网络扫描与网络嗅探
一实验目的
(1)理解网络嗅探和扫描器的工作机制和作用
(2)使用抓包与协议分析工具Wireshark
(3)掌握利用扫描器进行主动探测,收集目标信息的方法
(4)掌握使用漏洞扫描器检测远程或本地主机安全性漏洞
二实验环境
Windows xp操作系统平台,局域网环境,网络抓包与协议分析工具Wireshark,扫描器软件:Superscan
三实验步骤
使用Wireshark 抓包并进行协议分析
(1)下载并安装软件,主界面如图1所示。
图1
(2)单击capture,打开interface接口选项,选择本地连接,如图2所示。
图2
(3)使用Wireshark数据报获取,抓取TCP数据包并进行分析
从抓取的数据包来看,首先关于本次分析的数据包是典型的TCP三次握手,如图3所示。
图3
(4)TCP三次握手过程分析(以第一次握手为例)
主机(172.16.1.64)发送一个连接请求到(172.16.0.1),第一个TCP包的格式如图4所示。
图4
第三行是ipv4的报文,网际协议IP是工作在网络层,也就是数据链路层的上层, IPv4报文中的源地址和目的地址是ip地址,版本号TCP是6,其格式为如图5所示。
图5
第四行是TCP报文,从上面两个可以知道,这个TCP包被层层包装,经过下面一层就相应的包装一层,第三段是经过传输层的数据,TCP报文的格式为如图6所示。
图6
TCP的源端口2804也就是宿主机建立连接开出来的端口,目的端口8080。Sequence number同步序号,这里是0x3a 2a b7 bb,但这里显示的是相对值0。Acknowledgment number确认序号4bytes,为0,因为还是第一个握手包。Header Length头长度28字节,滑动窗口65535大小字节,校验和,紧急指针为0。Options选项8字节
使用superscan 扫描
(1)下载并安装,如图7所示。
图7 (2)主界面如图8所示。
图8
(3)使用superscan对远程主机和本地主机进行端口扫描
通过ping来检验IP是否在线:ping 172.16.1.64,显示结果如图9、图10所示。
图9
图10
(4)单击port list setup进入如图11所示。
图11
(5)软件自带一个木马端口列表trojans.lst,通过这个列表我们可以检测目标计算机是否有木马,如图12所示。
图12
四实验总结
通过本次实验,我理解了网络嗅探的工作机制和作用,它可以用来窃听计算机在网络上所产生的众多的信息,可以窃听计算机程序在网络上发送和接收到的数据,用来接收在网络上传输的信息,并且掌握了常用的网络抓包与协议分析工具Wireshark的使用方法。同时也掌握了扫描器的工作机制和作用,以及利用扫描器进行主动探测,收集目标信息的方法。
实验2 使用Wireshark嗅探器分析网络协议 实验日期: 实验目的: 1、掌握嗅探器工具Wireshark的下载和安装方法 2、掌握Wireshark的简单使用方法,了解抓包结果的分析方法 3、掌握封装这一操作的具体含义以及TCP/IP体系结构的分层,了 解各层的一些常用协议。 实验步骤: 1、预习课本与ping命令及tracert命令相关的因特网控制报文协议ICMP相关的容(4.4节),通过搜索引擎了解什么是嗅探器,了解嗅探器工具Wireshark的下载、安装和使用方法 2、自己下载安装并启动Wireshark(安装程序里附带的WinPcap也一定要安装)如有时间可搜索Wireshark的中文使用说明,作为实验的辅助资料。FTP上有《Wireshark 网络分析就这么简单》的电子版,供参考。 3、选择正确的网络适配器(俗称网卡)。这一步很重要。选错了网卡,可能抓不到任何包。 4、开始抓包。 5、在Wireshark的显示过滤器输入栏中输入正确的表达式,可过滤出需要的数据包。
7、单击选中其中一个报文,可在树形视图面板中看它各层协议首部的详细信息。 8、过滤出http流量,选择其中的一个数据包,回答以下问题:(以下
4个问题需回答并截图证明) 1)此http包的http协议版本号是多少? 此http包的http协议版本号是HTTP/1.1 2)http协议在传输层使用的是TCP协议还是UDP协议? http协议在传输层使用的是TCP协议 3)此http包在网络层使用的是什么协议?
