网络扫描与侦听

实验三、网络扫描与侦听

一、实验目的

进一步理解网络安全威胁熟悉网络安全扫描软件

3.熟悉网络侦听（嗅探）软件

二、实验内容

1.熟悉并使用网络扫描软件查找主机：

Scan Host and Service Discovery | Scan Olp'tions | Tools | Windows Enumeration | About |

IPs

Li▽色hosts batrCh: 2*7

Scaiminq ￡S￡ machines vith Z￡5 reiaaining.

Host discovery pass I of 1 Host discovery ICMP (Echo> scan hosts)...

27 new machines discovered with ICMP (Echo) Reporting scan cesuitrS,,,

--------- Wean dene -------------

Discovery scan, finished: 06/06/13 16:55:46

0O：0E

Vi

I

I

Vie艸HTML Re汕起

Il

li

S^ved log file|Live：

27TCP open： 0 VDP openl 0E5S/25S done

1.

2.

11 |11h[i

Hostnacne^lP Start IP X End IIP X 10.4,23.31

■>

CD

Read IPs hom hie ：＞Start IP

10.4.23.0

End IP

10.4.23.254

Clear Selected

Clear All

live open hOEtE discovered TCP ports

Total

To匕住1

Total open UDP ports 27 0 O

s

扌乌s 笑埜

r 决足主机召

P 应收扫1^訂显示FUfii 砸主

机 r 怏仪珀陀 r 列表中&W 亍口

（T 列表中全部遶需前幅口 广列竝輛口从 r 全蹄口 M

扫瑶

奁找IF

]9￡. 1E6.D 136

? 1 0 扫描中

]9f. JW, Q 1 胆 Of 0

曲 Of 0

开始I （?止I

Interface 1 oF4

?■ ■

tt 址

192.16e.43.1

SM

25S.25S.2SS.￡55 ffi 码 ￡55 25S ess 0 fi± Yai

点到虫 N Q

回送 Ho 可放

Yes

可以塞点崔转 Yet

1題回||0迫匸（|

确定1

2. 熟悉并使用网络侦听（嗅探）软件

渥冲区用耒暂时存1诵捕棍討的栽据fe -抑果罐冲叵用恳本程序会停止捕捉. 制定遥冲区刘、（大于EJK 沖卜于5QME ）.

[To —3 皿

F7趙文本英面（/, .ktiJ. .htx ）熾H 省送项）

厂图 AH. jp 即.J"年,.g:rf ）

r 任何其他内零（注想：本程用可能弟支样臬些向容J

主机过浦

酬监视目标主机.可以港择曲主机都监视或验视栗苦主机. 广任何主4n （粧肯迭顶） U 指定杲台主机

措定應主机尉艮务^?还是1股的网贯浏览ffl 户O

作擡一匪的网页和J 览馬户.師只监视由诗主机发岀用贡浏览请求的 莎网同内容（《省辭J 厂作曲服勞S,即貝监褪由谱主机提快的网瓦內容*

3. 观察并记录扫描 （1 ）、nmap 端口扫描

具体操作及结果如下:

[root@liulia nshu n liyo ngfe ng]# nmap -sS 202.117.216.94

匚 Sup etSiz^n

2.33

B

主机查按

|]3Z. IBC.D

査按

*

30 [Http] Vorld 肌證 Y 心]HTIP

?

no [pcp3] F^st Office frot^coL - Verzion 3 * [njcttio -33J1] IfETBICG SessLOH Service

* [littpsj hlipi rtCon

7 ifl￡ ise. a. L?

■ SI [如J file TzdJizfer

■ 25 [=rtp]

SinpLe rifeil Truisftr

■ 加 [h 七切] Vorld Vhdt v?h Hrrr

■ ilO b 腆] F M I Offic-4 Fl-DtOCDl - Varxian 念

? lag [M IL LOS -SEH ] IfEISrCS Eflrvici

?

M3 [Kttps] htlDE HCori

上1亍

X 下一个

■ ]255

厂ffl 用U HI 文件中的ir 「

超时设S 0=)

护 Pine 丽—15JS

JflaDD~

/侦听过程及结果

If — ；Jf&n|l02. les.o. 1 g 止 III 號.163.0 ]9E 二

麼怨略褻F

Starti ng nmap 3.81 ( htt p: //https://www.doczj.com/doc/5118850601.html,/nma p/ ) at 2005-06-24 In teresti ng ports on p https://www.doczj.com/doc/5118850601.html,.c n (202.117.216.94):

(The 1657 ports sca nned but not show n below are in state: closed)

P ORT

MAC Address: 00:0A:E6:EC:16:DF (Elitegroup Computer System Co. (EC

Nmap fini shed: 1 IP address (1 host up) sca nned in 0.774 sec onds

可见 202.117.216.94 这台机器的 135、139、445、1025、3306、5000 端口是开放状态， 提供的服务从Service 列表中可以读出，而且都是支持 (2)、windump 抓包

运行参数为：windump [-aAdDeflnNOpqRStuvxX] [-B size] [-c count] [ -C file_size ] [-F file ] [ -i in

terface ] [ -r file ] [ -s snaplen ] [ -T type ] [ -w file ] [ -E algo:secret ] [ exp ressi on ]

实验用win dump 来监听三次握手，结果如下：

看第二幅图的第五和六行。其中 18:07:40.606784 表示时间；202.117.216.94 为源IP

地址，端口

1525，就是我自己的这台电脑；

202.117.216.148 是目的地址，端口 23，

S2352945221:2352945221 (0)表示我的电脑主动发起了一个 SYN 请求，这是第一步握手，

2352945221是请求端的初始序列号；

win 16384表示发端通告的窗口大小；

mss 1460表示

由发端指明的最大报文段长度。 这两行所表示的含义是 IP 地址为202.117.216.94 的电脑向

IP 地址为202.117.216.148 的电脑发起一个 TCP 的连接请求。

然后看第第七和八行，源IP 地址为202.117.216.148 ，而目的IP 地址变为

202.117.216.94 ;后面是 S2987805145:2987805145 (0) ack 2352945222，这是第二步握手， 2987805145是服务器

端所给的初始序列号， ack 2352945222是确认序号，是对第五行中客

户端发起请求的初始序列号加 1。该行表示服务器端接受客户端发起的

TCP 连接请求，并发

出自己的初始序列号。

135/tcp open

msrpc

139/tcp

open

n etbios-ss n

445/tcp open microsoft-ds 1025/tcp open NFS-or-IIS 3306/tcp open mysql 5000/tcp open UPnP

TCP 协议的。

STATE SERVICE

看第九和十行，这是三步握手的最后一步，客户端发送 结束，下面就可以传送数据了。

使用了 -n 的参数，表示源地址和目的地址不采用主机名的形式显示而采用 式。

(3 )、sniffer 抓包分析

由以上抓获数据可得出下面的分析结果:

Frame 1 arrived at 19:11:09.1530; frame size is 62 (003E hsH) bytes. Destination = Station 000A8A99BB80 Source = Station 000AE6EC16DF Ethertype = 0800 (IP)

从上图可以看到数据包的头部是

DLC 层协议的内容：标明了第一个 FRAME 到达的时间、

FRAME 的大小、

源的数据 链路层的 号(例如我可 以看到我 自己的数 据链路层号为

000AE6EC16DF 目 的主机 的数据链路层号为：000A8A99BB80, https://www.doczj.com/doc/5118850601.html,.c n) Etherty pe=0800(l P)。

ai T IF- ----- IP Hesdex --------

可见IP 头部的内容中包含了协议的版本 (我们现在用的版本一般都是 IPV4)、包总长度 为 48bytes ，源地址的 IP(202.117.55.94)、目的端的 IP(202.117.1.13) 、FRAME 勺总长度、 头校验和(8B88(CORRECT)等内容。

