網(wǎng)絡(luò)嗅探實(shí)驗(yàn)報(bào)告.doc

精品文檔一、實(shí)驗(yàn)?zāi)康膌 掌握Sniffer（嗅探器）工具的使用方法，實(shí)現(xiàn)FTP、HTTP數(shù)據(jù)包的捕捉。l 掌握對(duì)捕獲數(shù)據(jù)包的分析方法，了解FTP、HTTP數(shù)據(jù)包的數(shù)據(jù)結(jié)構(gòu)和連接過(guò)程，了解FTP、HTTP協(xié)議明文傳輸?shù)奶匦?，以建立安全意識(shí)。二、實(shí)驗(yàn)原理l 網(wǎng)絡(luò)嗅探器Sniffer的原理l 網(wǎng)卡有幾種接收數(shù)據(jù)幀的狀態(tài)：unicast（接收目的地址是本級(jí)硬件地址的數(shù)據(jù)幀），Broadcast（接收所有類(lèi)型為廣播報(bào)文的數(shù)據(jù)幀），multicast（接收特定的組播報(bào)文），promiscuous（目的硬件地址不檢查，全部接收）l 以太網(wǎng)邏輯上是采用總線拓?fù)浣Y(jié)構(gòu)，采用廣播通信方式，數(shù)據(jù)傳輸是依靠幀中的MAC地址來(lái)尋找目的主機(jī)。l 每個(gè)網(wǎng)絡(luò)接口都有一個(gè)互不相同的硬件地址（MAC地址），同時(shí)，每個(gè)網(wǎng)段有一個(gè)在此網(wǎng)段中廣播數(shù)據(jù)包的廣播地址l 一個(gè)網(wǎng)絡(luò)接口只響應(yīng)目的地址是自己硬件地址或者自己所處網(wǎng)段的廣播地址的數(shù)據(jù)幀，丟棄不是發(fā)給自己的數(shù)據(jù)幀。但網(wǎng)卡工作在混雜模式下，則無(wú)論幀中的目標(biāo)物理地址是什么，主機(jī)都將接收l(shuí) 通過(guò)Sniffer工具，將網(wǎng)絡(luò)接口設(shè)置為“混雜”模式?？梢员O(jiān)聽(tīng)此網(wǎng)絡(luò)中傳輸?shù)乃袛?shù)據(jù)幀。從而可以截獲數(shù)據(jù)幀，進(jìn)而實(shí)現(xiàn)實(shí)時(shí)分析數(shù)據(jù)幀的內(nèi)容。三、實(shí)驗(yàn)環(huán)境l 實(shí)驗(yàn)室所有機(jī)器安裝了Windows操作系統(tǒng)，并組成了一個(gè)局域網(wǎng)，并且都安裝了Sniffer Pro軟件、FLASHFXP（FTP下載軟件）、Flashget下載工具和IE瀏覽器。l 每?jī)蓚€(gè)學(xué)生為一組：其中學(xué)生A進(jìn)行Http或者Ftp連接，學(xué)生B運(yùn)行Sniffer Pro軟件監(jiān)聽(tīng)學(xué)生A主機(jī)產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包。完成實(shí)驗(yàn)后，互換角色重做一遍。四、實(shí)驗(yàn)內(nèi)容和步驟任務(wù)一：熟悉Sniffer Pro工具的使用根據(jù)老師給的ppt材料對(duì)Sniffer進(jìn)行了基本的操作，操作過(guò)程部分截圖如下：網(wǎng)絡(luò)監(jiān)控面板Dashboard 使用Dashboard作為網(wǎng)絡(luò)狀況快速瀏覽Detail（協(xié)議列表）Matrix （網(wǎng)絡(luò)連接）設(shè)置任務(wù)二：捕獲FTP數(shù)據(jù)包并進(jìn)行分析（1）基本步驟： 在命令符提示下輸入IPCONFIG查詢(xún)自己的IP地址。 