20251910 2025-2026-2 《网络攻防实践》第3次作业

目录

• 20251910 2025-2026-2《网络攻防实践》第3次作业
  • 1.实验内容
    • 1.1实验要求
    • 1.2知识点梳理
  • 2.实验过程
    • 2.1实践tcpdump
    • 2.2实践wireshark
    • 2.3取证分析实践
  • 3.学习中遇到的问题及解决
  • 4.学习感悟、思考等）

20251910 2025-2026-2《网络攻防实践》第3次作业

1.实验内容

1.1实验要求

（1）动手实践tcpdump

使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探，回答问题：你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器？他们的IP地址都是什么？

（2）动手实践Wireshark

使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析，回答如下问题并给出操作过程:

1.你所登录的BBS服务器的IP地址与端口各是什么？

2.TELNET协议是如何向服务器传送你输入的用户名及登录口令？

3.如何利用Wireshark分析嗅探的数据包，并从中获取你的用户名及登录口令？

（3）取证分析实践，解码网络扫描器（listen.cap）

1.攻击主机的IP地址是什么？

2.网络扫描的目标IP地址是什么？

3.本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？

4.你所分析的日志文件中，攻击者使用了那种扫描方法，扫描的目标端口是什么，并描述其工作原理。

5.在蜜罐主机上哪些端口被发现是开放的？

6.攻击主机的操作系统是什么？

1.2知识点梳理

（1）TCPDump

TCPDump可以将网络中传送的数据包完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。

（2）网络嗅探

网络嗅探需要用到网络嗅探器， 其最早是为网络管理人员配备的工具， 有了嗅探器网络管理员可以随时掌握网络的实际情况，查找网络漏洞和检测网络性能，当网络性能急剧下降的时候，可以通过嗅探器分析网络流量，找出网络阻塞的来源。网络嗅探是网络监控系统的实现基础。

（3）Wireshark

Wireshark是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

2.实验过程

2.1实践tcpdump

在kali中使用tcpdump监控访问本机与www.163.com进行通信的包。在管理员模式下输入指令如下：

tcpdump -n src 192.168.200.5 and dst host www.163.com

紧接着我们打开浏览器访问www.163.com

我们可以看到在此过程中数据包经过了124.163.161.96服务器

2.2实践wireshark

在kali中打开wireshark选择eth0网卡进行监听

使用telnet访问清华大学BBS论坛，命令如下：

luit -encoding gbk telnet bbs.mysmth.net

并在此过程中使用wireshark开始抓包

暂停抓包，在顶部输入框中输入telnet，过滤出所有的telnet包，可以看到kali与BBS服务器的telnet协议通信记录

通过这些telnet通信记录，可以分析出BBS服务器的ip地址为120.92.212.76，参与通信的端口为telnet协议默认的23号端口

继续追踪telnet包的TCP流，转换编码方式后，可以看到输入的登录信息是以明文的方式传输给了BBS服务器，可以得到我们的用户名和登录口令

2.3取证分析实践

在学习通上下载listen.pcap文件

在图片中可以看到，172.31.4.178和172.31.4.188进行了通信，首先建立了TCP连接，172.31.4.178首先发起了TCP连接的握手，可以将其判定为攻击机，被攻击机ip为172.31.4.188

安装snort工具，在管理员模式下命令如下：

apt-get install snort

使用snort对listen.pcap文件进行分析，查看分析的结果，可以得出攻击者使用nmap进行扫描

在过滤器中输入arp，查看两者之间arp协议的通信记录，可以看到大量的arp请求，可以推测出攻击机进行了nmap -P操作

紧接着，我们在过滤器中输入tcp.flags.syn == 1 && tcp.flags.ack == 0，来过滤那些只发送了SYN而没有收到ACK的包，可以发现有大量SYN包发送给被攻击机的各个端口，且这些通信都没有后续连接，我们可以判断攻击机正在使用nmap -sS指令执行全端口的扫描

我们在过滤器中输入tcp.flags == 0x00，来判断攻击机是否使用nmap进行了隐秘扫描，可以看到有一些通信记录，可能使用了nmap -sN指令

我们在过滤器中输入tcp && tcp.len > 0，来判断攻击机是否对开放端口发送带数据载荷的探测包，可以发现存在大量记录，判断攻击者使用了nmap -sV指令来扫描开放的服务

我们查看那些在端口扫描后正确建立了通信的连接，可以发现可以看到有3306，139，23，80，25，22，53，21等端口开放

安装p0f工具，并使用其分析listen.pcap文件，在分析结果中我们可以看到攻击机的操作系统是linux 2.6.X

3.学习中遇到的问题及解决

1.不知道怎么使用wireshark分析nmap的扫描方式
解决方法：复习上次实验中使用的nmap扫描方式，并学习其原理，借助ai工具完成学习

4.学习感悟、思考等）

经过本次实验我对nmap扫描工具背后的原理有了更深的理解，掌握了基本的wireshark使用技巧，且对SYN，ACK，LEN等包结构有了更深的理解，复习了上次课程学习的知识，并为下节课程使用这些结构通过一定的技巧进行攻击打下了基础