-韵

Version ? 4. header length ■ ?Qi bytes

T^pe of service

=CO -tJ IP: 000 .... =routine 1 3 rp. ...a … ■ norrnAl dolay ■3rp - ....0 =norma 1 throughput iQ IP ： ..... 0.. = norjiial reliability 1 3 IP ： .... Q ■ ECT bit - tTSnsport protccol i D IP ： .... 0 =CE bit - no congestion

[P Total 1E ng th =4C bytes 1 3 IP Identification -233 -Q IP ： Flags =4K

.1 ...... = don't fragment

1 3 IP- ..0

■ Lest fragment -Q IP ： Fragment offset =0 bytes

'亠Time to live =I2￡ seconds/hops

1 3 IP ： P rotocol -6 (TCP) -□ IP ： H eader checksun =6B88 (corrmut)

!亠

Source address =[202.117.216.94J

i D IP - Destination address = [202,117 1 13]

H J IP ： Ho options

'Q IP ：

ifill ignore th* CE bit

ack 1,表示三步握手已经正常 IP 地址的形

DLC Header -

I D D D D D D 皿

ST - 曰 .. . .. ..

[202.117.216.94 [2D2.117.1.13] [202.117.216J4 [202.117.216.54 [202.117.1.131 [202.117.L.13) [202.117.L.13] [202.117.216.54

[202.117.1.13J [202.117.1.131 [202.11?.216. [J02.117.L.13] [202.117.216.54 [Z02.117.1.13] [202.117.L.13) [202.117.216. [202.117.1.131 [202.117.￡16.n [Z02.H7.L.L3] [202.117.1.L3J [202.117.216.94 [202.11?.L.13] [202.117.L.13] [202.117.216.54 [202.117.21t.?4 [202.117.216. [202.117.L.L3J

[202.117 1.13] [202,117 2打.码 [202.117 1 13] [202.117.1.13] [202.117 2LH.別 [202.117 2U.34 [2n2.117.2Lfi.34 [202.117.1.13]

生一

f ___________ t2n2.117：21L9J [2n2.117.21t.94 [202,117 1 13]

[2ll2.lH.21i.制 [202.11?.!.13] [2D2.117 2M.划 [202.117

2U.94 [202.117.1.13] [2n2.117.21t.94 [2DM17 1.13]

[303.117 216.94 [202.117.21^5^ [202.1.17 1 13] [202.117

21^.94 [2n2.117.2L￡.94 [2D2.117.1.13] [2D2.117 1 13]

[202.117 1 13] [2D2.117.2Lt.9^

TCP: D=8D S=105B S?jf BEQ=423695^999 IEK=D 肛I

TCP: D'laSfl S 昭0 S?K ACff-4236955ODO SBQ 町2巧' TCP ： D ■汕 s^iast ETTP: C P3rt=10E8 TCP: D=Ht5B S=S0 HTTP R Port-1050 iCet-&25S93f2fl 5fIN'1752D GET / 0HP/1.1 iCK=4Z369552D3 m=fi43? mM 1 Sutus-OK HTTP: CmtiQ'iatina of :rane 6; 1460 Bytes oi TCP: D=8D S=105B ACK=625602?44 ra=l?520 HT ：F Cmtimatipii of frame &: l&EO Bytes 卅 HTTP. Cmtin'iaticai of :rane 6; 1460 Bytss oi HTTP: Cmtiniaticoi of J rane 6: 1460 B 叭ES of TCP- D ■汕 S 叫的P ACK-6Z56D712fl tfIH<7520 HTTP. Cmtiu'iatiDii of irane 6; 14b0 Bytcs of TCP: D=8D S=105B iCK=6256O058^ VltI=l?520 ETTP CmtioidtiDii of frane 6: 1460 BytK of HTTP Contin'iition of frane 6. 14600亍i 丰 of TCP: D=8C S=10S6 ACK=62561150^ ?= 12520 HTTP: Cmtiniatinn of frane 6: 1460 B 叭5S of TCP: D=3D S=lD5e ACK-6ZS612H4 VItf=160tD HTTP CentiDuatiDll of fr?e 6; 14汕 Bytes oi HTTP: Ccjitin'iatiDoi of :rane b ； 1460 Bytzs of TCP: D=8(l S=105S iCK=625615B8d HT7F Conti"'必订m ol Eune 6: 345 EITTP. CmtiD'iatiDJi of frane 6; 773 TCP: TCP: TCP ： 兀P: D=8D S=105B ACK=625617D0] D=0(f S=lD5e ACK=625617Q03

D ■汕 S-lOSe FtK O-62&617D03

D= 1(150 ￡=0fi ra=1314O B^tes oE I B^tes af I ra=12022 SEQ ■灯冊9’ ACK=42369552D4 l?IK=fi432

&2 血 ED 257 &0 15U 151』

bO 1514 KU 1514

甜 ISli 汕 151」 ISU 诃 1514 &Q ISU 151』 BO 卿 82? &0 叩 GO o ：oo ：on.(ioo 0:DO:OiDi.ODl 0:00:0101 001 o ：oo ：on.(ioi o ：oo ：on 002 0:00:0101.026 o ：DO ：on.c2a 0:00:0n.(128 ojDojjgjm

0:00:0n.(132

0:00:0n.(133

D:OO:Oiai 佣4 0:D0:0iDi.(13S

0:00:0n.(135

O:DO:OD 036 0；

00；0i0i 0^2

0:D0:0n.U3 o ：

oo ：on.u4

O:DO:OIQ|.O44 0：

00：0i0i w o ：

oo ：on.(iu

0:00:0D.U6 o ：

DO ：oiai w

0:D0:0iDi.U?

0:00:0D.(148

O:DO:OD 175 0；

00；0i0i 176

0:0Q:0D.17a

O.OOD.DO

O.DOl 0? O.DQa.2O O.OOtt.46 O.DOl 15 0.D24 lOiO O.DOl.22 0.00B.12 0.00fl ：99

0.001 40

0.000 1? O.DOl.22

0.00B.25

O.DOl D3

O.OOa 2B

O.DQtt.15

0.001.D8

0.009.28

0.001 Q2

0.001.28

0.009 14

O.DOD

2￡ O.DQtt.M

0.0011.15

0.127 37

0.001 51

O.DOl.35

p

-c

-T

號TCP tueajder-…

p p _F

■1■1■1■1■■■■1■1■

1■1■ __________________________ _

■1■1■1■1■■ 匚二匚匚

c c c c c c c c c c c c -c c c c c c T

p p p p p p p

p p

F F F F

P F F P

Source part = Destination port = Initimi sequence number =

KeKt expected Seq numter= Data offset Reserved Bits : Flags VindoT

Cheuksun

Urgent pointsT Beserved 0. .0

0.. .0. 0

Options follow HaKikUh segment Ho-Operation No-Operation SACE-Pernitted '

LOSS e 0 (UUU/VVV-HTTP/HTTP\ 4236$??OiOO ZG bytes for Future Use

■B

*■

02

(Ho (Ho (Ho (Ho (W D

urgent pointer)

aCknOVlcdgMcnt) push)

rcEBt] FIN) 1C.2G4

OtS4 (correct) 0

size = L460

Option

其中包含了源端口号(1058)、目的端的端口号(80)、初始序 个希望得到的包的序列号(4236955000)、校验和 、标志位Flags=02、数据ofset=28bytes 等信息。 HTTP: ----- Hypertext Transfer Protocol -------------

