题目介绍

在墨西哥逃亡期间，X先生通过互联网远程渗透到北极核聚变研究机构(ANFRF)的实验室子网。实际上在设施内部(通过一个被入侵的系统)他进行了一些嘈杂的网络侦察，可悲的是X先生还不是很隐蔽，对X先生来说不幸的是实验室的网络被装备来捕获所有流量(包括全部内容)，他的活动被你发现和分析！

1、X先生的扫描器的IP地址是什么？10.42.42.253

扫描器最开始一定会发送syn包，即tcp三次握手中的第一步

tcp.seq==0确保是扫描主机发出的请求，syn==1即三次握手的第一步

2、X先生进行的第一次端口扫描是什么类型的端口扫描？

没太理解这里的第一次扫描，一般tcp的扫描有syn扫描、connect扫描、fin扫描、ack扫描几种

打开wireshark的统计中的端点信息，这里解释下这个端点功能

以太网：指的是在这段流量包中一共涉及五台mac地址互不相同的主机，其中一个是广播地址，后面验证也确实如此

ipv4：指的是在网络层这段流量包共涉及5个不同的ip，ipv6同理

tcp：6464，这里的数量马上增长，说明是端口的数量，wireshark把在不同ip上的不同端口进行了统计，udp同理

3、X先生发现的目标的IP地址是什么？10.42.42.50/10.42.42.56/10.42.42.25

即对X先生的扫描做出相应的回应的主机ip

4、他找到的苹果系统的MAC地址是什么？(00:16:cb:92:6e:dc)

很明显，有Apple字样的就是苹果系统

5、他找到的Windows系统的IP地址是什么？10.42.42.50

windows和linux系统的ttl值不同，因此我们利用ip.ttl来进行筛选

当我们ttl为128时，source全为10.42.42.50，说明此为windows系统

当我们ttl为64时，source为其他三台主机的ip，说明黑客的扫描器是linux系统，而被扫描的三台主机中也有两台是Linux系统

6、Windows系统上打开了哪些TCP端口？(请从最低到最高列出小数)135、139

即成功响应扫描器的端口

流量包下载

https://forensicscontest.com/contest04/evidence04.pcap