网络嗅探实验报告

HUNAN UNIVERSITY 信息安全实验报告 题目 网络嗅探实验 指导老师 学生姓名 学生学号 院系名称 信息科学与工程学院 专业班级 2015 年 5 月 15 日 星期五 1 实验目的实验目的 掌握 Sniffer 嗅探器 工具的使用方法 实现 FTP HTTP 数据包的捕捉 掌握对捕获数据包的分析方法 了解 FTP HTTP 数据包的数据结构和连接过程 了解 FTP HTTP 协议明文传输的特性 以建立安全意识 2 实验环境实验环境 1 Windows 7 2 Wireshark 网络封包分析软件 3 FLASHFXP FTP 下载软件 4 Serv U FTP 服务器端 5 搜狗浏览器 3 3 实验要求实验要求 每两个学生为一组 其中学生 A 进行 Http 或者 Ftp 连接 学生 B 运行 Wireshark 软件 监听学生 A 主机产生的网络数据包 完成实验后 互换角色重做一遍 4 4 实验内容实验内容 任务一 熟悉 Wireshark 工具的使用 任务二 捕获 FTP 数据包并进行分析 任务三 捕获 HTTP 数据包并分析 5 5 实验原理实验原理 网卡有几种接收数据帧的状态 unicast 接收目的地址是本级硬件地址的数据帧 Broadcast 接收所有类型为广播报文的数据帧 multicast 接收特定的组播报文 promiscuous 目的硬件地址不检查 全部接收 以太网逻辑上是采用总线拓扑结构 采用广播通信方式 数据传输是依靠帧中的 MAC 地址来寻找目的主机 每个网络接口都有一个互不相同的硬件地址 MAC 地址 同时 每个网段有一个在 此网段中广播数据包的广播地址 一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧 丢弃不是发给自己的数据帧 但网卡工作在混杂模式下 则无论帧中的目标物理地址是什 么 主机都将接收 1 1 HTTPHTTP 协议简介协议简介 HTTP 是超文本传输协议 Hyper Text Transfer Protocol 的缩写 用于 WWW 服务 1 HTTP 的工作原理 HTTP 是一个面向事务的客户服务器协议 尽管 HTTP 使用 TCP 作为底层传输协议 但 HTTP 协议是无状态的 也就是说 每个事务都是独立地进行处理 当一个事务开始时 就 在 web 客户和服务器之间建立一个 TCP 连接 而当事务结束时就释放这个连接 此外 客 户可以使用多个端口和和服务器 80 端口 之间建立多个连接 其工作过程包括以下几 个阶段 服务器监听 TCP 端口 80 以便发现是否有浏览器 客户进程 向它发出连接请 求 一旦监听到连接请求 立即建立连接 浏览器向服务器发出浏览某个页面的请求 服务器接着返回所请求的页面作为响应 释放 TCP 连接 在浏览器和服务器之间的请求和响应的交互 必须遵循 HTTP 规定的格式和规则 当用户在浏览器的地址栏输入要访问的 HTTP 服务器地址时 浏览器和被访问 HTTP 服 务器的工作过程如下 浏览器分析待访问页面的 URL 并向本地 DNS 服务器请求 IP 地解析 DNS 服务器解析出该 HTTP 服务器的 IP 地址并将 IP 地址返回给浏览器 浏览器与 HTTP 服务器建立 TCP 连接 若连接成功 则进入下一步 浏览器向 HTTP 服务器发出请求报文 含 GET 信息 请求访问服务器的指定页 面 服务器作出响应 将浏览器要访问的页面发送给浏览器 在页面传输过程中 浏览 器会打开多个端口 与服务器建立多个连接 释放 TCP 连接 浏览器收到页面并显示给用户 2 HTTP 报文格式 HTTP 有两类报文 从客户到服务器的请求报文和从服务器到客户的响应报文 图 5 46 显示了两种报文的结构 图 1 1 HTTP 的请求报文和响应报文结构 在图 1 1 中 每个字段之间有空格分隔 每行的行尾有回车换行符 各字段的意义如 下 请求行由三个字段组成 方法字段 最常用的方法为 GET 表示请求读取一个万维网的页面 常用的方 法 还有 HEAD 指读取页面的首部 和 POST 请求接受所附加的信息 URL 字段为主机上的文件名 这时因为在建立 TCP 连接时已经有了主机名 版本字段说明所使用的 HTTP 协议的版本 一般为 HTTP 1 1 状态行也有三个字段 第一个字段等同请求行的第三字段 第二个字段一般为 200 表示一切正常 状态码共有 41 种 常用的有 301 网站已转移 400 服务器无法理解请求报文 404 服务器没有锁请求的对象 等 第三个字段时解释状态码的短语 根据具体情况 首部行的行数是可变的 