也

HTTP :事 HTTP: ；-A HTTP :也

HTTP: :S HTTP :也

ETTP: :B HTTP A HTTP- :A HTTP A HTTP

上图是TCP 协议的头信息， 列号(4236954999)、下 (Checksum=0654(correct)) 1: GET / HTTP/1.i 2: Accept: */* 3: Ac cep t -Language: ih-cii 4: Accept-Encoding: gsip. deflate 5: User-igent : Moziila/4.0 (compatible; MSIE 6.0; Uindows NT 5.1; SVl) t:

Host: https://www.doczj.com/doc/5118850601.html,

1: Connection: Keep-Alive

3:

最后是详细的 http 协议的内容，其中包含了 HTTP 版本号(1.1)等信息。

三、实验结论：扫描网络可以知道别人的一举一动，可以提高自己的安全意识，在以后的学习中更加注意加强安全意识。通过这次实验熟悉了windump 操作及sniffer 软件的使用，实验最后结果符合要求，达到了这次实验的目的。

网络监听技术全解

从入门到精通网络监听技术全解 作者: , 出处:中国IT实验室, 责任编辑: 韩博颖, 2008-04-07 09:24 网络监听，可以有效地对网络数据、流量进行侦听、分析，从而排除网络故障，成为了普通的网络管理员想真正成长为资深的网络工程师的必经之路。 编者按: 网络监听，可以有效地对网络数据、流量进行侦听、分析，从而排除网络故障，但它同时又带来了信息失窃等极大隐患，也因此，网络监听成为了一个普通的网络管理员想真正成长为资深的网络工程师的必经之路。 网络监听，在网络安全上一直是一个比较敏感的话题，作为一种发展比较成熟的技术，监听在协助网络管理员监测网络传输数据，排除网络故障等方面具有不可替代的作用，因而一直倍受网络管理员的青睐。然而，在另一方面网络监听也给以太网安全带来了极大的隐患，许多的网络入侵往往都伴随着以太网内网络监听行为，从而造成口令失窃，敏感数据被截获等等连锁性安全事件。 网络监听在安全领域引起人们普遍注意是在94年开始的，在那一年2月间，相继发生了几次大的安全事件，一个不知名的人在众多的主机和骨干网络设备上安装了网络监听软件，利用它对美国骨干互联网和军方网窃取了超过100000个有效的用户名和口令。上述事件可能是互联网上最早期的大规模的网络监听事件了，它使早期网络监听从"地下"走向了公开，并迅速的在大众中普及开来。 关于网络监听常常会有一些有意思的问题，如："我现在有连在网上的计算机了，我也有了窃听的软件了，那么我能不能窃听到微软(或者美国国防部，新浪网等等)的密码? 又如：我是公司的局域网管理员，我知道hub很不安全，使用hub这种网络结构将公司的计算计互连起来，会使网络监听变得非常容易，那么我们就换掉hub，使用交换机，不就能解决口令失窃这种安全问题了么? 这是两个很有意思的问题，我们在这里先不做回答，相信读者看完全文后会有自己正确的答案。 基本概念：认清mac地址和ip地址 首先，我们知道，一台接在以太网内的计算机为了和其他主机进行通讯，在硬件上是需要网卡，在软件上是需要网卡驱动程序的。而每块网卡在出厂时都有一个唯一的不与世界上任何一块网卡重复的硬件地址，称为mac地址。同时，当网络中两台主机在实现tcp/ip通讯时，网卡还必须绑定一个唯一的ip地址。下面用一个常见的unix命令ifconfig来看一看作者本人的一台正常工作的机器的网卡： [yiming@server/root]# ifconfig -a hme0: flags=863 mtu 1500 inet 192.168.1.35 netmask ffffffe0

网络嗅探与监听

网络嗅探与监听 局域网具有设备共享、信息共享、可进行高速数据通讯和多媒体信息通信、分布式处理、具有较高的兼容性和安全性等基本功能和特点。目前局域网主要用于办公室自动化和校园教学及管理，一般可根据具体情况采用总线形、环形、树形及星形的拓扑结构。 一、网络监听 网络监听技术本来是提供给网络安全管理人员进行管理的工具，可以用来监视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在网络上传输时，使用监听技术进行攻击并不是一件难事，只要将网络接口设置成监听模式，便可以源源不断地将网上传输的信息截获。网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等。 二、在局域网实现监听的基本原理 对于目前很流行的以太网协议，其工作方式是：将要发送的数据包发往连接在一起的所有主机，包中包含着应该接收数据包主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收。但是，当主机工作监听模式下，无论数据包中的目标地址是什么，主机都将接收(当然只能监听经过自己网络接口的那些包)。 在因特网上有很多使用以太网协议的局域网，许多主机通过电缆、集线器连在一起。当同一网络中的两台主机通信的时候，源主机将写有目的的主机地址的数据包直接发向目的主机。但这种数据包不能在IP层直接发送，必须从TCP/IP 协议的IP层交给网络接口，也就是数据链路层，而网络接口是不会识别IP地址的，因此在网络接口数据包又增加了一部分以太帧头的信息。在帧头中有两个域，分别为只有网络接口才能识别的源主机和目的主机的物理地址，这是一个与IP 地址相对应的48位的地址。

传输数据时，包含物理地址的帧从网络接口(网卡)发送到物理的线路上，如果局域网是由一条粗缆或细缆连接而成，则数字信号在电缆上传输，能够到达线路上的每一台主机。当使用集线器时，由集线器再发向连接在集线器上的每一条线路，数字信号也能到达连接在集线器上的每一台主机。当数字信号到达一台主机的网络接口时，正常情况下，网络接口读入数据帧，进行检查，如果数据帧中携带的物理地址是自己的或者是广播地址，则将数据帧交给上层协议软件，也就是IP层软件，否则就将这个帧丢弃。对于每一个到达网络接口的数据帧，都要进行这个过程。 然而，当主机工作在监听模式下，所有的数据帧都将被交给上层协议软件处理。而且，当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时，如果一台主机处于监听模式下，它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP地址和网关)的主机的数据包。也就是说，在同一条物理信道上传输的所有信息都可以被接收到。另外，现在网络中使用的大部分协议都是很早设计的，许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上，许多信息以明文发送。因此，如果用户的账户名和口令等信息也以明文的方式在网上传输，而此时一个黑客或网络攻击者正在进行网络监听，只要具有初步的网络和TCP/IP协议知识，便能轻易地从监听到的信息中提取出感兴趣的部分。同理，正确的使用网络监听技术也可以发现入侵并对入侵者进行追踪定位，在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息，成为打击网络犯罪的有力手段。 三、局域网监听的简单实现 要使主机工作在监听模式下，需要向网络接口发出I/O控制命令，将其设置为监听模式。在Unix系统中，发送这些命令需要超级用户的权限。在Windows 系列操作系统中，则没有这个限制。要实现网络监听，可以自己用相关的计算机语言和函数编写出功能强大的网络监听程序，也可以使用一些现成的监听软件，在很多黑客网站或从事网络安全管理的网站都有。 1. 一个使用Wireshark进行监听并解析IPv4协议头部的例子 (1)IP数据报首部概述

