抓包分析实验.doc

信息安全技术实验报告题目Sniffer Pro的基本使用和实例姓名唐文泽日期2011.6.4实验目的（1）熟悉网络监听的原理与技术。（2）熟悉Sniffer Pro的基本使用方法。（3）熟悉网络监听的用途与后果。实验环境虚拟机Win2003系统，Sniffer Pro软件。实验背景1 基础知识网络监听也称为嗅探，作为一种发展比较成熟的技术，在协助网络管理员监测网络传输数据及排除网络故障等方面具有不可替代的作用。然而，网络监听也给以太网带来了极大的隐患，许多网络入侵往往都伴随着以太网内网络监听，从而造成口令失窃、敏感数据被截获等安全事件。网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关或远程网中的调制解调器等。监听效果最好的地方是在网关、路由器、防火墙一类的设备上，通常由网络管理员来操作。网络监听工具在功能和实际使用方面有多不同，有些只能分析一种，有些则能分析几百种。大多数的网络监听工具都能分析标准以太网、TCP/IP、IPX和DECNet等。通常，网络监听可以提供如下一些功能。(1) 自动从网络中过滤及转换有用的信息。(2) 将截取的数据包转换成易于识别的格式。(3) 对网络环境中的通信失败进行分析。(4) 探测网络环境下的通信瓶颈。(5) 检测是否有黑客正在攻击网络系统，以阻止其入侵。(6) 记录网络通信过程。2 网络监听工具Sniffer简介Sniffer Portable是NAI公司开发的系列网络故障和性能管理解决方案，网络专业人士可以使用它对多拓扑结构和多协议网络时行维护、故障解决、优化调整和扩展。Sniffer Portable软件可以在台式计算机、便携式计算机或者笔记本计算机等硬件平台上运行，并且可以利用高级自定义硬件组件确保全线速的捕获能力。实验步骤1、 抓某台机器的所有数据包2、 抓FTP密码3、 抓HTTP密码步骤1：设置规则进行设置规则，Address里只添加被抓包的机器IP，另一个地址写any，高级里，协议选上http。步骤2：抓包按F10 键开始抓包。步骤3：访问网站 登录你的教务系统 或者上 人人网等登录后测试。步骤4：察看结果望远镜图标变红时，表示已捕捉到数据，选择箭头所指的Decode选项即可看到捕捉到的所有包。在Summary中找到含有POST或者GET关键字的包，可以清楚地看出用户名和密码。心得体会抓包实验让我们对于网络安全的重要性倍增，认识到网络安全技术的重要和对于网络的必要。思考题根据网络监听的工作原理，讨论针对网络监听的防范措施，并加以实施和效果分析。1. 对可能存在的网络监听的检测(1)对于怀疑运行监听程序的机器，用正确的IP地址和错误的物理地址ping，运行监听程序的机器会有响应。这是因为正常的机器不接收错误的物理地址，处理监听状态的机器能接收，但如果他的IP stack不再次反向检查的话，就会响应。(2)向网上发大量不存在的物理地址的包，由于监听程序要分析和处理大量的数据包会占用很多的CPU资源，这将导致性能下降。通过比较前后该机器性能加以判断。这种方法难度比较大。(3)使用反监听工具如antisniffer等进行检测2. 对网络监听的防范措施(1)从逻辑或物理上对网络分段网络分段通常被认为是控制网络广播风暴的一种基本手段，但其实也是保证网络安全的一项措施。其目的是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法监听。(2)以交换式集线器代替共享式集线器对局域网的中心交换机进行网络分段后，局域网监听的危险仍然存在。这是因为网络最终用户的接入往往是通过分支集线器而不是中心交换机，而使用最广泛的分支集线器通常是共享式集线器。这样，当用户与主机进行数据通信时，两台机器之间的数据包(称为单播包Unicast Packet)还是会被同一台集线器上的其他用户所监听。因此，应该以交换式集线器代替共享式集线器，使单播包仅在两个节点之间传送，从而防止非法监听。当然，交换式集线器只能控制单播包而无法控制广播包(Broadcast Packet)和多播包(Multicast Packet)。但广播包和多播包内的关键信息，要远远少于单播包。(3)使用加密技术数据经过加密后，通过监听仍然可以得到传送的信息,但显示的是乱码。使用加密技术的缺点是影响数据传输速度以及使用一个弱加密术比较容易被攻破。系统管理员和用户需要在