實(shí)驗(yàn)二_網(wǎng)絡(luò)嗅探

1、實(shí)驗(yàn)二 網(wǎng)絡(luò)嗅探【實(shí)驗(yàn)?zāi)康摹?. 了解 ARP 、ICMP 等協(xié)議明文傳輸?shù)奶匦裕?. 了解局域網(wǎng)的監(jiān)聽手段；3. 掌握 Wireshark 嗅探器軟件的使用方法；4. 掌握對嗅探到的數(shù)據(jù)包進(jìn)行分析的基本方法，并能夠?qū)π崽降降臄?shù)據(jù)包進(jìn)行網(wǎng)絡(luò)狀況的判斷?！緦?shí)驗(yàn)環(huán)境】兩臺以上裝有 Windows XP 以上操作系統(tǒng)的計(jì)算機(jī)?！緦?shí)驗(yàn)原理】（1）嗅探原理網(wǎng)絡(luò)監(jiān)聽是一種常用的被動式網(wǎng)絡(luò)攻擊方法， 能幫助 入侵者 輕易獲得用其他方法很難獲 得的信息，包括 用戶口令 、賬號、敏感數(shù)據(jù) 、IP 地址 、路由信息 、TCP 套接字號 等。管理 員使用 網(wǎng)絡(luò)監(jiān)聽工具 可以 監(jiān)視網(wǎng)絡(luò)的狀態(tài) 、數(shù)據(jù)流動情況 以及 網(wǎng)

2、絡(luò)上傳輸?shù)男畔?。嗅探器（ Sniffer ）是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲發(fā)往其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種技術(shù)。 它工作在網(wǎng)絡(luò)的底層， 將網(wǎng)絡(luò)傳輸?shù)娜繑?shù)據(jù)記錄下來。 嗅探器可以幫助網(wǎng)絡(luò)管理員查找網(wǎng) 絡(luò)漏洞和檢測網(wǎng)絡(luò)性能。 嗅探器可以分析網(wǎng)絡(luò)的流量， 以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。不同傳輸介質(zhì)網(wǎng)絡(luò)的可監(jiān)聽性是不同的。一般來說，以太網(wǎng)（共享式網(wǎng)絡(luò) ）被監(jiān)聽的可能性比較高，因?yàn)橐蕴W(wǎng) （共享式網(wǎng)絡(luò) ）是一個廣播型的網(wǎng)絡(luò)。微波和無線網(wǎng)被監(jiān)聽的可能性同 樣比較高， 因?yàn)闊o線電本身是一個廣播型的傳輸媒介， 彌散在空中的無線電信號可以被很輕 易地截獲。在以太網(wǎng)中， 嗅探器通過將以太網(wǎng)卡設(shè)置成 混雜模式 來

3、捕獲數(shù)據(jù)。 因?yàn)橐蕴W(wǎng)協(xié)議工作 方式是將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有主機(jī)， 包中包含著應(yīng)該接收數(shù)據(jù)包主機(jī)的正 確地址， 只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺主機(jī)才能接收。 但是， 當(dāng)主機(jī)工作在監(jiān)聽模式 下，無論數(shù)據(jù)包中的目標(biāo)地址是什么， 主機(jī)都將接收 （當(dāng)然自己只能監(jiān)聽經(jīng)過自己網(wǎng)絡(luò)接口 的那些包）。在 Internet 上有很多使用以太網(wǎng)協(xié)議的局域網(wǎng)，許多主機(jī)通過電纜、集線器連 在一起， 當(dāng)同一網(wǎng)絡(luò)中的兩臺主機(jī)通信的時(shí)候， 源主機(jī)將寫有目的主機(jī)地址的數(shù)據(jù)包直接發(fā) 向目的主機(jī)。但這種數(shù)據(jù)包不能在 IP 層直接發(fā)送，必須從 TCP/IP 協(xié)議的 IP 層交給網(wǎng)絡(luò)接 口，也就是數(shù)據(jù)鏈路層，而網(wǎng)絡(luò)接

