20251905 2025-2026-2 《网络攻防实践》实验三
1.实验内容
知识点梳理
实验中主要使用了四款网络分析与安全工具:
tcpdump
- 作用:命令行界面的网络数据包嗅探与分析工具。
- 原理:利用BPF机制,直接从网络接口截获符合特定逻辑表达式的数据包。
- 常用参数解析:
-n:直接显示IP地址和端口号,不进行域名解析,提高处理速度。src/dst port:指定数据包的源IP地址或目的端口。and/or:逻辑运算符,用于组合多个过滤条件以实现精准抓包。
Wireshark
- 作用:图形化网络协议分析工具。
- 原理:捕获网络接口的数据包,并提供深度的协议解析与数据包重组功能。
- 关键功能分析:
- 流量过滤:支持通过语法(如
ip.src==172.31.4.188&&tcp.flags.ack==1&&tcp.flags.syn==1)精确提取具有特定TCP标志位的数据包,用于分析端口开放状态。 - 跟踪TCP流:将属于同一TCP连接的零散数据包按照时间顺序重组,便于分析应用层数据传输过程,可直接观察到明文传输的敏感信息。
- 流量过滤:支持通过语法(如
nmap
- 作用:主动式网络探测与安全扫描工具。
- 原理:向目标主机发送特定构造的探测数据包,通过分析目标返回的响应包特征来推断网络拓扑、主机状态及服务信息。
- 常见扫描方式(实验涉及部分):
| 参数 | 扫描类型 | 工作机制 |
|---|---|---|
-sP |
Ping扫描 | 发送ARP或ICMP请求包,根据是否有回应来判断目标主机是否存活。 |
-O |
操作系统探测 | 向目标发送一系列特定TCP/UDP包,分析返回包的特征(如TTL、TCP窗口大小等),并与系统指纹库比对。 |
-sS |
TCP SYN扫描 | 也称半开扫描。仅发送SYN包,若收到SYN/ACK则判定端口开放,随后发送RST中断连接,不完成完整的三次握手,隐蔽性较高。 |
-sV |
服务版本探测 | 与目标端口建立连接后,抓取应用层返回的Banner信息,或发送探针判断具体运行的服务及版本。 |
p0f
- 作用:被动式操作系统指纹识别工具。
- 原理:不向目标发送任何探测数据包,仅依靠监听网络中已有的通信流量(如分析TCP SYN数据包的默认字段特征),实现对目标操作系统的隐蔽识别。
2.实验过程
(1)动手实践tcpdump
使用tcpdump开源软件对网站访问过程进行嗅探,回答问题:你在访问网站时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?
tcpdump -n src 202.51.90.66 and tcp dst port 80 or tcp dst port 443
确认IP后通过该命令使用tcpdump工具,同时打开一个网站(以知乎为例)
可以看到终端界面中已经出现了截获的流量包。
分析可知,访问知乎过程中,浏览器访问了共五个web服务器,ip与端口分别是:
60.28.220.199:443
218.61.162.41:443
111.206.209.249:443
106.13.244.173:443
118.89.204.198:443
(2)动手实践Wireshark
使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:
- 你所登录的BBS服务器的IP地址与端口各是什么?
- TELNET协议是如何向服务器传送你输入的用户名及登录口令?
- 如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?
首先打开wireshark开始监听
wireshark
输入命令访问BBS
telnet bbs.newsmth.net 23
可以看到wireshark中出现了捕获的数据包。
选中其中一个分析可知,BBS服务器的IP为120.92.212.76,端口为23
选中数据包右键可以跟踪TCP流,进而更好地分析数据包,如获取用户名及登录口令
可以看到,用户名与密码在telnet协议中以明文传输。
(下图中,红色为本地发送的数据,蓝色为远程回显的数据,因此会出现两遍。)
(3)取证分析实践,解码网络扫描器(listen.cap)
- 攻击主机的IP地址是什么?
- 网络扫描的目标IP地址是什么?
- 本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
- 你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
- 在蜜罐主机上哪些端口被发现是开放的?
- 攻击主机的操作系统是什么?
将下载的listen.pcap文件拖入wireshark进行分析
172.31.6.178对172.31.4.188以高频率对不同端口发送了很多次TCP请求,符合扫描特征,因此可认定攻击主机为172.31.6.178,被作为目标的主机为172.31.4.188
观察可知,扫描发送的数据包有很明显的特征,猜测使用的是nmap进行扫描
可以使用p0f工具对数据包进行分析,确实使用的是nmap
同时也把攻击主机操作系统分析了出来:Linux 2.6
接下来分析使用的扫描方法:
明显的主机探测。nmap -sP 172.31.4.188,ARP数据包探测是否存在对应ip的主机
符合nmap -O数据包特点,使用nmap探测操作系统
这部分对1-65535端口进行了半开扫描nmap -sS 192.168.8.6 -p 22
这部分是nmap -sV 172.31.4.178端口服务探测
通过下列指令进行过滤:
ip.src==172.31.4.188&&tcp.flags.ack==1&&tcp.flags.syn==1
可知,开放的端口为:21,22,23,25,53,80,139,445,3306,3632,5432,8009,8180
4 学习中遇到的问题及解决
暂无
5 学习感悟
通过本次网络攻防实践,我掌握了网络数据包的截获、过滤与分析流程,并对网络协议的底层运行机制及安全隐患有了客观认识。首先,在抓取与分析BBS登录流量的实践中,我利用Wireshark跟踪TCP流,直观验证了TELNET协议在网络中以明文形式传输用户名和密码的事实。这表明传统明文协议在面对被动网络嗅探时缺乏基本的保密能力,在实际应用中应强制使用SSH等加密协议进行替代。
其次,在对listen.cap日志文件的取证分析中,我熟悉了攻击者进行网络信息收集的标准化流程。通过识别数据包的协议类型与TCP标志位特征,我能够反向推断出攻击者使用的工具以及对应的扫描策略(包括主机发现、操作系统探测、端口半开扫描及服务版本探测)。这一过程提高了我的网络流量审计能力,使我能够根据特定探测包的特征提取攻击特征码,为后续在防火墙或入侵检测系统中配置防御规则提供了事实依据。