题目介绍
在墨西哥逃亡期间,X先生通过互联网远程渗透到北极核聚变研究机构(ANFRF)的实验室子网。实际上在设施内部(通过一个被入侵的系统)他进行了一些嘈杂的网络侦察,可悲的是X先生还不是很隐蔽,对X先生来说不幸的是实验室的网络被装备来捕获所有流量(包括全部内容),他的活动被你发现和分析! 作为网络取证调查人员,您的任务是回答以下问题: 1.X先生的扫描器的IP地址是什么? 2.X先生进行的第一次端口扫描是什么类型的端口扫描?(注意:扫描包含数千个数据包),挑一个:
- TCP SYN
- TCP ACK
- UDP
- TCP Connect
- TCP XMAS
- TCP RST
3.X先生发现的目标的IP地址是什么? 4.他找到的苹果系统的MAC地址是什么? 5.他找到的Windows系统的IP地址是什么? 6.Windows系统上打开了哪些TCP端口?(请从最低到最高列出小数)
报文分析
报文下载: https://forensicscontest.com/contest04/evidence04.pcap 分析流程: 首先使用wireshark打开数据包,随后进行一个简单的端口扫描过滤尝试:
代码语言:javascript复制#过滤TCP SYN扫描
tcp.flags.syn==1 and tcp.flags.ack==0
代码语言:javascript复制#过滤TCP NULL扫描
tcp.flags==0
代码语言:javascript复制#过滤TCP FIN扫描
tcp.flags.fin==1 and tcp.flags.ack==0
至此,我们可以回答第一个问题和第二个问题了:
- X先生的扫描器的IP地址是什么?——10.42.42.253
- X先生进行的第一次端口扫描是什么类型的端口扫描?——TCP Connect
同时由于端口扫描会发送大量的数据包,我们可以通过查看Wireshark的static-Endpoint来查看数据包通信量那个最多,那么那个即为扫描包
随后我们来看第三个问题——"3.X先生发现的目标的IP地址是什么?",这个问题其实就是让我们去找攻击者通过端口扫描探测到存活主机的IP地址是那个,此时我们直接检索有ack的包即可
代码语言:javascript复制tcp.flags.ack==1
确定IP地址10.42.42.50、10.42.42.25、10.42.42.56
接下来我们就来解决第四个问题——他找到的苹果系统的MAC地址是什么,关于这个问题我们可以在wireshark中打开static-endpoint中看到apple标识
随后取消"Name resolution"选项,获取到MAC地址——00:16:cb:92:6e:dc
接下来我们来解决第五个问题——他找到的Windows系统的IP地址是什么,这里我们需要注意的一个点就是Linux和Windows的TTL值不一样,我们可以利用这一点作为甄别
代码语言:javascript复制linux ttl =64
windows ttl =128
于是我们直接检索过滤即可,此时的Source的IP地址全部未10.42.42.50
代码语言:javascript复制ip.ttl == 128
剩下的就是最后一个问题——Windows系统上打开了哪些TCP端口?(请从最低到最高列出小数),我们可以直接使用以下语句进行检索,可以看到仅139和135端口号
代码语言:javascript复制tcp.flags.syn ==1 && tcp.flags.ack == 1 && ip.ttl ==128
文末小结
本篇文章通过数据报文分析对Wireshark中功能选项以及端口扫描攻击识别进行了简单介绍,同时对Windows、Linux平台的区分进行了补充说明