計(jì)算機(jī)網(wǎng)絡(luò)基礎(chǔ)實(shí)驗(yàn)八完成報(bào)告書(shū)

1、實(shí)驗(yàn)完成報(bào)告書(shū)一、實(shí)驗(yàn)數(shù)據(jù)、實(shí)驗(yàn)結(jié)果及分析1.捕捉任何主機(jī)發(fā)出的DIX Ethernet V2（即Ethernet II）格式的幀（幀的長(zhǎng)度字段>1500，幀的長(zhǎng)度字段實(shí)際上是類(lèi)型字段），Wireshark的capture filter的filter string設(shè)置為：ether12:2>1500；字段值含義Destination00 24 1d 6f 9d 8a目標(biāo)地址Source00 24 1d aa 5b 23源地址TypeARP(0X0806)協(xié)議類(lèi)型為0806 ARPTrailer00000000000000000000000000協(xié)議中填充的數(shù)據(jù)，為了保證幀至少由64

2、個(gè)字節(jié)Sender MAC addressb4 14 1d aa 5b 23發(fā)送方MAC地址Sender IP address4發(fā)送方IP地址Target MAC address00 24 1d 1d 6f 9d 8a目標(biāo)MAC地址Target IP address7目標(biāo)IP地址實(shí)驗(yàn)分析：Ethernet II的幀的上一層主要是IP報(bào)文。2.捕捉并分析局域網(wǎng)上所有的ethernet broadcast幀，Wireshark的capture filter的filter string設(shè)置為：ether broadcast；實(shí)驗(yàn)分析：在停止抓包前，一共

3、捕捉到來(lái)自同一個(gè)地址的4個(gè)包。3.捕捉局域網(wǎng)上主機(jī)7發(fā)出或接收的所有ARP包，Wireshark的capture filter的filter string設(shè)置為：arp host 7。在主機(jī)7上執(zhí)行“arp -d”清除ARP緩存。在主機(jī)7上ping局域網(wǎng)上的另一主機(jī)（例如6）。 實(shí)驗(yàn)分析：在主機(jī)7上執(zhí)行的操作都可以被捕捉到。二、實(shí)驗(yàn)過(guò)程中出現(xiàn)的問(wèn)題，分析及解決方法1. 對(duì)于主機(jī)發(fā)出的Ethernet802.3格式的幀（幀的長(zhǎng)度字段<=1500）捕

4、捉不到分析及解決方法：該字段長(zhǎng)度的幀由于長(zhǎng)度問(wèn)題難以被捕捉到。2.對(duì)于所抓到包，不能很好的對(duì)它分析，三、 實(shí)驗(yàn)思考題。1.試述TCP/IP協(xié)議的網(wǎng)絡(luò)體系結(jié)構(gòu)要點(diǎn)，包括各層的主要功能和主要協(xié)議：TCP/IP由四個(gè)層次組成：數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層、應(yīng)用層。其中IP是在第二層網(wǎng)絡(luò)層中，TCP是在第3層傳輸層中，Internet體系結(jié)構(gòu)最重要的是TCP/IP協(xié)議，是實(shí)現(xiàn)互聯(lián)網(wǎng)絡(luò)連接性和互操作性的關(guān)鍵，它把許多臺(tái)的Internet上的各種網(wǎng)絡(luò)連接起來(lái)。Internet的其他網(wǎng)絡(luò)協(xié)議都要用到TCP/IP協(xié)議提供的功能，因而稱(chēng)我們習(xí)慣稱(chēng)Internet協(xié)議族為T(mén)CP/IP協(xié)議族，簡(jiǎn)稱(chēng)TCP/IP協(xié)議，也

5、可稱(chēng)為T(mén)CP/IP四層體系結(jié)構(gòu)。1. 數(shù)據(jù)鏈路層： 數(shù)據(jù)鏈路層是物理傳輸通道，是TCP/IP軟件的最低層，負(fù)責(zé)接收IP數(shù)據(jù)報(bào)并通過(guò)網(wǎng)絡(luò)發(fā)送，或者從網(wǎng)絡(luò)上接收物理幀，抽出IP數(shù)據(jù)報(bào)，交給IP層?？墒褂枚喾N傳輸介質(zhì)傳輸，可建立在任何物理傳輸網(wǎng)上。比如光纖、雙絞線等。2. 網(wǎng)絡(luò)層：其主要功能是要完成網(wǎng)絡(luò)中主機(jī)間“分組”(Packet)的傳輸。含有4個(gè)協(xié)議：（1） 網(wǎng)際協(xié)議IP負(fù)責(zé)分組數(shù)據(jù)的傳輸，各個(gè)IP數(shù)據(jù)之間是相互獨(dú)立的。（2） 互聯(lián)網(wǎng)控制報(bào)文協(xié)議ICMPIP層內(nèi)特殊的報(bào)文機(jī)制，起控制作用，能發(fā)送報(bào)告差錯(cuò)或提供有關(guān)意外情況的信息。因?yàn)镮CMP的數(shù)據(jù)報(bào)通過(guò)IP送出因此功能上屬于網(wǎng)絡(luò)的第3層。（3）

