20252907 2025-2026-2 《网络攻防实践》第二周作业
1.实验内容
1.1 网络嗅探工具实践:tcpdump 工具的使用
利用 tcpdump 工具,对访问某一网站时产生的网络流量进行捕获与分析。本实验的重点在于识别浏览器在访问网站过程中所连接的多个 Web 服务器的 IP 地址,并分析其通信模式。通过对捕获数据包的解析,可以清晰观察浏览器与不同服务器之间的交互过程,从而理解现代网站常见的多服务器协同架构。
1.2 抓包工具实践:Wireshark 工具的使用
利用 Wireshark 对本地计算机通过 TELNET 协议登录 BBS 的过程进行抓包分析,主要包括以下内容:
- 捕获并解析
TELNET协议相关数据包,获取 BBS 服务器的 IP 地址及端口信息。 - 分析
TELNET协议传输用户名和登录口令的方式,了解其以明文形式传输数据的特点。 - 借助
Wireshark的过滤与分析功能,从捕获的数据包中提取用户名和登录口令,验证TELNET协议在安全性方面的缺陷。
1.3 网络取证分析实践:网络扫描器日志分析
对提供的网络扫描日志文件 listen.pcap 进行深入分析,具体内容包括:
-
攻击主机与目标分析
识别攻击者所使用的端口扫描工具,并分析其基本工作原理。
-
扫描方法与目标端口分析
通过分析日志文件中的数据包,判断攻击者采用的扫描方式,例如
SYN扫描、ACK扫描等;进一步确定扫描的目标端口范围及其开放状态。 -
攻击主机操作系统识别
使用
p0f工具对攻击主机进行操作系统指纹识别,判断其操作系统类型及可能的版本信息。
1.4 知识点梳理与总结
从直观角度来看,网络嗅探就像在一个房间中监听人们的谈话:房间里每个人交流的内容,就如同网络中传输的数据;而嗅探工具则像一个特殊的“监听器”,能够捕捉并记录网络中经过的数据内容。
在网络通信中,数据以“数据包”的形式进行传输,类似于一个个被投递的快递包裹。每个数据包都包含源地址和目的地址,用于指明其发送者和接收者。正常情况下,计算机只会接收发往自身的数据包;而网络嗅探工具则可以对经过网络接口的数据包进行捕获和检查,例如本实验中使用的 Wireshark 和 tcpdump。
网络嗅探技术在实际中具有重要作用。一方面,它能够帮助网络管理员检测网络运行状态,例如排查数据包丢失、延迟过高、带宽占用异常等问题;另一方面,它也常用于安全分析,例如发现异常连接、识别恶意流量、监测潜在入侵行为等。因此,掌握网络嗅探与协议分析技术,对于网络管理和网络安全防护都具有重要意义。
1.5 实验环境
运行环境:VMware、Windows
虚拟机环境:
- 攻击机:Kali Linux
- 靶机:SEEDUbuntu
IP 地址配置:
- Kali:
192.168.200.7 - SEEDUbuntu:
192.168.200.3
1.6 实验内容与原理
网络嗅探是一种对网络流量进行监控和分析的技术,其核心在于捕获网络中传输的数据包,并对其内容进行检查与解析,从而实现网络管理和安全分析等多种目标。协议分析则是网络数据包分析的核心内容,通过对不同协议的数据结构和通信过程进行解码和解释,可以更深入地理解网络通信行为。
借助网络嗅探与协议分析技术,可以实现以下目标:
- 进行入侵检测与安全监控,及时发现异常流量和潜在攻击行为;
- 进行网络故障排查与性能优化,提升网络运行效率;
- 分析网络协议交互过程,掌握通信机制和安全隐患。
本次实验主要涉及以下三种工具或方法:
1.6.1 tcpdump
tcpdump 是一种轻量级命令行抓包工具,适用于服务器环境或资源受限设备中对网络数据包进行快速捕获和初步分析。其主要特点包括:
- 捕获数据包:基于网络接口实时抓取流量;
- 选择数据包:利用 BPF(Berkeley Packet Filter)机制对数据包进行筛选;
- 显示数据包:对捕获到的数据包进行解码并输出关键信息。
1.6.2 Wireshark
Wireshark 是一种功能强大的图形化网络协议分析工具,适用于网络工程师、安全分析人员以及开发者进行细致的协议分析和故障定位。其主要功能包括:
- 捕获数据包:通过连接网络接口卡获取实时流量;
- 包过滤:可依据 IP 地址、协议类型、端口号等条件筛选数据包;
- 数据包分析:提供详细的分层协议信息;
