《2022年网络安全实验wireshark网络监听实验 .pdf》由会员分享,可在线阅读,更多相关《2022年网络安全实验wireshark网络监听实验 .pdf(14页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、遵义师范学院计算机与信息科学学院实验报告(20132014 学年第 1 学期 )课程名称:网络安全实验班级:学号:姓名:任课教师:计算机与信息科学学院名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页,共 14 页 - - - - - - - - - 1 实验报告名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页,共 14 页 - - - - - - - - - 2
2、 实验名称Wireshark 网络监听实验指导教师实验类型操作实验学时4 实验时间一、实验目的与要求(1)进一步学习和理解网络监听原理及技术。(2)学习和掌握 wireshark 网络监听工具的基本使用方法。(3)利用 wireshark 学习和分析 TCP/IP 协议。(4)学习和掌握如何利用wireshark 进行网络安全监测与分析。二、实验仪器和器材惠普 pavilion-G4,corel-i3-2310,内存: 4G ,虚拟机软件vmware9.0,windows server 2003。三、实验原理、内容及步骤(一) 、实验原理:网络监听技术网络监听在网络中的任何一个位置模式下都可实
3、施行。而黑客一般都是利用网络监听来截取用户口令。比如当有人占领了一台主机之后,那么他要再想进将战果扩大到这个主机所在的整个局域网话,监听往往是他们选择的捷径。很多时候我在各类安全论坛上看到一些初学的爱好者, 在他们认为如果占领了某主机之后那么想进入它的内部网应该是很简单的。其实非也,进入了某主机再想转入它的内部网络里的其它机器也都不是一件容易的事情。因为你除了要拿到他们的口令之外还有就是他们共享的绝对路径,当然了,这个路径的尽头必须是有写的权限了。在这个时候,运行已经被控制的主机上的监听程序就会有大收效。不过却是一件费神的事情,而且还需要当事者有足够的耐心和应变能力。主要包括:数据帧的截获、对
4、数据帧的分析归类、dos 攻击的检测和预防、IP 冒用的检测和攻击、 在网络检测上的应用、 对垃圾邮件的初步过滤。 Ethernet 协议的工作方式是将要发送的数据包发往连接在一起的所有主机。在包头中包括有应该接收数据包的主机的正确地址, 因为只有与数据包中目标地址一致的那台主机才能接收到信息包,但是当主机工作在监听模式下的话不管数据包中的目标物理地址是什么,主机都将可以接收到。许多局域网内有十几台甚至上百台主机是通过一个电缆、一个集线器连接名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - -
5、 第 3 页,共 14 页 - - - - - - - - - 3 机将写有目的的主机地址的数据包直接发向目的主机,或者当网络中的一台主机同外界的主机通信时,源主机将写有目的的主机IP 地址的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去,要发送的数据包必须从TCP/IP 协议的 IP 层交给网络接口,也就是所说的数据链路层。网络接口不会识别IP 地址的。在网络接口由IP 层来的带有 IP 地址的数据包又增加了一部分以太祯的祯头的信息。在祯头中,有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址这是一个48 位的地址,这个 48 位的地址是与 IP 地址相对应的,换句
6、话说就是一个IP 地址也会对应一个物理地址。对于作为网关的主机,由于它连接了多个网络,它也就同时具备有很多个IP 地址,在每个网络中它都有一个。而发向网络外的祯中继携带的就是网关的物理地址。Ethernet 中填写了物理地址的祯从网络接口中,也就是从网卡中发送出去传送到物理的线路上。如果局域网是由一条粗网或细网连接成的,那么数字信号在电缆上传输信号就能够到达线路上的每一台主机。再当使用集线器的时候,发送出去的信号到达集线器,由集线器再发向连接在集线器上的每一条线路。这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。当数字信号到达一台主机的网络接口时,正常状态下网络接口对读入数
7、据祯进行检查,如果数据祯中携带的物理地址是自己的或者物理地址是广播地址,那么就会将数据祯交给IP 层软件。对于每个到达网络接口的数据祯都要进行这个过程的。但是当主机工作在监听模式下的话,所有的数据祯都将被交给上层协议软件处理。当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网的时候,那么要是有一台主机处于监听模式,它还将可以接收到发向与自己不在同一个子网(使用了不同的掩码、IP 地址和网关) 的主机的数据包, 在同一个物理信道上传输的所有信息都可以被接收到。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - -
8、 - - - - - 第 4 页,共 14 页 - - - - - - - - - 4 在 UNIX 系统上,当拥有超级权限的用户要想使自己所控制的主机进入监听模式,只需要向 Interface (网络接口)发送I/O 控制命令,就可以使主机设置成监听模式了。而在 Windows9x 的系统中则不论用户是否有权限都将可以通过直接运行监听工具就可以实现了。在网络监听时,常常要保存大量的信息(也包含很多的垃圾信息),并将对收集的信息进行大量的整理,这样就会使正在监听的机器对其它用户的请求响应变的很慢。同时监听程序在运行的时候需要消耗大量的处理器时间,如果在这个时候就详细的分析包中的内容,许多包就会
9、来不及接收而被漏走。所以监听程序很多时候就会将监听得到的包存放在文件中等待以后分析。分析监听到的数据包是很头疼的事情。因为网络中的数据包都非常之复杂。两台主机之间连续发送和接收数据包,在监听到的结果中必然会加一些别的主机交互的数据包。监听程序将同一TCP 会话的包整理到一起就相当不容易了,如果你还期望将用户详细信息整理出来就需要根据协议对包进行大量的分析。Internet 上那么多的协议,运行进起的话这个监听程序将会十分的大哦。当前网络中所使用的协议都是较早前设计的,许多协议的实现都是基于一种非常友好的,通信的双方充分信任的基础。在通常的网络环境之下,用户的信息包括口令都是以明文的方式在网上传
