《信息安全概论实验一new》由会员分享,可在线阅读,更多相关《信息安全概论实验一new(4页珍藏版)》请在金锄头文库上搜索。
1、实验一网络信息检测实验(使用Sniffer工具嗅探)一、实验目的通过使用Sniffer Pro软件掌握sniffer(嗅探器)工具的使用方法,实现捕捉FTP、HTTP等协议的数据包,以理解TCP/IP协议中多种协议的数据结构、会话连接建立和终止的过程、TCP序列号、应答序号的变化规律。并且,通过实验了解FTP、HTTP等协议明文传输的特性,以建立安全意识,防止FTP、HTTP等协议由于传输明文密码造成的泄密。二、实验原理Sniffer即网络嗅探器,用于监听网络中的数据包,分析网络性能和故障。Sniffer主要用于网络管理和网络维护,系统管理员通过Sniffer可以诊断出通过常规工具难以解决的网
2、络疑难问题,包括计算机之间的异常通讯、不同网络协议的通讯流量、每个数据包的源地址和目的地址等,它将提供非常详细的信息。通常每个网络接口都有一个互不相同的硬件地址(MAC),同时,每个网段有一个在此网段中广播数据包的广播地址(代表所有的接口地址)。一般情况下,一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧,并由操作系统进一步进行处理,而丢弃不是发给自己的数据帧。而通过Sniffer工具,可以将网络接口设置为“混杂” (promiscuous)模式。在这种模式下,网络接口就处于一个对网络进行“监听”的状态,而它可以监听此网络中传输的所有数据帧,而不管数据帧的目标地址是广
3、播地址还是自己或者其他网络接口的地址了。它将对遭遇的每一个数据帧产生硬件中断,交由操作系统对这个帧进行处理,比如截获这个数据帧,进而实现实时分析数据帧中包含的内容。当然,如果一个数据帧没有发送到目标主机的网络接口,则目标主机将无法监听到该帧。所以Sniffer所能监听到的信息将仅限于在同一个物理网络内传送的数据帧,就是说和监听的目标中间不能有路由(交换)或其他屏蔽广播包的设备。因此,当Sniffer工作在由集线器(HUB)构建的广播型局域网时,它可以监听到此物理网络内所有传送的数据;而对于由交换机(switch)和路由器(router)构建的网络中,由于这些网络设备只根据目标地址分发数据帧,所
4、以在这种网络中,sniffer工具就只能监测到目标地址是自己的数据帧再加上针对广播地址的数据帧了。Sniffer工作在OSI模型中的第2层,它一般使用在已经进入对方系统的情况。实验中要注意,虽然sniffer能得到在局域网中传送的大量数据,但是不加选择的接收所有的数据包,并且进行长时间的监听,那么你需要分析的数据量将是非常巨大的,并且将会浪费大量硬盘空间。Sniffer工具分为软件和硬件两大类,在这里我们主要以Sniffer Pro软件为例对sniffer工具的使用方法和功能进行简单介绍。当然,sniffer软件工具还有很多种,例如SQLServerSniffer、FsSniffer等,它们的
5、功能和使用的环境有所不同,如果读者感兴趣,可以自己进行深入探索。对于Sniffer工具的防范可以从以下几个方面进行:首先,如果通过网管工具发现在局域网内存在长时间占用较大带宽的计算机,这台计算机可能在进行嗅探;其次,Sniffer的记录文件增长很快,通过分析文件系统大小的变换情况,可以找到这个文件;最后,如果计算机的网络接口处于混杂模式下(在UNIX环境下通过ifconfig a命令查看网络接口状态),则它很可能运行了Sniffer。通过上面的几种方法,可以对Sniffer进行分析监测。除了这些间接分析方法外,还可以利用AntiSniff工具,它提供了直接检测Sniffer的功能,从而可以对S
6、niffer进行有效防范。三、实验环境两台安装Windows 2000/XP的PC机,在其中一台上安装Sniffer Pro软件。将两台PC机通过HUB相连,组成一个局域网。四、实验内容和步骤任务一 熟悉Sniffer Pro工具的使用1)Sniffer Pro软件简介Sniffer软件是NAI公司推出的功能强大的协议分析软件,实验中使用Sniffer Pro4.7来截获网络中传输的FTP、HTTP、Telnet等数据包,并进行分析。2)使用说明启动Sniffer Pro软件后可以看到它的主界面,如下图所示,启动的时候有时需要选择相应的网卡(adapter),选好后即可启动软件。网络监视面板D
