网络攻防

20199127 2019-2020-2 《网络攻防实践》第四周作业 这个作业属于哪个课程 《网络攻防实践》 这个作业要求在哪里 第四次作业 网络嗅探与协议分析 我在这个课程的目标是 学习网络攻防相关技术、掌握网络攻防相关能力 这个作业在哪个具体方面帮助我实现目标 学习网络嗅探技术，解析网络中传输的信息 参考 TCP/IP详解 卷1:协议 ； WireShark教程 – 黑客发现之旅(5) – (nmap)扫描探测 ； wireshark显示过滤器使用技巧 ； sourt使用手册 网络嗅探与协议分析 1. 实践内容 第四章内容包括网络嗅探和网络协议分析，二者结合起来用以分析截获的数据，可分为以下几个部分具体梳理。 网络嗅探： 1、网络嗅探基本介绍 ​ 网络嗅探利用计算机的网络接口截获目的地址为其他计算机的数据报文，以监听数据流中所包含的私密信息。实现网络嗅探技术的工具称为网络嗅探器。截获到的是经过封包的二进制数据，通常会结合网络协议分析技术来解析嗅探到的网络数据。 ​ 网络嗅探是攻击者经常使用的内网渗透技术，通常在攻击者获得内部网络中的一台主机的访问权后实施。可以静默地、被动地嗅探网络上传输的数据。所以针对网络嗅探的检测与防范还是比较困难的。基本的检测防范方法包括：1、网络嗅探的检测：如检查网卡是否运行在混杂模式下。也可以通过操作系统和协议栈对混杂模式的香型不同来判断。2

学习总结 Sniffer（嗅探器） 嗅探器是一种常用的收集有用数据方法，这些数据可以是用户的帐号和密码，可以是一些商用机密数据等等。Snifffer可以作为能够捕获网络报文的设备,ISS为Sniffer这样定义：Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。 SNIFFER要捕获的东西必须是要物理信号能收到的报文信息。显然只要通知网卡接收其收到的所有包（一般叫做杂收promiscuous模式：指网络上的所有设备都对总线上传送的数据进行侦听，并不仅仅是它们自己的数据。），在HUB下就能接收到这个网段的所有包，但是交换机下就只能是自己的包加上广播包。 要想在交换机下接收别人的包，那就要让其发往你的机器所在口。交换机记住一个口的MAC是通过接收来自这个口的数据后并记住其源MAC，就像一个机器的IP与MAC对应的ARP列表，交换机维护一个物理口与MAC的表，所以可以欺骗交换机的。可以发一个包设置源MAC是你想接收的机器的MAC，那么交换机就把你机器的网线插的物理口与那个MAC对应起来了，以后发给那个MAC的包就发往你的网线插口了，也就是你的网卡可以Sniffer到了。注意这物理口与MAC的表与机器的ARP表一样是动态刷新的，那机器发包后交换HUB就又记住他的口了，所以实际上是两个在争，这只能应用在只要收听少量包就可以的场合。

这个作业属于哪个课程 《网络攻防实践》 这个作业的要求在哪里 《网络攻防实践》第四周作业 这个作业在哪个具体方面帮助我实现目标 学习网络嗅探与协议分析 作业正文.... 见正文 其他参考文献 见参考文献 一、实践内容 1.网络嗅探 定义：是一种利用计算机网路接口截获目的地为其他计算机的数据报文，已监听数据流中所包含的用户账户密码或私密信息等的常用窃听技术。 以太网工作原理：采用载波侦听/冲突检测技术避免共享链路上的通信冲突，使用广播机制发送数据帧。当网卡处于混杂模式下，能够接收一切通过它连接共享通信媒介的数据帧。 共享式网络使用集线器连接，网络拓扑基于总线方式，物理上是广播机制；交换式网络使用交换机连接，所有数据帧通过交换机进行转发。 交换式网络常见网络嗅探技术：MAC地址洪泛攻击、MAC欺骗、ARP欺骗。 类UNIX平台网络嗅探器软件：libpcap抓包开发库、tcpdump、wireshark Windows平台网络嗅探软件：SnifferPro、wireshark、Buttsniffer、NetMon、Network Associates Sniffer等 检测：在同一主机上，可以通过检查网卡是否运行在混杂模式下，来发现正在监听的嗅探器。也可以基于混杂模式下操作系统和协议栈的不同特性，来检测出网络中其他主机上的嗅探器。 防范： 采用安全的网络拓扑

