2. 程式人生 > 其它 >20212937 曾俊銘 《網路嗅探與協議分析》

20212937 曾俊銘 《網路嗅探與協議分析》

阿新 發佈:2022-03-29

20212937 曾俊銘 2021-2022-2 《網路攻防實踐》第5周作業

1.實驗內容

  • 利用tcpdump對網路訪問過程進行嗅探,確定所訪問時瀏覽器所訪問的web伺服器以及他們的IP地址

  • 利用wireshark在主機通過TELNET方式登入BBS時,抓包分析所登陸伺服器的IP和埠等有用資訊以及檢視登入口令

  • 利用已有的listen.cap檔案進行分析,得到攻擊機和靶機的IP、埠號等有用資訊

2.實驗過程

(1)動手實踐tcpdump

使用tcpdump開源軟體對在本機上訪問www.tianya.cn 網站過程進行嗅探

首先將kali虛擬機器改為橋接模式直連物理網路:

查詢虛擬機器kali的IP地址:

開啟kali輸入命令列sudo tcpdump -n src 192.168.1.104 and tcp port 80 and "tcp[13]&18=2":

通過在虛擬機器kali上瀏覽器登入 www.tianya.cn:

監聽結果進行分析:

由以上截圖可知瀏覽器訪問了以下12個Web伺服器,IP地址如圖

(2)動手實踐Wireshark

使用Wireshark開源軟體對在本機上以TELNET方式登入BBS進行嗅探與協議分析

開啟kali,輸入命令列 luit -encoding gbk telnet bbs.fudan.edu.cn,訪問復旦大學BBS伺服器,找到其IP地址並登入:

我們可以發現其IP地址為202.120.225.9

因為橋接真實主機,直接開啟真實主機上的wireshark,並抓包分析:

發現其埠號為23,追蹤其TCP流分析資料包找到登入口令:






(3)取證分析實踐,解碼網路掃描器(listen.cap)

下載資原始檔listen.pcap,開啟,使用選單欄中Statistics(統計)下的Conversation(會話),選擇IPV4,發現172.31.4.178和172.31.4.188之間有大量的雙向資料包,由此可知確定兩者為攻擊主機IP為172.31.4.178和目標主機IP為172.31.4.188

將 listen.pcap 複製到kali虛擬機器中,使用snort對二進位制記錄檔案進行入侵檢測,可以分析出本次攻擊是nmap發起的

使用sudo apt-get update 命令更新APT庫

使用sudo apt-get install snort命令安裝snort

使用sudo chmod 777 /etc/snort/snort.conf 命令給予snort.conf可讀可寫可執行許可權

輸入snort -A console -q -u snort -c /etc/snort/snort.conf -r ~/listen.pcap 命令
-A開啟報警模式
-q不顯示狀態報告
-u為初始化後改變snort的UID
-c為使用後面的配置檔案,進入IDS模式
-r從pcap格式的檔案中讀取資料包

掃描前nmap會通過arp更新目標MAC地址,所以使用Wireshark的過濾器掃描出arp包,可以看到共進行4次nmap掃描

以ICMP為過濾條件分析發現,有攻擊機和靶機之間的雙向資料包,說明進行了ICMP ping掃描,即 nmap -sP 172.31.4.188

以TCP作為過濾條件,觀察到進行了大量的TCP掃描,如圖可以看到攻擊機向靶機發送SYN請求包,靶機返回SYN,ACK確認連線,攻擊機響應,說明該埠開放,所以攻擊機進行了nmap -sS 172.31.4.188 掃描

過濾埠22,觀察該埠的資料包發現攻擊機和靶機之間建立了TCP和DNS連線用以探測網路服務,所以攻擊機對靶機進行了nmap -sV 172.31.4.188的版本檢測掃描

通過過濾器的 tcp.flags.syn == 1 and tcp.flags.ack == 1 可以過濾出SYN | ACK的資料包,這是目標主機反饋攻擊主機的埠活躍資訊。可檢視靶機的開放埠有:21 22 23 25 53 80 139 445 3306 3632 5432 8009 8180

攻擊主機的作業系統,可以通過命令列“[root@SOR_SYS ~]# uname -a/ [root@SOR_SYS ~]# cat /proc/version 來查詢

3.學習中遇到的問題及解決

  • 問題1:將kali虛擬機器改為橋接模式之後,無法連線上網?

  • 問題1解決方案:因為在實驗室直連網線,而虛擬機器的虛擬網路編輯器橋接模式沒有橋接到對應的網路,重新設定一下就好

  • 問題2:檢視攻擊機作業系統p0f工具無法下載?

