《神州数码堡垒主机试验》使用微软网络监视器来嗅探FTP会话.doc

使用微软网络监视器来嗅探FTP会话(SEC-W07-001.1)Windows 2000 附带的网络监视器，具有基本的网络嗅探功能。FTP和Telnet以明文方式发送用户名和口令，网络监视器能够捕获整个FTP会话并将用户名和口令展现给可能的黑客。防止这种情况发生的一个办法是使用匿名连接FTP站点。不幸的是，这并不能够锁定访问的服务器。当然，你也可以配置FTP服务器，只允许某些IP地址或者VPN连接来限制访问的用户。实验目的 用网络监视器捕获整个FTP会话 分析部获的数据，确定使用的用户名和口令 实验拓扑实验准备 获取Windows 远程桌面客户端工具mstsc压缩包，并解压 实验步骤捕捉FTP通讯数据包步骤说明：了解网络监视器的使用，开启网络嗅探功能，抓取FTP完整登陆回话过程 1.运行远程桌面客户端程序mstsc.exe，输入服务器IP地址，点击Connect连接，如图1： 图1 2.以Administrator（管理员）身份登陆服务器桌面。 注： 服务器Administrator用户的登陆密码为123456。 3.在远程桌面中，右击我的电脑，选择管理。 图2 4.在弹出的计算机管理程序中，展开服务与应用程序。 5.展开Internet信息服务，确保默认的FTP站点为正常启动状态，如图3： 图3 6.单击开始-程序-管理工具，然后选择网络监视器，运行程序，如图4： 图4 7.在网络监视器菜单条上单击捕获，然后单击开始，开始捕捉网络数据包，如图5： 图5 8.切换出远程桌面，在客户端系统（学生用机）中，单击开始-运行，然后键入cmd，回车确认。 9.在弹出的cmd窗口中，键入命令： ftp 服务器IP地址 10.键入Administrator作为用户名。 11.键入123456作为口令。 12.当出现: 230 User administrator logged in.ftp 说明登陆成功，键入quit命令完成本次登陆的退出，如图6：图6 13.重新切换到服务器远程桌面中，在网络监视器菜单中，单击捕获-停止，停止数据包捕捉，然后单击捕获-停止并查看（或者单击工具栏中的按钮），以便停止捕获查看当前已经捕捉到的数据。 14.如图7所示，当前捕捉到了大量的通讯数据包，网络监视器对这些数据包做了简单的分析，如帧、协议类型、简单描述等。 图7 分析FTP通讯包步骤说明：通过网络监视器的嗅探，在抓取网络通讯数据包中,分析FTP登陆回话中的账号和口令明文 1.检查如图所示的158帧和188帧，列出了明文的用户帐号和口令。注意，账号可以不同，但是帧中包含的用户帐号和口令将会出现。 注： 由于网络监视器会忠实的捕捉所有与服务器通讯的数据包，所以不仅仅捕捉到了FTP会话，也捕捉到远程桌面的通讯会话。可以看出基于3389端口的TCP数据包非常的多。为了从众多的数据包快速定位出FTP数据包，使用者可以选用显示菜单中的筛选程序，设置筛选条件，将满足条件的数据包呈现出来，具体方法这里暂不具体介绍。 2.双击188帧一栏数据，监视器会呈现数据包细节信息，如下图： 图8 图9 解决方案1.建议设置TCP/IP地址访问限制策略或者使用VPN连接技术等方法来限制访问的用户，不使用系统超级用户及口令在网络中传输，减少被窃取的机会。 2.传统FTP在传输机制和实现原理上是没有考虑安全机制的，用户可以考虑安全