信息安全概論實(shí)驗(yàn)一new

1、實(shí)驗(yàn)一網(wǎng)絡(luò)信息檢測實(shí)驗(yàn)(使用Sniffer工具嗅探)一、實(shí)驗(yàn)?zāi)康耐ㄟ^使用Sniffer Pro軟件掌握sniffer(嗅探器)工具的使用方法，實(shí)現(xiàn)捕捉FTP、HTTP等協(xié)議的數(shù)據(jù)包，以理解TCP/IP協(xié)議中多種協(xié)議的數(shù)據(jù)結(jié)構(gòu)、會話連接建立和終止的過程、TCP序列號、應(yīng)答序號的變化規(guī)律。并且，通過實(shí)驗(yàn)了解FTP、HTTP等協(xié)議明文傳輸?shù)奶匦?，以建立安全意識，防止FTP、HTTP等協(xié)議由于傳輸明文密碼造成的泄密。二、實(shí)驗(yàn)原理Sniffer即網(wǎng)絡(luò)嗅探器，用于監(jiān)聽網(wǎng)絡(luò)中的數(shù)據(jù)包，分析網(wǎng)絡(luò)性能和故障。Sniffer主要用于網(wǎng)絡(luò)管理和網(wǎng)絡(luò)維護(hù)，系統(tǒng)管理員通過Sniffer可以診斷出通過常規(guī)工具難以解決的網(wǎng)

2、絡(luò)疑難問題，包括計算機(jī)之間的異常通訊、不同網(wǎng)絡(luò)協(xié)議的通訊流量、每個數(shù)據(jù)包的源地址和目的地址等，它將提供非常詳細(xì)的信息。通常每個網(wǎng)絡(luò)接口都有一個互不相同的硬件地址(MAC)，同時，每個網(wǎng)段有一個在此網(wǎng)段中廣播數(shù)據(jù)包的廣播地址（代表所有的接口地址）。一般情況下，一個網(wǎng)絡(luò)接口只響應(yīng)目的地址是自己硬件地址或者自己所處網(wǎng)段的廣播地址的數(shù)據(jù)幀，并由操作系統(tǒng)進(jìn)一步進(jìn)行處理，而丟棄不是發(fā)給自己的數(shù)據(jù)幀。而通過Sniffer工具，可以將網(wǎng)絡(luò)接口設(shè)置為“混雜” (promiscuous)模式。在這種模式下，網(wǎng)絡(luò)接口就處于一個對網(wǎng)絡(luò)進(jìn)行“監(jiān)聽”的狀態(tài)，而它可以監(jiān)聽此網(wǎng)絡(luò)中傳輸?shù)乃袛?shù)據(jù)幀，而不管數(shù)據(jù)幀的目標(biāo)地址是廣

3、播地址還是自己或者其他網(wǎng)絡(luò)接口的地址了。它將對遭遇的每一個數(shù)據(jù)幀產(chǎn)生硬件中斷，交由操作系統(tǒng)對這個幀進(jìn)行處理，比如截獲這個數(shù)據(jù)幀，進(jìn)而實(shí)現(xiàn)實(shí)時分析數(shù)據(jù)幀中包含的內(nèi)容。當(dāng)然，如果一個數(shù)據(jù)幀沒有發(fā)送到目標(biāo)主機(jī)的網(wǎng)絡(luò)接口，則目標(biāo)主機(jī)將無法監(jiān)聽到該幀。所以Sniffer所能監(jiān)聽到的信息將僅限于在同一個物理網(wǎng)絡(luò)內(nèi)傳送的數(shù)據(jù)幀，就是說和監(jiān)聽的目標(biāo)中間不能有路由（交換）或其他屏蔽廣播包的設(shè)備。因此，當(dāng)Sniffer工作在由集線器(HUB)構(gòu)建的廣播型局域網(wǎng)時，它可以監(jiān)聽到此物理網(wǎng)絡(luò)內(nèi)所有傳送的數(shù)據(jù)；而對于由交換機(jī)(switch)和路由器(router)構(gòu)建的網(wǎng)絡(luò)中，由于這些網(wǎng)絡(luò)設(shè)備只根據(jù)目標(biāo)地址分發(fā)數(shù)據(jù)幀，所