10、输的,因此进行网络监听从而获得用户信息并不是一件难点事情,只要掌握有初步的TCP/IP 协议知识就可以轻松的监听到你想要的信息的。前些时间美籍华人 China-babble 曾提出将望路监听从局域网延伸到广域网中,但这个想法很快就被否定了。如果真是这样的话我想网络必将天下大乱了。而事实上在广域网里也可以监听和截获到一些用户信息。只是还不够明显而已。在整个Internet 中就更显得微不足道了。监听的协议分析我们的研究从监听程序的编写开始,用Linux C 语言设计实现。 1 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精
11、心整理 - - - - - - - 第 5 页,共 14 页 - - - - - - - - - 5 Wireshark网络监听工具:Wireshark (前称 Ethereal )是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。网络封包分析软件的功能可想像成 电工技师使用电表来量测电流、 电压、电阻 的工作 - 只是将场景移植到网络上,并将电线替换成网络线。在过去,网络封包分析软件是非常昂贵,或是专门属于营利用的软件。 Ethereal 的出现改变了这一切。在GNUGPL 通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,
12、并拥有针对其源代码修改及客制化的权利。Ethereal 是目前全世界最广泛的网络封包分析软件之一。(二) 、实验内容:(1)在 Windows 下安装 wireshark 工具安装。(2)wireshark 基本操作。(3)分片扫描检测。(4)监听 FTP 账户/密码。(5)导入分析 TCPdump 数据。(6)用 wireshark 诊断 ARP 风暴。(三) 、实验步骤:1.Windows 下安装 wireshark工具安装在wireshark官 方 网 站 下 载 最 新 版 本 的windows二 进 制 安 装 包 , 如wireshark-win32-1.2.9.exe,wires
13、hark 安装包包含 winpcap ,所以则不需要单独下载安装 winpcap 。 除了普通的安装之外, 还有几个组建可以提供安装wireshark GTK1/GTK2 ,名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页,共 14 页 - - - - - - - - - 6 Tshark ,Dissector Plugins等,其中 wireshark GTK1/GTK2是一个 GUI 网络分析工具,Tshark 是一个命令行的网络分析工具。Dissector Plugins
14、是分析插件。 Tree Statistics Plugins 是树状统计插件。 Mate 是可配置的显示过滤引擎。2.wireshark基本工具(1)运行 wireshark 在 windows 平台下启动运行wireshark 。例如监听本机上10.0.10.5 上双击安装好的 wireshark 可执行文件,弹出wireshark 界面。选择监听的网卡,点击start。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页,共 14 页 - - - - - - - - - 7 名
15、师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页,共 14 页 - - - - - - - - - 8 (2) 监听设置1)为了能够专门监听ping ICMP 数据包,所以专门监听ICMP 协议,首先打开菜单栏中的抓包, 在抓包过滤处新建一个ICMP 协议,由于以前没有建立, 所以需要重建,若已经建立,则省去这一步,接着点击确定。如图:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - -
16、 - - 第 9 页,共 14 页 - - - - - - - - - 9 确定之后可以看见所监听的端口只有ICMP 的。2)监听 FTP 服务。由于 wireshark 不能够支持专门监听FTP 服务,所以在抓包过滤时就不去过滤抓包名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页,共 14 页 - - - - - - - - - 10 条件,直接点击抓包就行。在10.0.10.6 主机上建立 FTP 服务器,在这里使用的工具是QuickEasyFTPServer ,帐户名设
17、置为Tokyo ,密码000000 ,服务器共享文件夹为C:Documents and Settings。如图设置权限。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页,共 14 页 - - - - - - - - - 11 服务器界面:点击左上角绿色按钮启动FTP 服务,在10.0.10.5这台主机上打开监听并访问ftp:/10.0.10.6:2121 ,输入用户名以及密码,然后进行访问服务器。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - -
18、 - - - - - - - - 名师精心整理 - - - - - - - 第 12 页,共 14 页 - - - - - - - - - 12 接着就会在监听工具中发现刚刚输入的帐户名以及密码; 从监听软件可以清晰看见FTP 服务器的帐户名以及密码,因为FTP 服务器是基于TCP 协议的,采用明文传输,所以我们可以看见所需监听的账户以及密码。到此,实验结束。总结:名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页,共 14 页 - - - - - - - - - 13 监听的时候可以自由选择监听哪些端口并且在监听中我们可以停下来查看刚刚监听内容,同时还可以将自己的监听内容保存在自己的电脑上方便查看,此次实验中,不仅掌握了 wireshark , 同时也掌握了在 windows 下建立 FTP 服务同时采用命令行的方式访问 FTP 服务。成 绩日期批阅人名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页,共 14 页 - - - - - - - - -