- 协议解码:以清晰、直观的格式展示通信内容。
1.6.3 网络扫描器日志分析
对网络扫描行为进行捕获、分析与解码,可以揭示攻击者的意图、行为模式以及所使用的工具,为网络安全防护和安全事件响应提供重要依据。通过对扫描日志的分析,可以识别:
- 攻击者所使用的扫描工具;
- 扫描采用的技术方法;
- 扫描目标端口及其状态;
- 攻击主机的操作系统特征。
2.实验过程
2.1 使用tcpdump进行嗅探实验
登录kali虚拟机打开终端输入命令ifconfig查看到卡里虚拟机的ip地址为192.168.200.7
切换到root权限后输入命令tcpdump -n src 192.168.200.3 and tcp port 80 and "tcp[13] & 18 =2"对本机的网络访问进行嗅探
打开chrome浏览器访问www.luogu.com.cn,查看终端中显示的嗅探信息。
6个服务器,ip地址分别为:34.107.221.82、1.194.31.46、23.11.39.161、140.249.240.50、183.131.87.116、23.59.88.241。
2.2利用 Wireshark 对本地计算机通过 TELNE
2.2 利用 Wireshark 对本地计算机通过 TELNET 协议登录 BBS 的过程进行抓包分析
打开kali自带的wireshark软件,选择监听网卡为eth0
输入命令luit -encoding gbk telnet bbs.mysmth.net访问清华bbs服务器,输入用户名zyxyyds和设定的密码进行登录
打开wireshark查看抓到的包,输入telnet筛选,可以看到在地址192.168.200.7(本机)和120.92.212.76(服务器)之间有大量的往来数据包
在过滤器中输入telnet筛选出对应的数据包,可以看到BBS服务器IP地址是120.92.212.76,端口是23
追踪TCP数据流后可以看到在输入用户名和密码登录时服务器和客户端之间的数据交流红色字母为客户端向服务器发送的数据,蓝色字母为服务器向客户端发送的数据。在输入用户名时每输入一个字符客户端向服务器发送该字符同时服务器立即回传该字符,据此可以通过数据流分析出登录使用的用户名为zyxyyds。用户名输入结束后提示输入密码,客户端每输入一个字符就向服务器发送该字符,服务器收到该字符后回显一个*字符,根据输入密码时客户端向服务器发送的数据流可以得出用户的密码。用户名与密码核验无误后进入到论坛版块中。
据此可以总结telnet协议的工作流程
建立连接
• 当用户在本地计算机(Telnet 客户端)中运行 telnet 命令并指定远程主机时,客户端会发起到远程主机的 TCP 连接。默认情况下,Telnet 使用 TCP 23 端口进行通信。
• 客户端连接到远程计算机后,通常会要求用户提供用户名和密码进行身份验证。用户在客户端输入用户名和密码时每输入一个字符客户端即向服务器发送该字符,服务器收到后立即回显一个字符,并且telnet 协议并没有加密这些凭据,因此这些信息以明文形式发送。
• 用户在客户端输入认证信息后,服务器验证身份。如果身份验证通过,则允许用户进入远程系统。
数据交换
• 身份验证通过后,用户可以输入命令与远程计算机交互。所有输入的数据将通过 Telnet 协议发送到远程计算机,远程计算机执行相应的操作后,将结果返回给客户端。
关闭连接
• 当用户结束会话时,可以通过发送命令或直接关闭 Telnet 客户端来断开连接。• 远程主机会收到断开请求,并关闭与客户端的连接。此时,Telnet 会话结束。
2.3 使用解码网络扫描器(listen.pcap)进行取证分析实践
打开Kali虚拟机,在WireShark中进行listen.pcap文件的分析
kali虚拟机在之前没有安装过snort,先进行安装
sudo su
sudo apt-get update
sudo apt-get install snort
查看snort 版本
将listen.pcap文件传入虚拟机并且移动到指定文件下
安装并使用p0f工具,对攻击机操作系统版本的查询
sudo apt install p0f
- 攻击主机的IP地址是什么?网络扫描的目标IP地址是什么?攻击主机的操作系统是什么?
