网络安全实验wireshark网络监听实验

遵义师范学院计算机与信息科学学院实 验 报 告（20132014学年第1 学期 ）课程名称： 网络安全实验 班 级： 学 号： 姓 名： 任课教师： 计算机与信息科学学院实 验 报 告实验名称Wireshark网络监听实验指导教师实验类型操作实验学时4实验时间一、实验目的与要求（1）进一步学习和理解网络监听原理及技术。（2）学习和掌握wireshark网络监听工具的基本使用方法。（3）利用wireshark学习和分析TCP/IP协议。（4）学习和掌握如何利用wireshark进行网络安全监测与分析。二、实验仪器和器材惠普pavilion-G4，corel-i3-2310，内存：4G，虚拟机软件vmware9.0，windows server 2003。三、 实验原理、内容及步骤（一）、实验原理：网络监听技术网络监听在网络中的任何一个位置模式下都可实施行。而黑客一般都是利用网络监听来截取用户口令。比如当有人占领了一台主机之后，那么他要再想进将战果扩大到这个主机所在的整个局域网话，监听往往是他们选择的捷径。很多时候我在各类安全论坛上看到一些初学的爱好者，在他们认为如果占领了某主机之后那么想进入它的内部网应该是很简单的。其实非也，进入了某主机再想转入它的内部网络里的其它机器也都不是一件容易的事情。因为你除了要拿到他们的口令之外还有就是他们共享的绝对路径，当然了，这个路径的尽头必须是有写的权限了。在这个时候，运行已经被控制的主机上的监听程序就会有大收效。不过却是一件费神的事情，而且还需要当事者有足够的耐心和应变能力。主要包括：数据帧的截获、对数据帧的分析归类、dos攻击的检测和预防、IP冒用的检测和攻击、在网络检测上的应用、对垃圾邮件的初步过滤。Ethernet协议的工作方式是将要发送的数据包发往连接在一起的所有主机。在包头中包括有应该接收数据包的主机的正确地址，因为只有与数据包中目标地址一致的那台主机才能接收到信息包，但是当主机工作在监听模式下的话不管数据包中的目标物理地址是什么，主机都将可以接收到。许多局域网内有十几台甚至上百台主机是通过一个电缆、一个集线器连接在一起的，在协议的高层或者用户来看，当同一网络中的两台主机通信的时候，源主机将写有目的的主机地址的数据包直接发向目的主机，或者当网络中的一台主机同外界的主机通信时，源主机将写有目的的主机IP地址的数据包发向网关。但这种数据包并不能在协议栈的高层直接发送出去，要发送的数据包必须从TCP/IP协议的IP层交给网络接口，也就是所说的数据链路层。网络接口不会识别IP地址的。在网络接口由IP层来的带有IP地址的数据包又增加了一部分以太祯的祯头的信息。在祯头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址这是一个48位的地址，这个48位的地址是与IP地址相对应的，换句话说就是一个IP地址也会对应一个物理地址。对于作为网关的主机，由于它连接了多个网络，它也就同时具备有很多个IP地址，在每个网络中它都有一个。而发向网络外的祯中继携带的就是网关的物理地址。Ethernet中填写了物理地址的祯从网络接口中，也就是从网卡中发送出去传送到物理的线路上。如果局域网是由一条粗网或细网连接成的，那么数字信号在电缆上传输信号就能够到达线路上的每一台主机。再当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每一条线路。这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。当数字信号到达一台主机的网络接口时，正常状态下网络接口对读入数据祯进行检查，如果数据祯中携带的物理地址是自己的或者物理地址是广播地址，那么就会将数据祯交给IP层软件。对于每个到达网络接口的数据祯都要进行这个过程的。但是当主机工作在监听模式下的话，所有的数据祯都将被交给上层协议软件处理。当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网的时候，那么要是有一台主机处于监听模式，它还将可以接收到发向与自己不在同一个子网（使用了不同的掩码、IP地址和网关）的主机的数据包，在同一个物理信道上传输的所有信息都可以被接收到。在UNIX系统上，当拥有超级权限的用户要想使自己所控制的主机进入监听模式，只需要向Interface（网络接口）发送I/O控制命令，就可以使主机设置成监听模式了。