益阳有专做网站的吗,百度知道山东网站建设,关于网站建设请示,学校网站建设解决方案1.实验内容
1、实践tcpdump
使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探#xff0c;回答问题#xff1a;你在访问www.tianya.cn网站首页时#xff0c;浏览器将访问多少个Web服务器#xff1f;他们的IP地址都是什么#xff1f;
2、实践Wireshark 使…1.实验内容
1、实践tcpdump
使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探回答问题你在访问www.tianya.cn网站首页时浏览器将访问多少个Web服务器他们的IP地址都是什么
2、实践Wireshark 使用Wireshark开源软件对在本机上以TELNET方式登录BBS进行嗅探与协议分析回答如下问题并给出操作过程:
你所登录的BBS服务器的IP地址与端口各是什么
TELNET协议是如何向服务器传送你输入的用户名及登录口令
如何利用Wireshark分析嗅探的数据包并从中获取你的用户名及登录口令3、取证分析实践解码网络扫描器
攻击主机的IP地址是什么网络扫描的目标IP地址是什么本次案例中是使用了哪个扫描工具发起这些端口扫描你是如何确定的你所分析的日志文件中攻击者使用了那种扫描方法扫描的目标端口是什么并描述其工作原理。在蜜罐主机上哪些端口被发现是开放的攻击主机的操作系统是什么2.实验过程
2.1动手实践tcpdump
使用tcpdump开源软件对在本机上访问https://www.besti.edu.cn/ 回答问题你在访问 https://www.besti.edu.cn/ 网站首页时浏览器将访问多少个Web服务器他们的IP地址都是什么 在网络适配器设置中将kali虚拟机的网络连接模式改为桥接模式打开Kali-Linux虚拟机。 通过ifconfig指令查询虚拟机kali的IP地址信息本次实验中为192.168.43.246
终端输入命令sudo tcpdump -n src 192.168.43.246 and tcp port 80 and “tcp[13]182” 打开电科院官网可以看到访问 https://www.besti.edu.cn 过程中访问问4个Web服务器ip分别为152.195.38.7634.107.221.82203.208.50.98以及最后一个电科院的ip123.121.151.1。
2.2动手实践Wireshark
键入命令 telnet bbscloud.com访问BBS云论坛。 发现其IP地址为39.98.128.52。 打开虚拟机自带的wireshark然后查看端口发现其端口号为23
通过Wireshark抓包观察TELNET是通过明文的方式一个个字符传输数据的我们能够发现在向服务器传输用户名及登录口令时是一个字符一个字符传递的。
2.3 取证分析实践解码网络扫描器
将listen.pcap拷贝到kali虚拟机中使用wireshark打开listen.pcap 通过数据包IP地址等信息分析可发现 攻击机IP地址为172.31.4.178靶机IP地址为172.31.4.188 运行命令sudo apt install snort安装入侵检测工具snort。 安装snort时屏幕中会出现一个配置菜单输入Y表示“确定”按回车即可 然后执行sudo snort -A console -q -u snort -c /etc/snort/snort.conf -r listen.pcap得到如下结果 从“SCAN nmap XMAS”中可看出攻击者使用nmap工具进行端口扫描。
通过指令tcp.flags.syn 1 and tcp.flags.ack 1 and ip.src172.31.4.188筛选数据交互过程中的数据包查看靶机开放了哪些端口 通过分析发现开放的端口有33068025225321等等。
在输入框中输入筛选条件arp or nbns回车可以得到 可以看到NBNS协议和ARP协议包分为多段通过ARP协议和NBNS协议攻击者可以得到目标主机的IP地址进而对其发起攻击。 通过进一步分析我们可以得出攻击者的方式为活跃主机检测、扫描操作系统、扫描开放端口、扫描开放服务
攻击者发出了很多广播信息详细信息均有“Who has 172.31.4.188?”因此说明这一段中攻击者通过ARP广播的方式进行了活跃主机检测。
从下图我们可以看到TCP的SYN包与ACK包有时候是一个SYN一个ACK有时候是一堆SYN一堆ACK还出现了如下图所示的特殊标记。有理由推测攻击者在这一段扫描了目标主机的操作系统。因为不同的操作系统有不同的端口和服务攻击者通过这种方式探测目标主机存在哪些服务来基本确定目标主机操作系统的范围。 在所示的SYN包和ACK包我们可以推测攻击者在这一次攻击中使用了全端口扫描的指令。 还有处TCP之外的一些其他协议这说明攻击者通过与检测出的端口进行上层的交流检测到了一些网络服务可以得出攻击者在这一次攻击中扫描了服务。
最后使用p0f工具帮助查看攻击机的操作系统 在Kali Linux虚拟机终端中输入sudo apt-get install p0f安装p0f工具 输入sudo p0f -r listen.pcap可以看到攻击机的操作系统为Linux 2.6.x
3.学习中遇到的问题及解决
问题在第一个实验问题中打开虚拟机拟机无法联网问题解决方案将虚拟机改为桥接模式后配置相应的网关即可
4.学习感悟、思考等
本次实验我感觉需要自己动手动脑的地方更多了要多分析一些网络数据也学习了tcp dump的一些命令还有wireshark的过滤等功能。
参考资料
https://bbs.csdn.net/topics/614080187
…
