信息科学技术学院信息安全专业
《电子商务安全》实验报告
实验目的:
1. 提高对网络入侵和入侵原理的认识。
2. 提高对网络协议的认识。
3. 用Sniffer网络嗅探器进行网络检测的能力。
实验内容:
1.运用Sniffer Pro工具进行网络流量监控、通信主机IP查询、实时监控网络活动、包分析等。
2.监测主机正在窃听(sniffed)
3.阻止sniffer
具体实验步骤:
1.在多宿主主机下应选择正确物理网卡
2.输入特定主机的IP地址,便于更有目的的监控该主机
3,网络流量监控
4,通信主机IP查询
5,实时监控网络活动
a) 抓取某台机器的所有数据包
b) 抓取某台机器的指定协议的所有数据包(icmp)
c)抓取TELNET密码
d)启动浏览器,在http协议下登录邮箱,试抓用户名与密码,并分析
e)启动浏览器,在https协议下登录邮箱,试抓用户名与密码,并分析
实验心得:网络监视功能能够时刻监视网络统计,网络上资源的利用率,并能够监视网络流量的异常状况。Sniffer程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太网卡)置为杂乱(promiscuous)模式状态的工具,一旦网卡设置为这种模式,它就能接收传输在网络上的每一个信息包。
基于Sniffer这样的模式,可以分析各种信息包并描述出网络的结构和使用的机器,由于它接收任何一个在同一网段上传输的数据包,所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。这成为黑客们常用
的扩大战果的方法,用来夺取其他主机的控制权。
使用Sniffer工具分析以太网帧和IP数据报 一、实验目的 通过使用Sniffer Pro软件掌握Sniffer(嗅探器)工具的使用方法,实现捕捉FTP、HTTP等协议的数据包,以理解TCP/IP协议中多种协议的数据结构。 二、实验原理 Sniffer即网络嗅探器,用于监听网络中的数据包,分析网络性能和故障。Sniffer 主要用于网络管理和网络维护,系统管理员通过Sniffer可以诊断出通过常规工具难以解决的网络疑难问题,包括计算机之间的异常通信、不同网络协议的通信流量、每个数据包的源地址和目的地址等,它将提供非常详细的信息。 通常每个网络接口都有一个互不相同的硬件地址(MAC地址),同时,每个网段有一个在此网段中广播数据包的广播地址(代表所有的接口地址)。一般情况下,一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧,并由操作系统进一步进行处理,同时丢弃不是发给自己的数据帧。 通过Sniffer工具,可以将网络接口设置为“混杂”(promiscuous)模式。在这种模式下,网络接口就处于一个对网络进行“监听”的状态,它可以监听此网络中传输的所有数据帧-而不管数据帧的目标地址是广播地址还是自己或者其它网络接口的地址了。它将对遭遇的每一个数据帧产生硬件中断.交由操作系统对这个帧进行处理,比如截获这个数据帧,进而实现实时分析数据帧中包含的内容。 当然,如果一个数据帧没有发送到目标主机的网络接口,则目标主机将无法监听到该帧。所以Sniffer所能监听到的信息将仅限于在同一个物理网络内传送的数据帧.就是说和监听的目标中间不能有路由(交换)或其它屏蔽广播包的设备。因此。当Sniffer 工作在由集线器(hub)构建的广播型局域网时,它可以监听到此物理网络内所有传送的数据;而对于由交换机(switch)和路由器(router)构建的网络中,由于这些网络设备只根据目标地址分发数据帧,所以在这种网络中,Sniffer工具就只能监测到目标地址是自己的数据帧再加上针对广播地址的数据帧了。 Sniffer工作在OSI模型中的第2层,它一般在已经进入对方系统的情况下使用。实验中要注意,虽然Sniffer能得到在局域网中传送的大量数据,但是不加选择的接收所有的数据包,并且进行长时间的监听,那么你需要分析的数据量将是非常巨大的,并且会浪费大量硬盘空间。 Sniffer工具分为软件和硬件两大类,在这里我们主要以Sniffer Pro软件为例对Sniffer工具的使用方法和功能进行简单的介绍。当然,Sniffer软件工具还有很多种,例如 SQLServerSniffer、FsSniffer等,它们的功能和使用的环境有所不同,如果读者感兴趣,可以自己进行深入探索。 对于Sniffer工具的防范可以从以下几个方面进行:首先,如果通过网管工具发现在局域网内存在长时间占用较大带宽的计算机,这台计算机可能在进行嗅探:其次,Sniffer的记录文件增长很快,通过分析文件系统大小的变换情况,可以找到这个文件;最后,如果计算机的网络接口处于混杂模式下(在Unix环境下通过ifconfig -a命令查看网络接口状态),则它很可能运行了Sniffer。通过上面的几种方法,可以对Sniffer 进行分析监测。除了这些间接分析方法外,还可以利用AntiSniff工具,它具有直接检测Sniffer的功能,从而可以对Sniffer进行有效防范。
HUNAN UNIVERSITY 信息安全实验报告 题目:网络嗅探实验 指导老师: 学生姓名: 学生学号: 院系名称:信息科学与工程学院 专业班级: 2015年5月15日星期五
