信息安全-網(wǎng)絡(luò)掃描與嗅探實(shí)驗(yàn)報(bào)告.doc

。學(xué) 號(hào)： 網(wǎng)絡(luò)掃描與嗅探實(shí)驗(yàn)報(bào)告課 程 信息安全技術(shù)學(xué) 院信息工程學(xué)院專 業(yè)電子信息工程班 級(jí)姓 名 教 師 2016 年5月26日一 實(shí)驗(yàn)?zāi)康模?） 理解網(wǎng)絡(luò)嗅探和掃描器的工作機(jī)制和作用。（2） 學(xué)習(xí)抓包與協(xié)議分析工具Wire shark的使用。（3） 掌握利用掃描器進(jìn)行主動(dòng)探測(cè)，收集目標(biāo)信息的方法。（4） 掌握使用漏洞掃描器檢測(cè)遠(yuǎn)程或本地主機(jī)安全性漏洞。二 實(shí)驗(yàn)器材與工具PC機(jī)，Wire shark軟件，局域網(wǎng)環(huán)境，superscan軟件三 實(shí)驗(yàn)內(nèi)容1. 認(rèn)真閱讀和掌握與網(wǎng)絡(luò)嗅探和網(wǎng)絡(luò)掃描相關(guān)的知識(shí)點(diǎn)。2. 上機(jī)用Wire shark和superscan軟件實(shí)現(xiàn)實(shí)驗(yàn)操作。3. 記錄實(shí)驗(yàn)結(jié)果，并加以分析生成實(shí)驗(yàn)報(bào)告。四 實(shí)驗(yàn)步驟及結(jié)果1. 網(wǎng)絡(luò)嗅探使用Wire shark抓包并進(jìn)行協(xié)議分析（1） 下載并安裝Wire shark軟件,打開界面如下圖1。 圖1（2） 單擊“捕獲”“選項(xiàng)”，選擇“無(wú)線網(wǎng)絡(luò)連接”，再單擊“開始”，捕獲過濾器選tcp，如圖2。 圖2（3） 使用Wireshark數(shù)據(jù)報(bào)獲取，抓取TCP數(shù)據(jù)包并進(jìn)行分析。從抓取的數(shù)據(jù)包來看,首先關(guān)于本次分析的數(shù)據(jù)包是典型的TCP三次握手，如下圖3所示。 圖3其中，第一次握手是建立連接時(shí)，客戶端發(fā)送syn包（syn=j）到服務(wù)器，并進(jìn)入SYN_SENT狀態(tài)，等待服務(wù)器確認(rèn)；SYN：同步序列編號(hào)（Synchronize Sequence Numbers）。第二次握手是服務(wù)器收到syn包，必須確認(rèn)客戶的SYN（ack=j+1），同時(shí)自己也發(fā)送一個(gè)SYN包（syn=k），即SYN+ACK包，此時(shí)服務(wù)器進(jìn)入SYN_RECV狀態(tài)。第三次握手是客戶端收到服務(wù)器的SYN+ACK包，向服務(wù)器發(fā)送確認(rèn)包ACK(ack=k+1），此包發(fā)送完畢，客戶端和服務(wù)器進(jìn)入ESTABLISHED（TCP連接成功）狀態(tài)，完成三次握手。完成三次握手，客戶端與服務(wù)器開始傳送數(shù)據(jù)。（4） TCP三次握手過程分析（以第一次握手為例）source（192.168.1.108）發(fā)送一個(gè)連接請(qǐng)求到destination（117.131.204.120），第一個(gè)TCP包的格式如下圖4所示。 圖4第三行是ipv4的報(bào)文,網(wǎng)際協(xié)議IP是工作在網(wǎng)絡(luò)層,也就是數(shù)據(jù)鏈路層的上層,IPv4報(bào)文中的源地址和目的地址是ip地址,版本號(hào)TCP是6，其格式為如下圖5所示。 圖5第四行是TCP報(bào)文,從上面兩個(gè)可以知道,這個(gè)TCP包被層層包裝,經(jīng)過下面一層就相應(yīng)的包裝一層,第三段是經(jīng)過傳輸層的數(shù)據(jù),TCP報(bào)文的格式為如圖6所示。 圖6從上圖中可以看出，TCP的源端口62783也就是宿主機(jī)建立連接開出來的端口,目的端口80。Sequencenumber同步序號(hào)，這里是0x3a2ab7bb,但這里顯示的是相對(duì)值0。Acknowledgmentnumber為0,因?yàn)檫€是第一個(gè)握手包。HeaderLength頭長(zhǎng)度32bytes,滑動(dòng)窗口8192大小字節(jié),校驗(yàn)和0x7340,緊急指針為0。Options選項(xiàng)12字節(jié)。2. 網(wǎng)絡(luò)掃描（1） 安裝superscan，打開后界面如下圖7。 圖7（2） 使用superscan對(duì)遠(yuǎn)程主機(jī)和本地主機(jī)進(jìn)行端口掃描。通過ping來檢驗(yàn)IP是否在線：ping192.168.1.108，117.131.204.120，顯示結(jié)果如圖8和圖9。 圖8 圖9（3） 單擊portlistsetup進(jìn)入如圖10所示。 圖10（5）軟件自帶一個(gè)木馬端口列表trojans.lst，通過這個(gè)列表我們可以檢測(cè)目標(biāo)計(jì)算機(jī)是否有木馬，如圖11所示。 圖11五 實(shí)驗(yàn)小結(jié)與體會(huì)通過本次網(wǎng)絡(luò)嗅探和網(wǎng)絡(luò)掃描實(shí)驗(yàn)，自己更好地掌握了相關(guān)知識(shí)，更好地理解了網(wǎng)絡(luò)嗅探和掃描機(jī)制。學(xué)會(huì)了使用Wire shark軟件并利用計(jì)算機(jī)接口截獲數(shù)據(jù)報(bào)文。在實(shí)驗(yàn)中對(duì)TCP協(xié)議有了更直觀的理解，通過分析數(shù)據(jù)包更形象地了解了TCP三次握手的原理和過程。學(xué)習(xí)了如何使用superscan軟件進(jìn)行探測(cè)和收集目標(biāo)信息。對(duì)這些知識(shí)的認(rèn)識(shí)不再僅限于理論，而是更加立體更直觀。除此之外，正是了解到網(wǎng)絡(luò)嗅探可以用來獲取計(jì)算機(jī)程序在網(wǎng)絡(luò)上發(fā)送和接收到的數(shù)據(jù)，網(wǎng)絡(luò)嗅探工具有利有弊的兩面性，能幫助掌握網(wǎng)絡(luò)的實(shí)際情況，查找網(wǎng)絡(luò)漏洞和檢測(cè)網(wǎng)絡(luò)性能，也能讓不法分子從中獲利，因此越來越意識(shí)到網(wǎng)絡(luò)信息安全的重要性。同時(shí)也激發(fā)了自己學(xué)習(xí)信