1. 实验内容
(1)动手实践tcpdump
使用tcpdump开源软件对在本机上访问www.163.com网站过程进行嗅探,回答问题:你在访问www.163.com网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?
(2)动手实践Wireshark
使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析,回答如下问题并给出操作过程:
你所登录的BBS服务器的IP地址与端口各是什么?
TELNET协议是如何向服务器传送你输入的用户名及登录口令?
如何利用Wireshark分析嗅探的数据包,并从中获取你的用户名及登录口令?
(3)取证分析实践,解码网络扫描器(listen.cap)
攻击主机的IP地址是什么?
网络扫描的目标IP地址是什么?
本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
你所分析的日志文件中,攻击者使用了那种扫描方法,扫描的目标端口是什么,并描述其工作原理。
在蜜罐主机上哪些端口被发现是开放的?
攻击主机的操作系统是什么?
2.实验过程
2.1动手实践tcpdump
启动Kali虚拟机,输入ifconfig查看IP地址
首先切换到root超级用户su - root 然后使用tcpdump指令进行嗅探tcpdump -n src 192.168.200.2 and tcp port 80 and "tcp[13] & 18 =2"打开www.163.com和https://leetcode.cn/网址,即可看到查看嗅探结果
2.2动手实践Wireshark
打开Kali自带的Wireshark软件
双击eth0
打开终端,输入指令访问清华大学BBS服务器
luit -encoding gbk telnet bbs.mysmth.net
输入guest试用
打开Wireshark,输入telnet筛选,可以看到本机192.168.200.5和120.92.212.76之间有数据来往,点击可以查看端口号为23
右键点击其中的一条信息,选择Follow,再点击Tcp Stream
点击Show as,选择GBK,可以查看到刚刚输入的用户名及登录口令
2.3取证分析实践,解码网络扫描器
在虚拟机上,下载学习通上的listen.pcap文件,并将其复制到Kali虚拟机中
使用Wireshark打开listen.pcap文件
首先,源IP地址为172.31.4.178的主机主动向目的IP地址172.31.4.188发送一个[SYN]包,这是TCP三次握手的第一次握手,表明客户端希望建立连接。随后,172.31.4.188正常响应一个[SYN, ACK]包,作为第二次握手,表示同意连接并确认收到了前一个请求。接着,172.31.4.178又回复了一个[ACK]包,完成了第三次握手。至此,从协议层面看,TCP连接理论上已经成功建立。然而,在紧接着的通信中,其中一方(根据数据包中标志位和IP对应关系,仍为172.31.4.178或对端,但最终动作表现为连接立即被终止)发送了一个[RST, ACK]包。这个复位包直接导致刚刚建立的连接被强制中断,而不是通过正常的四次挥手来关闭。
因此,
2.3.1攻击主机的IP地址是什么?
攻击机(172.31.4.178):主动向目标机(172.31.4.188)发送 SYN包,发起TCP连接请求,是连接的发起方。
2.3.2网络扫描的目标IP地址是什么?
目标机(172.31.4.188):对攻击机的 SYN 包回复SYN+ACK,是连接的被动响应方。
2.3.3本次案例中是使用了哪个扫描工具发起这些端口扫描?你是如何确定的?
在root权限下输入指令sudo apt install p0f安装p0f工具
输入指令p0f -r /home/kali/Desktop/listen.pcap > result.txt,生成分析文件使用指令more result.txt打开文件,可以看到使用的是Nmap工具
2.3.4你所分析的日志文件中,攻击者使用了哪种扫描方法,扫描的目标端口是什么,并描述其工作原理。
ARP是二层广播协议,局域网内所有主机都会响应ARP请求,通过ARP流量可以快速列出当前网段内所有活跃的IP和对应的MAC地址,因此在Wireshark中输入ARP进行筛选。
可以观察到172.31.4.178(攻击机)反复发送ARP请求询问 172.31.4.188(目标机),确认目标机是否存活。
输入icmp进行筛选,验证网络连通性。攻击机连续发送2组ping请求(seq=295和seq=296),目标机均正常回复响应,这说明 172.31.4.178(攻击机与172.31.4.188(目标机)之间网络连通正常。
输入tcp进行筛选,以判断端口是否开放。攻击机主动发起了 TCP 握手,但在即将完成连接前故意用 RST 中断,使得连接始终未能进入第三步(ACK)。这种模式常见于端口扫描(如 SYN 扫描或半开扫描),攻击机利用这种方式探测目标端口是否开放,同时避免在目标机上留下完整的连接日志,也防止后续数据传输被记录。
2.3.5在蜜罐主机上哪些端口被发现是开放的?
输入tcp.flags.syn == 1 && tcp.flags.ack == 1进行筛选,精准提取TCP三次握手的第二步响应包,用于判断端口开放状态。
可以看到靶机的开放端口有:21 22 23 25 53 80 139 445 3306 5432 8009 8180
2.3.6攻击主机的操作系统是什么?
输入指令p0f -r /home/kali/Desktop/listen.pcap,可以看到攻击机的操作系统是Linux 2.6.x
3.学习中遇到的问题及解决
我在想把listen文件从windows传到虚拟机上的时候出现了问题,我开始以为是要复制到虚拟机所对应的根目录文件夹里,后来了解到这种情况是行不通的还可能会损坏虚拟机。然后试了一些办法都不行,最后是从虚拟机的百度登录学习通下载的。在最后我还想试试,最后发现open-vm-tools好像有问题,依次运行
sudo apt update
sudo apt install -y open-vm-tools open-vm-tools-desktop
sudo reboot
就可以了。
4.学习感想和体会
通过这次实验,我对抓包分析和取证排查从理论走向了实践。尽管操作上还有些生疏,但亲身感受到这些正是实际工作中最直接的技能。