1、2022年8月12日網絡攻防技術與實踐課程Copyright (c) 20082009 諸葛建偉1諸葛建偉 北京大學計算機研究所信安中心北京大學網絡攻防技術與實踐課程作業3.2解碼一次網絡掃描講解2022年8月12日網絡攻防技術與實踐課程Copyright (c) 20082009 諸葛建偉2作業3.1網絡掃描實驗(3分)難度等級：入門級以作業2中構建的網絡攻防實驗環境或課程統一的CTF對抗環境為目標，對主機系統進行完整的掃描（ping掃描、端口掃描、操作系統和網絡服務辨識、漏洞掃描）給出掃描實驗過程報告和實驗結果分析2022年8月12日網絡攻防技術與實踐課程Copyright (c) 200

2、82009 諸葛建偉3作業3.2解碼一次網絡掃描(7分)難度等級：入門級這次案例分析挑戰作業是完全為剛入門的安全分析師準備的，目標是分析人為構造的從因特網到一臺蜜罐主機的5次不同類型端口掃描。需要指出的是，這次案例分析中的端口掃描流量并不是從“野外”捕獲的，這次入門級的分析挑戰的目的完全是為了提供學習和訓練的機會。作業分析數據下載地址：0/exercises/exercise3.tar.gzDeadline: 10月21日下午17:002022年8月12日網絡攻防技術與實踐課程Copyright (c) 20082009 諸葛建偉4作業3.2解碼一次網絡掃描(問題)1.什么是二進制網絡日志文件

3、？這種文件是如何生成的？2攻擊主機的IP地址是什么？網絡掃描的目標IP地址是什么？3本次案例中是使用了哪個掃描工具發起這些端口掃描？你是如何確定的？4本次案例中使用了5種不同類型的掃描方式，請將這5種方法標識出來，并描述其工作原理。5在蜜罐主機上哪些端口被發現是開放的？6攻擊主機的操作系統是什么？作業3.2提示使用工具wireshark(ethereal)為主snort可為輔檢測掃描工具的特征結合使用命令行與圖形界面：高手傾向于使用命令行，但不意味著完全排斥GUI分析關鍵點確認發起掃描使用的工具，然后對照它的使用說明和你看到的數據包特征快速區分出各次掃描的范圍邊界（如何區分？注意觀察每次掃描開

4、始時刻具有什么特征）不要累壞你的眼睛善用tcpdump filter選擇性的關注數據包2022年8月12日網絡攻防技術與實踐課程Copyright (c) 20082009 諸葛建偉52022年8月12日網絡攻防技術與實踐課程Copyright (c) 20082009 諸葛建偉6作業3.2解答準備工作獲取文件驗證完整性：md5sum exercise3.tar.gz解壓縮：tar zxf exercise3.tar.gz驗證完整性、文件類型md5sum 082619-snort.logcat 082619-snort.log.md5file 082619-snort.log2022年8月12

5、日網絡攻防技術與實踐課程Copyright (c) 20082009 諸葛建偉7問題1二進制網絡日志文件082619-snort.log: tcpdump capture file (little-endian) - version 2.4 (Ethernet, capture length 1514)什么是二進制網絡日志文件?二進制網絡日志文件是對0和1組成的網絡二進制數據進行捕獲和記錄的文件格式標準格式:tcpdump/libpcap的pcap文件格式通常被稱為原始流量捕獲如何生成這類文件?利用數據包捕獲庫和工具監聽網絡，并捕獲原始流量捕獲位置：混雜模式網絡接口，共享式集線器(hub)，T

6、AP分路器，路由器或交換機的SPAN鏡像端口捕獲庫/工具類Unix平臺：libpcap+tcpdump/snort/wiresharkWin32平臺：winpcap+snort/wireshark for win322022年8月12日網絡攻防技術與實踐課程Copyright (c) 20082009 諸葛建偉8生成和讀取二進制網絡日志文件Snort生成：snort -l /var/log/snort -b讀取：snort -vde -r snort.logtcpdump生成：tcpdump -w log讀取：tcpdump -r logwireshark(ethereal)生成：tshark

7、(tethereal) -w log讀取：tshark(tethereal) -r logwireshark(ethereal)圖形界面善用更多的命令行參數和tcpdump filter學會看Manual Page: man xxxx2022年8月12日網絡攻防技術與實踐課程Copyright (c) 20082009 諸葛建偉9用wireshark分析日志文件#wireshark 082619-snort.log2022年8月12日網絡攻防技術與實踐課程Copyright (c) 20082009 諸葛建偉10問題2攻擊主機和目標主機IP猜想攻擊主機IP：目標主機IP：9驗證還有別的攻擊主機

8、和目標主機嗎？Statistics(統計)菜單項Conversation List(會話列表) 功能IPv4會話列表三個其他IP只有請求,沒有響應1/199/2542022年8月12日網絡攻防技術與實踐課程Copyright (c) 20082009 諸葛建偉11問題3確定掃描工具從網絡流中識別入侵和攻擊類型網絡入侵檢測Snort開源網絡入侵檢測系統最知名的入侵檢測系統網絡入侵檢測/入侵防御系統事實標準Snort規則描述入侵特征的標準格式Snort發展史The Story of Snort: Past, Present and FutureMartin Roesch, 1998年底開始發布輕量