7、ashboard可以监控网络的利用率,流量及错误报文等内容,如下图所示从Host table可以直观的看出连接的主机,如下图所示,显示方式为IP任务二捕获HTTP数据包并分析1) 假设A主机监视B主机的活动,首先A主机要知道B主机的IP地址,B主机可以在命令符提示下输入ipconfig查讯自己的IP地址并通知A主机。2) 选中Monitor菜单下的Matirx或直接点击网络性能监视快捷键,此时可以看到网络中的Traffic Map视图,如下图所示,可以点击左下角的MAC、IP、或IPX使Traffic Map视图显示相应主机的MAC、IP或IPX地址,下图显示的是IP地址,每条连线表明两台主机
8、间的通信。3)点击菜单中的“CaptureDefine Filter,点击其中的Address页面,单击Profiles.按钮,创建新配置文件,在Capture Profiles对话框中,单击New,输入新配置文件名,单击OK 选择新配置文件,然后单击Done按钮 单击Station l字段,输入本机的IP地址:单击Station 2字段,输入合作伙伴的IP地址,将Address Type字段的值由Hardware改为IP点击其中的Advanced页面,再选中“IPTCPHTTP” 如下图所示,然后点击OK。4) 回到Traffic Map视图中,用鼠标选中要捕捉的B主机IP地址,选中后IP地
9、址以白底高亮显示。此时,点击鼠标右键,选中Capture或者点击捕获报文快捷键中的开始按钮,Sniffer则开始捕捉指定IP地址的主机的有关FTP协议的数据包,如下图所示。5) 开始捕捉后,点击工具栏中的“Capture Panel”,如下图所示,看到捉包的情况,图中显示出Packet的数量。6) B主机登陆一个Web服务器(网站),并输入自己的邮箱地址和密码。7) 此时,从Capture Panel中看到捕获数据包已达到一定数量,点击“Stop and Display”按钮,停止抓包。如下图所示。8)停止抓包后,点击窗口左下角的“Decode”选项,窗中会显示所捕捉的数据,并分析捕获的数据包
10、,如下图所示。(请截图1个,含Sniffer菜单、窗口1和窗口3,其中窗口3显示本人邮箱的帐号和密码)从捕获的包中,我们可以发现大量有用信息,下面我们详细介绍。过滤后抓包,还是有很多信息包,我们要在Summary里面找到POST类型的数据包239(图中窗口1深色的那个),大多数信息就在这个包中,图中窗口3数据显示B主机浏览的是新浪网站邮箱,在窗口3的低端,我们可以看到这样的信息&u=wantao217&psw=wantao217,这就表明B主机在新浪网站上曾经输入过用户名wantao217和密码wantao217, B主机的重要信息就这样泄漏了。这说明了HTTP中的数据是以明文形式传输的,在捕
11、获的数据包中可以分析到被监听主机的任何行为。在捕获报文窗口中看出数据包236是TCP连接,D80,S1191,Dest Address=58.63.234.251,表明目的端口是80,主机端口是1191,说明我们连接的是IP地址为58.63.234.251的HTTP服务器(HTTP服务器占用80端口)。 窗口1中捕获的数据包236、237、238显示了TCP连接过程中的三次握手,如下图所示。数据包236显示主机向服务器发出了HTTP连接请求。数据中包含SYN(SYN2604516000),数据包237是服务器向主机发送的数据。数据中对刚才主机发送的包进行了确认(ACK2604516001),并
12、表明自己的 ISN1445560998,此时,TCP连接已经完成了两次握手。数据包238显示了第三次握手,从而完成了TCP连接,此包中,主机对服务器发出的数据包进行了确认(ACK1445560999),这表明整个建立过程没有数据包丢失,连接成功。从窗口2分析TCP包头结构,在窗口2中选中一项,在窗口3(十六进制内容)中都会有相应的数据与之对应,每一字段都会与TCP包头结构一致。任务三 捕获FTP数据包并进行分析1)同任务二。2)同任务二。3)点击菜单中的“CaptureDefine FilterAdvanced”,选中“IPTCPFTP”,然后点击OK。4)同任务二。5)同任务二。6)B主机开
13、始登陆一个FTP服务器。接着打开FTP的某个目录。7)同任务二。8)停止抓包后,点击窗口左下角的“Decode”选项,窗中会显示所捕捉的数据,并分析捕获的数据包。(请截图1个,含Sniffer菜单、窗口1和窗口3,其中窗口1,3显示FTP密码)由任务二的实验和任务三的实验我们可以看出,Sniffer可以探查出局域网内流动的任何信息,尤其是用户名和密码之类敏感的数据,所以在局域网内的安全就至关重要了,其实只要在电脑内安装上网络防火墙,并把Windows操作系统的安全级别提高,Sniffer工具就可能嗅探不到任何信息。五、实验报告要求1、根据实验内容完成任务,完成实验报告。实验过程中的图打印,其余部分手写。2、实验报告至少包括以下内容:实验目的;实验内容和步骤;实验结果和分析。3、实验报告由每班学习委员统一收齐,于指定时间上交。