學(xué)生B單擊菜單中的“捕獲”|”定義捕獲”|”高級(jí)”，再選中IP|TCP|FTP。設(shè)置Sniffer捕捉數(shù)據(jù)的過(guò)濾選項(xiàng)，使其只捕捉FTP數(shù)據(jù)。 學(xué)生B選中顯示菜單下的網(wǎng)絡(luò)連接可以看到網(wǎng)絡(luò)中的傳輸?shù)貓D視圖。在傳輸?shù)貓D視圖中單擊IP選項(xiàng)卡，用鼠標(biāo)選中學(xué)生A主機(jī)的IP地址，單擊鼠標(biāo)右鍵，選中“捕獲”命令，開(kāi)始捕獲指定主機(jī)的有關(guān)FTP協(xié)議的數(shù)據(jù)包。 學(xué)生B單擊工具欄中的捕獲儀表盤(pán)按鈕，可看到捕捉的包數(shù)量。 學(xué)生A登陸ftp（ftp：/0）然后在輸入用戶名和密碼，登陸到某個(gè)老師的ftp下。 學(xué)生B在捕獲數(shù)據(jù)包到達(dá)一定的數(shù)量后，單擊停止并顯示按鈕，停止抓包。 停止抓包后，單擊窗口左下角的解碼選型，窗口會(huì)顯示捕捉的數(shù)據(jù)。學(xué)生B根據(jù)捕獲報(bào)文和報(bào)文解碼，詳細(xì)分析捕獲的數(shù)據(jù)包，找出有用信息：ftp連接的目的地址、目的端口、發(fā)起連接的源地址、源端口、建立連接的3次握手的數(shù)據(jù)包及其對(duì)應(yīng)的TCP協(xié)議包頭結(jié)構(gòu)各字段數(shù)據(jù)、登陸的用戶名及密碼、目標(biāo)主機(jī)瀏覽過(guò)的目錄和文件。 A、B交換角色，重做實(shí)驗(yàn)。（2）實(shí)驗(yàn)過(guò)程：1）捕獲了一個(gè)數(shù)據(jù)包，并對(duì)其中的一個(gè)TCP報(bào)文進(jìn)行分析捕獲了這個(gè)數(shù)據(jù)報(bào)：分析其數(shù)據(jù)如下：由以上的信息可以分析TCP報(bào)文的各項(xiàng)內(nèi)容：源端口號(hào)：landmarks (3969)目的端口號(hào)：http (80)序號(hào)：0確認(rèn)號(hào)：0 (relative sequence number)頭部長(zhǎng)度：28 bytes窗口大?。?5535校驗(yàn)和：0xc94b validation disabled Good Checksum: False Bad Checksum: False2）分析捕獲的FTP數(shù)據(jù)包由上圖可以看出登陸的用戶名和密碼分別為：anonymous和IEUser由于FTP是應(yīng)用層協(xié)議且該協(xié)議用的是TCP進(jìn)行數(shù)據(jù)通信，在訪問(wèn)ftp時(shí)，由圖得本機(jī)43在訪問(wèn)ftp：/2前，需要和2進(jìn)行三次握手，以確定連接關(guān)系，并進(jìn)行數(shù)據(jù)通信。在輸入用戶名和密碼后，就能進(jìn)行訪問(wèn)分析：從捕獲的報(bào)文中可以看出數(shù)據(jù)包1是TCP連接，D=21，S=1514，DestAddress=9，表明目的端口是21，主機(jī)端口是1514，說(shuō)明我們連接的是IP地址為9的FTP服務(wù)器捕獲的數(shù)據(jù)包1,2,3顯示了TCP連接過(guò)程的三次握手，數(shù)據(jù)1顯示主機(jī)向服務(wù)器發(fā)出了FTP連接的請(qǐng)求。