20199322 2019-2020-2 《网络攻防实践》第4周作业

一些问题 简单的解答
这个作业属于哪个课程 网络攻防实践
这个作业的要求在哪里 作业要求
参考文献 一些网络资源

知识点梳理和总结

  • 第四章讲了网络嗅探,课本上给网络嗅探技术盖棺定论:是黑客使用的窃听手段。基本上都是利用数据在互联上传播阶段承载其的协议进行攻击。其实现在很多网络嗅探基本上就是字面上的意思,比如迅雷有一个网络嗅探的功能,就是自动给你找网站上能下载的视频或者图片等资源,还是挺方便的。
  • 第四章的知识牵扯到不少计算机网络的基础知识,需要多看了。

实践一(用kali虚拟机操作)

使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探,回答问题:

  • 你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?
  • 他们的IP地址都是什么?

先看一下虚拟机的ip

20199322 2019-2020-2 《网络攻防实践》第4周作业_第1张图片

然后输入指令tcpdump src 192.168.200.2 and tcp dst port 80,这个主要是检测tcp的80端口,就是俗称的http

20199322 2019-2020-2 《网络攻防实践》第4周作业_第2张图片

去kali内置的Firefox浏览器,输入:www.tianya.cn,回到终端,就能看到数据流动了

20199322 2019-2020-2 《网络攻防实践》第4周作业_第3张图片

实践一(windows平台)

  • 我尝试用windows平台做这个实验,中间经历了wpcap.dll缺失等一系列问题,最终终于搞定了
  • windows平台对应指令是:windump -i 4 src 192.168.0.103 and tcp dst port 80

简单解释一下这个指令,每个人电脑的网卡(虚拟网卡?)不同,必须要选择对应的一块,不然看不到数据流动。这个-i 4就代表我选择了第四块显卡

20199322 2019-2020-2 《网络攻防实践》第4周作业_第4张图片

我们关闭所有的web网页,然后只打开www.tianya.cn,然后我们看看几张数据流动的图

20199322 2019-2020-2 《网络攻防实践》第4周作业_第5张图片
20199322 2019-2020-2 《网络攻防实践》第4周作业_第6张图片
20199322 2019-2020-2 《网络攻防实践》第4周作业_第7张图片

数量编号 ip地址
1 221.182.218.229
2 72.21.202.25
3 124.225.214.214
4 221.182.218.244
5 221.182.218.238
6 112.34.111.149
7 112.13.122.1
8 203.208.40.110

从这个实践用的例子来看,教材应该有年头了,毕竟移动互联网时代,天涯网,猫扑网,饭否网,逐渐式微了。

实践二

使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:

  • 你所登录的BBS服务器的IP地址与端口各是什么?
  • TELNET协议是如何向服务器传送你输入的用户名及登录口令?
  • 如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?

这里我没有试复旦,我试了北大,南大,中科大,最终只有中科大成功了,其他几个23端口失效了。

20199322 2019-2020-2 《网络攻防实践》第4周作业_第8张图片

我们看看wireshark捕获的数据

20199322 2019-2020-2 《网络攻防实践》第4周作业_第9张图片

可以看到ip是202.38.64.3,端口是23端口

我们追踪一下wireshark里的tcp流

20199322 2019-2020-2 《网络攻防实践》第4周作业_第10张图片

由于中科大只能校友注册,所以没办法登录了,guest也被关闭了,可能因为guest不安全吧。

经过查资料知,telnet协议是通过发送一个ip数据包,将用户名以及登录口令以NVT(Net Virtual Terminal)格式传送到远程主机(服务器)。

实践三

取证分析实践,解码网络扫描器

  • 攻击主机的IP地址是什么?
  • 网络扫描的目标IP地址是什么?
  • 本次案例中是使用了哪个扫描工具发起这些端口扫描?
  • 你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
  • 在蜜罐主机上哪些端口被发现是开放的?
  • 攻击主机的操作系统是什么?

先用wireshark打开云班课里的listen.pcap文件

20199322 2019-2020-2 《网络攻防实践》第4周作业_第11张图片

发现基本上都是172开头的这两个ip在交换数据,所以这两个就是攻击主机的ip和网络扫描的目标主机ip

根据TCP的三次握手过程,发起者是没有ack的,所以172.31.4.178是攻击主机

coloring rule name:TCP RST,经过百度知道,这是TCP SYN扫描,所以工具应该是nmap

20199322 2019-2020-2 《网络攻防实践》第4周作业_第12张图片

在重点分析了TCP握手的过程后,发现TTL值是64,经过百度可知是Linux操作系统

20199322 2019-2020-2 《网络攻防实践》第4周作业_第13张图片

遇到的问题

  • 尝试了几个高校的bbs,发现有几个竟然进不去,即便是像科大的能进去,但是也有限制(guest无法登录)。

总结

  • 本次实验感觉对我来说,难度有点大,最后一个实践,部分没有完成,wireshark里面的数据包,我耗费了巨量时间一个一个找有用的信息,我看了其他同学的博客,很多都是用了其他工具。
  • 感觉这门课快要变成怎么使用工具进行分析?和 用哪些工具进行分析? 的课程了。

你可能感兴趣的:(20199322 2019-2020-2 《网络攻防实践》第4周作业)