4、口是不會識別IP 地址的，因此在網(wǎng)絡(luò)接口數(shù)據(jù)包又增加 了一部分以太幀頭的信息。 在幀頭中有兩個域， 分別為只有網(wǎng)絡(luò)接口才能識別的源主機(jī)和上 的主機(jī)的物理地址，這是一個與 IP 地址相對應(yīng)的 48 位的以太地址。傳輸數(shù)據(jù)時(shí)，包含物理地址的幀從網(wǎng)絡(luò)接口（網(wǎng)卡）發(fā)送到物理的線路上， 如果局域網(wǎng) 是由一條粗纜連接而成， 則數(shù)字信號在電纜上傳輸， 能夠到達(dá)線路上的每一臺主機(jī)。 當(dāng)使用 集線器時(shí)， 由集線器再發(fā)向連接在集線器上的每一條線路， 數(shù)字信號也能到達(dá)連接在集線器 上的每一臺主機(jī)。 當(dāng)數(shù)字信號到達(dá)一臺主機(jī)的網(wǎng)絡(luò)接口時(shí)， 正常情況下， 網(wǎng)絡(luò)接口讀入數(shù)據(jù) 幀，進(jìn)行檢查， 如果數(shù)據(jù)幀中攜帶的物理地址是自己

5、的或者是廣播地址， 則將數(shù)據(jù)幀交給上 層協(xié)議軟件，也就是 IP 層軟件， 否則就將這個幀丟棄，對于每一個到達(dá)網(wǎng)絡(luò)接口的數(shù)據(jù)幀， 都要進(jìn)行這個過程。然而，當(dāng)主機(jī)工作在監(jiān)聽模式下，所有的數(shù)據(jù)幀都將交給上層協(xié)議軟件處理。而且當(dāng) 連接在同一條電纜或集線器上的主機(jī)被邏輯地分為幾個子網(wǎng)時(shí)，如果一臺主機(jī)處于監(jiān)聽模 式下，它還能接收到發(fā)向與自己不在同一子網(wǎng)（使用了不同的掩碼、 IP 地址和網(wǎng)關(guān)）的主 機(jī)的數(shù)據(jù)包。也就是說，在同一條物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏?。另外，現(xiàn) 在網(wǎng)絡(luò)中使用的大部分網(wǎng)絡(luò)協(xié)議都是很早設(shè)計(jì)的，許多協(xié)議的實(shí)現(xiàn)都是基于一種非常友好 的、通信雙方充分信任的基礎(chǔ)之上，許多信息以明文發(fā)送。

6、因此，如果用戶的賬戶名和口 令等信息也以明文的方式在網(wǎng)絡(luò)上傳輸，而此時(shí)一個黑客或網(wǎng)絡(luò)攻擊者正在進(jìn)行網(wǎng)絡(luò)監(jiān)聽， 只要具有初步的網(wǎng)絡(luò)和 TCP/IP 協(xié)議知識， 便能輕易地從監(jiān)聽到的信息中提取出感興趣的部 分。同理，正確地使用網(wǎng)絡(luò)監(jiān)聽技術(shù)也可以發(fā)現(xiàn)入侵并對入侵者進(jìn)行追蹤定位，在對網(wǎng)絡(luò) 犯罪進(jìn)行偵查取證時(shí)獲取有關(guān)犯罪行為的重要信息，成為打擊網(wǎng)絡(luò)犯罪的有力手段。目前常用的嗅探器工具主要有Ethereal、 Sniffer Pro 等。兩個軟件功能相似，均具有捕獲網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)功能， 除此之外， Sniffer Pro 還具有捕獲網(wǎng)絡(luò)流量進(jìn)行詳細(xì)分析的功能， 并能夠利用專家分析系統(tǒng)診斷問題， 可以實(shí)時(shí)