西邮网络扫描实验报告superscan

一、实验目的 ●掌握网络端口扫描器的使用方法，熟悉常见端口和其对应的服务程序，掌握发现系统漏 洞的方法。 ●掌握综合扫描及安全评估工具的使用方法，了解进行简单系统漏洞入侵的方法，了解常 见的网络和系统漏洞以及其安全防护方法。 二、实验原理 ●端口扫描原理 1.端口扫描向目标主机的TCP/IP服务端口发送探测数据包，并记录目标主机的响应。 通过分析响应来判断服务端口是打开还是关闭，就可以得知端口提供的服务或信 息。 2.端口扫描主要有经典的扫描器（全连接）、SYN（半连接）扫描器、秘密扫描等。 3.全连接扫描：扫描主机通过TCP/IP协议的三次握手与目标主机的指定端口建立一 次完整的连接。建立连接成功则响应扫描主机的SYN/ACK连接请求，这一响应表 明目标端口处于监听（打开）的状态。如果目标端口处于关闭状态，则目标主机会 向扫描主机发送RST的响应。 4.半连接（SYN）扫描：若端口扫描没有完成一个完整的TCP连接，在扫描主机和 目标主机的一指定端口建立连接时候只完成了前两次握手，在第三步时，扫描主机 中断了本次连接，使连接没有完全建立起来，这样的端口扫描称为半连接扫描，也 称为间接扫描。 5.TCP FIN（秘密）扫描：扫描方法的思想是关闭的端口会用适当的RST来回复FIN 数据包。另一方面，打开的端口会忽略对FIN数据包的回复。 ●综合扫描和安全评估技术工作原理 1.获得主机系统在网络服务、版本信息、Web应用等相关信息，然后采用模拟攻击 的方法，对目标主机系统进行攻击性的安全漏洞扫描，如果模拟攻击成功，则视为 漏洞存在。最后根据检测结果向系统管理员提供周密可靠的安全性分析报告。 ●常见的TCP端口如下： 服务名称端口号说明 FTP 21 文件传输服务 TELNET 23 远程登录服务 HTTP 80 网页浏览服务 POP3 110 邮件服务 SMTP 25 简单邮件传输服务 SOCKS 1080 代理服务 ●常见的UDP端口如下： 服务名称端口号说明 RPC 111 远程调用

网络安全技术简答题

第1章网络安全概述与环境配置 1. 网络攻击和防御分别包括哪些内容 答：攻击技术主要包括以下几个方面。 （1）网络监听：自己不主动去攻击别人，而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。 （2）网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。 （3）网络入侵：当探测发现对方存在漏洞后，入侵到目标计算机获取信息。 （4）网络后门：成功入侵目标计算机后，为了实现对“战利品”的长期控制，在目标计算机中种植木马等后门。 （5）网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。 防御技术主要包括以下几个方面。 （1）安全操作系统和操作系统的安全配置：操作系统是网络安全的关键。 （2）加密技术：为了防止被监听和数据被盗取，将所有的数据进行加密。 （3）防火墙技术：利用防火墙，对传输的数据进行限制，从而防止被入侵。 （4）入侵检测：如果网络防线最终被攻破，需要及时发出被入侵的警报。 （5）网络安全协议：保证传输的数据不被截获和监听。 2. 从层次上，网络安全可以分成哪几层每层有什么特点 答：从层次体系上，可以将网络安全分成4个层次上的安全：物理安全，逻辑安全，操作系统安全和联网安全。 物理安全主要包括5个方面：防盗，防火，防静电，防雷击和防电磁泄漏。

逻辑安全需要用口令、文件许可等方法来实现。 操作系统安全，操作系统必须能区分用户，以便防止相互干扰。操作系统不允许一个用户修改由另一个账户产生的数据。 联网安全通过访问控制服务和通信安全服务两方面的安全服务来达到。（1）访问控制服务：用来保护计算机和联网资源不被非授权使用。（2）通信安全服务：用来认证数据机要性与完整性，以及各通信的可信赖性。 （感觉如果说是特点的话这样回答有点别扭。。） 3. 为什么要研究网络安全 答：网络需要与外界联系，同时也就受到许多方面的威胁：物理威胁、系统漏洞造成的威胁、身份鉴别威胁、线缆连接威胁和有害程序威胁等。（可详细展开） 6. 网络安全橙皮书是什么包括哪些内容 答： 网络安全橙皮书是根据美国国防部开发的计算机安全标准——可信任计算机标准评价准则（Trusted Computer Standards Evaluation Criteria，TCSEC），1985年橙皮书成为美国国防部的标准，多年以来它一直是评估多用户主机和小型操作系统的主要方法。其他子系统（如数据库和网络）也一直用橙皮书来解释评估。橙皮书把安全的级别从低到高分成4个类别：D类、C类、B类和A类，每类又分几个级别，如表1-1所示。 表1-1 安全级别

实验报告-网络扫描与监听

信息安全实验报告 学号： 学生姓名： 班级：

实验一网络扫描与监听 一、实验目的 网络扫描是对整个目标网络或单台主机进行全面、快速、准确的获取信息的必要手段。通过网络扫描发现对方，获取对方的信息是进行网络攻防的前提。该实验使学生了解网络扫描的内容，通过主机漏洞扫描发现目标主机存在的漏洞，通过端口扫描发现目标主机的开放端口和服务，通过操作系统类型扫描判断目标主机的操作系统类型。 通过该实验，了解网络扫描的作用，掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法，能够通过网络扫描发现对方的信息和是否存在漏洞。要求能够综合使用以上的方法来获取目标主机的信息。 而网络监听可以获知被监听用户的敏感信息。通过实验使学生了解网络监听的实现原理，掌握网络监听软件的使用方法，以及对网络中可能存在的嗅探结点进行判断的原理。掌握网络监听工具的安装、使用，能够发现监听数据中的有价值信息，了解网络中是否存在嗅探结点的判断方法及其使用。 二、实验要求 基本要求了解网络扫描的作用，掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法，能够通过网络扫描发现对方的信息和是否存在漏洞。掌握网络监听工具的安装、使用，能够发现监听数据中的有价值信息等。提高要求能够对网络中可能存在的嗅探结点进行判断的方法及工具使用等。 三、实验步骤 1）扫描软件X-Scan 和Nmap 以及WinPcap 驱动安装包并安装。 2）打开X-Scan，如下图所示。 3）点击“设置”->“扫描参数”，弹出扫描参数设置对话框，在“指定IP 范围”输入被扫描的IP 地址或地址范围。在“全局设置”的“扫描模块”设置对话框中选择需要检测的模块。其他可以使用默认的设置，也可以根据实际需要进行选择。最后点击“确定”回到主界面。

网络监听实验报告

网络监听实验报告 一、实验目的 利用Sniffer软件捕获网络信息数据包，然后通过解码进行分析。通过实验，了解网络监听原理和过程。 二、实验环境及设备 硬件：可以用三台真机：三台PC、一台集线器或交换机、网线若干； 或也可以用三台虚拟机：一台内存不少于2GB的PC，用VMware虚拟机软件建 立三台虚拟机，要求能流畅运行。 软件：Windows XP Professional SP3，IIS组件包（用于搭建FTP服务器），Sniffer软件。 三、实验内容 将三台PC组建成一个局域网；将其中的A机搭建为FTP服务器，并将服务器设置为要求用户名和密码登录；B机作为A机FTP服务的访问者，知道A机FTP服务的用户名和密码；C机作为监听者，装有Sniffer软件，监听A、B两机的通信，以监听到A机的FTP 服务用户名和密码为最终目标。 四、实验详细步骤 本实验内容分为三个过程： 1、准备三台PC，将三台PC组建成一个局域网，以能互相ping通为成功标志。 （1）物理连接：若用三台实体PC，用交换机连接成网络；若用三台虚拟机，则都使用“桥接”方式连接成网络，操作方法为：选定需设置的虚拟机→“虚拟机”菜单→“设置”命令→“硬件”选项卡→“Network Adapter”→“桥接：直接连接到物理网络”。