此http包在网络层使用的是IPV4协议 4)此http包在数据链路层使用的是什么协议? 此http包在数据链路层使用的是Ethernet II协议 9、过滤出QQ流量(协议名称为OICQ),选择其中的一个数据包,回答以下问题:(以下4个问题需回答并截图证明) 1)此QQ包的OICQ协议版本号是多少? 此QQ包的OICQ协议版本号是OICQ 121
课程设计II报告 (2011 / 2012 学年第一学期) 题目1:共享网络嗅探工具(如Sniffer Pro)的功能使用和结构分析 题目2:IP地址欺骗扫描工具Hping2的使用 专业 学生姓名 班级学号 指导教师 指导单位 日期年月日
指导教师成绩评定表 学生姓名刘铭菲班级学号08001019 专业信息安全 评分内容评分标准优秀良好中等差 平时成绩认真对待课程设计,遵守实验室规定,上机不迟到早退,不做和设计无关的事 设计成果设计的科学、合理性 功能丰富、符合题目要求界面友好、外观漂亮、大方程序功能执行的正确性 程序算法执行的效能 设计报告设计报告正确合理、反映系统设计流程文档内容详实程度 文档格式规范、排版美观 验收答辩 简练、准确阐述设计内容,能准确有条理回答各 种问题,系统演示顺利。 评分等级 指导教师 简短评语 指导教师签名日期 备注评分等级有五种:优秀、良好、中等、及格、不及格
实验一Sniffer Pro的使用 一.课题内容和要求 1) 熟练掌握Sniffer Pro对数据包捕获的使用方法。 2) 掌握利用Sniffer Pro进行数据包结构分析、进而理解协议对数据的封装。 重点:1) Sniffer Pro对数据包捕获的使用方法。 2) 利用Sniffer Pro进行数据包结构分析。 难点:Sniffer Pro进行数据包结构分析。 【实验环境】 Windows XP、2003 Server等系统,Sniffer Pro软件。 二、设计思路分析 打开snifeer 软件,出现下图,这个界面是用来选择要抓包得网卡,选择好了之后点击OK 常用功能介绍 1、Dashboard (网络流量表) 点击图1中①所指的图标,出现三个表,第一个表显示的是网络的使用率,第二个表显示的是网络的每秒钟通过的包数量,第三个表显示的是网络的每秒错误率。通过这三个表可以直观的观察到网络的使用情况,红色部分显示的是根据网络要求设置的上限。
HUNAN UNIVERSITY 信息安全实验报告 题目:网络嗅探实验 指导老师: 学生姓名: 学生学号: 院系名称:信息科学与工程学院 专业班级: 2015年5月15日星期五
一、实验目的 掌握Sniffer(嗅探器)工具的使用方法,实现FTP、HTTP数据包的捕捉。 掌握对捕获数据包的分析方法,了解FTP、HTTP数据包的数据结构和连接过程,了解FTP、HTTP协议明文传输的特性,以建立安全意识。 二、实验环境 ①Windows 7 ②Wireshark(网络封包分析软件) ③FLASHFXP(FTP下载软件) ④Serv_U(FTP服务器端) ⑤搜狗浏览器。 三、实验要求 每两个学生为一组:其中学生A进行Http或者Ftp连接,学生B运行Wireshark软件监听学生A主机产生的网络数据包。完成实验后,互换角色重做一遍。 四、实验内容 任务一:熟悉Wireshark工具的使用 任务二:捕获FTP数据包并进行分析 任务三:捕获HTTP数据包并分析 五、实验原理 网卡有几种接收数据帧的状态:unicast(接收目的地址是本级硬件地址的数据帧),Broadcast(接收所有类型为广播报文的数据帧),multicast(接收特定的组播报文),promiscuous(目的硬件地址不检查,全部接收)。 以太网逻辑上是采用总线拓扑结构,采用广播通信方式,数据传输是依靠帧中的MAC 地址来寻找目的主机。 每个网络接口都有一个互不相同的硬件地址(MAC地址),同时,每个网段有一个在此网段中广播数据包的广播地址。 一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧,丢弃不是发给自己的数据帧。但网卡工作在混杂模式下,则无论帧中的目标物理地址是什么,主机都将接收。 1.HTTP 协议简介 HTTP 是超文本传输协议(Hyper Text Transfer Protocol)的缩写,用于WWW 服务。 (1)HTTP 的工作原理 HTTP 是一个面向事务的客户服务器协议。尽管HTTP 使用TCP 作为底层传输协议,但HTTP 协议是无状态的。也就是说,每个事务都是独立地进行处理。当一个事务开始时,就在web客户和服务器之间建立一个TCP 连接,而当事务结束时就释放这个连接。此外,客户可以使用多个端口和和服务器(80 端口)之间建立多个连接。其工作过程包括以下几个阶段。 ①服务器监听TCP 端口 80,以便发现是否有浏览器(客户进程)向它发出连接请求; ②一旦监听到连接请求,立即建立连接。 ③浏览器向服务器发出浏览某个页面的请求,服务器接着返回所请求的页面作为响应。 ④释放TCP 连接。