7、監(jiān)控網(wǎng)絡(luò)活動， 收集網(wǎng)絡(luò)利用率和錯誤等信息。說明：網(wǎng)卡有四種接收模式 廣播模式（broadcast）,能夠接收網(wǎng)絡(luò)中的廣播信息；組播模式（multicast），能夠接收組播數(shù)據(jù)；直接（ 正常）模式（unicast）,只能接收目的地址為該網(wǎng) 卡地址的數(shù)據(jù)； 混雜 模式（ promiscuous pr?m?skju： ?s） ,能夠接收一切通過它的數(shù)據(jù)，無 論數(shù)據(jù)的目的地址是否與該網(wǎng)卡的地址相符。 一般情況下， 計(jì)算機(jī)的網(wǎng)卡工作在直接 （正常） 模式下； 在進(jìn)行網(wǎng)絡(luò)嗅探時(shí)， 我們需要將網(wǎng)卡設(shè)置為監(jiān)聽模式， 也就是上面介紹的混雜模式。（2）Wireshark 軟件Wireshark （前稱Ether

8、eal）是一個網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是擷取 網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。 Wireshark 使用 WinPCAP 作為接口， 直接與網(wǎng)卡進(jìn)行數(shù)據(jù)報(bào)文交換。網(wǎng)絡(luò)封包分析軟件的功能可想像成 電工技師使用電表來量測電流、電壓、 電阻 的工 作，只是將場景移植到網(wǎng)絡(luò)上， 并將電線替換成網(wǎng)絡(luò)線。 在過去， 網(wǎng)絡(luò)封包分析軟件是非常 昂貴的，或是專門屬于營利用的軟件。 Ethereal 的出現(xiàn)改變了這一切。在 GNUGPL 通用許 可證的保障圍底下，使用者可以以免費(fèi)的代價(jià)取得軟件與其源代碼， 并擁有針對其源代碼修 改及客制化的權(quán)利。 Ethereal 是目前全世界最廣

9、泛的網(wǎng)絡(luò)封包分析軟件之一。網(wǎng)絡(luò)管理員使用 Wireshark 來檢測網(wǎng)絡(luò)問題，網(wǎng)絡(luò)安全工程師使用 Wireshark 來檢查資 訊安全相關(guān)問題，開發(fā)者使用 Wireshark 來為新的通訊協(xié)定除錯， 普通使用者使用 Wireshark 來學(xué)習(xí)網(wǎng)絡(luò)協(xié)定的相關(guān)知識。當(dāng)然，有的人也會“居心叵測”的用它來尋找一些敏感信息Wireshark 不是入侵偵測系統(tǒng)( Intrusion Detection System,IDS )。對于網(wǎng)絡(luò)上的異常流量 行為， Wireshark 不會產(chǎn)生警示或是任何提示。 然而，仔細(xì)分析 Wireshark 擷取的封包能夠幫 助使用者對于網(wǎng)絡(luò)行為有更清楚的了解。 Wires

10、hark 不會對網(wǎng)絡(luò)封包產(chǎn)生容的修改，它只會 反映出目前流通的封包資訊。 Wireshark 本身也不會送出封包至網(wǎng)絡(luò)上。wireshark 有兩種過濾器：捕捉過濾器(CaptureFilters):用于決定將什么樣的信息記錄在捕捉結(jié)果中。顯示過濾器( DisplayFilters )：用于在捕捉結(jié)果中進(jìn)行詳細(xì)查找。 捕捉過濾器在抓包前進(jìn)行設(shè)置，決定抓取怎樣的數(shù)據(jù)；顯示過濾器用于過濾抓包數(shù)據(jù)， 方便 stream 的追蹤和排查。捕捉過濾器僅支持協(xié)議過濾，顯示過濾器既支持協(xié)議過濾也支 持容過濾。兩種過濾器它們支持的過濾語法并不一樣。 Capture Filter 語法捕捉過濾器語法：Protoc

11、ol Direction Host(s) Value Logical Operations Other expression例子：tcp dst 80andtcp dst 3128示例：(host 2 or src net /16) and tcp dst portrange 200-10000 and dst net 捕捉IP為1041.12或者源IP位于網(wǎng)絡(luò)1060.0/16，目的IP的TCP端口號在200至10000 之間，并且目的 IP 位于網(wǎng)絡(luò) 的所有封包。字段詳解：Protocol (協(xié)議) :可能值 : ether