（2）分配IP地址 IP地址设置好后，关闭防火墙，测试三台电脑能否互相ping通。关闭防火墙方法：右击桌面“网上邻居”→属性→右击“本地连接”→属性→“高级”选项卡→“设置”按钮→“常规”选项卡→选中“关闭（不推荐）”。如下图。 2、在A机上安装IIS，搭建并设置FTP服务器，以B机通过用户名和密码能访问A机FTP 服务为成功标志。 （1）安装IIS。 打开“我的电脑”→“控制面板”→“添加/删除程序”→“添加/删除windows组件”→勾选“Internet信息服务（IIS）”→“详细信息”→勾选“文件传输协议（FTP）服务”→点击确定开始安装IIS，如下图。在安装过程中提示需要放入Windows系统光盘，请点击确定后选择IIS组件包所在位置，如下图。

网络监听的简单原理

已经确定了自己以后的职业了，现在就应该努力提高技术了。偶尔也写写对一些技术原理的个人理解，当做检验自己的学习情况了。也希望能对光临我空间的人有所帮助。这是自己写的第一篇，有不足的地方欢迎大家指教。 网络监听，又称为网络嗅探。网络监听可以说是网络安全领域一个非常敏感的话题了。作为一种发展比较成熟的技术，网络监听就像一把双刃剑，一方面它为网络管理员提供了一种管理网络的手段，监听在协助网络管理员监测网络传输数据、排除网络故障等方面有着不可替代的作用；另一方面，网络监听也是黑客获取在局域网上传输的敏感信息的一种重要手段，因为网络监听是一种被动的攻击方式，不易被察觉。 在我们使用的局域网技术中，以太网技术是最经常使用的一种。在以太网中，又可分为共享型以太网和交换型以太网。在讨论网络监听时，我们先使用最简单的共享型以太网来进行讨论。 共享型以太网，使用CSMA/CD媒体访问控制方式，通过集线器相连，网络拓扑为总线型。同一个以太网中的所有节点共享传输介质。根据CSMA/CD媒体访问控制方法，节点在发送数据帧之前先侦听传输介质上是否有数据帧在传输，如果没有的话即进行数据传输。这就意味着在同一个以太网上，当有数据帧在传输时，这个以太网中的所有节点都能接受到这个数据帧。节点根据帧头部所携带的目的MAC地址来判断这个帧是否是发给自己的：当所接收到的帧的目的MAC地址为本机MAC地址是，接收该帧；当所接收到的帧的目的MAC地址不是本机MAC 地址时，则丢弃该帧。但是，当节点的网卡工作在混杂模式时，该节点将接收所有在以太网上传输的数据帧，包括在网络上传输的口令等敏感信息。 而在交换型以太网中，情况就有所不同了。交换型以太网通过交换机连接。交换机工作于数据链路层，通过将接收到的数据帧的目的MAC地址与自身的地址对照表相比较来确定将数据帧转发给哪个端口，只有当交换机接收到广播帧或者是交换机的地址对照表上没有该MAC 地址的对应端口时，才把该帧向所有端口广播。这样，以太网上的节点就很少接收到发送给其他节点的数据帧了。

网络监听技术研究

网络监听技术研究(2011-05-09 22:34:05)转载标签：捕获sniffer监听mac地址交换机数据包数据报杂谈分类：网络及硬件 1 引言 计算机局域网和Internet的发展给个人、企事业单位带来了革命性的改革和发展。同时又要面对网络开放带来的数据安全的新挑战和新危险；网络的安全访问、黑客的攻击等。基于对网络安全的考虑，需要一种能够实时的对网络上的数据进行监视的技术，网络监听技术应运而生了。 网络监听也叫嗅探，其英文名是Sniffing，即将网络上传输的数据捕获井进行分析的行为。网络监听器也叫嗅探器，其英文名是sniffer。ISS为sniffer这样定义：Sniffer是利用计算机的网络接口捕获目的地为其它计算机的数据报文(数据包)的一种工具。实际上，Sniffer 就是网络上的“窃听器”。网络监听器是一种网络监测设备既可以是硬件，也可以是软件，硬件形式的sniffer称为网络分析仪，一般都是商业性的，价格电比较贵。软件形式的sniffe：在Windows和Unix平台上都很多，其优点是价格便宜，易于学习使用；缺点是无法抓取网络上所有的传输，某些情况下也就无法真正了解网络的运行情况。 2 网络监听原理 Internet是由众多的局域网所组成，这些局域网一般是以太网、令牌网结构。数据在这此网络上是以很小的称为帧(Frame)的单位传输的，帧通过特定的网络驱动程序进行成型，然后通过网卡发送到网线上。由于以太网等很多网络(常见共享HUB连接的内部网)是基于总线方式，物理上是广播的，同一物现网段的所有主机的网卡都能接收到这此以太网帧。当网络接日处于正常状态时，网卡收到传输来的数据帧，网卡内的芯片程序先接收数据头的目的MAC地址，根据汁算机上的网卡驱动程序设置的接收模式判断该不该接收，如果认为是目的地址为本机地址的数据帧或是广播帧，则接收并在接收后产全中断信号通知CPU，否则就丢弃不管，CPU得到中断信号产生中断，操作系统就根据网卡驱动程序中设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放人堆伐让操作系统处理。通过修改网卡让其处于一种特殊的工作模式，在这种工作模式下，网卡不对目的地址进行判断，而直接将它收到的所有报文都传递给操作系统进行处理。 这种特殊的工作模式称之为混杂模式(Promiscuous Mode)。Sniffer就是通过将网卡设置为混杂模式，它对遇到的侮一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。Sniffer工作在网络环境中的底层，它会捕获所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容.进而分析所处的网络状态和整体布局。 3 网络监听系统组成部分 如图1展示了一个监听系统大体框架。 网络硬件设备：如网卡、集线器、路由器等。 捕获驱动程序：控制网络硬件从信道上抓取数据，并将数据存人缓冲器。

