網(wǎng)絡(luò)安全實驗wireshark網(wǎng)絡(luò)監(jiān)聽實驗

1、遵義師范學(xué)院計算機(jī)與信息科學(xué)學(xué)院實 驗 報 告（20132014學(xué)年第1 學(xué)期 ）課程名稱： 網(wǎng)絡(luò)安全實驗 班 級： 學(xué) 號： 姓 名： 任課教師： 計算機(jī)與信息科學(xué)學(xué)院實 驗 報 告實驗名稱Wireshark網(wǎng)絡(luò)監(jiān)聽實驗指導(dǎo)教師實驗類型操作實驗學(xué)時4實驗時間一、實驗?zāi)康呐c要求（1）進(jìn)一步學(xué)習(xí)和理解網(wǎng)絡(luò)監(jiān)聽原理及技術(shù)。（2）學(xué)習(xí)和掌握wireshark網(wǎng)絡(luò)監(jiān)聽工具的基本使用方法。（3）利用wireshark學(xué)習(xí)和分析TCP/IP協(xié)議。（4）學(xué)習(xí)和掌握如何利用wireshark進(jìn)行網(wǎng)絡(luò)安全監(jiān)測與分析。二、實驗儀器和器材惠普pavilion-G4，corel-i3-2310，內(nèi)存：4G，虛擬機(jī)軟件

2、vmware9.0，windows server 2003。三、 實驗原理、內(nèi)容及步驟（一）、實驗原理：網(wǎng)絡(luò)監(jiān)聽技術(shù)網(wǎng)絡(luò)監(jiān)聽在網(wǎng)絡(luò)中的任何一個位置模式下都可實施行。而黑客一般都是利用網(wǎng)絡(luò)監(jiān)聽來截取用戶口令。比如當(dāng)有人占領(lǐng)了一臺主機(jī)之后，那么他要再想進(jìn)將戰(zhàn)果擴(kuò)大到這個主機(jī)所在的整個局域網(wǎng)話，監(jiān)聽往往是他們選擇的捷徑。很多時候我在各類安全論壇上看到一些初學(xué)的愛好者，在他們認(rèn)為如果占領(lǐng)了某主機(jī)之后那么想進(jìn)入它的內(nèi)部網(wǎng)應(yīng)該是很簡單的。其實非也，進(jìn)入了某主機(jī)再想轉(zhuǎn)入它的內(nèi)部網(wǎng)絡(luò)里的其它機(jī)器也都不是一件容易的事情。因為你除了要拿到他們的口令之外還有就是他們共享的絕對路徑，當(dāng)然了，這個路徑的盡頭必須是有寫的

3、權(quán)限了。在這個時候，運行已經(jīng)被控制的主機(jī)上的監(jiān)聽程序就會有大收效。不過卻是一件費神的事情，而且還需要當(dāng)事者有足夠的耐心和應(yīng)變能力。主要包括：數(shù)據(jù)幀的截獲、對數(shù)據(jù)幀的分析歸類、dos攻擊的檢測和預(yù)防、IP冒用的檢測和攻擊、在網(wǎng)絡(luò)檢測上的應(yīng)用、對垃圾郵件的初步過濾。Ethernet協(xié)議的工作方式是將要發(fā)送的數(shù)據(jù)包發(fā)往連接在一起的所有主機(jī)。在包頭中包括有應(yīng)該接收數(shù)據(jù)包的主機(jī)的正確地址，因為只有與數(shù)據(jù)包中目標(biāo)地址一致的那臺主機(jī)才能接收到信息包，但是當(dāng)主機(jī)工作在監(jiān)聽模式下的話不管數(shù)據(jù)包中的目標(biāo)物理地址是什么，主機(jī)都將可以接收到。許多局域網(wǎng)內(nèi)有十幾臺甚至上百臺主機(jī)是通過一個電纜、一個集線器連接在一起的，在