一、实验目的 掌握Sniffer(嗅探器)工具的使用方法,实现FTP、HTTP数据包的捕捉。 掌握对捕获数据包的分析方法,了解FTP、HTTP数据包的数据结构和连接过程,了解FTP、HTTP协议明文传输的特性,以建立安全意识。 二、实验环境 ①Windows 7 ②Wireshark(网络封包分析软件) ③FLASHFXP(FTP下载软件) ④Serv_U(FTP服务器端) ⑤搜狗浏览器。 三、实验要求 每两个学生为一组:其中学生A进行Http或者Ftp连接,学生B运行Wireshark软件监听学生A主机产生的网络数据包。完成实验后,互换角色重做一遍。 四、实验内容 任务一:熟悉Wireshark工具的使用 任务二:捕获FTP数据包并进行分析 任务三:捕获HTTP数据包并分析 五、实验原理 网卡有几种接收数据帧的状态:unicast(接收目的地址是本级硬件地址的数据帧),Broadcast(接收所有类型为广播报文的数据帧),multicast(接收特定的组播报文),promiscuous(目的硬件地址不检查,全部接收)。 以太网逻辑上是采用总线拓扑结构,采用广播通信方式,数据传输是依靠帧中的MAC 地址来寻找目的主机。 每个网络接口都有一个互不相同的硬件地址(MAC地址),同时,每个网段有一个在此网段中广播数据包的广播地址。 一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧,丢弃不是发给自己的数据帧。但网卡工作在混杂模式下,则无论帧中的目标物理地址是什么,主机都将接收。 1.HTTP 协议简介 HTTP 是超文本传输协议(Hyper Text Transfer Protocol)的缩写,用于WWW 服务。 (1)HTTP 的工作原理 HTTP 是一个面向事务的客户服务器协议。尽管HTTP 使用TCP 作为底层传输协议,但HTTP 协议是无状态的。也就是说,每个事务都是独立地进行处理。当一个事务开始时,就在web客户和服务器之间建立一个TCP 连接,而当事务结束时就释放这个连接。此外,客户可以使用多个端口和和服务器(80 端口)之间建立多个连接。其工作过程包括以下几个阶段。 ①服务器监听TCP 端口 80,以便发现是否有浏览器(客户进程)向它发出连接请求; ②一旦监听到连接请求,立即建立连接。 ③浏览器向服务器发出浏览某个页面的请求,服务器接着返回所请求的页面作为响应。 ④释放TCP 连接。
目录 第1章 Sniffer软件简介............................................................................................................ 1-1 1.1 概述.................................................................................................................................... 1-1 1.2 功能简介............................................................................................................................. 1-1第2章报文捕获解析................................................................................................................ 2-1 2.1 捕获面板............................................................................................................................. 2-1 2.2 捕获过程报文统计.............................................................................................................. 2-1 2.3捕获报文查看..................................................................................................................... 2-2 2.4设置捕获条件..................................................................................................................... 2-4第3章报文放送 ...................................................................................................................... 3-1 3.1 编辑报文发送 ..................................................................................................................... 3-1 3.2捕获编辑报文发送 ............................................................................................................. 3-2第4章网络监视功能................................................................................................................ 