网络攻防原理与技术实验第8章

第8章网络监听技术 8.7 实验 8.7.1 Wireshark的安装与使用 1. 实验目的 了解Wireshark软件的监听原理，掌握Wireshark软件的使用方法，学会使用Wireshark 软件进行数据包和协议分析。 2. 实验内容与要求 (1) 安装Wireshark、飞秋软件。 (2) 学习使用Wireshark软件，包含各功能菜单的作用，选项的设置等。 (3) 二人（A和B）一组，组员A和B启动Wireshark软件，设置好捕获选项，并开始捕获。注意根据情况设置好过滤器，使得尽量只捕获自己想要的那些数据包，进行以下实验过程： a)启动飞秋，不使用飞秋进行任何操作，通过分析Wireshark捕获的数据包判断 飞秋是否会定时发送数据包，如果发送，采用的是何种协议、何种方式？ b)组员B使用飞秋向组员A发送消息。 c)组员A和B截获数据包后，分析飞秋发送消息使用的传输层协议（UDP/TCP）， 并分析使用飞秋发送一条消息时的通信机制。 d)组员B使用飞秋的刷新功能进行刷新。 e)组员A和B截获数据包后，分析飞秋刷新时使用的传输层协议，并分析使用 飞秋刷新时的通信机制。 f)组员B使用飞秋向组员A发送文件。 g)组员A和B截获数据包后，分析飞秋发送文件时使用的传输层协议，并分析 使用飞秋发送文件时的通信机制。 (4) 将观察结果截图，并写入实验报告中。 3. 实验环境 (1) 实验室环境，实验用机的操作系统为Windows。 (2) 最新版本的Wireshark软件。 (3) 飞秋即时通信软件。 8.7.2 利用Cain软件实现ARP 欺骗 1. 实验目的 理解ARP欺骗攻击的基本原理，掌握使用Cain、Wireshark工具进行ARP欺骗和网络监听的方法。 2. 实验内容与要求 (1) 安装Wireshark、Cain、飞秋软件。 (2) 三人一组（A，B，C），C运行Cain软件进行ARP欺骗、运行Wireshark软件监听A和B之间的飞秋通信。 (3) 在主机C中安装好Cain工具后，单击【Sniffer】按钮，对主机所在的局域网进行扫描和嗅探，嗅探一段时间后，可以在【Sniffer】选项卡下看到局域网上主机的列表，列表中还显示了主机对应的MAC地址。 (4) 如果Cain嗅探到希望监听的两台主机，单击界面下方的【APR】选项卡，切换到APR (ARP Poison Routing)界面，单击界面工具栏中的蓝色“+”按钮，弹出【New ARP Poison Routing】的窗口。

实验二：《网络监听工具的安装使用》

实验二：《网络监听工具的安装使用》 一、基本信息 项目编码：07011111 项目学时：2 项目类型：综合项目属性：必修 大纲执笔：陈雁大纲审批：计算机科学学院学术委员会主管院长：王杨 二、实验目的 掌握网络监听工具ethereal的基本使用，并了解如何捕获数据报进行分析 三、教学要求 1.安装使用网络监听工具ethereal； 2.使用ethereal网络分析器对局域网的数据包进行识别、分析。 四、主要仪器设备 Windows 2000以上操作系统，可上Internet网络的计算机若干，ethereal安装包 五、考核方式及要求 实验报告 六、主要内容 本次实验需在小组合作的基础之上完成。每个小组由两位成员组成，相互之间通信，通过网络监听工具截取通信数据包，分析数据包完成实验内容。 1、通过ipconfig命令获取本机IP地址,并填写上面的小组情况表。 2、下载网络监听工具ethereal和winpcap并安装； （1）首先安装winpcap；

（2）安装ethereal。 3、从本机ping小组另一位成员的计算机，使用ethereal截取ping过程中的通信数据。 4、分析截取的由于第3步操作而从本机发送到目的机的数据帧中的IP数据报并填写下表。

先启动ethereal抓包，然后访问任意Http服务器，使用截取操作中的通信数据。 分析截取的由于第6步操作而从本机发送到目的机的数据帧中的TCP数据报并填写下表。 7、分析截取的由于第6步操作而从目的机返回到本机的数据帧中的TCP数据报并填写下 表。 七、实验报告 记录实验内容各步骤的实验结果。

网络扫描及网络嗅探工具的使用

网络扫描与网络嗅探一实验目的 （1）理解网络嗅探和扫描器的工作机制和作用 （2）使用抓包与协议分析工具Wireshark （3）掌握利用扫描器进行主动探测，收集目标信息的方法（4）掌握使用漏洞扫描器检测远程或本地主机安全性漏洞二实验环境 Windows xp操作系统平台，局域网环境 网络抓包与协议分析工具Wireshark 扫描器软件：Superscan 三实验步骤 使用Wireshark 抓包并进行协议分析 （1）下载并安装软件，主界面如图

（2）单击capture，打开interface接口选项，选择本地连接，如图 （3）使用Wireshark数据报获取，抓取TCP数据包并进行分析 从抓取的数据包来看,首先关于本次分析的数据包是典型的TCP三次握手,如图所示:

（4）TCP三次握手过程分析（以第一次握手为例） 主机（172.16.1.64）发送一个连接请求到（172.16.0.1），第一个TCP包的格式如图所示： 第三行是ipv4的报文,网际协议IP是工作在网络层,也就是数据链路层的上层, IPv4报文中的源地址和目的地址是ip地址,版本号TCP是6，其格式为:

第四行是TCP报文,从上面两个可以知道,这个TCP包被层层包装,经过下面一层就相应的包装一层,第三段是经过传输层的数据,TCP报文的格式为: TCP的源端口2804也就是宿主机建立连接开出来的端口,目的端口8080。Sequence number同步序号，这里是0x3a 2a b7 bb,但这里显示的是相对值0。Acknowledgment number确认序号4bytes,为0,因为还是第一个握手包。Header Length头长度28字节,滑动窗口65535大小字节,校验和,紧急指针为0。Options选项8字节

网络攻防概述.

网络攻击与防护概念 网络攻击:非法使用或获取网络中的信息或以破坏网络正常运行的行为、技术; 网络防护:保护计算机网络的各种技术 常见网络攻击与防护 网络攻击技术:介绍常见的网络攻击技术,包括网络扫描技术、口令攻击、缓冲区溢出攻击技术、网络监听技术、网络协议攻击、拒绝服务攻击、木马攻击技术等内 容 网络扫描技术:使用网络扫描软件对特定目标进行各种试探性通信,以获取目标信息的行为。 主机扫描 端口扫描 操作系统扫描 漏洞扫描 口令攻击:破解账户密码 弱口令扫描:最简单的方法,入侵者通过扫描大量主机,从中找出一两个存在弱口令的主机 简单口令猜解:很多人使用自己或家人的生日、电话号码、房间号码、简单数字或者身份证号码中的几位;也有的人使用自己、孩子、配偶或宠物的名字,这样黑客可以很容易通过猜想得到密码 暴力破解:尝试所有字符的组合方式。获取密码只是时间问题,是密码的终结者

口令监听:通过嗅探器软件来监听网络中的数据包来获得密码。对付明文密码特别有效,如果获取的数据包是加密的,还要涉及解密算法解密 社会工程学:通过欺诈手段或人际关系获取密码 缓冲区溢出攻击技术:(一般情况下,缓冲区会溢出引起程序运行错误,但是在攻击者的设计下向程序的缓冲区写入超出其长度的内容,造成缓冲区的溢出,从而破坏程 序的堆栈,使程序转而执行其他的指令,以达到攻击的目的 网络监听技术:是指在计算机网络接口处截获网上计算机之间通信的数据,也称网络嗅探(Network Sniffing 拒绝服务攻击:攻击者通过某种手段,有意地造成计算机或网络不能正常运转从而不能向合法用户提供所需要的服务或者使服务质量降低 拒绝服务(DoS: Denial of Service:任何对服务的干涉如果使得其可用性降低或者失去可用性称为拒绝服务, 如:计算机系统崩溃;带宽耗尽;硬盘被填满 攻击方式:消耗系统或网络资源;更改系统配置 木马攻击技术:特洛伊木马,是指隐藏在正常程序中的一段具有特殊功能的恶意代码,具备特定的破坏功能,会影响用户系统的安全。 木马程序与一般的病毒不同,它不会“刻意”地去感染其他文件,它的主要作用是控制 被感染电脑,进行破坏、窃取文件等活动 网络防护技术:介绍常见的网络防护技术,包括:防火墙、入侵检测、VPN、操作系统的安全、加解密技术、计算机病毒防护技术等