6、地址轉(zhuǎn)換協(xié)議ARP為了讓差錯(cuò)或意外情況的信息能在物理網(wǎng)上傳送到目的地，必須知道彼此的物理地址，這樣就存在把互聯(lián)網(wǎng)地址（是32位的IP地址來(lái)標(biāo)識(shí)，是一種邏輯地址）轉(zhuǎn)換為物理地址的要求，這就需要在網(wǎng)絡(luò)層上有一組服務(wù)（協(xié)議）能將IP地址轉(zhuǎn)換為相應(yīng)的網(wǎng)絡(luò)地址，這組協(xié)議就是APP.（可以把互聯(lián)網(wǎng)地址看成是外識(shí)別地址和物理地址看成是內(nèi)識(shí)別地址）（4） 反向地址轉(zhuǎn)換協(xié)議RARPRARP用于特殊情況，當(dāng)只有自己的物理地址沒(méi)有IP地址時(shí)，可通過(guò)RARP獲得IP地址，如果遇到斷電或重啟狀態(tài)下，開(kāi)機(jī)后還必需再使用RARP重新獲取IP地址。廣泛用于獲取無(wú)盤(pán)工作站的IP地址。3.傳輸層：其主要任務(wù)是向上一層提供可靠的端

7、到端（End-to-End）服務(wù)，確?！皥?bào)文”無(wú)差錯(cuò)、有序、不丟失、無(wú)重復(fù)地傳輸。它向高層屏蔽了下層數(shù)據(jù)通信的細(xì)節(jié)，是計(jì)算機(jī)通信體系結(jié)構(gòu)中最關(guān)鍵的一層。包含以下2個(gè)重要協(xié)議：1.TCP是TCP/IP體系中的傳輸層協(xié)議處于第4層傳輸層，負(fù)責(zé)數(shù)據(jù)的可靠傳輸（“三次握手”-建立連接、數(shù)據(jù)傳送、關(guān)閉連接）。2.UPD和TCP相比，數(shù)據(jù)傳輸?shù)目煽啃缘?，適合少量的可靠性要求不高的數(shù)據(jù)傳輸。4.應(yīng)用層：應(yīng)用層確定進(jìn)程間通信的性質(zhì)，以滿足用戶(hù)的需要。在應(yīng)用層提供了多個(gè)常用協(xié)議：-Telnet(Remote Login)：遠(yuǎn)程登錄FTP(File Transfer Protocol)：文件傳輸協(xié)議SMTP(Si

8、mple Mail Transfer Protocol)：簡(jiǎn)單郵件傳輸協(xié)議POP3（Post Office Protocol 3）：第三代郵局協(xié)議HTTP（Hyper Text Transfer Protocol）：超文本傳輸協(xié)議NNTP（Network News Transfer Protocol）：網(wǎng)絡(luò)新聞傳輸協(xié)議2.查閱資料，簡(jiǎn)述sniffing（嗅探）技術(shù)的工作原理：網(wǎng)絡(luò)監(jiān)聽(tīng)工具（也稱(chēng)嗅探器、Sniffer）原本是提供給管理員的一類(lèi)管理工具，主要用途是進(jìn)行數(shù)據(jù)包分析，通過(guò)網(wǎng)絡(luò)監(jiān)聽(tīng)軟件，管理員可以觀測(cè)分析實(shí)時(shí)經(jīng)由的數(shù)據(jù)包，從而快速的進(jìn)行網(wǎng)絡(luò)故障定位。但是網(wǎng)絡(luò)監(jiān)聽(tīng)工具也是攻擊者們常用的收集

9、信息的工具。被監(jiān)聽(tīng)的網(wǎng)絡(luò)通常包括以下幾種：（1）以大網(wǎng)在實(shí)際中應(yīng)用廣泛，很容易被監(jiān)聽(tīng)。以大網(wǎng)的工作原理是：將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有主機(jī)，在包中包含著應(yīng)該接收數(shù)據(jù)包的主機(jī)的正確地址。因此，只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺(tái)主機(jī)才能接收信包。但是，當(dāng)主機(jī)工作在監(jiān)聽(tīng)模式下，無(wú)論數(shù)據(jù)包中的目標(biāo)物理地址是什么，主機(jī)都將接收。（2）FDDI、Token- ring不是廣播型網(wǎng)絡(luò)，但包在傳輸過(guò)程中是沿環(huán)傳送的，高的傳輸率使監(jiān)聽(tīng)變得困難。（3）使用電話線被監(jiān)聽(tīng)的可能性中等，電話線可以被一些與電話公司協(xié)作的人或者一些有機(jī)會(huì)在物理上訪問(wèn)到線路的人搭線竊聽(tīng)，在微波線路上的信息也會(huì)被截獲。在實(shí)際中，高速的M