4-1 4.1 Dashbord ........................................................................................................................... 4-1 4.2 Application Response Time (ART) .................................................................................... 4-1第5章数据报文解码详解......................................................................................................... 5-1 5.1数据报文分层..................................................................................................................... 5-1 5.2以太报文结构..................................................................................................................... 5-1 5.3 IP协议................................................................................................................................ 5-3 5.4 ARP协议............................................................................................................................ 5-5 5.5 PPPOE协议......................................................................................................................... 5-6 5.6 Radius协议 ....................................................................................................................... 5-9
sniffer使用及图解 sniffer软件的安装还是比较简单的,我们只需要按照常规安装方法进行即可。需要说明的是: 在选择sniffer pro的安装目录时,默认是安装在c:\program files\nai\snifferNT目录中,我们可以通过旁边的Browse按钮修改路径,不过为了更好的使用还是建议各位用默认路径进行安装。 在注册用户时,随便输入注册信息即可,不过EMAIL一定要符合规范,需要带“@”。(如图1) 注册诸多数据后我们就来到设置网络连接状况了,一般对于企业用户只要不是通过“代理服务器”上网的都可以选择第一项——direct connection to the internet。(如图2)
接下来才是真正的复制sniffer pro必需文件到本地硬盘,完成所有操作后出现setup complete提示,我们点finish按钮完成安装工作。 由于我们在使用sniffer pro时需要将网卡的监听模式切换为混杂,所以不重新启动计算机是无法实现切换功能的,因此在安装的最后,软件会提示重新启动计算机,我们按照提示操作即可。(如图3) 重新启动计算机后我们可以通过sniffer pro来监测网络中的数据包。我们通过“开始->所有程序->sniffer pro->sniffer”来启动该程序。 第一步:默认情况下sniffer pro会自动选择你的网卡进行监听,不过如果不能自动选择或者本地计算机有多个网卡的话,就需要我们手工指定网卡了。方法是通过软件的file菜单下的select settings来完成。 第二步:在settings窗口中我们选择准备监听的那块网卡,记得要把右下角的“LOG ON”前打上对勾才能生效,最后点“确定”按钮即可。(如图4) 第三步:选择完毕后我们就进入了网卡监听模式,这种模式下将监视本机网卡流量和错误数据包的情况。首先我们能看到的是三个类似汽车仪表的图象,