20199316 2019-2020-2 《网络攻防实践》第4 周作业 1.实践内容 1.网络嗅探 网络嗅探是一种黑客常用的窃听技术，与传统的电话窃听在电话线路上对特定号码的通话内容进行监听类似，网络嗅探利用计算机网络的接口截获目的地为其他计算机的数据报文，以监听数据流中所包含的用户账户密码或私密信息等。实现网络嗅探技术的工具称为网络嗅探器，嗅探器捕获的数据报文是经过封包处理之后的二进制数据，因此通常会结合网络协议分析技术来解析嗅探到的网络数据，这样才能恢复出TCP/IP协议栈上各层网络协议的内容，以及实际发送的应用层信息。 类UNIX平台上的网络嗅探软件一般都是基于标准接口BPF与libpcap，最常用的包括libpcap抓包开发库、tcpdump以及wireshark嗅探器软件。 2.网络协议分析 网络协议分析是网络嗅探器的进一步解析与理解捕获数据包必需的技术手段。如前所述，网络嗅探截获的是在通过封包过程组装的二进制格式原始报文内容，为了获取其中包含的信息，就需要根据TCP/IP协议栈的协议规范，重新还原出数据包在各个协议层上的协议格式及其内容，以及在应用层传输的实际数据。 对TCP/IP协议栈中基本网络协议的分析技术实现比较简单，并且在开源的网络嗅探器软件如Tcpdump、Wireshark和Snort等都有相应的源码实现。 2.实践过程 动手实践： tcpdump 使用

1.基础问题回答 （1）杀软是如何检测出恶意代码的？ 恶意代码与其检测是一个猫捉老鼠的游戏，单从检测的角度来说。反恶意代码的脚步总是落后于恶意代码的发展，是被动的.目前基于主机的恶意代码检测方法主要有反恶意代码软件、完整性校验法以及手动检测，基于网络的检测方法主要有基于神经网络”、基于模糊识别“等方法，本文主要讨论基于主机的检测。 恶意代码分析方法 静态分析方法 是指在不执行二进制程序的条件下进行分析，如反汇编分析，源代码分析，二进制统计分析，反编译等，属于逆向工程分析方法。 （1）静态反汇编分析，是指分析人员借助调试器来对而已代码样本进行反汇编出来的程序清单上根据汇编指令码和提示信息着手分析。 （2）静态源代码分析，在拥有二进制程序的源代码的前提下，通过分析源代码来理解程序的功能、流程、逻辑判定以及程序的企图等。 （3）反编译分析，是指经过优化的机器代码恢复到源代码形式，再对源代码进行程序执行流程的分析。 动态分析方法 是指恶意代码执行的情况下利用程序调试工具对恶意代码实施跟踪和观察，确定恶意代码的工作过程对静态分析结果进行验证。 （1）系统调用行为分析方法 正常行为分析常被应用于异常检测之中，是指对程序的正常行为轮廓进行分析和表示，为程序建立一个安全行为库，当被监测程序的实际行为与其安全行为库中的正常行为不一致或存在一定差异时，即认为该程序中有一个异常行为，存在潜在的恶意性。

问题 源 作业所属课程 网络攻防实践( https://edu.cnblogs.com/campus/besti/19attackdefense ) 作业要求 https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10471 课程目标 了解网络攻防的概要 这个作业在哪个具体方面帮助我实现目标 通过实践的手段对信息收集有了更细致的了解 作业正文.... 见实践内容、实践过程、学习中遇到的问题及解决、学习感想和体会 其他参考资料 见文末 20199304 2019-2020-2 《网络攻防实践》第3周作业 1.实践内容 1.1网络扫描类型： 主机扫描：找出网段内活跃主机 端口扫描：找出主机上开放的网络 操作系统/网络服务辨识：识别操作系统类型和开放网络服务类型 漏洞扫描：找出主机/网络服务存在的安全漏洞 1.2网络信息收集的方法 网络踩点(footprinting) Web搜索与挖掘 DNS与IP查询 网络拓扑侦察 网络扫描(scanning) 主机扫描 端口扫描 系统类型侦察 漏洞侦察 网络查点(enumeration) 旗标抓取 网络服务查点 1.3nmap网络扫描常用的命令： 命令 简介 namap -sS IP地址 TCP SYN扫描 namap -sU IP地址 UDP端口扫描 namap -sV IP地址

