20199104 2019-2020-2 《网络攻防实践》第4周作业
| 这个作业属于哪个课程 | https://edu.cnblogs.com/campus/besti/19attackdefense |
| 这个作业的要求在哪里 | https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10518 |
| 我在这个课程的目标是 | 学习并了解网络攻防的相关知识,期末有个好成绩 |
| 这个作业在哪个具体方面帮助我实现目标 | 学习了网络嗅探,了解分析可能用的是什么攻击方法 |
| 作业正文 | 见下 |
1.实践内容
网络嗅探
网络嗅探是一种窃听的技术,利用靶机的网络接口来截获报文。因为截获的报文时经过协议处理的,所以一般会和协议分析技术结合使用。嗅探技术可以按照链路层协议进行分类,最主要链路层协议肯定是以太网和Wi-Fi,两者间唯一的区别是无线嗅探技术可以分析无线传输协议。
嗅探技术可以分为有线局域网和无线局域网嗅探技术,或者分为软件嗅探器和硬件嗅探器。
- 以太网工作原理
以太网上的信息传输是通过共享通信信道的,站点以广播的形式来发送数据。以太网中的数据以帧为单位,将上层的数据包装配上帧头和帧尾,通过MAC地址匹配数据包的目标。通常情况下,计算机会根据自己网卡的MAC地址来接收报文,如果报文中所包含的的MAC地址不是自己的就不会接受。当网卡处于混杂模式下,能够接受一切通过它连接的以太网络的数据帧。
- 共享式网络嗅探
通过集线器进行连接的网络称为共享式网络,其网络拓扑基于总线的形式,物理上是广播的,这种连接方式导致同一集线器上的任一主机的数据包将发送到每一台主机;集线器上任意一台主机都能够嗅探整个集线器上的全部网络流量。
- 交互式网络嗅探
通过交换机连接的网络称之为交换式网络,在交换机中存在“MAC地址-端口映射表”,与交换机相连的任意主机的数据包将定向发送到特定的网卡。通常有以下三种方式实现嗅探
-
MAC地址泛洪攻击:向交换机发送大量含有虚构MAC地址和IP地址的数据包,使映射表溢出无法处理,交换机进入类似集线器的工作方式。
-
MAC欺骗的目的是假冒所要监听的主机网卡,攻击者通过将源MAC地址伪造成目标地址的源MAC地址,并将这样的数据包通过交换机发送出去,使得交换机不断地更新它的“MAC地址-端口映射表”,从而让交换机相信攻击者主机的MAC地址就是目标主机的MAC地址,这样交换机就会将本应发送给目标主机的数据包发送给攻击者,从而达到数据嗅探的结果。
-
利用MAC和IP之间转换的漏洞达到MAC欺骗的效果。
-
类Unix平台下的嗅探:通过内核态的BPF和用户态的libpcap抓包工具库实现。常用软件是libpcap、tcpdump、wireshark
-
Windows网络嗅探:主要是NPF与WinPcap。常用软件是wireshark、snifferPro。
网络嗅探的检测
- 网络嗅探的检测
通过探测网卡是否处于混杂模式来进行检测,或者通过构建MAC地址不合法但是IP地址有效的ICMP Echo请求进行测试网卡是否处于混杂状态。
- 网络嗅探的防范措施
-
使用更加安全的网络拓扑,使用交换式网络,对网络进行分段。
-
使用静态ARP或MAC-端口映射表。
-
重视网络安全中集中位置点的安全防范。
-
避免使用明文传输口令或敏感信息的网络协议,使用加密及安全的网络协议。
网络协议分析
-
网络协议分析技术原理:对网络上传输的二进制格式数据包进行解析,以恢复出各层网络协议信息以及传输内容的技术方法。
-
网络协议分析流程:
- 网络嗅探得到的原始数据是在链路层传输的二进制数据包。
- 对帧结构进行分析,定位出帧头各字段结构,确定网络层的协议类型,并提取包含网络层数据的内容。
- 进一步对IP数据包进行分析,确定传输层协议类型,提取传输层数据内容。
- 根据TCP或UDP目标端口确定确定具体的应用层协议,得到应用层特定协议的应用交互内容。
- 依据相应应用层协议对数据进行整合恢复,得到实际传输数据。
2.实践过程
tcpdump
使用tcpdump对在本机上访问www.tianya.cn网站过程进行嗅探,回答:在访问www.tianya.cn首页时,浏览了多少个ip服务器,地址都是多少
参考tcpdump命令详解,在terminal运行命令 tcpdump src 192.168.200.3 and tcp dst port 80
由上面我们可以看到主要经过的有124.225.135.230 124.225.65.154 124.225.65.173 124.225.65.174
通过nslookup tianya.cn命令查看www.tianya.cn对应的IP地址,验证我们tcpdump的正确性。
Wireshark
使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:
你所登录的BBS服务器的IP地址与端口各是什么?