网络嗅探与监听 局域网具有设备共享、信息共享、可进行高速数据通讯和多媒体信息通信、分布式处理、具有较高的兼容性和安全性等基本功能和特点。目前局域网主要用于办公室自动化和校园教学及管理,一般可根据具体情况采用总线形、环形、树形及星形的拓扑结构。 一、网络监听 网络监听技术本来是提供给网络安全管理人员进行管理的工具,可以用来监视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在网络上传输时,使用监听技术进行攻击并不是一件难事,只要将网络接口设置成监听模式,便可以源源不断地将网上传输的信息截获。网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关上或远程网的调制解调器之间等。 二、在局域网实现监听的基本原理 对于目前很流行的以太网协议,其工作方式是:将要发送的数据包发往连接在一起的所有主机,包中包含着应该接收数据包主机的正确地址,只有与数据包中目标地址一致的那台主机才能接收。但是,当主机工作监听模式下,无论数据包中的目标地址是什么,主机都将接收(当然只能监听经过自己网络接口的那些包)。 在因特网上有很多使用以太网协议的局域网,许多主机通过电缆、集线器连在一起。当同一网络中的两台主机通信的时候,源主机将写有目的的主机地址的数据包直接发向目的主机。但这种数据包不能在IP层直接发送,必须从TCP/IP 协议的IP层交给网络接口,也就是数据链路层,而网络接口是不会识别IP地址的,因此在网络接口数据包又增加了一部分以太帧头的信息。在帧头中有两个域,分别为只有网络接口才能识别的源主机和目的主机的物理地址,这是一个与IP 地址相对应的48位的地址。
传输数据时,包含物理地址的帧从网络接口(网卡)发送到物理的线路上,如果局域网是由一条粗缆或细缆连接而成,则数字信号在电缆上传输,能够到达线路上的每一台主机。当使用集线器时,由集线器再发向连接在集线器上的每一条线路,数字信号也能到达连接在集线器上的每一台主机。当数字信号到达一台主机的网络接口时,正常情况下,网络接口读入数据帧,进行检查,如果数据帧中携带的物理地址是自己的或者是广播地址,则将数据帧交给上层协议软件,也就是IP层软件,否则就将这个帧丢弃。对于每一个到达网络接口的数据帧,都要进行这个过程。 然而,当主机工作在监听模式下,所有的数据帧都将被交给上层协议软件处理。而且,当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时,如果一台主机处于监听模式下,它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP地址和网关)的主机的数据包。也就是说,在同一条物理信道上传输的所有信息都可以被接收到。另外,现在网络中使用的大部分协议都是很早设计的,许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上,许多信息以明文发送。因此,如果用户的账户名和口令等信息也以明文的方式在网上传输,而此时一个黑客或网络攻击者正在进行网络监听,只要具有初步的网络和TCP/IP协议知识,便能轻易地从监听到的信息中提取出感兴趣的部分。同理,正确的使用网络监听技术也可以发现入侵并对入侵者进行追踪定位,在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息,成为打击网络犯罪的有力手段。 三、局域网监听的简单实现 要使主机工作在监听模式下,需要向网络接口发出I/O控制命令,将其设置为监听模式。在Unix系统中,发送这些命令需要超级用户的权限。在Windows 系列操作系统中,则没有这个限制。要实现网络监听,可以自己用相关的计算机语言和函数编写出功能强大的网络监听程序,也可以使用一些现成的监听软件,在很多黑客网站或从事网络安全管理的网站都有。 1. 一个使用Wireshark进行监听并解析IPv4协议头部的例子 (1)IP数据报首部概述
网络扫描与网络嗅探 一实验目的 (1)理解网络嗅探和扫描器的工作机制和作用 (2)使用抓包与协议分析工具Wireshark (3)掌握利用扫描器进行主动探测,收集目标信息的方法 (4)掌握使用漏洞扫描器检测远程或本地主机安全性漏洞 二实验环境 Windows xp操作系统平台,局域网环境 网络抓包与协议分析工具Wireshark 扫描器软件:Superscan 三实验步骤 使用Wireshark 抓包并进行协议分析 (1)下载并安装软件,主界面如图 (2)单击capture,打开interface接口选项,选择本地连接,如图
(3)使用Wireshark数据报获取,抓取TCP数据包并进行分析 从抓取的数据包来看,首先关于本次分析的数据包是典型的TCP三次握手,如图所示: (4)TCP三次握手过程分析(以第一次握手为例) 主机(172.16.1.64)发送一个连接请求到(172.16.0.1),第一个TCP包的格式如图所示:
第三行是ipv4的报文,网际协议IP是工作在网络层,也就是数据链路层的上层, IPv4报文中的源地址和目的地址是ip地址,版本号TCP是6,其格式为: 第四行是TCP报文,从上面两个可以知道,这个TCP包被层层包装,经过下面一层就相应的包装一层,第三段是经过传输层的数据,TCP报文的格式为: TCP的源端口2804也就是宿主机建立连接开出来的端口,目的端口8080。Sequence number同步序号,这里是0x3a 2a b7 bb,但这里显示的是相对值0。Acknowledgment number确认序号4bytes,为0,因为还是第一个握手包。Header Length头长度28字节,滑动窗口65535大小字节,校验和,紧急指针为0。Options选项8字节