12、, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.如果沒指明協(xié)議類型，則默認(rèn)為捕捉所有支持的協(xié)議。注：在 wireshark 的 HELP-Manual Pages-Wireshark Filter 中查到其支持的協(xié)議。Direction (方向) :可能值 : src, dst, src and dst, src or dst如果沒指明方向，則默認(rèn)使用“src or dst作為關(guān)鍵字。host ”與“ src or dst host ”等價(jià)。Host(s):可能值：n et, port, host, port

13、ra nge.默認(rèn)使用 ” host關(guān)鍵字，” src 與 ” src host 等價(jià)。Logical Operations (邏輯運(yùn)算) 可能值：n ot, and, or.否(“not具有最高的優(yōu)先級?；?(“ or和與(“and具有相同的優(yōu)先級，運(yùn)算時(shí)從左至右 進(jìn)行?！?not tcp port 3128 and tcp port 23 與 ” (not tcp port 3128) and tcp port 23 等價(jià)。“ not tcp port 3128 and tcp port 23 與 ” not (tcp port 3128 and tcp

14、 port 23)不等價(jià)?！?Display Filter 語法1.協(xié)議過濾語法語法 Protocol.StringComparison operator Value Logical Operations Other expression通常經(jīng)過捕捉過濾器過濾后的數(shù)據(jù)還是很復(fù)雜。此時(shí)您可以使用顯示過濾器進(jìn)行更加細(xì)致的查找。它的功能比捕捉過濾器更為強(qiáng)大，而且在您想修改過濾器條件時(shí)，并不需要重新捕捉一次?？梢允褂?種比較運(yùn)算符和Logical expressions(邏輯運(yùn)算符)：英文寫法：C語言寫法：含義：eq=等于ne!=不等于gt大于lt=大于等于le=小于等于英文寫法：C語言寫法：含義：a

15、nd&邏輯與orII邏輯或xorAA邏輯異或not!邏輯非例如：ip.src != and ip.dst != 。顯示來源不為 并且目的 IP 不為的封包。顯示過濾語句與抓獲過濾語句的表達(dá)式是不同的，如表2-1所示：J力推擁包討嚥羔達(dá)武e. dd. ttt. QQ. DO. U3cHher0心由：恂：00:011：腫圮亍“摘獲IPJ4址為1射一 1虹他丨同皓址備逋信Lp. kddr1924168. 1U. 1h*t m10. 1顯禺啪痕所有蘭篇氐h討吃的冋腸權(quán)丈惋頭 port=0Qtcp port &01甜一山一 1除fhtipM蚌的庚也冊依前酗HIT【p-o

16、dd嚴(yán)打92. I6ti. ). 1 毗t-：卩“1 r!砧誠 1 要一 ItiH. ID. 1 dnd nvt t牌ptvt Hil2.容過濾語法2.1深度字符串匹配contains : Does the protocol, field or slice contain a value示例tcp con tai ns http 顯示payload中包含http字符串的tcp圭寸包。 contains online 顯示請求的 uri 包含online的 http 圭寸包。2.2特定偏移處值的過濾tcp20:3 = 47:45:54/* 16進(jìn)制形式，tcp頭部一般是20字節(jié)，所以這個是對pa

17、yload的前三個字節(jié)進(jìn)行過濾*/http.host0:4 = trac過濾中函數(shù)的使用(upper、lower)upper(stri ng-field) - con verts a stri ng field to uppercaselower(stri ng-field) - con verts a stri ng field to lowercase示例upper() con tai ns ONLINEwireshark過濾支持比較運(yùn)算符、邏輯運(yùn)算符，容過濾時(shí)還能使用位運(yùn)算。如果過濾器的語法是正確的，表達(dá)式的背景呈綠色。如果呈紅色，說明表達(dá)式有誤。wireshark 的 HELP-Man

18、ual Pages-Wireshark Filterblog.csd n.n et/yhwxxx/article/details/5643095tieba.baidu./p/739516717(3) Wireshark 各窗口介紹a. PACKET LIST PANE (封包列表)話齊9RQGFT圻-i.jp- h-TP/1.1I4.384927LDQ.168.13296HTTPHTTPA.l3CMNatwodiFied4.5Q77013 29SHTTPHTTP/1.1JDTMODif ledTime 5cjrccDcWnxiMFait lotocoJ Info|4.41374 3n a?e/