TELNET协议是如何向服务器传送你输入的用户名及登录口令?
如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?
参考Wireshark命令
BBS服务器的IP地址为202.120.255.9,端口为23
TELNET协议是一个字一个字向服务器传送我输入的用户名及登录口令
在Wireshark分析---追踪流---TCP流看
登陆的截图
取证分析实践
-
攻击主机的IP地址是什么?
-
网络扫描的目标IP地址是什么?
-
本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
-
你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
-
在蜜罐主机上哪些端口被发现是开放的?
-
攻击主机的操作系统是什么?
攻击的IP地址是172.31.4.178, 网络扫描的目标IP是172.31.4.188。
有下图的原理,我们可以看出发送syn,ack是被攻击方。
我们可以使用snort对二进制记录文件进行入侵检测。首先使用sudo apt-get install snort安装,
chmod 777 /etc/snort/snort.conf提权,输入websnort之后打开网页输入localhost:8080
或者输入snort -A console -q -u snort -c /etc/snort/snort.conf -r /home/kali/listen.pcap
由以上可以看出攻击者使用的是nmap。攻击者使用了nmap的-sP 、-O、-sS和-sV四种方法。
在每次扫描之前,nmap会通过arp更新目标MAC地址,使用首先使用Wireshark的过滤器扫描出arp包。此外nmap的-sP命令也就是通过枚举网段全部ip对应的arp请求实现,若目标机器回复IP is at MAC,则表示当前主机处于在线状态。 。通过下图我们不难看出攻击机共向靶机发出过四次arp请求,说明共进行四次nmap扫描。其中第一次和第二次arp之间并没有数据包,所以第一次arp单独作为一次扫描,仅仅是为了确认主机是否活跃,也就是参数为-sP的扫描。至此我们知道, 一共进行四次扫描, 第一次扫描的参数是-sP。 截图如下
可以看到,第二次的扫描([SYN]->[SYN, ACK])仅仅是从No、9到No、2070。第三次([SYN]->[SYN, ACK])则是No、2073到No、133219,数量有着极大的差距。可见,第二次扫描并不是对所有的端口进行扫描。第三次扫描的端口数大致往返包大致为12W,考虑到靶机多数端口都处于关闭状态,整体数据流应为([SYN]->[SYN, ACK])大小为2,故大致扫描了6w个端口。考虑到nmap默认只能扫描1000个端口,则第三次扫描的参数只能为-sS,来人为指定扫描端口的数量。nmap分辨不同的操作系统是通过操作系统在实现协议栈时的差异来判别的,此次扫描不是顺序扫描,选择了某种端口对照表的端口进行对照,所以猜测第二次扫描是nmap -O。
最后来观察最后一次扫描,我们发现第四次扫描的时间都要高于之前扫描的时间,所以我们也可以猜测是namp -sV进行网络服务的探测。我们观察第四次扫描,建立了握手,并且建立了连接,说明这次扫描应该是namp -sV。以tcp.port == 80为例,截图如下
筛选tcp.flags.syn == 1 and tcp.flags.ack == 1,得到开放的端口有:21 22 23 25 53 80 139 445 3306 3632 5432 8009 8180
使用p0f -r /home/kali/listen.pcap观察得到操作系统是Linux 2.6.X。
攻防对抗实践
任务:攻击方用nmap扫描,防守方用tcpdump嗅探,用wireshark分析,并分析出攻击方的扫描目的以及每次使用的nmap命令。
nmap -sP 192.168.200.124
nmap -O 192.168.200.124
nmap -sS 192.168.200.124
nmap -sV 192.168.200.124
3.学习中遇到的问题及解决
- 问题1:kali中文乱码
- 问题1解决方案:https://www.cnblogs.com/maohai-kdg/p/11976517.html
- 问题2:每个可能是什么攻击的分析
- 问题2解决方案:在舍友的帮助下解决
4.实践总结
不了解nmap的原理,在wireshark分析nmap数据包没有想法。
参考资料
- https://www.cnblogs.com/maohai-kdg/p/11976517.html
- https://blog.csdn.net/codes_first/article/details/78243788