实验一网络嗅探实验 一、简单阐述实验原理 网络嗅探器Sniffer的原理 网卡有几种接收数据帧的状态:unicast(接收目的地址是本级硬件地址的数据帧),Broadcast (接收所有类型为广播报文的数据帧),multicast(接收特定的组播报文),promiscuous (目的硬件地址不检查,全部接收) 以太网逻辑上是采用总线拓扑结构,采用广播通信方式,数据传输是依靠帧中的MAC地址来寻找目的主机。 每个网络接口都有一个互不相同的硬件地址(MAC地址),同时,每个网段有一个在此网段中广播数据包的广播地址 一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧,丢弃不是发给自己的数据帧。但网卡工作在混杂模式下,则无论帧中的目标物理地址是什么,主机都将接收 通过Sniffer工具,将网络接口设置为“混杂”模式。可以监听此网络中传输的所有数据帧。从而可以截获数据帧,进而实现实时分析数据帧的内容。 数据传输有两种方式:主动和被动模式。 关于被动模式与主动模式书上这么解释来着。 客户端与服务器建立控制连接后,要告诉服务器采用哪种文件传输模式。FTP提供了两种传输模式,一种是Port(主动模式),一种是Passive被动模式。这个主被动指的是服务器端。 主动,是指服务器端主动向客户端发起数据连接请求,那么此时服务器端要用自己的一个固有端口一般是20去监听客户端。整个过程是这样的,客户端在最初会用一个端口3716向服务器端的21发起控制连接请求(应该是在握手后中确定的吧),连接成功后,在发送port 3716+1,告诉服务服务器端坚定3717,那么服务器端就会用数据端口,一般是20与3717建立连接(这就是主动进行数据连接)。服务器端利用自己的20与客户端 3717来文件的数据传送通信,利用21和客户端最初的端口3616进行用户验证和管理。 而被动模式,是服务器端被动的接受客户端的数据连接请求,这个端口号是由客户端告知服务器端的,在本地随机生成(1025-65535)。 二、分别写出任务二、任务三中要求找出的有用信息,写出对应捕获的报文窗口中的summary(概要)代码,并推断出监测主机的系列行为。
实验一:网络扫描实验 【实验目的】 了解扫描的基本原理,掌握基本方法,最终巩固主机安全 【实验内容】 1、学习使用Nmap的使用方法 2、学习使用漏洞扫描工具 【实验环境】 1、硬件PC机一台。 2、系统配置:操作系统windows XP以上。 【实验步骤】 1、端口扫描 解压并安装ipscan15.zip,扫描本局域网内的主机 【实验背景知识】 1、扫描及漏洞扫描原理见第四章黑客攻击技术.ppt NMAP使用方法 扫描器是帮助你了解自己系统的绝佳助手。象Windows 2K/XP这样复杂的操作系统支持应用软件打开数百个端口与其他客户程序或服务器通信,端口扫描是检测服务器上运行了哪些服务和应用、向Internet或其他网络开放了哪些联系通道的一种办法,不仅速度快,而且效果也很不错。 Nmap被开发用于允许系统管理员察看一个大的网络系统有哪些主机以及其上运行何种服务。它支持多种协议的扫描如UDP,TCP connect(),TCP SYN (half open), ftp proxy (bounce attack),Reverse-ident, ICMP (ping sweep), FIN, ACK sweep,X
mas Tree, SYN sweep, 和Null扫描。你可以从SCAN TYPES一节中察看相关细节。nmap还提供一些实用功能如通过tcp/ip来甄别操作系统类型、秘密扫描、动态延迟和重发、平行扫描、通过并行的PING侦测下属的主机、欺骗扫描、端口过滤探测、直接的RPC扫描、分布扫描、灵活的目标选择以及端口的描述。 图1 图2
图3 1)解压nmap-4.00-win32.zip,安装WinPcap 运行cmd.exe,熟悉nmap命令(详见“Nmap详解.mht”)。 图4
计算机网络课程设计 题目网络嗅探器的设计与实现 系 (部) 姓名 学号 指导教师 2015年7月18日
计算机网络课程设计任务书
网络嗅探器的设计与实现 摘要:网络嗅探器是对网络中的数据帧进行捕获的一种被动监听手段,是一种常用的收集有用数据的方法。本设计是关于网络嗅探器的设计与实现,其功能包括实现网络层抓包,对获得包的源和目的地址、端口、协议等进行分析和实现简单的包嗅探器功能。 关键字:网络嗅探器;数据包捕获; 套接字 引言 由于网络技术的发展,计算机网络的应用越来越广泛,其作用也越来越重要。计算机网络安全问题更加严重,网络破坏所造成的损失越来越大。但是由于计算机系统中软硬件的脆弱性和计算机网络的脆弱性以及地理分布的位置、自然环境、自然破坏以及人为因素的影响,不仅增加了信息存储、处理的风险,也给信息传送带来了新的问题。 嗅探器是一种常用的收集有用数据的方法,可以作为网络数据包的设备。嗅探器是通过对网卡的编程来实现网络通讯的,对网卡的编程是使用通常的套接字(socket)方式来进行。通常的套接字程序只能响应与自己硬件地址相匹配的或是以广播形式发出的数据帧,对于其他形式的数据帧比如已到达网络接口但却不是发给此地址的数据帧,网络接口在验证投递地址并非自身地址之后将不引起响应,也就是说应用程序无法收取到达的数据包。而网络嗅探器的目的恰恰在于从网卡接收所有经过它的数据包,这些数据包即可以是发给它的也可以是发往别处的。 1 基本概念 1.1 嗅探器 每一个在局域网(LAN)上的工作站都有其硬件地址,这些地址唯一地表示了网络上的机器。当用户发送一个数据包时,这些数据包就会发送到LAN上所有可用的机器。