4、以在這種網(wǎng)絡(luò)中，sniffer工具就只能監(jiān)測到目標(biāo)地址是自己的數(shù)據(jù)幀再加上針對廣播地址的數(shù)據(jù)幀了。Sniffer工作在OSI模型中的第2層，它一般使用在已經(jīng)進(jìn)入對方系統(tǒng)的情況。實(shí)驗(yàn)中要注意，雖然sniffer能得到在局域網(wǎng)中傳送的大量數(shù)據(jù)，但是不加選擇的接收所有的數(shù)據(jù)包，并且進(jìn)行長時間的監(jiān)聽，那么你需要分析的數(shù)據(jù)量將是非常巨大的，并且將會浪費(fèi)大量硬盤空間。Sniffer工具分為軟件和硬件兩大類，在這里我們主要以Sniffer Pro軟件為例對sniffer工具的使用方法和功能進(jìn)行簡單介紹。當(dāng)然，sniffer軟件工具還有很多種，例如SQLServerSniffer、FsSniffer等，它們的

5、功能和使用的環(huán)境有所不同，如果讀者感興趣，可以自己進(jìn)行深入探索。對于Sniffer工具的防范可以從以下幾個方面進(jìn)行：首先，如果通過網(wǎng)管工具發(fā)現(xiàn)在局域網(wǎng)內(nèi)存在長時間占用較大帶寬的計算機(jī)，這臺計算機(jī)可能在進(jìn)行嗅探；其次，Sniffer的記錄文件增長很快，通過分析文件系統(tǒng)大小的變換情況，可以找到這個文件；最后，如果計算機(jī)的網(wǎng)絡(luò)接口處于混雜模式下（在UNIX環(huán)境下通過ifconfig a命令查看網(wǎng)絡(luò)接口狀態(tài)），則它很可能運(yùn)行了Sniffer。通過上面的幾種方法，可以對Sniffer進(jìn)行分析監(jiān)測。除了這些間接分析方法外，還可以利用AntiSniff工具，它提供了直接檢測Sniffer的功能，從而可以對S

6、niffer進(jìn)行有效防范。三、實(shí)驗(yàn)環(huán)境兩臺安裝Windows 2000/XP的PC機(jī)，在其中一臺上安裝Sniffer Pro軟件。將兩臺PC機(jī)通過HUB相連，組成一個局域網(wǎng)。四、實(shí)驗(yàn)內(nèi)容和步驟任務(wù)一 熟悉Sniffer Pro工具的使用1）Sniffer Pro軟件簡介Sniffer軟件是NAI公司推出的功能強(qiáng)大的協(xié)議分析軟件，實(shí)驗(yàn)中使用Sniffer Pro4.7來截獲網(wǎng)絡(luò)中傳輸?shù)腇TP、HTTP、Telnet等數(shù)據(jù)包，并進(jìn)行分析。2）使用說明啟動Sniffer Pro軟件后可以看到它的主界面，如下圖所示，啟動的時候有時需要選擇相應(yīng)的網(wǎng)卡（adapter），選好后即可啟動軟件。網(wǎng)絡(luò)監(jiān)視面板D

7、ashboard可以監(jiān)控網(wǎng)絡(luò)的利用率，流量及錯誤報文等內(nèi)容，如下圖所示從Host table可以直觀的看出連接的主機(jī)，如下圖所示，顯示方式為IP任務(wù)二捕獲HTTP數(shù)據(jù)包并分析1） 假設(shè)A主機(jī)監(jiān)視B主機(jī)的活動，首先A主機(jī)要知道B主機(jī)的IP地址，B主機(jī)可以在命令符提示下輸入ipconfig查訊自己的IP地址并通知A主機(jī)。2） 選中Monitor菜單下的Matirx或直接點(diǎn)擊網(wǎng)絡(luò)性能監(jiān)視快捷鍵，此時可以看到網(wǎng)絡(luò)中的Traffic Map視圖，如下圖所示，可以點(diǎn)擊左下角的MAC、IP、或IPX使Traffic Map視圖顯示相應(yīng)主機(jī)的MAC、IP或IPX地址，下圖顯示的是IP地址，每條連線表明兩臺主機(jī)

8、間的通信。3）點(diǎn)擊菜單中的“CaptureDefine Filter，點(diǎn)擊其中的Address頁面，單擊Profiles.按鈕，創(chuàng)建新配置文件，在Capture Profiles對話框中，單擊New，輸入新配置文件名，單擊OK 選擇新配置文件，然后單擊Done按鈕 單擊Station l字段，輸入本機(jī)的IP地址：單擊Station 2字段，輸入合作伙伴的IP地址，將Address Type字段的值由Hardware改為IP點(diǎn)擊其中的Advanced頁面，再選中“IPTCPHTTP” 如下圖所示，然后點(diǎn)擊OK。4） 回到Traffic Map視圖中，用鼠標(biāo)選中要捕捉的B主機(jī)IP地址，選中后IP地

