该文详述了使用tcpdump和Wireshark对网络流量进行嗅探和协议分析的过程,包括访问网站时的服务器交互、TELNET登录BBS的明文传输,以及利用snort和p0f进行网络扫描的取证分析。文章还讨论了遇到的问题,如安装snort时的源更换,并揭示了攻击主机和目标IP的识别方法。
实践三 网络嗅探与协议分析
一、实验要求
(1)动手实践tcpdump
使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探,回答问题:你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?
先将kali虚拟机网络适配器改成桥接模式。
查询本地IP地址。
使用以下命令进行抓包。
sudo tcpdump -n src 192.168.16.128 and tcp port 80 and "tcp[13]&18=2"
打开浏览器访问www.tianya.cn
即可看到主要访问的服务器。
(2)动手实践Wireshark
使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析。
输入命令访问BBS服务器
sudo luit -encoding GBK telnet bbs.fudan.edu.cn
使用guest进行登录。
BBS服务器的ip为202.120.225.9,是23
telnet是明文传输用户名和密码。
(3)取证分析实践,解码网络扫描器(listen.cap)
攻击主机的IP地址是什么?
网络扫描的目标IP地址是什么?
本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
在蜜罐主机上哪些端口被发现是开放的?
攻击主机的操作系统是什么?
使用wireshark打开listen.pcap,一般方法打不开可以-直接拖拽到wireshark。下图即可看到靶机和主机的IP。
安装snort。输入sudo vim /etc/apt/sources.list进行换源。
sudo apt-get update
wget archive.kali.org/archive-key.asc 下载签名
apt-key add archive-key.asc 安装签名
sudo apt-get update
sudo apt-get install snort
sudo chmod 777 /etc/snort/snort.conf给snort.conf
snort -A console -q -u snort -c /etc/snort/snort.conf -r ~/listen.pcap
安装成功后,可以看到是用nmap扫描的,攻击主机的ip地址为172.31.4.178,靶机ip地址为172.31.4.188
找arp请求包,寻找目标IP地址为172.31.4.188的主机的MAC地址
找icmp请求包,可以看到两组ICMP request包和ICMP replay包,说明使用了主机扫描,并且确定了目标主机是活跃的
输入过滤条件:tcp.flags.syn == 1 and tcp.flags.ack == 1,即可得到所有的开放端口
使用p0f工具,先下载安装p0f工具
使用如下命令可得到如下结果,攻击主机的操作系统是2.6.x
sudo p0f -r listen.pcap
二.学习中遇到的问题及解决
安装snort时花费了较多时间,因为插入了新的源但是没有把旧源替换掉,重新安装两次安装成功。
三.学习感想和体会
通过这次实践,了解使用snort,wireshark等工具进行数据包的分析,体验到了网络攻防的乐趣
参考
https://blog.youkuaiyun.com/weixin_43729943/article/details/104221462
扫一扫
525
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