數(shù)據(jù)中包含SYN（SYN=2197295847），數(shù)據(jù)包2是服務(wù)器向主機(jī)發(fā)送的數(shù)據(jù)。數(shù)據(jù)中對(duì)剛才主機(jī)發(fā)送的包進(jìn)行了確認(rèn)（ACK=2197295847），并表明自己的ISN=1545135791，此時(shí)，TCP連接已經(jīng)完成了兩次握手。數(shù)據(jù)包3顯示了第三次握手，從而完成了TCP連接，此包中主機(jī)對(duì)服務(wù)器發(fā)出的數(shù)據(jù)包進(jìn)行了確認(rèn)，這表明整個(gè)過(guò)程沒(méi)有數(shù)據(jù)包的丟失，連接成功。3）結(jié)論：通過(guò)實(shí)驗(yàn)可知FTP中的數(shù)據(jù)是以明文形式傳輸?shù)?，可以利用捕獲的數(shù)據(jù)包分析被監(jiān)聽(tīng)主機(jī)的任何行為，監(jiān)聽(tīng)主機(jī)的信息極易泄露。任務(wù)三：捕獲HTTP數(shù)據(jù)包并分析（1）基本步驟： 學(xué)生B單擊菜單中的“捕獲”|”定義捕獲”|”高級(jí)”，再選中IP|TCP|HTTP。設(shè)置Sniffer捕捉數(shù)據(jù)的過(guò)濾選項(xiàng)，使其只捕捉HTTP數(shù)據(jù)。 學(xué)生B選中顯示菜單下的網(wǎng)絡(luò)連接可以看到網(wǎng)絡(luò)中的傳輸?shù)貓D視圖。在傳輸?shù)貓D視圖中單擊IP選項(xiàng)卡，用鼠標(biāo)選中學(xué)生A主機(jī)的IP地址，單擊鼠標(biāo)右鍵，選中“捕獲”命令，開(kāi)始捕獲指定主機(jī)的有關(guān)HTTP協(xié)議的數(shù)據(jù)包。 學(xué)生B單擊工具欄中捕獲儀表盤(pán)的按鈕，可看到捕捉的包數(shù)量。 學(xué)生A瀏覽，任意瀏覽頁(yè)面，登陸郵箱（輸入正確用戶名和密碼）。 學(xué)生B在A關(guān)閉頁(yè)面后，單擊停止并顯示按鈕，停止抓包。 停止抓包后，單擊窗口左下角的解碼選型，窗口會(huì)顯示捕捉的數(shù)據(jù)。學(xué)生B根據(jù)捕獲報(bào)文和報(bào)文解碼，詳細(xì)分析捕獲的數(shù)據(jù)包，找出有用信息 A、B交換角色，重做實(shí)驗(yàn)。（2）實(shí)驗(yàn)過(guò)程：選中Monitor菜單下的Matirx或直接點(diǎn)擊網(wǎng)絡(luò)性能監(jiān)視快捷鍵，此時(shí)可以看到網(wǎng)絡(luò)中的TrafficMap視圖，顯示的是IP地址，每條連線表明兩臺(tái)主機(jī)間的通信點(diǎn)擊菜單中的“CaptureDefineFilter，點(diǎn)擊其中的Address頁(yè)面，單擊Profiles.按鈕，創(chuàng)建新配置文件，在CaptureProfiles對(duì)話框中，單擊New，輸入新配置文件名，單擊OK單擊Stationl字段，輸入本機(jī)的IP地址：?jiǎn)螕鬝tation2字段，輸入合作伙伴的IP地址，將AddressType字段的值由Hardware改為IP開(kāi)始捕捉后，點(diǎn)擊工具欄中的“CapturePanel”，如下圖所示，看到捉包的情況，圖中顯示出Packet的數(shù)量1）分析捕獲的HTTP數(shù)據(jù)包在捕獲報(bào)文窗口中看出數(shù)據(jù)包236是TCP連接，D80，S1191，DestAddress=51，表明目的端口是80，主機(jī)端口是1191，說(shuō)明我們連接的是IP地址為51的HTTP服務(wù)器（HTTP服務(wù)器占用80端口）。