实验一网络扫描与网络嗅探

网络扫描与网络嗅探 一实验目的 （1）理解网络嗅探和扫描器的工作机制和作用 （2）使用抓包与协议分析工具Wireshark （3）掌握利用扫描器进行主动探测，收集目标信息的方法 （4）掌握使用漏洞扫描器检测远程或本地主机安全性漏洞 二实验环境 Windows xp操作系统平台，局域网环境，网络抓包与协议分析工具Wireshark，扫描器软件：Superscan 三实验步骤 使用Wireshark 抓包并进行协议分析 （1）下载并安装软件，主界面如图1所示。 图1

（2）单击capture，打开interface接口选项，选择本地连接，如图2所示。 图2 （3）使用Wireshark数据报获取，抓取TCP数据包并进行分析 从抓取的数据包来看,首先关于本次分析的数据包是典型的TCP三次握手,如图3所示。 图3

（4）TCP三次握手过程分析（以第一次握手为例） 主机（172.16.1.64）发送一个连接请求到（172.16.0.1），第一个TCP包的格式如图4所示。 图4 第三行是ipv4的报文,网际协议IP是工作在网络层,也就是数据链路层的上层, IPv4报文中的源地址和目的地址是ip地址,版本号TCP是6，其格式为如图5所示。 图5

第四行是TCP报文,从上面两个可以知道,这个TCP包被层层包装,经过下面一层就相应的包装一层,第三段是经过传输层的数据,TCP报文的格式为如图6所示。 图6 TCP的源端口2804也就是宿主机建立连接开出来的端口,目的端口8080。Sequence number同步序号，这里是0x3a 2a b7 bb,但这里显示的是相对值0。Acknowledgment number确认序号4bytes,为0,因为还是第一个握手包。Header Length头长度28字节,滑动窗口65535大小字节,校验和,紧急指针为0。Options选项8字节

网络安全实验wireshark网络监听实验

遵义师范学院计算机与信息科学学院 实验报告 （2013—2014学年第1 学期） 课程名称：网络安全实验 班级： 学号： 姓名： 任课教师： 计算机与信息科学学院

实验报告

机将写有目的的主机地址的数据包直接发向目的主机，或者当网络中的一台主机同外界的主机通信时，源主机将写有目的的主机IP地址的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去，要发送的数据包必须从TCP/IP协议的IP层交给网络接口，也就是所说的数据链路层。网络接口不会识别IP地址的。在网络接口由IP层来的带有IP地址的数据包又增加了一部分以太祯的祯头的信息。在祯头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址这是一个48位的地址，这个48位的地址是与IP地址相对应的，换句话说就是一个IP地址也会对应一个物理地址。对于作为网关的主机，由于它连接了多个网络，它也就同时具备有很多个IP地址，在每个网络中它都有一个。而发向网络外的祯中继携带的就是网关的物理地址。Ethernet中填写了物理地址的祯从网络接口中，也就是从网卡中发送出去传送到物理的线路上。如果局域网是由一条粗网或细网连接成的，那么数字信号在电缆上传输信号就能够到达线路上的每一台主机。再当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每一条线路。这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。当数字信号到达一台主机的网络接口时，正常状态下网络接口对读入数据祯进行检查，如果数据祯中携带的物理地址是自己的或者物理地址是广播地址，那么就会将数据祯交给IP层软件。对于每个到达网络接口的数据祯都要进行这个过程的。但是当主机工作在监听模式下的话，所有的数据祯都将被交给上层协议软件处理。 当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网的时候，那么要是有一台主机处于监听模式，它还将可以接收到发向与自己不在同一个子网（使用了不同的掩码、IP地址和网关）的主机的数据包，在同一个物理信道上传输的所有信息都可以被接收到。

实验报告二 网络扫描与网络监听(安徽农业大学)

实验二网络扫描与网络监听 姓名：学号：班级：2班 实验组别：同组实验者姓名： 指导教师：章恒日期：成绩： 【实验报告要求】 1．阐述网络监听技术的原理。 Ethernet协议的工作方式是将要发送的数据包发往连接在一起的所有主机。在包头中包括有应该接收数据包的主机的正确地址，因为只有与数据包中目标地址一致的那台主机才能接收到信息包，但是当主机工作在监听模式下的话不管数据包中的目标物理地址是什么，主机都将可以接收到。许多局域网内有十几台甚至上百台主机是通过一个电缆、一个集线器连接在一起的，在协议的高层或者用户来看，当同一网络中的两台主机通信的时候，源主机将写有目的的主机地址的数据包直接发向目的主机，或者当网络中的一台主机同外界的主机通信时，源主机将写有目的的主机IP地址的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去，要发送的数据包必须从TCP/IP协议的IP层交给网络接口，也就是所说的数据链路层。网络接口不会识别IP地址的。在网络接口由IP层来的带有IP地址的数据包又增加了一部分以太帧的帧头的信息。在帧头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址这是一个48位的地址，这个48位的地址是与IP地址相对应的，换句话说就是一个IP地址也会对应一个物理地址。对于作为网关的主机，由于它连接了多个网络，它也就同时具备有很多个IP地址，在每个网络中它都有一个。而发向网络外的帧中继携带的就是网关的物理地址。 Ethernet中填写了物理地址的帧从网络接口中，也就是从网卡中发送出去传送到物理的线路上。如果局域网是由一条粗网或细网连接成的，那么数字信号在电缆上传输信号就能够到达线路上的每一台主机。再当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每一条线路。这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。当数字信号到达一台主机的网络接口时，正常状态下网络接口对读入数据帧进行检查，如果数据帧中携带的物理地址是自己的或者物理地址是广播地址，那么就会将数据帧交给IP层软件。对于每个到达网络接口的数据帧都要进行这个过程的。但是当主机工作在监听模式下的话，所有的数据帧都将被交给上层协议软件处理。

2Sniffer Pro网络监听实验

网络监听实验 实验目的 （1）熟悉网络监听的原理与技术。 （2）熟悉Sniffer Pro的基本使用方法。 （3）熟悉网络监听的用途与后果。 实验环境 每2位学生为一个实验组，使用2台安装Windows 2000/XP的PC机，通过局域网互联，IP网络为192.168.1.0/24。其中一台（192.168.1.101）安装Sniffer Pro 4.7.5，记为A，实验环境的网络拓扑如图1所示。 192.168.1.101192.168.1.100 图1 网络监听实验拓扑 实验要求 1、实验任务 （1）安装和运行网络监听软件。 （2）使用和测试Sniffer的常用功能。 （3）记录并分析实验结果。 2、实验预习

