實驗要求

（1）動手實踐tcpdump

使用tcpdump開源軟體對在本機上訪問www.tianya.cn網站過程進行嗅探，回答問題：你在訪問www.tianya.cn網站首頁時，瀏覽器將訪問多少個Web伺服器？他們的IP地址都是什麼？

（2）動手實踐Wireshark

使用Wireshark開源軟體對在本機上以TELNET方式登入BBS進行嗅探與協議分析，回答如下問題並給出操作過程:

你所登入的BBS伺服器的IP地址與埠各是什麼？
TELNET協議是如何向伺服器傳送你輸入的使用者名稱及登入口令？
如何利用Wireshark分析嗅探的資料包，並從中獲取你的使用者名稱及登入口令？
（3）取證分析實踐，解碼網路掃描器（listen.cap）

1. 攻擊主機的IP地址是什麼？

2. 網路掃描的目標IP地址是什麼？

3. 本次案例中是使用了哪個掃描工具發起這些埠掃描？你是如何確定的？

4. 你所分析的日誌檔案中，攻擊者使用了那種掃描方法，掃描的目標埠是什麼，並描述其工作原理。

5. 在蜜罐主機上哪些埠被發現是開放的？

6. 攻擊主機的作業系統是什麼？

實驗過程

動手實踐tcpdump

使用命令檢視本機IP地址

ifconfig

使用tcpdump對本機向外的通訊進行抓包，然後再瀏覽器中訪問www.tianya.cn。

sudo tcpdump -n src 192.168.238.128 and tcp port 80 and "tcp[13]&18=2"
 

可以看到訪問www.tianya.cn過程中訪問問了多個伺服器。

動手實踐Wireshark

使用命令訪問BBS伺服器

sudo luit -encoding GBK telnet bbs.fudan.edu.cn

我們先選擇new註冊一個賬戶，使用者名稱為luoleqi，密碼是20211909，然後開啟wireshark抓包，重新訪問BBS伺服器

可以從ip報頭中的得知BBS伺服器的ip為202.120.225.9，從tcp報頭中得知服務的埠是23。

從前兩個包可以看出，telnet是通過明文的方式一個個字元傳輸資料的，輸入使用者名稱時，我在鍵盤中鍵入“l”時，telnet協議使用明文的方式將“l”傳輸給伺服器，伺服器回覆“l”回顯在我們的命令列中。

對於輸入密碼時的情況，傳輸時還是以明文傳輸，只不過回顯的時候伺服器回顯“*”而不是對應的明文。
由以上原理，我們挨個檢視telnet包，就可以獲得完整的使用者名稱“luoleqi”和密碼“20211909”。

取證分析實踐，解碼網路掃描器

使用wireshark開啟listen.pcap

可以看到都是ip 172.31.4.178向ip 172.31.4.188傳送包，然後ip 172.31.4.188給ip 172.31.4.178回覆，所以ip 172.31.4.178是攻擊機，ip 172.31.4.178是靶機。

這裡應該是使用nmap埠掃描，原理是tcp半開放掃描。攻擊機向靶機發出握手申請，如果靶機回覆[SYN,ACK],說明該埠開放，比如圖中的80埠，這時候攻擊機就就不需要回復第三次握手的確認[ACK]了，因為這裡只是為了探測埠是否開放，而不是為了真的建立連線，所以回覆[RST]即可。攻擊機向靶機發出握手申請，如果靶機回覆[RST,ACK]，說明該埠是關閉的，比如圖中的110埠。通過這個原理，我們可以用以下命令進行篩選確認靶機哪些埠是開啟的。

tcp.flags.syn == 1 and tcp.flags.ack == 1

可以看到10、12、18、21等埠都是開放的。

使用“ssh”、“mysql”、“smtp”等進行篩選，發現都有對應的包，說明應該是使用了nmap的-sV掃描探測埠開啟的服務以及版本資訊。

tcp包太多了，我們使用“!tcp”篩選一下看一下其他包

發現有ping四次的ICMP包，這可能是攻擊機判斷與靶機的網路連通性，以及靶機是否線上的。

攻擊機還訪問了靶機上的web服務。

半連線長度為60的包太多了，排除一下看還剩哪些包

發現唯一一個udp包，傳輸的資料是一串“A”，不知道啥作用。

還有三次握手成功的，訪問的是80埠，應該是前面所說的訪問http網站。

發現ajp13包挺多的，這裡會不會是攻擊者在嘗試AJP13漏洞攻擊呢。

還有一些PGSQL、SMB之類的包，估計是之前說的探測服務及版本相關的。
最後使用p0f看看攻擊機是什麼作業系統

sudo p0f -r listen.pcap | grep "os"