在一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的数据包则不予响应。嗅探器工作在网络的底层,在网络上监听数据包来获取敏感信息。从原理上来说,在一个实际的系统中,数据的收发是由网卡来完成的,网卡接收到传输来的数据,其内的单片程序接收数据帧的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,认为该接收就接收后产生中断信号通知CPU,认为不该接收就丢掉不管,所以不该接收的数据网卡就截断了,计算机根本就不知道。对于网卡来说一般有四种接收模式: a)广播方式:该模式下的网卡能够接收网络中的广播信息。 b)组播方式:设置在该模式下的网卡能够接收组播数据。 c)直接方式:在这种模式下,只有目的网卡才能接收该数据。
网络攻击与防御技术实验报告 实验目的: 本实验通过研究Winpcap中常用的库函数的使用方式来实现了一个小型的网络数据包抓包器,并通过对原始包文的分析来展示当前网络的运行状况。 实验内容: 1.实现对网络基本数据包的捕获 2.分析捕获到的数据包的详细信息 实验环境: 1.WpdPack_4_0_1支持库 2.VC++开发环境 3.Windows操作系统 实验设计: 系统在设计过程中按照MVC的设计模式,整体分为三层。第一层为Control层即控制层,这里为简化设计,将Control层分为两个部分,一部分为网络报文输入,另一部分为用户输入;第二层是Model层即模型层;第三层为View层即显示层。 系统的整体运行过程为:从Control层得到数据,交到Model层进行处理,将处理完的结果交View层进行显示。Control层主要用于网络数据包的捕获以及获得用户的输入;Model层主要用于分析数据包,处理用户的输入;View层主要用于对处理后的结果进行显示。 详细过程: 程序在执行过程中有两个核心的工作,一是调用Winpcap函数库实现下层抓包。二是对抓到的包文进行分析。下面分别列出两个核心过程的基本算法与相关的实现代码。 抓包算法: 第一:初始化Winpcap开发库 第二:获得当前的网卡列表,同时要求用户指定要操作的网卡 第三:获得当前的过滤规则,可为空 第四:调用库函数,pcap_loop(),同时并指定其回调函数,其中其回调函数为数据包分析过程。 对应的相应核心代码为: I f((pCap=pcap_open_live(getDevice()->name,65536,1,1000,strErrorBuf))==NULL) { return -1; } If(pcap_compile(pCap, &fcode, filter, 1, NetMask) < 0)
浅谈网络嗅探 邹宁 随着信息化进程的加快、宽带网的普及,计算机网络在各个领域得到了广泛的应用,网络通信安全成为电信运营商和广大用户所关心的重要问题。病毒肆虐、黑客攻击,常常会导致网络莫名其妙的变慢甚至中断。而嗅探器,既是网络维护人员分析捕获网络故障的有效工具,也成为黑客进行网络入侵的得力助手。 嗅探器,是指在运行以太网协议、TCP/IP协议、IPX协议或者其他协议的网络上,可以捕获网络信息流的工具。嗅探器分软件和硬件两种,硬件的有网络分析仪,软件的如sniffer则是著名的嗅探器程序。嗅探器所捕获到的是动态的以信息包形式(如IP数据包或者以太网包)封装的信息流。其中可能携带了重要数据或敏感信息,譬如明文密码。嗅探器可以将捕获到的数据流分类,并可以作进一步分析。 享即意味着网络中的一台机器可以嗅探到传递给本网段(冲突域)中的所有机器的报文。例如最常见的以太网就是一种共享式的网络技术,以太网卡收到报文后,通过对目的地址进行检查,来判断是否是传递给自己的,如果是则把报文传递给操作系统;否则将报文丢弃而不进行处理;网卡存在一种特殊的工作模式,在这种工作模式下,网卡不对目的地址进行判断,而直接将他收到的所有报文都传递给操作系统进行处理。这种特殊的工作模式,就称之为混杂模式。网络嗅探器通过将网卡设置为混杂模式,并利用数据链路访问技术来实现对网络的嗅探。实现了数据链路层的访问,就可以把嗅探能力扩展到任意类型的数据链路帧,而不光是IP数据报。 嗅探器用于网络维护上是个得力的工具,在日常的网络查障中也发挥着重要的作用。嗅探器能够分析网络的流量,以便找出所关心的网络中潜在的问题。例如,网络的某一段频繁掉线、网速缓慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题判断。系统管理员通过嗅探器可以诊断出大量的不可见模糊问题,这些问题涉及两台乃至多台计算机之间的异常通讯有些甚至牵涉到各种的协议,借助嗅探器,系统管理