捕獲的數(shù)據(jù)包236、237、238顯示了TCP連接過(guò)程中的三次握手。數(shù)據(jù)包236顯示主機(jī)向服務(wù)器發(fā)出了HTTP連接請(qǐng)求。數(shù)據(jù)中包含SYN（SYN2604516000），數(shù)據(jù)包237是服務(wù)器向主機(jī)發(fā)送的數(shù)據(jù)。數(shù)據(jù)中對(duì)剛才主機(jī)發(fā)送的包進(jìn)行了確認(rèn)（ACK2604516001），并表明自己的ISN1445560998，此時(shí)，TCP連接已經(jīng)完成了兩次握手。數(shù)據(jù)包238顯示了第三次握手，從而完成了TCP連接，此包中，主機(jī)對(duì)服務(wù)器發(fā)出的數(shù)據(jù)包進(jìn)行了確認(rèn)（ACK1445560999），這表明整個(gè)建立過(guò)程沒(méi)有數(shù)據(jù)包丟失，連接成功。分析TCP包頭結(jié)構(gòu)，選中一項(xiàng)，十六進(jìn)制內(nèi)容中都會(huì)有相應(yīng)的數(shù)據(jù)與之對(duì)應(yīng)，每一字段都會(huì)與TCP包頭結(jié)構(gòu)一致。2）結(jié)論：通過(guò)實(shí)驗(yàn)可知http傳輸數(shù)據(jù)不是以明文傳輸，能捕捉到用戶名，但是不能捕捉到暗文，所以不容易泄露信息，比f(wàn)tp要安全一些。五、實(shí)驗(yàn)總結(jié)這次的實(shí)驗(yàn)讓我了解到了網(wǎng)絡(luò)嗅探的原理：Sniffer即網(wǎng)絡(luò)嗅探器，是一種威脅性極大的被動(dòng)檢測(cè)攻擊工具。使用這種工具，可以監(jiān)視網(wǎng)絡(luò)的狀態(tài)、數(shù)據(jù)流動(dòng)情況以及網(wǎng)絡(luò)上傳輸?shù)男畔?。?dāng)信息以明文的形式在網(wǎng)絡(luò)上傳輸時(shí)，便可以使用網(wǎng)絡(luò)監(jiān)聽(tīng)的方式來(lái)進(jìn)行嗅探攻擊。將網(wǎng)絡(luò)接口設(shè)置在監(jiān)聽(tīng)模式，便可以將網(wǎng)上傳輸?shù)男畔⒔孬@。黑客常常用它來(lái)截獲用戶的口令；管理員則可以使用Sniffer分析網(wǎng)絡(luò)性能和故障。以及網(wǎng)絡(luò)嗅探的防范方式：通過(guò)使用加密軟硬件設(shè)備，實(shí)現(xiàn)對(duì)傳輸數(shù)據(jù)的加密，從而保護(hù)傳輸數(shù)據(jù)的安全性；VPN、SSL、SSH等加密手段可有效防范sniffer的嗅探。利用網(wǎng)絡(luò)設(shè)備的物理或者邏輯隔離的手段，可以避免信息的泄密；利用交換機(jī)的VLAN功能，實(shí)現(xiàn)VLAN間的邏輯隔離。通過(guò)這次實(shí)驗(yàn)的學(xué)習(xí)，在同學(xué)和老師的幫助與指導(dǎo)下，我熟悉掌握了Sniffer的操作，如何制定捕獲過(guò)濾準(zhǔn)則及捕獲不同類(lèi)型的數(shù)據(jù)包，通過(guò)捕獲數(shù)據(jù)包來(lái)分析IP數(shù)據(jù)報(bào)和TCP報(bào)文的結(jié)構(gòu)。同時(shí)也了解了HTTP和FTP的操作過(guò)程，觀