sudo p0f -r /home/kali/Desktop/listen.pcap
找到攻击主机的IP:172.31.4.178
网络扫描的目标IP:172.31.4.188
攻击主机的操作系统:Linux 2.6.X
可以发现攻击方使用了namp扫描工具
打开listen.pcap文件,筛选arp协议,观察数据包信息发现,攻击机通过arp报文获取靶机的mac地址。
观察这部分tcp包可以判断出这是攻击机使用半开放扫描攻击靶机,一直发起tcp连接请求但是不理会靶机的恢复,直到连接超时靶机恢复RST重置连接
通过nmap命令扫描的目标是否活跃并且对其操作系统,端口和服务进行查看
nmap -P 172.31.4.188
nmap -O 172.31.4.188
nmap -sS -P 1-65535 172.31.4.188
nmap -sV 172.31.4.188
过滤tcp数据包
- 在蜜罐主机上哪些端口被发现是开放的?
通过筛选可以查看哪些端口是活跃的:
tcp.flags.syn == 1 and tcp.flags.ack == 1
143、110、25、443。
4.学习中遇到的问题及解决
-
问题1:清华的BBS水木社区无法注册
解决方法:水木社区这里注册。
5.学习感悟、思考
本次实验通过 tcpdump 抓包与 Wireshark 协议分析,让我对网络通信的底层机制与网络安全风险有了更为直观、系统的认识。此前虽接触过 Wireshark,但仅局限于 TCP 报文的简单抓取,而本次实验围绕网站访问、BBS 登录等真实场景展开,使我清晰看到各类网络协议在实际业务中的协同运行过程。
在协议分析环节,TELNET 明文传输的特性给我留下深刻印象。账号、密码等敏感信息未经加密直接暴露在网络中,一旦被嗅探即可被轻松获取,直观体现出不安全协议带来的巨大安全隐患,也让我充分认识到加密通信的必要性。
在取证分析实验中,通过对 pcap 流量文件的深度解析,我掌握了识别网络攻击行为、分析攻击手段的基本方法。能够从数据包中辨别扫描行为、定位攻击源与目标主机,理解常见扫描工具的工作特征,对网络安全事件的研判、溯源与取证流程形成了清晰思路。同时,通过 p0f 工具实现对操作系统的识别,进一步丰富了流量分析与主机探测的实践技能。
网络嗅探实验让我真切体会到数据传输的 “透明性” 与复杂性。每一个数据包都承载着完整的通信信息,明文传输如同将关键信息写在明信片上,极易被截获、解析与滥用。这也让我深刻理解到网络嗅探技术的双刃剑属性:一方面,它是网络排障、安全监测、入侵检测的重要手段;另一方面,若被非法利用,则会严重威胁数据安全与个人隐私。
本次实验不仅巩固了协议分析、流量抓包、工具使用等实操能力,更让我建立起从数据包视角审视网络安全的思维方式。网络安全并非抽象概念,而是体现在每一次数据交互、每一个报文细节之中。只有真正理解通信原理与潜在风险,才能在后续的学习与实践中,更有效地发现问题、分析问题、解决问题,不断提升网络安全防护与应急处置能力。