sniffer使用及图解 注:sniffer使用及图解sniffer pro 汉化注册版下载 黑白影院高清免费在线电影聚集网无聚集无生活,聚集网络经典资源下载 sniffer软件的安装还是比较简单的,我们只需要按照常规安装方法进行即可。需要说明的是: 在选择sniffer pro的安装目录时,默认是安装在c:\program files\nai\snifferNT目录中,我们可以通过旁边的Browse按钮修改路径,不过为了更好的使用还是建议各位用默认路径进行安装。 在注册用户时,随便输入注册信息即可,不过EMAIL一定要符合规范,需要带“@”。(如图1) 图1 点击放大 注册诸多数据后我们就来到设置网络连接状况了,一般对于企业用户只要不是通过“代理服务器”上网的都可以选择第一项——direct connection to the internet。(如图2) 图2 接下来才是真正的复制sniffer pro必需文件到本地硬盘,完成所有操作后出现setup complete提示,我们点finish按钮完成安装工作。 由于我们在使用sniffer pro时需要将网卡的监听模式切换为混杂,所以不重新启动计算机是无法实现切换功能的,因此在安装的最后,软件会提示重新启动计算机,我们按照提示操作即可。(如图3) 重新启动计算机后我们可以通过sniffer pro来监测网络中的数据包。我们通过“开始->所有程序->sniffer pro->sniffer”来启动该程序。 第一步:默认情况下sniffer pro会自动选择你的网卡进行监听,不过如果不能自动选择或者本地计算机有多个网卡的话,就需要我们手工指定网卡了。方法是通过软件的file菜单下的select settings来完成。 第二步:在settings窗口中我们选择准备监听的那块网卡,记得要把右下角的“LOG ON”前打上对勾才能生效,最后点“确定”按钮即可。(如图4) 图4 第三步:选择完毕后我们就进入了网卡监听模式,这种模式下将监视本机网卡流量和错误数据包的情况。首先我们能看到的是三个类似汽车仪表的图象,从左到右依次为“Utiliz ation%网络使用率”,“Packets/s 数据包传输率”,“Error/s错误数据情况”。其中红色区域是警戒区域,如果发现有指针到了红色区域我们就该引起一定的重视了,说明网络线路不好或者网络使用压力负荷太大。一般我们浏览网页的情况和我图11中显示的类似,使用率不高,传输情况也是9到30个数据包每秒,错误数基本没有。(如图5) 图5
使用Sniffer Pro网络分析器实验报告 一、实验目的 1、掌握Sniffer工具的安装和使用方法 2、理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构 3、掌握ICMP协议的类型和代码 二、实验内容 1、安装Sniffer Pro 2、捕捉数据包 3、分析捕捉的数据包 三、实验步骤 1、安装Sniffer Pro Sniffer Pro安装过程并不复杂,setup后一直点击“确定”即可,第一次运行时需要选择网络适配器或网卡后才能正常工作。如下图所示: 选择好网络适配器或网卡后,即可进入主界面,如下图所示:
2、捕捉数据包 以抓FTP密码为例 步骤1:设置规则 选择Capture菜单中的Defind Filter出现图(1)界面,选择图(1)中的ADDress 项,在station1和2中分别填写两台机器的IP地址,选择Advanced选项,选择选IP/TCP/FTP ,将 Packet Size设置为 In Between 63 -71, Packet Type 设置为 Normal。如图(2)所示,选择Data Pattern项,点击箭头所指的Add Pattern按钮,出现图(3)界面,按图设置OFFset 为2F,方格内填入18,name可任意起。确定后如图(4)点击Add NOT按钮,再点击Add Pattern 按钮增加第二条规则,按图(5)所示设置好规则,确定后如图(6)所示。 图(1)
图(2) 图(3)
图(4) 图(5) 图(6)步骤2:抓包 按F10键出现下图界面,开始抓包。
图(7) 步骤3:运行FTP命令 本例使FTP到一台开有FTP服务的Linux机器上 D:/>ftp 192.168.113.50 Connected to 192.168.113.50. 220 test1 FTP server (Version wu-2.6.1(1) Wed Aug 9 05:54:50 EDT 2000) ready. User (192.168.113.50:(none)): test 331 Password required for test. Password: 步骤4:察看结果 当下图中箭头所指的望远镜图标变红时,表示已捕捉到数据 图(8) 点击该图标出现下图所示界面,选择箭头所指的Decode选项即可看到捕捉到的所有包。可以清楚地看出用户名为test和密码为123456789。 图(9) 3、分析捕捉的数据包 将图(1)中Packet Size设置为 63 -71是根据用户名和口令的包大小来设置的,图(9)可以看出口令的数据包长度为70字节,其中协议头长度为:14+20+20=54,与telnet的头长度相同。Ftp的数据长度为16,其中关键字PASS占4个字节,空格占1个字节,密码占9个
目录 第1章 Sniffer软件简介 .............................................................................................................. 1-1 1.1 概述.................................................................................................................................... 1-1 1.2 功能简介............................................................................................................................. 1-1第2章报文捕获解析.................................................................................................................. 