教材学习内容总结 第四章 网络嗅探与协议分析 网络嗅探（Sniff） 利用计算机的网络接口截获目的地为其他计算机的数据报文，以监听数据流中所包含的的用户账户密码或私密信息等。实现网络嗅探技术的工具称为网络嗅探器(sniffer)，嗅探器捕获的数据报文是经过封包处理后的二进制数据，因而还需要结合网络协议分析技术来解析嗅探到的网络数据。 网络嗅探技术与工具分类 按照所监听的链路层网络进行分类 无线嗅探器（Kismet） 有线嗅探器 (tcpdump) 区别：无线嗅探器可以读取和分析符号如IEEE802.11等无线传输协议的数据包 按照实现形式 软件嗅探器：不同操作系统上的应用软件，通过对网卡编程实现 硬件嗅探器：通过专用软件对网络数据进行捕获和分析，协议分析仪，速度快、成本高 1.共享式网络与交换机网络中的嗅探 MAC地址洪泛攻击 MAC欺骗 ARP欺骗 2.类Unix平台的网络嗅探技术实现 通过内核态的BPF和用户态的libpcap抓包工具库实现。 3.windows平台的网络嗅探实现技术 通过内核态的NPF与用户态的Winpcap实现。 网络嗅探器软件 类Unix平台的网络嗅探软件：libpcap抓包开发库、tcpdump以及wireshark； Windows平台网络嗅探器软件：wireshark、SnifferPro、Buttsniffer、NetMon等。 网络协议分析

目录 第三章 网络信息收集技术 1.实践内容+知识点总结 1.1网络踩点 1.2网络扫描 1.3网络查点 2.实践过程 DNS与IP查询：任务一 DNS与IP查询：任务二 nmap：任务 Nessus：任务 实践作业 3.学习中遇到的问题及解决 4.实践总结 5.参考资料 第三章 网络信息收集技术 1.实践内容+知识点总结 1.1网络踩点 是指攻击者通过对目标组织或个人进行有计划、有步骤的信息收集，从而了解攻击目标的网络环境和信息安全状况，得到攻击目标完整剖析图的技术过程。 常见的技术手段包含如下三种： 1.1.1 web信息搜索与挖掘 充分利用web搜索的强大能力，对目标组织和个人的大量公开或意外泄露的web信息进行挖掘，从而能够找到各种对进一步攻击非常关键的重要信息。 基本搜索与挖掘技巧 简洁明了； 使用最可能出现在要查找的网页上的字词； 简明扼要地描述要查找的内容； 选择独特性的描述字词； 善于利用搜索词智能提示功能。 高级搜索与挖掘技巧 谷歌的高级搜索页面显示： 以下所有字词 输入重要字词 与以下字词完全匹配 用引号将需要完全匹配的字词引起来 以下任意字词 在需要的字词之间添加OR（必须是大写） 不含以下任意字词 在不需要的字词前面添加一个- 文件格式 对应filetype:之后加特定格式文件后缀名 日期 返回在下列时间段内首次Cache和查看的网页 网站 对应site

目录 (: 」∠)_ 攻防环境搭建过程 1、网络架构 2、VM网络设置 3、安装linux攻击机-Kail 4、安装Metasploitable2-Linux 5、安装windows攻击机-windows Attacker 6、安装windows靶机-win2kServer 7、SEEDUbuntu安装配置 8、安装蜜罐网关 9、ping检验 总结 (: 」∠)_ 此作业所属课程： 2019-2020-2-1991&1993《网络攻防实践》 本次作业要求： 实践一 网络攻防环境的搭建 课程目标：学习网络攻防实践 本次作业在哪个方面帮助我实现目标：第二章 网络攻防实验环境 攻防环境搭建过程 1、网络架构 2、VM网络设置 其中，VMnet8的NAT设置： VMnet8的DHCP设置： 确定，网络适配器完成。 3、安装linux攻击机-Kail kail以VM虚拟机vmx文件的形式提供，通过扫描虚拟机可以直接导入，如下图 虚拟机设置 启动虚拟机，进行软件设置。Kali的默认用户名为kali，密码kali， root密码kali（先登录kali，后使用su进行提权，禁止直接root登录） 登录->提权->安装net-tools（ifconfig包）->查看网络信息。 4、安装Metasploitable2-Linux Metasploitable2-Linux通过VM虚拟机镜像给定

第二章 网络攻防实验环境 一、知识点总结 本章主要进行了网络攻防环境的配置，其中涉及到蜜罐技术，蜜网是通过构建部署陷阱网络进行诱骗与网络分析攻击的一种技术手段。 我构建的环境具体为 虚拟机镜像 类型 IP地址 用户名/密码 WinXPattacker Windows攻击机 192.168.200.2 administrator/mima1234 Win2kServer_SP0_target Windows靶机 192.168.200.124（手动配置） administrator/mima1234 SEEDUbuntu-16.04-32bit Linux攻击机 192.168.200.3 seedubuntu Metasploitable2-Linux Linux靶机 192.168.200.125（手动配置） msfadmin/msfadmin Kali-Linux-2020.1-vmware-amd64 Linux攻击机 192.168.200.4 kali/kali 二、环境构建与配置 0. 攻防结构拓扑结构图 1. VM网关设置 打开VMware Workstation，菜单栏的“编辑”->虚拟网络编辑器”设置网关，如下： 其中，对VMnet8的NAT设置和DHCP设置如下图： 2. Windows靶机-win2kServer安装 文件->扫描虚拟机