而在Windows9x的系统中则不论用户是否有权限都将可以通过直接运行监听工具就可以实现了。在网络监听时，常常要保存大量的信息（也包含很多的垃圾信息），并将对收集的信息进行大量的整理，这样就会使正在监听的机器对其它用户的请求响应变的很慢。同时监听程序在运行的时候需要消耗大量的处理器时间，如果在这个时候就详细的分析包中的内容，许多包就会来不及接收而被漏走。所以监听程序很多时候就会将监听得到的包存放在文件中等待以后分析。分析监听到的数据包是很头疼的事情。因为网络中的数据包都非常之复杂。两台主机之间连续发送和接收数据包，在监听到的结果中必然会加一些别的主机交互的数据包。监听程序将同一TCP会话的包整理到一起就相当不容易了，如果你还期望将用户详细信息整理出来就需要根据协议对包进行大量的分析。Internet上那么多的协议，运行进起的话这个监听程序将会十分的大哦。当前网络中所使用的协议都是较早前设计的，许多协议的实现都是基于一种非常友好的，通信的双方充分信任的基础。在通常的网络环境之下，用户的信息包括口令都是以明文的方式在网上传输的，因此进行网络监听从而获得用户信息并不是一件难点事情，只要掌握有初步的TCP/IP协议知识就可以轻松的监听到你想要的信息的。前些时间美籍华人China-babble曾提出将望路监听从局域网延伸到广域网中，但这个想法很快就被否定了。如果真是这样的话我想网络必将天下大乱了。而事实上在广域网里也可以监听和截获到一些用户信息。只是还不够明显而已。在整个Internet中就更显得微不足道了。监听的协议分析我们的研究从监听程序的编写开始，用Linux C语言设计实现。1Wireshark网络监听工具：Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。网络封包分析软件的功能可想像成 电工技师使用电表来量测电流、电压、电阻 的工作 - 只是将场景移植到网络上，并将电线替换成网络线。在过去，网络封包分析软件是非常昂贵，或是专门属于营利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。（二）、实验内容：(1)在Windows下安装wireshark工具安装。(2)wireshark基本操作。(3)分片扫描检测。(4)监听FTP账户/密码。(5)导入分析TCPdump数据。(6)用wireshark诊断ARP风暴。（三）、实验步骤：1.Windows 下安装wireshark工具安装在wireshark官方网站下载最新版本的windows二进制安装包，如wireshark-win32-1.2.9.exe，wireshark安装包包含winpcap，所以则不需要单独下载安装winpcap。除了普通的安装之外，还有几个组建可以提供安装wireshark GTK1/GTK2，Tshark，Dissector Plugins等，其中wireshark GTK1/GTK2是一个GUI网络分析工具，Tshark是一个命令行的网络分析工具。Dissector Plugins是分析插件。Tree Statistics Plugins是树状统计插件。Mate是可配置的显示过滤引擎。2.wireshark基本工具（1）运行wireshark在windows平台下启动运行wireshark。例如监听本机上上双击安装好的wireshark可执行文件，弹出wireshark界面。选择监听的网卡，点击start。（2） 监听设置1）为了能够专门监听ping ICMP数据包，所以专门监听ICMP协议，首先打开菜单栏中的抓包，在抓包过滤处新建一个ICMP协议，由于以前没有建立，所以需要重建，若已经建立，则省去这一步，接着点击确定。如图：确定之后可以看见所监听的端口只有ICMP的。2）监听FTP服务。由于wireshark不能够支持专门监听FTP服务，所以在抓包过滤时就不去过滤抓包条件，直接点击抓包就行。在主机上建立FTP服务器，在这里使用的工具是QuickEasyFTPServer，帐户名设置为Tokyo，密码，服务器共享文件夹为C:Documents and Settings。如图设置权限。服务器界面：点击左上角绿色按钮启动FTP服务，在这台主机上打开监听并访问:2121，输入用户名以及密码，然后进行访问服务器。接着就会在监听工具中发现刚刚输入的帐户名以及密码;从监听软件可以清晰看见FTP服务器的帐户名以