19、c=rre jISKOG_ 0/：廣亡_：3l 麗二育4.,12 HTTPHTTP/1.1lilnt Mndif-ipdHTP3ET / I1?？?：905. 61. 23-1.4740J504.1,81,234.47751制Lb El*22.16S. 1.222192.1GB-1.21041 鉗 “Id36HTTPHIP/l.1 5lMTC pKF 3 -grienttcpricr s car er tnoi iflodi f 1 sdof a reasserihleJ =0iZ of j rcasicrib ledOU1圖2-1封包列表中顯示所有已經(jīng)捕獲的封包。在這里您

20、可以看到發(fā)送或接收方的MAC/IP地址，TCP/UDP端口號，協(xié)議或者封包的容。如果捕獲的是一個 OSI layer 2的圭寸包，您在 Source （來源）和 Destination （目的地）列 中看到的將是 MAC地址，當(dāng)然，此時(shí) Port （端口）列將會為空。如果捕獲的是一個 OSI layer 3或者更高層的圭寸包，您在 Source （來源）和 Destination （目的地）列中看到的將是 IP地址。Port （端口）列僅會在這個封包屬于第 4或者更高層 時(shí)才會顯示。b. PACKET DETAILS PANE (封包詳細(xì)信息)SftlFrtFrt Pfirk4=1Tifflf

21、f UKVPwtPi 捏IrfflyDLUOD2C)GC4OUU5U7 7f e tLfd b 21FO1 o 5f 7 42 0Q3 1sofi 6 唸6fl54o 電a 5總 y & 7 8 A B fi 4 4hhf?bsc J 4 1D B cl 5 J15oof_JJ T ? 52lcJlsTRaaWD 4 oh d l. LJ 1-仃 o h- 2 ifl Jx- or 3 s 1 f f -d _ o Jfi2 u DD2 _cld_ a Ju 3 u- n 唱!* Q. . AKIf .6 P.I.GE T /laokx 口. C3 5 HT TP/i 1 Accept:fte

22、fCTPETTMATOAH,eaM 純 Frajtie 15? (771 by隹 on77? tyies c ipiured)OSI . .iyilir ? Eh”n日 Hi 5F; SCom 9b 汁歹陽仁 CiSGO-Li： 9b fQCi ；1S：333 rrbOSI La er 3 Frlim? 1$2 (7?3 bytes in virer 77S byte? captured1 匸 thSMCt II, Sr 亡：3C0fl_9bi47：tT st port: hrrp Ch JT _eq: _. Ack: 1, _en: /l.Snurc* part: 1601 (1601 rn

23、ternet :bt匚災(zāi)匚；l.le.1.2 (, Ost;8123 C.l.81a?3JOSI Layer 4 Transitif S5jcirt 亡critml prcrtoc亡h src port! 1&01 (l&fllj,。噹t pcrr : http 咗口)_ 注qi： 1? Ack 丄.rigOSI La/6f Z i* Hypertext Transfer Prptocol圖2-2這里顯示的是在封包列表中被選中項(xiàng)目的詳細(xì)信息。信息按照不同的 OSI layer進(jìn)行了分組，您可以展開每個項(xiàng)目查看。下面截圖中展開的 是HTTP信息。葉w 1S2 (773 bj

24、rt on Irt, 773 byfs cwturi&cQ Ethernet src：tQD：W：75Drt： Cfsco-Lt_?irfl!：9b(N：I射列；mftrsbj:internet F-叭 awl 5rt;4知，旅乩二 Mt；共.1 軌 ST 獰 I：講.二飢虱.？動 Transmfssion Canftrol Protacnl, 5rc Pert: le A lli J1)B 二me Pert: http f B2l , r&i: 1. Azk: 1, Leri： ?!- 耶ert 凸t grciiTSfef prptota)iCicctpt: */*rnRefgrer: hr