9、級NIDS-snort2001年成立Sourcefire公司, Vulnerability Research Team2004年snort v2.0: 應用新的檢測引擎和多模匹配算法2005年Check Point試圖以$225 million收購Sourcefire, 因美國政府介入而未成功2007年Sourcefire收購ClamAV2022年8月12日網絡攻防技術與實踐課程Copyright (c) 20082009 諸葛建偉12Snort的安裝和使用安裝# tar -zxf snort-.tar.gz# cd snort-# ./configure# make# cp ./ snort

10、rules-snapshot-CURRENT.tar.gz .# tar -zxf snortrules-snapshot-CURRENT.tar.gz使用配置snort.conf文件# snort -r ./082619-snort.log -c ./etc/snort.conf* 1:469:4 ICMP PING NMAP *問題解答：本案例中使用了由Fyodor所開發的著名開源網絡掃描器nmap ( ) 2022年8月12日網絡攻防技術與實踐課程Copyright (c) 20082009 諸葛建偉13分析掃描數據包確定各次掃描邊界關注前四個數據包#1, #2: ICMP echo,

11、echo-reply#3, #4: HTTP ACK, RST or SYN/ACKPing Scan: 確定主機是否活躍查看nmap工具的manual page-sP: Ping scanningBy default, nmap uses both the ICMP and ACK techniques in parallel.Note that pinging is done by default anyway利用每次nmap掃描開始缺省的ICMP echo獲HTTP ACK掃描確定每次掃描邊界tshark -r 082619-snort.log icmp.type = 82022年8月1

12、2日網絡攻防技術與實踐課程Copyright (c) 20082009 諸葛建偉14確定各次掃描邊界掃描事件起始序號結束序號包數量開始時間結束時間持續時間(秒)第一次掃描114800614800601245.351245.35第二次掃描14800715075227461274.61406.67132.07第三次掃描15075315325024981407.261491.4784.21第四次掃描15323715598627491489.561597.67108.11第五次掃描15598716383278461602.081661.9859.9rootcentos scanofthemonth#

13、tshark -r 082619-snort.log icmp.type = 8 1 0.000000 - 9 ICMP Echo (ping) request148007 1274.602300 - 9 ICMP Echo (ping) request150753 1407.256096 - 9 ICMP Echo (ping) request155987 1602.084879 - 9 ICMP Echo (ping) request155988 1602.084912 54 - 9 ICMP Echo (ping) request155989 1602.084941 99 - 9 ICM

14、P Echo (ping) request155990 1602.084976 99 - 9 ICMP Echo (ping) requestrootcentos scanofthemonth# tshark -r 082619-snort.log tcp.dstport = 80 and tcp.flags = 0 x0010 3 0.000044 - 9 TCP 52218 http ACK Seq=0 Ack=0 Win=2048 Len=0148009 1274.602344 - 9 TCP 42314 http ACK Seq=0 Ack=0 Win=4096 Len=0150755

15、 1407.256141 - 9 TCP 58183 http ACK Seq=0 Ack=0 Win=1024 Len=0153237 1489.554550 - 9 TCP 40551 http ACK Seq=0 Ack=0 Win=1024 Len=0153999 1500.786504 - 9 TCP 34398 http ACK Seq=1 Ack=1 Win=5840 Len=0 155991 1602.085026 - 9 TCP 35984 http ACK Seq=0 Ack=0 Win=3072 Len=0155992 1602.085031 54 - 9 TCP 359

16、84 http ACK Seq=0 Ack=0 Win=3072 Len=0155993 1602.085081 - 9 TCP 35984 http ACK Seq=0 Ack=0 Win=3072 Len=0155995 1602.085111 99 - 9 TCP 35984 http ACK Seq=0 Ack=0 Win=3072 Len=02022年8月12日網絡攻防技術與實踐課程Copyright (c) 20082009 諸葛建偉15問題4之一解碼第一次掃描#5, #6: SYN包到非開放端口, 非開放端口響應RST/ACK包可能為TCP connect()掃描或TCP SYN

17、掃描過濾掉掃描的SYN包和非開放端口響應的RST/ACK包filter: frame.number 148006 and frame.number 150753 and tcp and ip.src != 9“目標端口列表為常用服務監聽端口列表/etc/servicesnmap manual page: -F (fast scan) 第二次掃描的最后階段出現一系列網絡探測#150639至#150752 如何解釋?2022年8月12日網絡攻防技術與實踐課程Copyright (c) 20082009 諸葛建偉17解碼第二次掃描-最后階段的探測nmap-os-fingerprints# Tseq

18、is the TCP sequenceability test# T1 is a SYN packet with a bunch of TCP options to open port# T2 is a NULL packet w/options to open port# T3 is a SYN|FIN|URG|PSH packet w/options to open port# T4 is an ACK to open port w/options# T5 is a SYN to closed port w/options# T6 is an ACK to closed port w/op

19、tions# T7 is a FIN|PSH|URG to a closed port w/options# PU is a UDP packet to a closed portFingerprint Linux 2.4.6 - 2.4.21Class Linux | Linux | 2.4.X | general purposeTSeq(Class=RI%gcd=6%SI=4DF5C%IPID=Z%TS=100HZ)T1(DF=Y%W=16A0|4000|7FFF%ACK=S+%Flags=AS%Ops=MNNTNW)T2(Resp=N)T3(Resp=N)T4(DF=Y%W=0%ACK=O%Flags=R%Ops=)T5(DF=Y%W=0%ACK=S+%Flags=AR%Ops=)T6(DF=Y%W=0%ACK=O%Flags=R%Ops=)T7(DF=Y%W=0%ACK=S+%Flags=AR%Ops=)PU(DF=N%TOS=C0%IPLEN=164%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)nmap操作系統辨識-O推