（1）预习本实验指导书，深入理解实验的目的与任务，熟悉实验步骤和基本环节。 （2）复习有关网络监听的基本知识。 3、实验报告 （1）简要描述实验过程。 （2）实验中遇到了什么问题，如何解决的。 （3）在一台主机上安装防火墙，另一台主机再进行嗅探，看是否还能接收信息。如果不能，分析其原因并详细写出来。 （4）根据网络监听的工作原理，讨论针对网络监听的防范措施，并加以实施和效果分析。（5）实验收获与体会。 实验背景 1 基础知识 网络监听也称为嗅探，作为一种发展比较成熟的技术，在协助网络管理员监测网络传输数据及排除网络故障等方面具有不可替代的作用。然而，网络监听也给以太网带来了极大的隐患，许多网络入侵往往都伴随着以太网内网络监听，从而造成口令失窃、敏感数据被截获等安全事件。 网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关或远程网中的调制解调器等。监听效果最好的地方是在网关、路由器、防火墙一类的设备上，通常由网络管理员来操作。 网络监听工具在功能和实际使用方面有多不同，有些只能分析一种，有些则能分析几百种。大多数的网络监听工具都能分析标准以太网、TCP/IP、IPX和DECNet等。通常，网络监听可以提供如下一些功能。 (1)自动从网络中过滤及转换有用的信息。 (2)将截取的数据包转换成易于识别的格式。 (3)对网络环境中的通信失败进行分析。 (4)探测网络环境下的通信瓶颈。 (5)检测是否有黑客正在攻击网络系统，以阻止其入侵。 (6)记录网络通信过程。 2 网络监听工具Sniffer简介 Sniffer Portable是NAI公司开发的系列网络故障和性能管理解决方案，网络专业人士可以使用它对多拓扑结构和多协议网络时行维护、故障解决、优化调整和扩展。Sniffer Portable软件可以在台式计算机、便携式计算机或者笔记本计算机等硬件平台上运行，并且可以利用高级自定义硬件组件确保全线速的捕获能力。

网络安全技术简答题

. Word 资料第1章网络安全概述与环境配置 1. 网络攻击和防御分别包括哪些容？ 答：攻击技术主要包括以下几个方面。 （1）网络监听：自己不主动去攻击别人，而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。 （2）网络扫描：利用程序去扫描目标计算机开放的端口等，目的是发现漏洞，为入侵该计算机做准备。 （3）网络入侵：当探测发现对方存在漏洞后，入侵到目标计算机获取信息。 （4）网络后门：成功入侵目标计算机后，为了实现对“战利品”的长期控制，在目标计算机中种植木马等后门。 （5）网络隐身：入侵完毕退出目标计算机后，将自己入侵的痕迹清除，从而防止被对方管理员发现。 防御技术主要包括以下几个方面。 （1）安全操作系统和操作系统的安全配置：操作系统是网络安全的关键。 （2）加密技术：为了防止被监听和数据被盗取，将所有的数据进行加密。 （3）防火墙技术：利用防火墙，对传输的数据进行限制，从而防止被入侵。 （4）入侵检测：如果网络防线最终被攻破，需要及时发出被入侵的警报。 （5）网络安全协议：保证传输的数据不被截获和监听。 2. 从层次上，网络安全可以分成哪几层？每层有什么特点？ 答：从层次体系上，可以将网络安全分成4个层次上的安全：物理安全，逻辑安全，操作系统安全和联网安全。 物理安全主要包括5个方面：防盗，防火，防静电，防雷击和防电磁泄漏。 逻辑安全需要用口令、文件许可等方法来实现。 操作系统安全，操作系统必须能区分用户，以便防止相互干扰。操作系统不允许一个用户修改由另一个账户产生的数据。 联网安全通过访问控制服务和通信安全服务两方面的安全服务来达到。（1）访问控制服务：用来保护计算机和联网资源不被非授权使用。（2）通信安全服务：用来认证数据机要性与完整性，以及各通信的可信赖性。 （感觉如果说是特点的话这样回答有点别扭。。） 3. 为什么要研究网络安全？ 答：网络需要与外界联系，同时也就受到许多方面的威胁：物理威胁、系统漏洞造成的威胁、身份鉴别威胁、线缆连接威胁和有害程序威胁等。（可详细展开）

网络监听实验(二)

实验报告 实验三网络监听实验（二） 一、实验目的 1、熟悉IP地址与MAC地址的概念 2、理解ARP协议及ICMP协议原理 3、了解TELNET应用 二、实验原理 1、IP地址与MAC地址、ARP协议 数据链路层使用物理地址（即MAC地址），网络层使用IP地址，当数据包在网络层和数据链路层之间传输时，需要进行MAC地址和IP地址的转换。ARP协议的功能是实现IP 地址到MAC地址的转换。 每个主机都设有一个ARP高速缓存，操作系统通常会将从网络中得到的IP地址和MAC 地址的映射关系存放在本机的高速缓存中，使用arp命令，可以查看、添加和删除高速缓冲区中的ARP表项。 在Windows操作系统中，高速缓存中的ARP表项可以包含动态和静态表项，动态表项随时间推移自动添加和删除，而静态表项则一直保留在高速缓存中，直到人为删除或重启计算机。 2、ICMP协议 ICMP协议是配合IP协议使用的网络层协议，它的报文不是直接传送到数据链路层，而是封装成IP数据报后再传送到数据链路层。 分组网间探测PING是ICMP协议的一个重要应用，它使用ICMP回送请求与回送应答报文，用来测试两个主机之间的连通性。命令格式为：ping 目的IP地址。 ICMP回送请求与回送应答报文格式如下： 说明：类型为8---回送请求，为0---回送应答TRACERT程序是ICMP协议的另一个应用，命令格式为：tracert 目的地址。 Tracert从源主机向目的主机发送一连串的IP数据报P1，P1的TTL设置为1，当它到达路径上的第一个路由器R1时，R1先收下它，把P1的TTL值减1，变成0，R1丢弃P1，并向源主机发送一个ICMP超时差错报告报文。源主机接着又发送第二个TTL值为2的IP

教你防止网络监听与端口扫描

教你防止网络监听与端口扫描 1.使用安全工具 有许多工具可以让我们发现系统中的漏洞，如SATAN等。SATAN是一个分析网络的管理、测试和报告许多信息，识别一些与网络相关的安全问题。 对所发现的问题，SATAN提供对这个问题的解释以及可能对系统和网络安全造成影响的程度，并且通过工具所附的资料，还能解释如何处理这些问题。 当然还有很多像这样的安全工具。包括对TCP端口的扫描或者对多台主机的所有TCP 端口实现监听；分析网络协议、监视控制多个网段等，正确使用这些安全工具，及时发现系统漏洞，才能防患于未然。 而对于WindowsNT系统平台，可定期检查EventLog中的SECLog记录，查看是否有可疑的情况，防止网络监听与端口扫描。 2.安装防火墙 防火墙型安全保障技术是基于被保护网络具有明确定义的边界和服务、并且网络安全的威胁仅来自外部的网络。通过监测、限制以及更改跨越“防火墙”的数据流，尽可能的对外部网络屏蔽有关被保护网络的信息、结构，实现对网络的安全保护，因此比较适合于相对独立，与外部网络互连途径有限并且网络服务种类相对单一、集中的网络系统，如Internet。“防火墙”型系统在技术原理上对来自内部网络系统的安全威胁不具备防范作用，对网络安全功能的加强往往以网络服务的灵活行、多样性和开放性为代价，且需要较大的网络管理开销。 防火墙型网络安全保障系统实施相当简单，是目前应用较广的网络安全技术，但是其基本特征及运行代价限制了其开放型的大规模网络系统中应用的潜力。由于防火墙型网络安全保障系统只在网络边界上具有安全保障功能，实际效力范围相当有限，因此“防火墙”型安全技术往往是针对特定需要而专门设计实施的系统。 对于个人用户，安装一套好的个人防火墙是非常实际而且有效的方法。现在许多公司都开发了个人防火墙，这些防火墙往往具有智能防御核心，攻击，并进行自动防御，保护内部网络的安全。 比如蓝盾防火墙系统在内核设计中引入自动反扫描机制，当黑客用扫描器扫描防火墙或防火墙保护的服务器时，将扫描不到任何端口，使黑客无从下手；同进还具有实时告警功能，系统对受到的攻击设有完备的纪录功能，纪录方式有简短纪录、详细记录、发出警告、纪录