2-1 2.1 捕获面板............................................................................................................................. 2-1 2.2 捕获过程报文统计.............................................................................................................. 2-1 2.3捕获报文查看..................................................................................................................... 2-2 2.4设置捕获条件..................................................................................................................... 2-4第3章报文放送 ........................................................................................................................ 3-1 3.1 编辑报文发送 ..................................................................................................................... 3-1 3.2捕获编辑报文发送 ............................................................................................................. 3-2第4章网络监视功能.................................................................................................................. 4-1 4.1 Dashbord ........................................................................................................................... 4-1 4.2 Application Response Time (ART) .................................................................................... 4-1第5章数据报文解码详解 .......................................................................................................... 5-1 5.1数据报文分层..................................................................................................................... 5-1 5.2以太报文结构..................................................................................................................... 5-1 5.3 IP协议 ................................................................................................................................ 5-3 5.4 ARP协议 ............................................................................................................................ 5-5 5.5 PPPOE协议.......................................................................................................................... 5-6 5.6 Radius协议 ........................................................................................................................ 5-9
实验一Sniffer Pro的使用 【实验目的】 1) 熟练掌握Sniffer Pro对数据包捕获的使用方法。 2) 掌握利用Sniffer Pro进行数据包结构分析、进而理解协议对数据的封装。 【实验环境】 Windows XP、2003 Server等系统,Sniffer Pro软件。 【实验内容】 第一部分:学习sniffer 1.首先,打开Sniffer Pro程序,如果系统要求的话,还要选择一个适配器(使用哪个网卡)。打开了程序后,会看到图中的屏幕。 图1 Sniffer Pro程序主界面 2.打开Sniffer Pro程序后,选择Capture(捕获)-Start(开始),或者使用F10键,或者是工具栏上的开始箭头。因为捕获过程需要几分钟才能完成,这时我们可以先了解如何自定义Sniffer Pro高级与捕获窗口,这样后面就可以节省一点时间。 3.下面,在Sniffer Pro程序中,会看到高级系统(Expert)被自动调用,如图2所示。打开这个窗口后,不会看到任何东西,除非停止捕获过程才可以查看内容。让捕获过程持续运行一段时间,这时可以自定义高级系统,这样就能实时地看到不断出现的问题。
图2 开始捕获过程时调用高级系统 4.浏览图2中的屏幕。高级窗口这时会滚动到窗口左边,只能看到工具栏,而没有任何详细资料。如果要查看详细资料,就要找到高级窗口对话框左上角的箭头,这个箭头在“层次”这个词的右边。单击这个箭头后,会显示出高级功能的另一部分窗口,如图3所示。 5.你可以看到我们能自定义Sniffer Pro程序用于将来的捕获过程,所以我们在下面要对如何使用高级功能进行分析。如果要进一步自定义我们的Sniffe Pro高级功能,就要在一个视图中显示所有定义对象的详细资料。如果再看一次图3,你会发现在高级对话框的最右边有两个卷标:一个是“总结”卷标,另一个是“对象”卷标。在图4中,你会看到这两个卷标都消失了,被两个窗口取代。如果要改变视图,只需要将鼠标停在图4中圈起的位置,这时箭头的形状会改变,然后可以将这一栏上移,就可以看到Sniffer Pro高级窗口中对象的所有详细资料了。 图3 在高级系统中查看更多的细节
实验一网络嗅探实验 一、简单阐述实验原理 网络嗅探器Sniffer的原理 网卡有几种接收数据帧的状态:unicast(接收目的地址是本级硬件地址的数据帧),Broadcast (接收所有类型为广播报文的数据帧),multicast(接收特定的组播报文),promiscuous (目的硬件地址不检查,全部接收) 以太网逻辑上是采用总线拓扑结构,采用广播通信方式,数据传输是依靠帧中的MAC地址来寻找目的主机。 每个网络接口都有一个互不相同的硬件地址(MAC地址),同时,每个网段有一个在此网段中广播数据包的广播地址 一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧,丢弃不是发给自己的数据帧。但网卡工作在混杂模式下,则无论帧中的目标物理地址是什么,主机都将接收 通过Sniffer工具,将网络接口设置为“混杂”模式。可以监听此网络中传输的所有数据帧。从而可以截获数据帧,进而实现实时分析数据帧的内容。 数据传输有两种方式:主动和被动模式。 关于被动模式与主动模式书上这么解释来着。 客户端与服务器建立控制连接后,要告诉服务器采用哪种文件传输模式。FTP提供了两种传输模式,一种是Port(主动模式),一种是Passive被动模式。这个主被动指的是服务器端。 主动,是指服务器端主动向客户端发起数据连接请求,那么此时服务器端要用自己的一个固有端口一般是20去监听客户端。整个过程是这样的,客户端在最初会用一个端口3716向服务器端的21发起控制连接请求(应该是在握手后中确定的吧),连接成功后,在发送port 3716+1,告诉服务服务器端坚定3717,那么服务器端就会用数据端口,一般是20与3717建立连接(这就是主动进行数据连接)。服务器端利用自己的20与客户端 3717来文件的数据传送通信,利用21和客户端最初的端口3616进行用户验证和管理。 而被动模式,是服务器端被动的接受客户端的数据连接请求,这个端口号是由客户端告知服务器端的,在本地随机生成(1025-65535)。 二、分别写出任务二、任务三中要求找出的有用信息,写出对应捕获的报文窗口中的summary(概要)代码,并推断出监测主机的系列行为。
Sniffer功能和使用详解 一Sniffer介绍 Sniffer,中文翻译为嗅探器,是一种基于被动侦听原理的网络分析方式。使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文 的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。Sniffer技术常常被黑客们用来截获用户的口令,据说某个骨干网络的路由器网段曾经被黑客攻入,并嗅探到大量的用户口令。但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网 络Sniffer的分类 如果Sniffer运行在路由器上或有路由功能的主机上,就能对大量的数据进行监控,因为所有进出网络的数据包都要经过路由器。 二sniffer pro Sniffer软件是NAI公司推出的功能强大的协议分析软件。 Sniffer Pro - 功能 ●捕获网络流量进行详细分析 ●利用专家分析系统诊断问题 ●实时监控网络活动 ●收集网络利用率和错误等 使用Sniffer捕获数据时,由于网络中传输的数据量特别大,如果安装Sniffer的计算机内存太小,会导致系统交换到磁盘,从而使性能下降。如果系统没有足够的物理内存来执行捕获功能,就很容易造成Sniffer系统死机或者崩溃。因此,网络中捕获的流量越多,建议Sniffer系统应该有一个速度尽可能快的计算机。 