《网络嗅探实验报告》由会员分享,可在线阅读,更多相关《网络嗅探实验报告(8页珍藏版)》请在金锄头文库上搜索。
1、-一、实验目的l 掌握Sniffer嗅探器工具的使用方法,实现FTP、 数据包的捕捉。l 掌握对捕获数据包的分析方法,了解FTP、 数据包的数据构造和连接过程,了解FTP、 协议明文传输的特性,以建立平安意识。二、实验原理l 网络嗅探器Sniffer的原理l 网卡有几种接收数据帧的状态:unicast接收目的地址是本级硬件地址的数据帧,Broadcast接收所有类型为播送报文的数据帧,multicast接收特定的组播报文,promiscuous目的硬件地址不检查,全部接收l 以太网逻辑上是采用总线拓扑构造,采用播送通信方式,数据传输是依靠帧中的MAC地址来寻找目的主机。l 每个网络接口都有一个
2、互不一样的硬件地址MAC地址,同时,每个网段有一个在此网段中播送数据包的播送地址l 一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的播送地址的数据帧,丢弃不是发给自己的数据帧。但网卡工作在混杂模式下,则无论帧中的目标物理地址是什么,主机都将接收l 通过Sniffer工具,将网络接口设置为混杂模式。可以监听此网络中传输的所有数据帧。从而可以截获数据帧,进而实现实时分析数据帧的内容。三、实验环境l 实验室所有机器安装了Windows操作系统,并组成了一个局域网,并且都安装了Sniffer Pro软件、FLASHF*PFTP下载软件、Flashget下载工具和IE浏览器。l 每两个学生为一
3、组:其中学生A进展 或者Ftp连接,学生B运行Sniffer Pro软件监听学生A主机产生的网络数据包。完成实验后,互换角色重做一遍。四、实验内容和步骤任务一:熟悉Sniffer Pro工具的使用根据教师给的ppt材料对Sniffer进展了根本的操作,操作过程局部截图如下:网络监控面板Dashboard 使用Dashboard作为网络状况快速浏览Detail协议列表Matri* 网络连接设置任务二:捕获FTP数据包并进展分析1根本步骤: 在命令符提示下输入IPCONFIG查询自己的IP地址。 学生B单击菜单中的捕获|定义捕获|高级,再选中IP|TCP|FTP。设置Sniffer捕捉数据的过滤选
4、项,使其只捕捉FTP数据。 学生B选中显示菜单下的网络连接可以看到网络中的传输地图视图。在传输地图视图中单击IP选项卡,用鼠标选中学生A主机的IP地址,单击鼠标右键,选中捕获命令,开场捕获指定主机的有关FTP协议的数据包。 学生B单击工具栏中的捕获仪表盘按钮,可看到捕捉的包数量。 学生A登陆ftpftp:/113.55.4.20然后在输入用户名和密码,登陆到*个教师的ftp下。 学生B在捕获数据包到达一定的数量后,单击停顿并显示按钮,停顿抓包。 停顿抓包后,单击窗口左下角的解码选型,窗口会显示捕捉的数据。学生B根据捕获报文和报文解码,详细分析捕获的数据包,找出有用信息:ftp连接的目的地址、目
5、的端口、发起连接的源地址、源端口、建立连接的3次握手的数据包及其对应的TCP协议*构造各字段数据、登陆的用户名及密码、目标主机浏览过的目录和文件。 A、B交换角色,重做实验。2实验过程:1捕获了一个数据包,并对其中的一个TCP报文进展分析捕获了这个数据报:分析其数据如下:由以上的信息可以分析TCP报文的各项内容:源端口号:landmarks (3969)目的端口号: (80)序号:0确认号:0 (relative sequence number)头部长度:28 bytes窗口大小:65535校验和:0*c94b validation disabledGood Checksum: FalseBa
6、d Checksum: False2分析捕获的FTP数据包由上图可以看出登陆的用户名和密码分别为:anonymous和IEUser由于FTP是应用层协议且该协议用的是TCP进展数据通信,在访问ftp时,由图得本机172.17.16.143在访问ftp:/172.16.48.92前,需要和172.16.48.92进展三次握手,以确定连接关系,并进展数据通信。在输入用户名和密码后,就能进展访问分析:从捕获的报文中可以看出数据包1是TCP连接,D=21,S=1514,DestAddress=202.204.22.49,说明目的端口是21,主机端口是1514,说明我们连接的是IP地址为202.204.
