- 1.实践内容
- 网络嗅探
- 网络嗅探的原理与实现
- 类UNIX平台的网络嗅探技术:
- 2.实践过程
- tcpdump实践
- wireshark实践
- 取证分析实践
- 攻防对抗实践
- 3.学习问题中遇到的问题
- 4.学习感想和体会
- 参考文献
1.实践内容
网络嗅探
对网络接口截获目的地为其他计算机的数据报文。
实现网络嗅探的技术工具称为网络嗅探器。嗅探器用于捕获的数据报文都是封包处理的二进制数据。
- 以太网与WiFi是目前有线局域网与LAN和WLAN最流行的链路层协议,也是网络嗅探主要对象。
- 网络嗅探器分为软件和硬件两种嗅探器,硬件嗅探器称为协议分析仪。软件嗅探器为操作系统上的应用
网络嗅探的原理与实现
- 以太网工作原理:以太网中数据的传播以“帧”为单位,网卡通常包括48位MAC地址,以太网帧头中的MAC地址与目标MAC地址相连。网卡驱动程序一般只会接受MAC地址与网卡自身MAC地址相匹配的数据帧。
嗅探常用攻击: - MAC地址洪泛攻击:向交换机发送大量含有虚构MAC地址和IP地址的数据包。使得交换机向所有端口广播数据包。
- MAC欺骗:假冒监听助剂网卡,使交换机不断更新端口映射表。
- ARP欺骗:利用IP地址和MAC地址之间进行转换时的协议漏洞,达到MAC地址欺骗。
类UNIX平台的网络嗅探技术:
- BPF是系统数据链路层的一种原始接口,提供原始链路层封包的收发功能。并支持“过滤”封包。
- Libpcap是UNIX平台的抓包数据库,与内核态的BPF包嗅探与过滤机制相配合。将嗅探的数据包存在pcap记录文件中。
- tcpdump嗅探软件:进行TCP/IP协议分析,并以每行一个数据包捕获内容的方式呈现嗅探结果。
- wireshark嗅探器
2.实践过程
tcpdump实践
任务:利用tcpdump对在本机上访问www.tianya.cn网站过程进行嗅探。在访问网站首页时,浏览器将访问多少个web服务器,IP地址是什么?
虚拟机的IP192.168.3.130
使用命令
tcpdump -nn '(tcp[tcpflags] & tcp-syn !=0 and tcp[tcpflags] & tcp-ack!=0) and (host 192.168.3.7
由图片可以看到,系统访问的ip地址有
124.225.65.154
218.77.130.200
202.108.23.152
124.225.135.230
14.225.214.206
72.21.202.25
wireshark实践
任务:使用wireshark对在本机上以telnet方式登录BBS进行嗅探与协议分析。
1.BBS服务器的IP地址与端口?
2.telnet协议是如何向服务器传送你输入的用户名及登录口令?
3.如何利用wireshark分析嗅探的数据包,并从中获取用户名及登录口令?
以下操作均在kali linux上完成
登录复旦大学的bbs,因为复旦大学的bbs支持游客模式,这样就省去了注册时间。
打开wireshark进行监听,同时在终端中输入 luit -encoding gbk telnet bbs.fudan.edu.cn
在终端中可以看到IP地址为202.120.225.9 使用wireshark寻找这个IP地址,可以看到端口为23
在搜索框中搜索Telnet,寻找到在该ip地址下tcp流并进行追踪。因为该文件都是明文的,所以可以看到用户名guest,并且发现用户名为空。
取证分析实践
任务:人为构造的到一台蜜罐主机的5次不同类型的端口扫描
- 攻击主机IP地址是什么?
- 网络扫描的目标IP是什么?
- 本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的
- 你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理
- 蜜罐主机上哪些端口被发现是开放的
- 攻击主机的操作系统是什么
IP地址和端口扫描
用wireshark打开listen.pcap文件进行分许,在最上面一栏的统计中选择会话,可以得到攻击机的ip是172.31.4.178,网络扫描的ip是172.31.4.188
运行指令 sudo snort -A console -q -u snort -c /etc/snort/snort.conf -r ~/listen.pcap
攻击者的扫描方法,并描述其工作原理
在wireshark对listen.pcap进行ARP查询,可以发现是使用nmap扫描主机是否活跃。
蜜罐主机上哪些端口被发现是开放的
由于我们已经确定了这些扫描是由nmap所发起的,而nmap在发起端口扫描之前总是先通过Ping扫描和针对80端口的探测确定目标主机是否活跃。
通过过滤器搜索icmp,可以定位ICMP协议对应的Ping扫描,实现两次Ping扫描。
在数据包中存在大量SYN请求包,这是攻击机57738端口向目标主机进行的TCP SYN扫描,目的是用于扫描目标主机的端口是否活跃,如果活跃则目标主机会反馈一个SYN|ACK包,攻击机端口会立刻发送一个RST包关闭这个链接,目标端口不活跃则会反馈RST|ACK包,指令可能为nmap -sS -p ip地址 端口172.31.4.188
在蜜罐主机上发现那些端口是开放的?
tcp.flags.syn == 1 and tcp.flags.ack == 1可以过滤出SYN | ACK的数据包,即为目标主机反馈扫描机的端口活跃信息。
攻击主机的操作系统是什么
安装p0f工具
使用命令:p0f -r /home/kali/Desktop/listen.pcap
可以得到系统为linux2.6.x
攻防对抗实践
3.学习问题中遇到的问题
- 使用wireshark很多地方不知道该如何使用,很多要查的东西我都不知道是什么意思。
解决:阅读wireshark用法掌握了wireshark的用法。 - snort工具安装后一直无法使用
解决:给予snort.conf可读可写可执行权限 :sudo chmod 777 /etc/snort/snort.conf
4.学习感想和体会
感觉使用wireshark很多地方对我来说都是黑盒技术,尤其是关于计算机网络以及TCP/IP协议的知识。决定要阅读计算机网络这本书,进行补课。
参考文献
超级详细Tcpdump 的用法
wireshark用法