实验八信息搜集和网络嗅探 同组实验者实验日期成绩 练习一信息搜集 实验目的 1.了解信息搜集的一般步骤;2.学会熟练使用ping命令;3.学会利用Nmap等工具进行信息搜集 实验人数每组2人 系统环境Windows;Linux 网络环境企业网络结构 实验工具Nmap、网络协议分析器 实验类型验证型 一、实验原理 详见“信息安全实验平台”,“实验13”,“练习一”。 二、实验步骤 本练习主机A、B为一组,C、D为一组,E、F为一组。实验角色说明如下: 下面以主机A、B为例,说明实验步骤。首先使用“快照X”恢复Windows/Linux系统环境。 一.信息搜集 此实验主机A可与B同时相互搜集对方信息,下面的步骤以主机A为例讲解。 1. ping探测 主机A开启命令行,对主机B进行ping探测,根据主机B的回复,可以确定主机A 和主机B之间的连通情况,还可以根据回复数据包的TTL值对操作系统进行猜测。 回复数据包的TTL值:_______________,主机B操作系统可能为:________________。 2. Nmap扫描 (1)对活动主机进行端口扫描 主机A使用Nmap工具对主机B进行TCP端口同步扫描(范围1-150): Nmap命令________________________________________________________________; 主机B开放的TCP端口__________________________________________________。 对主机B进行UDP端口扫描(范围是110-140):
Nmap命令________________________________________________________________; 主机B开放的UDP端口__________________________________________________。 (2)对活动主机操作系统进行探测 主机A对主机B进行TCP/IP指纹特征扫描: Nmap命令________________________________________________________________; 查看扫描结果____________________________________________________________。 (3)对活动主机运行服务进行探测 主机A单击平台工具栏“协议分析器”按钮,启动协议分析器进行数据包捕获。打开IE 在地址栏中输入http://主机B的IP,访问主机B的web服务,停止协议分析器,查看捕获结果。图1可做为参考。 图1 HTTP会话分析 由图1可判断目标主机web服务使用的软件类型是______________________________。 请探测目标主机FTP服务使用的软件类型是____________________________________。 (4)对活动主机IP协议进行探测 主机A使用Nmap命令对主机B进行IP协议探测: Nmap命令________________________________________________________________; 查看扫描结果____________________________________________________________。 3. 探测总结 根据上述实验所得结果,填写表1。
实验八-网络性能监测分析工具Sniffer捕获高层协议数据包并分析 实验目的:使用Sniffer抓取ftp的数据报 分析FTP的三次“握手”的过程。 分析FTP客户端和服务器端通信过程 实验环境:Windows环境下常用的协议分析工具:sniffer 搭建Serv-U FTP Server,在计算机上建立FTP服务器 VMware虚拟机,用虚拟机进行登录FTP。 实验内容和步骤: 1.建立网络环境。用Serv-U FTP Server在计算机上建立一台FTP服务器,设置IP地址为:192.168.0.10。在Serv-U FTP Server中已设定用户xyz,密码123123。(也可以自行设定其他帐号) 2.在此计算机上安装了sniffer。 3.启动该机器上的虚拟机作为一台FTP客户端,设置IP地址为:192.168.0.12。 4.使用ping命令看是否连通。记录结果。 5.使用虚拟机登录FTP服务器。 6.运行sniffer嗅探器,并在虚拟机的“运行”中输入ftp://192.168.0.10,点确定后出现如下图的登录窗口: 在登录窗口中输入:用户名(xyz),密码(123123) 7.使用sniffer抓包,再在sniffer软件界面点击“stop and display”,选择“Decode”选项,完成FTP命令操作过程数据包
的捕获。 8.在sniffer嗅探器软件上点击Objects可看到下图,再点击“DECODE(反解码)。 记录FTP三次握手信息,写出判断这三个数据包的依据(如syn及ack)。记录端口信息等内容。 9.找出数据包中包含FTPUSER命令的数据包,记录显示的用户名。10.捕获用户发送PASS命令的数据包,记录显示的密码。 11.找出FTP服务器端与客户端端口20进行三次握手打开数据传输。记录数据信息。
信息安全实验报告 学号: 学生姓名: 班级:
实验一网络扫描与监听 一、实验目的 网络扫描是对整个目标网络或单台主机进行全面、快速、准确的获取信息的必要手段。通过网络扫描发现对方,获取对方的信息是进行网络攻防的前提。该实验使学生了解网络扫描的内容,通过主机漏洞扫描发现目标主机存在的漏洞,通过端口扫描发现目标主机的开放端口和服务,通过操作系统类型扫描判断目标主机的操作系统类型。 通过该实验,了解网络扫描的作用,掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法,能够通过网络扫描发现对方的信息和是否存在漏洞。要求能够综合使用以上的方法来获取目标主机的信息。 而网络监听可以获知被监听用户的敏感信息。通过实验使学生了解网络监听的实现原理,掌握网络监听软件的使用方法,以及对网络中可能存在的嗅探结点进行判断的原理。掌握网络监听工具的安装、使用,能够发现监听数据中的有价值信息,了解网络中是否存在嗅探结点的判断方法及其使用。 