请求首部有 Accept 字段 其值表示浏览 器 可以接受何种类型的媒体 Accept language 其值表示浏览器使用的语言 User agent 表明可用的浏览器类型 响应首部中有 Date Server Content Type Content Length 等字段 在请求首部和响应首部中都有 Connection 字段 其值为 Keep Alive 或 Close 表示服务器在传送完所请求的对象后是保持连接或关闭连接 若请求报文中使用 GET 方法 首部行后面没有实体主体 当使用 POST 方 法 是 附加的信息被填写在实体主体部分 在响应报文中 实体主体部分为服务器发送给客 户 的对象 2 2 FTPFTP 协议简介协议简介 FTP 是 TCP IP 协议组中的协议之一 是英文 File Transfer Protocol 的缩写 该协 议是 Internet 文件传送的基础 它由一系列规格说明文档组成 目标是提高文件的共享性 提供非直接使用远程计算机 使存储介质对用户透明和可靠高效地传送数据 简单的说 FTP 就是完成两台计算机之间的拷贝 从远程计算机拷贝文件至自己的计算机上 称之为 下载 download 文件 若将文件从自己计算机中拷贝至远程计算机上 则称之为 上载 upload 文件 在 TCP IP 协议中 FTP 标准命令 TCP 端口号为 21 Port 方式 数据端口为 20 同大多数 Internet 服务一样 FTP 也是一个客户 服务器系统 用户通过一个客户机 程序连接至在远程计算机上运行的服务器程序 依照 FTP 协议提供服务 进行文件传送的 计算机就是 FTP 服务器 而连接 FTP 服务器 遵循 FTP 协议与服务器传送文件的电脑就是 FTP 客户端 用户要连上 FTP 服务器 就要用到 FTP 的客户端软件 通常 Windows 自带 ftp 命令 这是一个命令行的 FTP 客户程序 另外常用的 FTP 客户程序还有 FileZilla CuteFTP Ws FTP Flashfxp LeapFTP 流星雨 猫眼等 6 6 实验步骤实验步骤 捕获捕获 FTPFTP 数据包并进行分析数据包并进行分析 1 两台计算机分别作为服务器和客户端 在服务器端下载安装 Serv U FTP 服务器 在客户端下载安装 FLASHFXP FTP 下载软件 如下图所示 2 设置服务器账号和密码 账号为 lihui 密码为 123456 3 获取服务器 IP 4 客户端请求与服务器连接 连接成功后 5 打开 wireshark 配置网络 开始抓包 FTP 客户端开始向 FTP 服务器上传文件 6 在 wireshark 中过滤出 FTP 数据包 以 192 168 191 1 和 192 168 191 2 为例 TCP 三次握手连接如下图所示 7 选择其中一个数据包分析 由上图可知 此 xlsx 的 FTP 数据包的源端口为 3117 目的端口为 21 TCP 包长为 27 个字节 序号为 101 下一个数据包序号为 128 101 27 128 ACK 号位 414 抱头 长度为 20 字节 蓝色区域为 FTP 数据的 16 进制形式 2 2 捕获 捕获 HTTPHTTP 数据包并分析数据包并分析 1 打开 wireshark 开始抓包 打开浏览器发送一个 web 请求 2 获取数据包 过滤出 http 数据包 释放 TCP 连接的 4 个数据包的 TCP 包头结构 3 选择其中一个数据包分析 由上图可知 此 http 报文是一个请求报文 方 法 GET 版 本 HTTP 1 1 URLimgn v51 new erweima2 png 首部字段名字段值字段所表达的信息 H 接收请求的服务器的主机名 ConnectionKeep alive 允许客户端和服务器持久连接 Accept image webp q 0 8 告诉服务器能够发送哪些媒体类型 If Modified Since Thu 26 Mar 2015 06 57 50 GMT 告诉服务器仅当自指定日期之后修改过该对象 才发送该对象 否则不发送 User agent Mozilla 5 0 Windows NT 6 1 WOW64 AppleWebKit 537 3 6 KHTML like Gecko Chrome 35 0 1916 153 Safari 537 36 SE 2 X MetaSr 1 0 将发起请求的应用程序名称告知服务器 User Agent 用户代理 即服务器类型 Referer http 123 sogou com t 1q 0 8 客户端想要得