9、址以白底高亮顯示。此時，點(diǎn)擊鼠標(biāo)右鍵，選中Capture或者點(diǎn)擊捕獲報文快捷鍵中的開始按鈕，Sniffer則開始捕捉指定IP地址的主機(jī)的有關(guān)FTP協(xié)議的數(shù)據(jù)包，如下圖所示。5） 開始捕捉后，點(diǎn)擊工具欄中的“Capture Panel”，如下圖所示，看到捉包的情況，圖中顯示出Packet的數(shù)量。6） B主機(jī)登陸一個Web服務(wù)器（網(wǎng)站），并輸入自己的郵箱地址和密碼。7） 此時，從Capture Panel中看到捕獲數(shù)據(jù)包已達(dá)到一定數(shù)量，點(diǎn)擊“Stop and Display”按鈕，停止抓包。如下圖所示。8）停止抓包后，點(diǎn)擊窗口左下角的“Decode”選項(xiàng)，窗中會顯示所捕捉的數(shù)據(jù)，并分析捕獲的數(shù)據(jù)包

10、，如下圖所示。（請截圖1個，含Sniffer菜單、窗口1和窗口3，其中窗口3顯示本人郵箱的帳號和密碼）從捕獲的包中，我們可以發(fā)現(xiàn)大量有用信息，下面我們詳細(xì)介紹。過濾后抓包，還是有很多信息包，我們要在Summary里面找到POST類型的數(shù)據(jù)包239（圖中窗口1深色的那個），大多數(shù)信息就在這個包中，圖中窗口3數(shù)據(jù)顯示B主機(jī)瀏覽的是新浪網(wǎng)站郵箱，在窗口3的低端，我們可以看到這樣的信息&u=wantao217&psw=wantao217,這就表明B主機(jī)在新浪網(wǎng)站上曾經(jīng)輸入過用戶名wantao217和密碼wantao217, B主機(jī)的重要信息就這樣泄漏了。這說明了HTTP中的數(shù)據(jù)是以明文形式傳輸?shù)?，在?/p>

11、獲的數(shù)據(jù)包中可以分析到被監(jiān)聽主機(jī)的任何行為。在捕獲報文窗口中看出數(shù)據(jù)包236是TCP連接，D80，S1191，Dest Address=51，表明目的端口是80，主機(jī)端口是1191，說明我們連接的是IP地址為51的HTTP服務(wù)器（HTTP服務(wù)器占用80端口）。 窗口1中捕獲的數(shù)據(jù)包236、237、238顯示了TCP連接過程中的三次握手，如下圖所示。數(shù)據(jù)包236顯示主機(jī)向服務(wù)器發(fā)出了HTTP連接請求。數(shù)據(jù)中包含SYN（SYN2604516000），數(shù)據(jù)包237是服務(wù)器向主機(jī)發(fā)送的數(shù)據(jù)。數(shù)據(jù)中對剛才主機(jī)發(fā)送的包進(jìn)行了確認(rèn)（ACK2604516001），并

12、表明自己的 ISN1445560998，此時，TCP連接已經(jīng)完成了兩次握手。數(shù)據(jù)包238顯示了第三次握手，從而完成了TCP連接，此包中，主機(jī)對服務(wù)器發(fā)出的數(shù)據(jù)包進(jìn)行了確認(rèn)（ACK1445560999），這表明整個建立過程沒有數(shù)據(jù)包丟失，連接成功。從窗口2分析TCP包頭結(jié)構(gòu)，在窗口2中選中一項(xiàng)，在窗口3（十六進(jìn)制內(nèi)容）中都會有相應(yīng)的數(shù)據(jù)與之對應(yīng)，每一字段都會與TCP包頭結(jié)構(gòu)一致。任務(wù)三 捕獲FTP數(shù)據(jù)包并進(jìn)行分析1）同任務(wù)二。2）同任務(wù)二。3）點(diǎn)擊菜單中的“CaptureDefine FilterAdvanced”，選中“IPTCPFTP”，然后點(diǎn)擊OK。4）同任務(wù)二。5）同任務(wù)二。6）B主機(jī)開始登陸一個FTP服務(wù)器。接著打開FTP的某個目錄。7）同任務(wù)二。8）停止抓包后，點(diǎn)擊窗口左下角的“Decode”選項(xiàng)，窗中會顯示所捕捉的數(shù)據(jù)，并分析捕獲的數(shù)據(jù)包。（請截圖1個，含Sniffer菜單、窗口1和窗口3，其中窗口1，3顯示FTP密碼）由任務(wù)二的實(shí)驗(yàn)和任務(wù)三的實(shí)驗(yàn)我們可以看出，Sniffer可以探查出局域網(wǎng)內(nèi)流動的任何信息，尤其是