈对混杂模式的香型不同来判断。
2）网络嗅探的防范：采用安全的网络拓扑（交换式网络），用静态ARP代替动态，避免明文传输，重视网络集中节点的保护（路由器，交换机等）。

网络协议分析

1、定义：是网络嗅探器进一步解析与理解捕获数据包必须的技术手段。
2、原理：与主机的解包过程原理类似，需要从底向上逐层解析网络协议。不同的是，网络协议分析需要解析和保存各个网络层次上的所有包头字段信息，以及最高层的应用层数据
技术内容，并提供给用户用以了解网络数据包的全方位信息。
3、实现：在开源的软件如Tcpdump、Wireshark和Snort中都有相应源码实现。

实践过程

动手实践: tcpdump

使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探，回答问题:你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器?他们的IP地址都是什么?

1、几个常用选项(更多更具体的选项用法，可直接man tcpdump进行参考):

-D	显示当前系统中所有可用的网卡接口
-i	指定用于嗅探的网卡接口
-c	后面跟上要抓包的个数[要抓几个包]
-s	指定抓取的数据包长度,设置为0时,表示让tcpdump自行选择合适的长度进行抓取,务必加上,不然可能会抓不全
-A	以ASCII码的形式显示每个数据包,分析http类数据非常好用
-vvv	显示最详细的输出
-w	将数据包直接写到文件中而不直接输出,这种有利于我们后续可以直接包丢到wireshark中去人工分析
-U	将数据包的写入和保存同步,不用非等到缓冲区已满时才写入文件,通常配合 -w 一起使用
-r	可以把之前用 -w 写入的数据包文件,再用 -r 选项进行读取
-xx / -XX	以16进制显示数据包,分析学习各种协议时非常直观
-q	让输出的格式更为精简,有点儿类似安静模式
-nn	不解析端口和主机名,其实就是不把端口解析成服务名,比如21 => ftp

2、常用几个过滤器关键字:

host,port 指定ip和端口

src,dst 指定数据流向,目的和源[可以是主机,端口]

net 指定网段

常用的几个过滤器运算符: and(且) ,or(或者),!(非)

首先在kali打开网页：wwww.tianya.cn

在terminal运行命令 sudo tcpdump src 192.168.200.2 and tcp dst port 80 ，其中 src 和 dst 是确定传输方向的关键字，指明ip包中源地址是 192.168.200.2 ，表示只捕获80端口的TCP协议数据包，监听192.168.200.2的http通信。

由上得到浏览器访问的Web服务器的IP地址：

221.182.218.229
221.182.218.244
72.21.202.25
124.225.214.214
221.182.218.238

用nslookup验证tcpdump的正确性:

动手实践：Wireshark实践

任务：使用wireshark对在本机上以telnet方式登录BBS进行嗅探与协议分析。

1)BBS服务器的IP地址与端口？

2)telnet协议是如何向服务器传送你输入的用户名及登录口令？

如何利用wireshark分析嗅探的数据包，并从中获取用户名及登录口令？

Telnet意思是Internet的远程登录协议，可以通过它远程登录来控制别的计算机，以前用的挺多的，但隋着个人电脑的强大以及安全性问题，现在用的比较少了。

在winxp虚拟机中，终端输入如下命令：

打开复旦bbs论坛：

输入new，再依次注册用户名wyrwyr，和用户密码111111，注册成功后，重新登录论坛：

1、打开WinXP自带的wireshark软件，在过滤器直接输入 telnet ，即可过滤显示telnet相关的数据包，通过查看wireshark里面可知其端口号为23，ip如下图所示：

2、telnet是使用明文向服务器传送用户名和命令的。

3、通过选定analyze->follow TCP Stream，可以得到注册的用户名和密码，如下图：

实践作业取证分析实践：解码网络扫描

1.攻击主机的IP地址是什么？

2.网络扫描的目标IP地址是什么？

3.本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？

4.你所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么，并描述其工作原理。

5.在蜜罐主机上哪些端口被发现是开放的？

6.攻击主机的操作系统是什么？

1、2、通过wireshark打开listen.pcap文件，发现ip地址只有2个，分别是172.31.4.178和172.31.4.188，而172.31.4.188是不同的端口对一个端口的回应，可以知道攻击主机IP地址为172.31.4.178，扫描的目标IP地址为172.31.4.188。

3、将listen.pcap复制到kali的home/kali文件夹中，使用snort工具对二进制文件进行入侵检测。

首先按如下步骤安装snort：

sudo apt-get update                  // 更新APT库
sudo apt-get install snort           // 安装snort
sudo chmod 777 /etc/snort/snort.conf // 给予snort.conf可读可写可执行权限
snort -A console -q -u snort -c /etc/snort/snort.conf -r listen.pcap // -A开启报警模式，-q不显示状态报告，，-u为初始化后改变snort的UID，-c为使用后面的配置文件，进入IDS模式，-r从pcap格式的文件中读取数据包

安装过程中会出现错误信息，要用到换源操作。（忘截图了。。。）

检测结果如下图所示：可见本次攻击工具是nmap。

4、TCP SYN扫描原理（引用）：“扫描器向目标主机的一个端口发送请求连接的SYN包，扫描器在收到SYN/ACK后，不是发送的ACK应答而是发送RST包请求断开连接。这样，三次握手就没有完成，无法建立正常的TCP连接，因此，这次扫描就不会被记录到系统日志中。这种扫描技术一般不会在目标主机上留下扫描痕迹。”

由此可以判断攻击者使用了TCP SYN扫描方法。

5、由TCP SYN扫描原理，使用过滤命令 tcp.flags.ack == 1 and tcp.flags.syn ==1 发现打开的服务，通过点击每个服务可以查看到下方显示的打开的端口。比如，这里有mysql 3306 ssh 22 telnet 23 http 80 ftp 21。