1. Sniffer Pro计算机的连接 要使Sniffer能够正常捕获到网络中的数据,安装Sniffer的连接位置非常重要,必须将它安装在网络中合适的位置,才能捕获到内、外部网络之间数据的传输。如果随意安装在网络中的任何一个地址段,Sniffer就不能正确抓取数据,而且有可能丢失重要的通信内容。一般来说,Sniffer应该安装在内部网络与外部网络通信的中间位置,如代理服务器上,也可以安装在笔记本电脑上。当哪个网段出现问题时,直接带着该笔记本电脑连接到交换机或者路由器上,就可以检测到网络故障,非常方便。 (1) 监控Internet连接共享 如果网络中使用代理服务器,局域网借助代理服务器实现Internet连接共享,并且交换机为傻瓜交换机时,可以直接将Sniffer Pro安装在代理服务器上,这样,Sniffer
网络攻击与防御技术实验报告 实验目的: 本实验通过研究Winpcap中常用的库函数的使用方式来实现了一个小型的网络数据包抓包器,并通过对原始包文的分析来展示当前网络的运行状况。 实验内容: 1.实现对网络基本数据包的捕获 2.分析捕获到的数据包的详细信息 实验环境: 1.WpdPack_4_0_1支持库 2.VC++开发环境 3.Windows操作系统 实验设计: 系统在设计过程中按照MVC的设计模式,整体分为三层。第一层为Control层即控制层,这里为简化设计,将Control层分为两个部分,一部分为网络报文输入,另一部分为用户输入;第二层是Model层即模型层;第三层为View层即显示层。 系统的整体运行过程为:从Control层得到数据,交到Model层进行处理,将处理完的结果交View层进行显示。Control层主要用于网络数据包的捕获以及获得用户的输入;Model层主要用于分析数据包,处理用户的输入;View层主要用于对处理后的结果进行显示。 详细过程: 程序在执行过程中有两个核心的工作,一是调用Winpcap函数库实现下层抓包。二是对抓到的包文进行分析。下面分别列出两个核心过程的基本算法与相关的实现代码。 抓包算法: 第一:初始化Winpcap开发库 第二:获得当前的网卡列表,同时要求用户指定要操作的网卡 第三:获得当前的过滤规则,可为空 第四:调用库函数,pcap_loop(),同时并指定其回调函数,其中其回调函数为数据包分析过程。 对应的相应核心代码为: I f((pCap=pcap_open_live(getDevice()->name,65536,1,1000,strErrorBuf))==NULL) { return -1; } If(pcap_compile(pCap, &fcode, filter, 1, NetMask) < 0)
sniffer pro的使用 先来看看, sniffer pro Dashboard 网络流量表 Host Table 网络连接表,可以直观的看出连接你的主机,还可以用MAC/IP/IPX,三种显示。 Applicatien Response Time 主机回应指数,可以选择协议的, TCP/UDP下的http.Ftp 等等。 Matrix (让我想到黑客帝国)这里是查看网路连结,很立体的那种。 Protocol Distribution 显示网络中协议的使用量, IP/ARP/IPX Global statistics 整体网络使用显示 下面是Capture 下的选项: Start 开始捕捉
Display 显示 Define Filter 设置过滤 下面是Tools 下的选项: Address Book 地址本 Packet Generator 数据发送机 Ping 工具 (这些都是常用的工具) Trace Route Dns lookup Finger Who is Customize user Tools 用户自定义工具,可自己把工具加上去。选项 高级选项 大体上是这样了!现就抓几个包来看看啦! 1. Telnet密码 1.1 由本机连接到别的开telnet的主机 和netxray的用法一样, Define filter ---> advanced
在协议中选上 IP/TCP/TELNET, 然后Packet Size --> Equal 55, Packet Type --> Normal.截取的数据包: 当你想停止sniff时,按capture --> stop en display , 然后会选Decode 就可一看到数据包的内容了!你就可一在 Summary 中看到用户和密码,从上往下, chi就是用户名。 1.2 本地主机开了Telnet, 并进行监听 这里也许会麻烦点,不过是为了过滤掉没用的Tcp数据包,好, Capture --> Define filter -> Advanced
IRIS Traffic Analyzer简易教程 说到Sniffer软件大家可能马上就能想起NAI的Sniffer Pro。Sniffer Pro虽然功能特性丰富,但是操作起来有些繁缛。再这里我给大家介绍一款简单实用的Sniffer软件,那就是我们今天的主角:Iris Traffic Analyzer。我将以Iris Traffic Analyzer 4.0.7为蓝本结合几个简单案例给大家简单讲讲Iris的使用 一.IRIS特性简介 Iris师出名门---eeye,eeye是一家以网络安全见长的公司,它的扫描器以及其他安全方案在业界也算鼎鼎大名了。 好了,我也不废话了,先简单但说说Iris有哪些特性和优点。 简单小巧 Iris的最大特点,在你安装完成之后,只需简单的点一下界面上一个按钮就可以开始Sniffing抓包了! Iris的安装文件也不到5M,安装下来才占用10多M。对比Sniffer Pro这些而言可谓苗条身材。