10、ODEM比低速的MODEM搭線困難的多。（4）通過(guò)有線電視信道傳送IP被監(jiān)聽(tīng)的可能性比較高，可以被一些可以物理上訪問(wèn)到TV電纜的人截獲。（5）微波和無(wú)線電被監(jiān)聽(tīng)的可能性比較高，無(wú)線電本來(lái)上一個(gè)廣播型的傳輸媒介，任何一個(gè)無(wú)線電接受機(jī)的人可以截獲那些傳輸?shù)男畔?。Sniffer可以是硬件，也可以是軟件，它用來(lái)接收在網(wǎng)絡(luò)上傳輸?shù)男畔?。網(wǎng)絡(luò)可以是運(yùn)行在各種協(xié)議之下的。包括Ethernet、TCP/IP、ZPX等等。Sniffer使網(wǎng)絡(luò)接口（如以太網(wǎng)適配器）處于監(jiān)聽(tīng)模式，從而可從截獲網(wǎng)絡(luò)上的所有內(nèi)容。在這種意義上，每一個(gè)機(jī)器，每一個(gè)路由器都是一個(gè)Sniffer（或者至少可以說(shuō)它們可以成為一個(gè)Sniffer

11、）。要使一臺(tái)機(jī)器成為一個(gè)Sniffer，則或者需要一個(gè)特殊的軟件（Ethernet卡的廣播驅(qū)動(dòng)程序）或者需要一種網(wǎng)絡(luò)軟件能使網(wǎng)絡(luò)處于監(jiān)聽(tīng)模式。要使主機(jī)工作在監(jiān)聽(tīng)模式下，需要向網(wǎng)絡(luò)接口發(fā)送I/O控制命令，將其設(shè)置為監(jiān)聽(tīng)模式。在Unix系統(tǒng)中，發(fā)送這些命令需要超級(jí)用戶(hù)的權(quán)限。這一點(diǎn)使得普通用戶(hù)不能進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)，只有獲得超級(jí)使用戶(hù)權(quán)限，才能進(jìn)行網(wǎng)絡(luò)監(jiān)聽(tīng)。但是，在Windows95中，則沒(méi)有這個(gè)限制。對(duì)于一個(gè)施行網(wǎng)絡(luò)攻擊的人來(lái)說(shuō)，能攻破網(wǎng)關(guān)、路由器、防火墻的情況極為少見(jiàn)，在這里完全可以由安全管理員安裝一些設(shè)備，對(duì)網(wǎng)絡(luò)進(jìn)行監(jiān)控，或者使用一些專(zhuān)門(mén)設(shè)備，運(yùn)行專(zhuān)門(mén)的監(jiān)聽(tīng)軟件，并防止任何非法訪問(wèn)。然而，潛入一臺(tái)

12、不引人注意的計(jì)算機(jī)中，悄悄地運(yùn)行一個(gè)監(jiān)聽(tīng)程序，一個(gè)攻擊者是完全可以做到的。sniffing對(duì)來(lái)往數(shù)據(jù)包進(jìn)行偵聽(tīng)，發(fā)現(xiàn)感興趣的包。如果發(fā)現(xiàn)符合條件的包，就把它存到一個(gè)log文件中去。通常設(shè)置的這些條件是包含字"username"或"password"的包。Sniffer必須是位于準(zhǔn)備進(jìn)行Sniffer工作的網(wǎng)絡(luò)上的，它可以放在網(wǎng)絡(luò)段中的任何地方。網(wǎng)絡(luò)監(jiān)聽(tīng)軟件運(yùn)行時(shí)，需要消耗大量的處理器時(shí)間，此時(shí)就詳細(xì)地分析包中的內(nèi)容，許多包就會(huì)來(lái)不及接收而漏掉，因此，網(wǎng)絡(luò)監(jiān)聽(tīng)軟件通常都是將監(jiān)聽(tīng)到的包存放在文件中，待以后再分析。sniffer通常運(yùn)行在路由器，或有路由器功能的主機(jī)上。這樣就能對(duì)大量的數(shù)據(jù)進(jìn)行監(jiān)控。sniffer屬第二層次的攻擊。通常是攻擊者已經(jīng)進(jìn)入了目標(biāo)系統(tǒng)，然后使用sniffer這種攻擊手段，以便得到更多的信息。當(dāng)連接在同一條電纜或集線器上的主機(jī)被邏輯地分為幾個(gè)子網(wǎng)時(shí)，如果一臺(tái)主機(jī)處于監(jiān)聽(tīng)模式下，它還能接