网络攻防技术概述与课程-网络探测技术及分析防御方法_ex3.ppt

网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 北京大学网络攻防技术与实践课程 作业3.2解码一次网络扫描讲解 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 作业3.1－网络扫描实验(3分) 难度等级：入门级 以作业2中构建的网络攻防实验环境或课程统一的CTF对抗环境为目标，对主机系统进行完整的扫描（ping扫描、端口扫描、操作系统和网络服务辨识、漏洞扫描） 给出扫描实验过程报告和实验结果分析 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 作业3.2－解码一次网络扫描(7分) 难度等级：入门级 这次案例分析挑战作业是完全为刚入门的安全分析师准备的，目标是分析人为构造的从因特网到一台蜜罐主机的5次不同类型端口扫描。需要指出的是，这次案例分析中的端口扫描流量并不是从“野外”捕获的，这次入门级的分析挑战的目的完全是为了提供学习和训练的机会。 作业分析数据下载地址： 0/exercises/exercise3.tar.gz Deadline: 10月21日下午17:00 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 作业3.2－解码一次网络扫描(问题) 1. 什么是二进制网络日志文件？这种文件是如何生成的？ 2．攻击主机的IP地址是什么？网络扫描的目标IP地址是什么？ 3．本次案例中是使用了哪个扫描工具发起这些端口扫描？你是如何确定的？ 4．本次案例中使用了5种不同类型的扫描方式，请将这5种方法标识出来，并描述其工作原理。 5．在蜜罐主机上哪些端口被发现是开放的？ 6．攻击主机的操作系统是什么？ 作业3.2提示 使用工具 wireshark(ethereal)为主 snort可为辅－检测扫描工具的特征 结合使用命令行与图形界面：高手倾向于使用命令行，但不意味着完全排斥GUI 分析关键点 确认发起扫描使用的工具，然后对照它的使用说明和你看到的数据包特征 快速区分出各次扫描的范围边界（如何区分？注意观察每次扫描开始时刻具有什么特征）－不要累坏你的眼睛 善用tcpdump filter选择性的关注数据包 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 作业3.2解答准备工作 获取文件 验证完整性： md5sum exercise3.tar.gz 解压缩： tar zxf exercise3.tar.gz 验证完整性、文件类型 md5sum 0826@19-snort.log cat 0826@19-snort.log.md5 file 0826@19-snort.log * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 问题1－二进制网络日志文件 0826@19-snort.log: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 1514) 什么是二进制网络日志文件? 二进制网络日志文件是对’0’和’1’组成的网络二进制数据进行捕获和记录的文件格式 标准格式:tcpdump/libpcap的pcap文件格式 通常被称为原始流量捕获 如何生成这类文件? 利用数据包捕获库和工具监听网络，并捕获原始流量 捕获位置：混杂模式网络接口，共享式集线器(hub)，TAP分路器，路由器或交换机的SPAN镜像端口 捕获库/工具 类Unix平台：libpcap+tcpdump/snort/wireshark Win32平台：winpcap+snort/wireshark for win32 * 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * 生成和读取二进制网络日志文件 Snort 生成：snort -l /var/log/snort -b 读取：snort -vde -r snort.log tcpdump 生成：tcpdump -w log 读取：tcpdump -r log wireshark(ethereal) 生成：tshark(tethereal) -w log 读取：tshark(tethereal) -r log wireshark(ethereal)图形界面 善用更多的命令行参数和tcpdump