二、实验要求 基本要求了解网络扫描的作用,掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法,能够通过网络扫描发现对方的信息和是否存在漏洞。掌握网络监听工具的安装、使用,能够发现监听数据中的有价值信息等。提高要求能够对网络中可能存在的嗅探结点进行判断的方法及工具使用等。 三、实验步骤 1)扫描软件X-Scan 和Nmap 以及WinPcap 驱动安装包并安装。 2)打开X-Scan,如下图所示。 3)点击“设置”->“扫描参数”,弹出扫描参数设置对话框,在“指定IP 范围”输入被扫描的IP 地址或地址范围。在“全局设置”的“扫描模块”设置对话框中选择需要检测的模块。其他可以使用默认的设置,也可以根据实际需要进行选择。最后点击“确定”回到主界面。
#include
网络扫描和网络嗅探 一实验目的 (1)理解网络嗅探和扫描器的工作机制和作用 (2)使用抓包和协议分析工具Wireshark (3)掌握利用扫描器进行主动探测,收集目标信息的方法 (4)掌握使用漏洞扫描器检测远程或本地主机安全性漏洞 二实验环境 Windows xp操作系统平台,局域网环境 网络抓包和协议分析工具Wireshark 扫描器软件:Superscan 三实验步骤 使用Wireshark 抓包并进行协议分析 (1)下载并安装软件,主界面如图 (2)单击capture,打开interface接口选项,选择本地连接,如图
(3)使用Wireshark数据报获取,抓取TCP数据包并进行分析 从抓取的数据包来看,首先关于本次分析的数据包是典型的TCP三次握手,如图所示: (4)TCP三次握手过程分析(以第一次握手为例) 主机(172.16.1.64)发送一个连接请求到(172.16.0.1),第一个TCP包的格式如图所示:
第三行是ipv4的报文,网际协议IP是工作在网络层,也就是数据链路层的上层, IPv4报文中的源地址和目的地址是ip地址,版本号TCP是6,其格式为: 第四行是TCP报文,从上面两个可以知道,这个TCP包被层层包装,经过下面一层就相应的包装一层,第三段是经过传输层的数据,TCP报文的格式为:
TCP的源端口2804也就是宿主机建立连接开出来的端口,目的端口8080。Sequence number同步序号,这里是0x3a 2a b7 bb,但这里显示的是相对值0。Acknowledgment number确认序号4bytes,为0,因为还是第一个握手包。Header Length头长度28字节,滑动窗口65535大小字节,校验和,紧急指针为0。Options选项8字节 使用superscan 扫描 (1)下载并安装 (2)主界面如下所示:
网络扫描与嗅探实验报告 课程信息安全技术 学院信息工程学院 专业电子信息工程 班级 姓名 教师 2016 年5月26日 一.实验目的 (1)理解网络嗅探和扫描器的工作机制和作用。(2)学习抓包与协议分析工具Wire shark的使用。 (3)掌握利用扫描器进行主动探测,收集目标信息的方法。 (4)掌握使用漏洞扫描器检测远程或本地主机安全性漏洞。 二.实验器材与工具 PC机,Wire shark软件,局域网环境,superscan软件 三.实验内容 1.认真阅读和掌握与网络嗅探和网络扫描相关
的知识点。 2.上机用Wire shark和superscan软件实现实 验操作。 3.记录实验结果,并加以分析生成实验报告。四.实验步骤及结果 1.网络嗅探 使用Wireshark抓包并进行协议分析 (1)下载并安装Wire shark软件,打开界面如下图1。 图1 (2)单击“捕获”→“选项”,选择“无线网络连接”,再单击“开始”,捕获过滤器 选tcp,如图2。 图2 (3)使用Wireshark数据报获取,抓取TCP数据包并进行分析。从抓取的数据包来看,首 先关于本次分析的数据包是典型的TCP三 次握手,如下图3所示。 图3 其中,第一次握手是建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SENT 状态,等待服务器确认;SYN:同步序列编号(Synchronize Sequence Numbers)。 第二次握手是服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个
SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN_RECV状态。 第三次握手是客户端收到服务器的SYN+ACK 包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED (TCP连接成功)状态,完成三次握手。 完成三次握手,客户端与服务器开始传送数据。 (4)TCP三次握手过程分析(以第一次握手为例) source(192.168.1.108)发送一个连接请 求到destination(117.131.204.120), 第一个TCP包的格式如下图4所示。 图4 第三行是ipv4的报文,网际协议IP是工作在网络层,也就是数据链路层的上层, IPv4报文中的源地址和目的地址是ip地址,版本号TCP 是6,其格式为如下图5所示。 图5 第四行是TCP报文,从上面两个可以知道,这个TCP包被层层包装,经过下面一层就相应的包装一层,第三段是经过传输层的数据,TCP报文的格式为如图6所示。 图6 从上图中可以看出,TCP的源端口62783也就是宿主机建立连接开出来的端口,目的端口