  • 問題2解決方案:使用其他命令列來檢視,如# uname -a 或# cat /proc/version來查詢

4.學習感悟、思考等)

這次實驗跟著視訊做並不複雜,主要是要熟練使用命令列和wireshark抓包,並會分析資料包。除此之外,我們瞭解了通過監聽嗅探等方式可以獲取隱蔽資訊,也初步熟悉了nmap的作用。這次實驗收穫還行,就是有些操作的資料量有點大,容易漏看錯看,再接再厲吧。

相關推薦

20212937 網路協議分析

20212937 2021-2022-2 《網路攻防實踐》第5周作業 1.實驗內容 利用tcpdump對網路訪問過程進行,確定所訪問時瀏覽器所訪問的web伺服器以及他們的IP地址

實踐三 網路協議分析

20212806 2021-2022-2 《網路攻防實踐》第3周作業 1.實驗內容(知識總結) 網路

20212937 網路攻防實驗報告

20212937 2021-2022-2 《網路攻防實踐》實踐報告 1.實踐內容 實踐目標: 本次實踐的物件是一個名為pwn1的linux可執行檔案。

20212937 2021-2022 網路攻防環境搭建

20212937 2021-2022-2 《網路攻防實踐》第3周(第1次)作業 一.知識點梳理總結

20212937 《TCP/IP網路協議攻擊》

20212937 曾俊銘 2021-2022-2 《網路攻防實踐》第六週實驗報告 1.實踐內容 在網路攻防實驗環境中完成TCP/IP協議棧重點協議的攻擊實驗,包括ARP快取欺騙攻擊、ICMP重定向攻擊、SYN Flood攻擊、TCP RST攻擊、TCP會話劫

20212937 網路攻防實踐》

20212937 2021-2022-2 《網路攻防實踐》實踐報告 1.實踐內容 什麼是sql注入呢?

網路防範實驗

實驗工具環境配置 伺服器作業系統:macOS Catalina 10.15.2 客戶端作業系統:macOS High Sierra 10.13.6

網路

實驗1、網路嗅探-網路嗅探的基本概念及實踐 1、實驗介紹 實驗簡介 實驗所屬系列:網路嗅探實驗物件:本科/專科資訊保安專業;相關工作從業人員;應用安全愛好者相關課程及專業:網路嗅探實驗時數(學分):2學

[網路/Linux]網路工具——nmap

1 nmap 簡介 Nmap 即 Network Mapper,最早是Linux下的網路掃描和工具包。 2 安裝使用

網路技術標準協議

ICMP是控制協議,我們平常ping命令就是這個協議. RARP:反向ARP,把mac轉ip. TCP之上的這些都是可靠協議.

網路抓包協議學習

網路抓包協議學習 HTTP協議 HTTP 特性: HTTP 是無連線無狀態的HTTP 一般構建於 TCP/IP 協議之上,預設埠號是 80

Wrieshark網路資料抓包協議分析

首先給自己提個醒 Windows下如何執行.sh指令碼 按下win+s,搜尋sh或者git,開啟sh或者git bash,cd到指令碼目錄,通過命令執行

網路流量

2020-08-11  記錄 參考《python黑帽子 黑客滲透測試程式設計之道》,內容大多都是書裡的,懺愧,本人戰五渣。主要就記錄自己怎麼學的吧。。。

C# 利用SharpPcap實現網路包捕獲

本文是利用SharpPcap實現網路包的捕獲的小例子,實現了埠監控,資料包捕獲等功能,主要用於學習分享。

分享四個 Linux 上的網路資訊工具

  在計算機網路中,資料是暴露的,因為資料包傳輸是無法隱藏的,所以讓我們來使用 whois、dig、nmcli和 nmap 這四個工具來網路吧。

nginx網路通訊模組設計實現分析

nginx作為後端程式不可缺少的中介軟體,憑藉其優異的效能和穩定,獲得了大量的使用者

redis網路通訊模組設計實現分析

redis的通訊模組封裝得非常簡單易用,可以直接用到自己專案中,學習下也是很有價值的。

memcached網路通訊模組設計實現分析

接上一篇redis網路通訊模組,memcached的網路通訊藉助了libevent庫,簡化了底層的網路讀寫事件的封裝,但是memcached多了多執行緒處理

何謂SQLSERVER引數問題

大家聽到“”這個詞應該會覺得跟黑客肯定有關係吧,使用工具一下引數,然後截獲,脫褲o(∩_∩)o 。

K8s網路外掛flannelcalico

Kubernetes的網路通訊問題:  1. 容器間通訊: 即同一個Pod內多個容器間通訊,通常使用loopback來實現。  2. Pod間通訊: K8s要求,Pod和Pod之間通訊必須使用Pod-IP 直接訪問另一個Pod-IP  3. PodSer