7、22.49的FTP效劳器捕获的数据包1,2,3显示了TCP连接过程的三次握手,数据1显示主机向效劳器发出了FTP连接的请求。数据中包含SYNSYN=2197295847,数据包2是效劳器向主机发送的数据。数据中对刚刚主机发送的包进展了确认ACK=2197295847,并说明自己的ISN=1545135791,此时,TCP连接已经完成了两次握手。数据包3显示了第三次握手,从而完成了TCP连接,此包中主机对效劳器发出的数据包进展了确认,这说明整个过程没有数据包的丧失,连接成功。3结论:通过实验可知FTP中的数据是以明文形式传输的,可以利用捕获的数据包分析被监听主机的任何行为,监听主机的信息极易泄露
8、。任务三:捕获 数据包并分析1根本步骤: 学生B单击菜单中的捕获|定义捕获|高级,再选中IP|TCP| 。设置Sniffer捕捉数据的过滤选项,使其只捕捉 数据。 学生B选中显示菜单下的网络连接可以看到网络中的传输地图视图。在传输地图视图中单击IP选项卡,用鼠标选中学生A主机的IP地址,单击鼠标右键,选中捕获命令,开场捕获指定主机的有关 协议的数据包。 学生B单击工具栏中捕获仪表盘的按钮,可看到捕捉的包数量。 学生A浏览.163.,任意浏览页面,登陆输入正确用户名和密码。 学生B在A关闭页面后,单击停顿并显示按钮,停顿抓包。 停顿抓包后,单击窗口左下角的解码选型,窗口会显示捕捉的数据。学生B根
9、据捕获报文和报文解码,详细分析捕获的数据包,找出有用信息 A、B交换角色,重做实验。2实验过程:选中Monitor菜单下的Matir*或直接点击网络性能监视快捷键,此时可以看到网络中的TrafficMap视图,显示的是IP地址,每条连线说明两台主机间的通信点击菜单中的CaptureDefineFilter,点击其中的Address页面,单击Profiles.按钮,创立新配置文件,在CaptureProfiles对话框中,单击New,输入新配置文件名,单击OK单击Stationl字段,输入本机的IP地址:单击Station2字段,输入合作伙伴的IP地址,将AddressType字段的值由Hard
10、ware改为IP开场捕捉后,点击工具栏中的CapturePanel,如以下图所示,看到捉包的情况,图中显示出Packet的数量1分析捕获的数据包在捕获报文窗口中看出数据包236是TCP连接,D80,S1191,DestAddress=58.63.234.251,说明目的端口是80,主机端口是1191,说明我们连接的是IP地址为58.63.234.251的 效劳器 效劳器占用80端口。捕获的数据包236、237、238显示了TCP连接过程中的三次握手。数据包236显示主机向效劳器发出了 连接请求。数据中包含SYNSYN2604516000,数据包237是效劳器向主机发送的数据。数据中对刚刚主机发
11、送的包进展了确认ACK2604516001,并说明自己的ISN1445560998,此时,TCP连接已经完成了两次握手。数据包238显示了第三次握手,从而完成了TCP连接,此包中,主机对效劳器发出的数据包进展了确认ACK1445560999,这说明整个建立过程没有数据包丧失,连接成功。分析TCP*构造,选中一项,十六进制内容中都会有相应的数据与之对应,每一字段都会与TCP*构造一致。2结论:通过实验可知 传输数据不是以明文传输,能捕捉到用户名,但是不能捕捉到暗文,所以不容易泄露信息,比ftp要平安一些。五、实验总结这次的实验让我了解到了网络嗅探的原理:Sniffer即网络嗅探器,是一种威胁性极
12、大的被动检测攻击工具。使用这种工具,可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进展嗅探攻击。将网络接口设置在监听模式,便可以将网上传输的信息截获。黑客常常用它来截获用户的口令;管理员则可以使用Sniffer分析网络性能和故障。以及网络嗅探的防范方式:通过使用加密软硬件设备,实现对传输数据的加密,从而保护传输数据的平安性;VPN、SSL、SSH等加密手段可有效防范sniffer的嗅探。利用网络设备的物理或者逻辑隔离的手段,可以防止信息的泄密;利用交换机的VLAN功能,实现VLAN间的逻辑隔离。通过这次实验的学习,在同学和教师的帮助与指导下,我熟悉掌握了Sniffer的操作,如何制定捕获过滤准则及捕获不同类型的数据包,通过捕获数据包来分析IP数据报和TCP报文的构造。同时也了解了 和FTP的操作过程,观察了平安套接层协议SSL的会话与连接过程等内容。在实验的过程中自己也遇到了一些问题,刚开场时对于软件的使用不了解,导致了很多低级错误,在做Ftp口令的嗅探过程和 口令的嗅探过程内容的时候,自己有好多内容不是很清楚,在教师和同学的帮助下,自己也清楚的指导其运行的过程和所代表的含义。. z.