4、協(xié)議的高層或者用戶來看，當(dāng)同一網(wǎng)絡(luò)中的兩臺主機(jī)通信的時候，源主機(jī)將寫有目的的主機(jī)地址的數(shù)據(jù)包直接發(fā)向目的主機(jī)，或者當(dāng)網(wǎng)絡(luò)中的一臺主機(jī)同外界的主機(jī)通信時，源主機(jī)將寫有目的的主機(jī)IP地址的數(shù)據(jù)包發(fā)向網(wǎng)關(guān)。但這種數(shù)據(jù)包并不能在協(xié)議棧的高層直接發(fā)送出去，要發(fā)送的數(shù)據(jù)包必須從TCP/IP協(xié)議的IP層交給網(wǎng)絡(luò)接口，也就是所說的數(shù)據(jù)鏈路層。網(wǎng)絡(luò)接口不會識別IP地址的。在網(wǎng)絡(luò)接口由IP層來的帶有IP地址的數(shù)據(jù)包又增加了一部分以太禎的禎頭的信息。在禎頭中，有兩個域分別為只有網(wǎng)絡(luò)接口才能識別的源主機(jī)和目的主機(jī)的物理地址這是一個48位的地址，這個48位的地址是與IP地址相對應(yīng)的，換句話說就是一個IP地址也會對應(yīng)一個

5、物理地址。對于作為網(wǎng)關(guān)的主機(jī)，由于它連接了多個網(wǎng)絡(luò)，它也就同時具備有很多個IP地址，在每個網(wǎng)絡(luò)中它都有一個。而發(fā)向網(wǎng)絡(luò)外的禎中繼攜帶的就是網(wǎng)關(guān)的物理地址。Ethernet中填寫了物理地址的禎從網(wǎng)絡(luò)接口中，也就是從網(wǎng)卡中發(fā)送出去傳送到物理的線路上。如果局域網(wǎng)是由一條粗網(wǎng)或細(xì)網(wǎng)連接成的，那么數(shù)字信號在電纜上傳輸信號就能夠到達(dá)線路上的每一臺主機(jī)。再當(dāng)使用集線器的時候，發(fā)送出去的信號到達(dá)集線器，由集線器再發(fā)向連接在集線器上的每一條線路。這樣在物理線路上傳輸?shù)臄?shù)字信號也就能到達(dá)連接在集線器上的每個主機(jī)了。當(dāng)數(shù)字信號到達(dá)一臺主機(jī)的網(wǎng)絡(luò)接口時，正常狀態(tài)下網(wǎng)絡(luò)接口對讀入數(shù)據(jù)禎進(jìn)行檢查，如果數(shù)據(jù)禎中攜帶的物理地

6、址是自己的或者物理地址是廣播地址，那么就會將數(shù)據(jù)禎交給IP層軟件。對于每個到達(dá)網(wǎng)絡(luò)接口的數(shù)據(jù)禎都要進(jìn)行這個過程的。但是當(dāng)主機(jī)工作在監(jiān)聽模式下的話，所有的數(shù)據(jù)禎都將被交給上層協(xié)議軟件處理。當(dāng)連接在同一條電纜或集線器上的主機(jī)被邏輯地分為幾個子網(wǎng)的時候，那么要是有一臺主機(jī)處于監(jiān)聽模式，它還將可以接收到發(fā)向與自己不在同一個子網(wǎng)（使用了不同的掩碼、IP地址和網(wǎng)關(guān)）的主機(jī)的數(shù)據(jù)包，在同一個物理信道上傳輸?shù)乃行畔⒍伎梢员唤邮盏?。在UNIX系統(tǒng)上，當(dāng)擁有超級權(quán)限的用戶要想使自己所控制的主機(jī)進(jìn)入監(jiān)聽模式，只需要向Interface（網(wǎng)絡(luò)接口）發(fā)送I/O控制命令，就可以使主機(jī)設(shè)置成監(jiān)聽模式了。而在Windows

7、9x的系統(tǒng)中則不論用戶是否有權(quán)限都將可以通過直接運行監(jiān)聽工具就可以實現(xiàn)了。在網(wǎng)絡(luò)監(jiān)聽時，常常要保存大量的信息（也包含很多的垃圾信息），并將對收集的信息進(jìn)行大量的整理，這樣就會使正在監(jiān)聽的機(jī)器對其它用戶的請求響應(yīng)變的很慢。同時監(jiān)聽程序在運行的時候需要消耗大量的處理器時間，如果在這個時候就詳細(xì)的分析包中的內(nèi)容，許多包就會來不及接收而被漏走。所以監(jiān)聽程序很多時候就會將監(jiān)聽得到的包存放在文件中等待以后分析。分析監(jiān)聽到的數(shù)據(jù)包是很頭疼的事情。因為網(wǎng)絡(luò)中的數(shù)據(jù)包都非常之復(fù)雜。兩臺主機(jī)之間連續(xù)發(fā)送和接收數(shù)據(jù)包，在監(jiān)聽到的結(jié)果中必然會加一些別的主機(jī)交互的數(shù)據(jù)包。監(jiān)聽程序?qū)⑼籘CP會話的包整理到一起就相當(dāng)不容

