网络攻防与技术实践 扫描对抗分析参考.docxVIP

对抗：攻击方用nmap扫描（达到特定目的），防守方tcpdump监听，用wireshark分（分析出攻击方扫描目的）

环境：vsphere

攻击机：BackTrack4，172.31.4.178，工具nmap

靶机：Metasploitable_Linux，172.31.4.188，工具tcpdump

侦察机：Ubuntu_10.04，用tcpdump记录数据(由于演示需要，设置的靶机tcpdump显示数据包但是没有存储至文件，故使用侦察机记录)，记录使用的命令tcpdump–wlisten.pcaphost172.31.4.188

扫描：

扫描过程及结果：参见attack_defend.htm，nmap.txt

监听结果：listen.pcap

分析参考：

此次需要注意会有一些其他流量数据包，但是很少

同时由于是在虚拟机里，数据报不向作业那5次那样规整，会有一堆请求和应答堆在一起的情况，但是不影响分析

扫描工具的确定可以使用snort分析

攻击者也可以从流量统计中确定

扫描次数的鉴定可以参考时间间隔的分析，以及arp的分析(虚拟里arp的刷新好像很快，扫描前会发送arp请求)，但是注意并没有上次的那些ICMP和TCPACK确定活跃性(ARP也可以确认活跃)。

其他诸如开放端口的与作业的五次扫描类似，不多说

最后关于服务的扫描，可以发现不仅扫描是否开放，还进一步尝试连接，并可以观察到应用层协议的一些通信信息