25、(p:力*v. Dpentuniak, com/tilrpfshmrk_usa. ?hprnM匚ept-Ldncuaqs; fr-chB rnwcept-Efiecdlhg! g2lp? 血訟叭tuc 27 ww zoo? LSifiSsit arfnIt-Noii-iiKch: I!1QQ2 c-2 弭卜匚乂 5*rnUjEr-Aqtnt: Mo?111-0 (cornpatble; I5IE 6. D;町 .1; 沁;IrTfaPirh.?; nfCLR 2-0.5 J727)rHast; ”wi* permdinrial:匚匚)(|11CunruKtiDn： KeBp-4Hverncac

26、kles _3Q2fi. J310T&7B5.LL6BO704.0BW: _WC2fl, 11SH491K).6.17HUTWC|訂訕HerWATIMKHM 圖2-3c. DISSECTOR PANE (解析器)圖2-4解析器”在 Wireshark中也被叫做16進(jìn)制數(shù)據(jù)查看面板”。這里顯示的容與封包 詳細(xì)信息”中相同，只是改為以16進(jìn)制的格式表述。在上面的例子里，我們在“封包詳細(xì)信息”中選擇查看TCP端口（ 80）,其對應(yīng)的16進(jìn)制數(shù)據(jù)將自動顯示在下面的面板左半部分中（ 0050），而右半部分顯示的是 16進(jìn)制翻譯成的 ASCII 碼?！緦?shí)驗(yàn)容】1.ARPICMP協(xié)議分析(1 )查看本機(jī)IP

27、地址與MAC地址在命令行中輸入命令：ipconfig /all后顯示的結(jié)果如圖2-5所示:圖2-5(2 )操作本機(jī)高速緩存中的ARP表a.查看高速緩存中的 ARP表查看命令：arp -a運(yùn)行arp - a命令，查看運(yùn)行結(jié)果如圖2-6所示:匸 C- VIKDOVS3Tst ea32esdi. exeHlcrMfXWlndmXPCEr?26001所;肓 19S5-2BH1 Hicrnfinrt GarpIC i： XDoc LLne nt:s a.ninmic： diii fin i l: dunAnicInter r= 172,312I nt? itih t Add re e u 172,31.

28、62.94 172/31.62.249 172 .3(語2!鼎-XUcjc kirn; in L s duel Se 1iny s： RHdlHixni isCbaLd r zH圖2-6ARP表項(xiàng)，所以不同時(shí)間運(yùn)行因?yàn)锳RP表項(xiàng)在沒有進(jìn)行手工配置前，通常都是動態(tài)arp - a命 令，運(yùn)行結(jié)果也不大相同。(3)運(yùn)行 WireShark軟件，選擇 capture-options，在capture filter文本框中輸入過濾條件，使得只監(jiān)聽進(jìn)出本機(jī)(如IP為)的arp數(shù)據(jù)包。輸入的過濾條件應(yīng)該怎樣編寫？ 點(diǎn)擊start開始監(jiān)聽。用ping命令去ping局域網(wǎng)中的其它主機(jī) B( )，且主機(jī)B的IP地址不在本 機(jī)的ARP高速緩存中(如果想 ping的機(jī)器的IP地址在緩存，也可現(xiàn)將該條記錄刪除在進(jìn) 行實(shí)驗(yàn)。刪除 ARP靜態(tài)表項(xiàng)的命令：arp - d IP地址 例如：arp - d 5 ;或清空 表項(xiàng)：arp - d * )。WireShark中開始監(jiān)聽到數(shù)據(jù)包，當(dāng)沒有數(shù)據(jù)包到來后，停止監(jiān)聽并 保存監(jiān)聽記錄為 2-1.pcap-ng。示例監(jiān)聽結(jié)果如圖 2-7所示：圖2-7(4) 對監(jiān)聽到的數(shù)據(jù)進(jìn)行分析：結(jié)合arp協(xié)議工作原理對監(jiān)聽記錄進(jìn)行分析；選擇第一條監(jiān)聽記錄，分析ARP報(bào)文