20253914 2024-2025-2 《网络攻防实践》第3次作业

一、实验内容

1. 学习tcpdump
2. 学习Wireshark
3. 学习解码网络扫描器

二、实验过程

1. tcpdump

查询我的kali的IP地址为192.168.200.4，网关为eth0
使用以下命令进行嗅探
sudo tcpdump -n -i eth0 src 192.168.200.4 and 'tcp port 80 or tcp port 443' and 'tcp[13] & 2 != 0'

打开www.163.com，可以看到嗅探成功
观察发现主要为web服务器

将抓包记录发给豆包，经她统计并去重，结果如下：
服务器数量：共 23 台服务器
IP 地址列表：

• 151.101.89.91
• 34.160.144.191
• 34.107.243.93
• 34.107.221.82
• 110.242.69.21
• 60.29.234.35
• 202.108.153.116
• 106.39.192.148
• 218.11.11.229
• 220.197.30.48
• 220.197.30.54
• 220.197.35.208
• 60.6.1.220
• 218.11.11.222
• 218.11.11.230
• 60.26.227.227
• 220.197.35.192
• 220.197.30.52
• 218.11.11.221
• 110.242.68.137
• 59.110.122.164
• 111.206.208.185

2. wireshark

通过luit -encoding gbk telnet bbs.mysmth.net访问清华bbs服务器
打开wireshark 监听eth0，并登录清华的水木社区

通过查看telnet确定其ip为120.92.212.76，端口号为23

TELNET 是明文传输协议，工作在应用层，基于 TCP 23 端口。
你在客户端键盘输入的每一个字符，都会被单独封装成 TCP 报文，以明文形式发送给服务器。
登录过程：

• 客户端连接服务器 TCP 23 端口
• 服务器发送登录提示（如login:）
• 用户输入用户名，每个字符明文发送
• 服务器回显Password:
• 用户输入密码，同样每个字符明文发送（只是客户端本地不回显）
  整个过程没有加密，用户名和口令在网络中以ASCII 明文传输，极易被嗅探

直接通过追踪TCP流，就找到了明文状态下的我的账户名和密码（密码正确，已打码处理）

3. 取证分析

下载并将listen.pcap文件移动到正确位置

使用snort进行加载

安装p0f并对listen.pcap文件进行读取

经过分析
攻击主机的IP：172.31.4.178
扫描目标IP：172.31.4.188
攻击主机的操作系统：Linux 3.X
理由如下：

• 所有流量都标记app = NMap SYN scan。Nmap 是 Linux/Kali 最常用的扫描工具，Windows 很少用纯命令行 SYN 扫描。
• TCP 指纹格式：raw_sig = 4:xx+xx:0:1460:xxxx,0:mss::0。无时间戳、无 SACK
• 所有记录都带：params = random_ttl。这是 Linux 3.x+ 内核 独有的随机 TTL 安全特性
  同时，通过app = NMap SYN scan可以判断，采用的是nmap工具，使用的是Nmap SYN 半开扫描方法
  其命令为sudo nmap -sS 172.31.4.188
  从日志可以看到，攻击者对目标主机 172.31.4.188 扫描了大量常见端口：
  21（FTP）、22（SSH）、23（Telnet）、25（SMTP）
  53（DNS）、80（HTTP）、110（POP3）、135/139/445（Windows 服务）
  443（HTTPS）、3306（MySQL）、3389（RDP）、5900（VNC）等

SYN 半开扫描工作原理

• 攻击者向目标端口发送一个TCP SYN 包（请求建立连接）。
• 如果目标端口开放：目标回复 SYN+ACK。攻击者立即发送 RST 包断开连接，不完成三次握手。
• 如果目标端口关闭：目标直接回复 RST 包。

当攻击机（172.31.4.178）发送 SYN 包后，蜜罐主机（172.31.4.188）回复 SYN,ACK → 说明该端口开放
从抓包中可以看到，蜜罐主机对以下端口回复了 SYN,ACK：

• 3306（MySQL 数据库服务）
  包 9：172.31.4.178 → 3306 [SYN]
  包 10：172.31.4.188 → 57738 [SYN, ACK]
• 139（NetBIOS 会话服务）
  包 11：172.31.4.178 → 139 [SYN]
  包 12：172.31.4.188 → 57738 [SYN, ACK]
• 23（Telnet 服务）
  包 17：172.31.4.178 → 23 [SYN]
  包 18：172.31.4.188 → 57738 [SYN, ACK]
• 80（HTTP 服务）
  包 20：172.31.4.178 → 80 [SYN]
  包 21：172.31.4.188 → 57738 [SYN, ACK]

三、学习中遇到的问题及解决

• 问题1：无法找到能够访问的bbs服务器
• 问题1解决方案：通过查看好兄弟赵一旭的博客得以解决

四、学习感悟

通过学习 tcpdump、Wireshark 抓包与扫描日志分析，我掌握了被动识别网络攻击行为的核心方法：

• 用 tcpdump 高效捕获原始流量，留存攻击痕迹
• 用 Wireshark 可视化解析协议细节，通过 SYN/ACK 响应判断端口开放状态
• 结合 p0f 等工具，从 TCP 指纹、TTL 特征等还原攻击机操作系统与扫描手段
  这让我能从流量中快速定位扫描行为、识别开放端口与攻击源特征，提升了网络安全监测与事件溯源的实战能力。