见下图中话圆圈的地方: 易上手 没有那么繁多的功能+简单易用的界面。上手当然是易如反掌。 再说说Iris有那些值得称道的功能。 (1)抓包 嘿嘿,只要是Sniffing软件这个功能是必备的! Iris的一个非常好的方面就是把抓包和Decode,察看包的内容集成在一个界面里面。这样你就可以在一边抓包一边察看包的内容,以及包头含义等等。 (2)解码 支持大部分的TCP/IP协议!这样对一般的抓包分析应用就已经足够了。 (3)包的编辑以及重新发送功能 你可以对自己抓到的数据报文进行简单修改然后重新发送。 同时,IRIS也带简单的流量统计分析功能 二.IRIS的安装
信息安全实验报告
信息安全基础实验报告 姓名:田廷魁学号:201227920316 班级:网工1201班 ARP欺骗工具及原理分析(Sniffer网络嗅探器)一.实验目的和要求 实验目的: 1.熟悉ARP欺骗攻击有哪些方法。 2.了解ARP欺骗防范工具的使用。 3.掌握ARP欺骗攻击的实验原理。 实验要求: 下载相关工具和软件包(ARP攻击检测工具,局域网终结者,网络执法官,ARPsniffer嗅探工具)。 二.实验环境(实验所用的软硬件) ARP攻击检测工具 局域网终结者 网络执法官 ARPsniffer嗅探工具 三.实验原理 ARP(Address Resolution Protocol)即地址解析协议,是一种将IP地址转化成物理地址的协议。不管网络层使用什么协议,在网络链路上传送数据帧时,最终还是必须使用硬件地址的。而每台机器的MAC地址都是不一样的,具有全球唯一性,因此可以作为一台主机或网络设备的标识。目标主机的MAC地址就是通过ARP协议获得的。
ARP欺骗原理则是通过发送欺骗性的ARP数据包致使接收者收到数据包后更新其ARP缓存表,从而建立错误的IP与MAC对应关系,源主机发送数据时数据便不能被正确地址接收。 四.实验内容与步骤 1、利用ARPsniffer嗅探数据 实验须先安装winpcap.exe它是arpsniffer.exe运行的条件,接着在arpsniffer.exe同一文件夹下新建记事本,输入Start cmd.exe ,保存为cmd.bat。ARPsniffer有很多种欺骗方式,下面的例子是其中的一种。 安装截图:
步骤一:运行cmd.exe,依次输入以下命令: "arpsf.exe -sniffall -o f:\sniffer.txt -g 192.168.137.1 -t 192.168.137.5"(其中IP地址:192.168.137.1是局域网网关的地址,192.168.137.5是被欺骗主机的IP地址,试验获取的数据将会被输入到F盘的sniffer.txt文件中。)按回车键运行,出现如下图所示的选项,选1,接着选0,回车,程序便开始监听了。 运行截图: 步骤二:停止运行,打开F盘的sniffer.txt文件,在文件中查找,可以发现被欺骗主机的一些敏感信息,如下图:可以发现被欺骗主机注册某网站时的信息:username=wanglouanquan password=123456等。 捕获信息截图:
1捕获面板 报文捕获功能可以在报文捕获面板中进行完成,如下是捕获面板的功能图:图中显示的是处于开始状态的面板 2捕获过程报文统计 在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。 3捕获报文查看
Sniffer软件提供了强大的分析能力和解码功能。如下图所示,对于捕获的报文提供了一个Expert专家分析系统进行分析,还有解码选项及图形和表格的统计信息。 专家分析 专家分分析系统提供了一个只能的分析平台,对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。 在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容,可以方便了解网络中高层协议出现故障的可能点。 对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因。
解码分析 下图是对捕获报文进行解码的显示,通常分为三部分,目前大部分此类软件结构都采用这种结构显示。对于解码主要要求分析人员对协议比较熟悉,这样才能看懂解析出来的报文。使用该软件是很简单的事情,要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。工具软件只是提供一个辅助的手段。因涉及的内容太多,这里不对协议进行过多讲解,请参阅其他相关资料。 对于MAC地址,Snffier软件进行了头部的替换,如00e0fc开头的就替换成Huawei,这样有利于了解网络上各种相关设备的制造厂商信息。
功能是按照过滤器设置的过滤规则进行数据的捕获或显示。在菜单上的位置分别为 Capture->Define Filter和Display->Define Filter。过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。 统计分析 对于Matrix,Host Table,Portocol Dist. Statistics等提供了丰富的按照地址,协议等内容做了丰富的组合统计,比较简单,可以通过操作很快掌握这里就不再详细介绍了。 4设置捕获条件 基本捕获条件 基本的捕获条件有两种: 1、链路层捕获,按源MAC和目的MAC地址进行捕获,输入方式为十六进制连续输入,如:00E0FC123456。 2、IP层捕获,按源IP和目的IP进行捕获。输入方式为点间隔方式,