实验4 网络嗅探之明文嗅探 班级:12 学号:姓名: 背景描述 由于TCP/IP协议的开放性,一般在没有采用安全协议的情况下,网络上的数据都是以明文的方式来传送。而在目前,社会上还没有绝对安全的通信线路,无论是利用轴电缆、双绞线、光纤还是无线作为网络传输数据的方式,黑客都可以通过搭线的方式窃听机密数据。本章将利用Sniffer软件来充当网络嗅探器进行网络嗅探,捕获网络中传输的明文数据,包括帐号、密码等机密信息。嗅探器,可以理解为一个安装在计算机上的窃听设备它可以用来窃听计算机在网络上所产生的众多的信息。简单一点解释:一部电话的窃听装置, 可以用来窃听双方通话的内容,而计算机网络嗅探器则可以窃听计算机程序在网络上发送和接收到的数据。 实验目的 ●掌握嗅探器基本概念 ●掌握嗅探器的基本原理 实验步骤及过程 一、进行账号密码的嗅探 1.进入Linux虚拟机,对用户进行嗅探: 打开“Terminal”>“sniffit -a –t 172.17.49.205”
图1 图2 回到本机,在控制台中登陆terminal>”ftp172.17.49.213”>” Name:bluedon ”>” pass:12345 图3
此时可以看到嗅探结果,如下图4,账号和密码都嗅探出来了: 图4 问题答辩 1、嗅探会造成哪些危害? 答:1、获得帐号密码,包括Telnet这样的系统管理帐号 2、获得机密信息 3、分析网络结构、进行渗透 4、数据欺骗和劫持(嗅探结合欺骗技术) 2、如何检测并防范网络嗅探? 答:1、重视内部网络的管理,严格禁止使用任何嗅探工具 对于内部网络的安全,管理显得格外重要。除网络管理员外网络的正常使用,是不会运行到任何嗅探相关。 2、重视病毒的来源渠道 这里并不是说嗅探器是一种病毒,只是表明那些病毒的来源方式也可能是嗅探器进入常采用的途径。 3、改造内部网络结构 普通的嗅探器程序只是简单地进行数据的捕获,因此需要杜绝网络数据进行泛播。对网络进行分段,比如在交换机上设置VLAN,使得网络隔离开,避免不必要的数据传送。4、用静态的ARP表或者IP-MAC对应表代替动态的 该措施主要是进行渗透嗅探的防范,采用诸如ARP欺骗这样的手段能够让入侵者在交换网络中顺利完成嗅探。网络管理员需要对各种欺骗手段进行深入了解,比如嗅探中通常使用的ARP欺骗,主要是通过欺骗进行ARP动态缓存表的修改。 5、使用数据加密和加密协议 嗅探器捕获到的数据包需要进行解码(根据协议解码),未加密的网络数据正是嗅探器
网络与信息安全 课程设计 网络嗅探器的设计和实现 学院:计算机科学与技术 班级:网络工程06-1班 姓名:白俊生 学号:310609040105 指导老师:刘坤
目录 一、什么是嗅探器--------------------------------------------1 二、嗅探器的作用---------------------------------------------1 三、网络嗅探器的原理-----------------------------------------1 四、反嗅探技术----------------------------------------------7 五、网络嗅探器的设计-----------------------------------------8 六、结语---------------------------------------------------14参考书目--------------------------------------------------14
网络嗅探器的实际与实现 一、什么是嗅探器 嗅探器,可以理解为一个安装在计算机上的窃听设备它可以用来窃听计算机在网络上所产生的众多的信息。简单一点解释:一部电话的窃听装置, 可以用来窃听双方通话的内容,而计算机网络嗅探器则可以窃听计算机程序在网络上发送和接收到的数据。 可是,计算机直接所传送的数据,事实上是大量的二进制数据。因此, 一个网络窃听程序必须也使用特定的网络协议来分解嗅探到的数据,嗅探器也就必须能够识别出那个协议对应于这个数据片断,只有这样才能够进行正确的解码。 计算机的嗅探器比起电话窃听器,有他独特的优势:很多的计算机网络采用的是“共享媒体"。也就是说,你不必中断他的通讯,并且配置特别的线路,再安装嗅探器,你几乎可以在任何连接着的网络上直接窃听到你同一掩码范围内的计算机网络数据。我们称这种窃听方式为“基于混杂模式的嗅探”(promiscuous mode)。尽管如此,这种“共享” 的技术发展的很快,慢慢转向“交换” 技术,这种技术会长期内会继续使用下去,它可以实现有目的选择的收发数据。 二、嗅探器的作用 嗅探器是网络的抓包工具,可以对网络中大量数据抓取,从而方便使用者对网络中用户的一些信息进行分析,所以,通常被黑客运用于网络攻击。我们如果也能掌握网络嗅探器的原理和设计,可以将它运用与网络故障检测、网络状况的监视,还可以加强企业信息安全防护。 三、网络嗅探器原理 嗅探器是如何工作的?如何窃听网络上的信息? 网络的一个特点就是数据总是在流动中,从一处到另外一处,而互联网是由错综复杂的各种网络交汇而成的,也就是说:当你的数据从网络的一台电脑到另一台电脑的时候,通常会经过大量不同的网络设备,(我们用tracert命令就可以看到这种路径是如何进行的)。如果传输过程中,有人看到了传输中的数据,