8、易了，如果你還期望將用戶詳細(xì)信息整理出來就需要根據(jù)協(xié)議對包進(jìn)行大量的分析。Internet上那么多的協(xié)議，運行進(jìn)起的話這個監(jiān)聽程序?qū)值拇笈?。?dāng)前網(wǎng)絡(luò)中所使用的協(xié)議都是較早前設(shè)計的，許多協(xié)議的實現(xiàn)都是基于一種非常友好的，通信的雙方充分信任的基礎(chǔ)。在通常的網(wǎng)絡(luò)環(huán)境之下，用戶的信息包括口令都是以明文的方式在網(wǎng)上傳輸?shù)?，因此進(jìn)行網(wǎng)絡(luò)監(jiān)聽從而獲得用戶信息并不是一件難點事情，只要掌握有初步的TCP/IP協(xié)議知識就可以輕松的監(jiān)聽到你想要的信息的。前些時間美籍華人China-babble曾提出將望路監(jiān)聽從局域網(wǎng)延伸到廣域網(wǎng)中，但這個想法很快就被否定了。如果真是這樣的話我想網(wǎng)絡(luò)必將天下大亂了。而事實上在廣

9、域網(wǎng)里也可以監(jiān)聽和截獲到一些用戶信息。只是還不夠明顯而已。在整個Internet中就更顯得微不足道了。監(jiān)聽的協(xié)議分析我們的研究從監(jiān)聽程序的編寫開始，用Linux C語言設(shè)計實現(xiàn)。1Wireshark網(wǎng)絡(luò)監(jiān)聽工具：Wireshark（前稱Ethereal）是一個網(wǎng)絡(luò)封包分析軟件。網(wǎng)絡(luò)封包分析軟件的功能是擷取網(wǎng)絡(luò)封包，并盡可能顯示出最為詳細(xì)的網(wǎng)絡(luò)封包資料。網(wǎng)絡(luò)封包分析軟件的功能可想像成 "電工技師使用電表來量測電流、電壓、電阻" 的工作 - 只是將場景移植到網(wǎng)絡(luò)上，并將電線替換成網(wǎng)絡(luò)線。在過去，網(wǎng)絡(luò)封包分析軟件是非常昂貴，或是專門屬于營利用的軟件。Ethereal的出現(xiàn)改變了這

10、一切。在GNUGPL通用許可證的保障范圍底下，使用者可以以免費的代價取得軟件與其源代碼，并擁有針對其源代碼修改及客制化的權(quán)利。Ethereal是目前全世界最廣泛的網(wǎng)絡(luò)封包分析軟件之一。（二）、實驗內(nèi)容：(1)在Windows下安裝wireshark工具安裝。(2)wireshark基本操作。(3)分片掃描檢測。(4)監(jiān)聽FTP賬戶/密碼。(5)導(dǎo)入分析TCPdump數(shù)據(jù)。(6)用wireshark診斷ARP風(fēng)暴。（三）、實驗步驟：1.Windows 下安裝wireshark工具安裝在wireshark官方網(wǎng)站下載最新版本的windows二進(jìn)制安裝包，如wireshark-win32-1.2.9

11、.exe，wireshark安裝包包含winpcap，所以則不需要單獨下載安裝winpcap。除了普通的安裝之外，還有幾個組建可以提供安裝wireshark GTK1/GTK2，Tshark，Dissector Plugins等，其中wireshark GTK1/GTK2是一個GUI網(wǎng)絡(luò)分析工具，Tshark是一個命令行的網(wǎng)絡(luò)分析工具。Dissector Plugins是分析插件。Tree Statistics Plugins是樹狀統(tǒng)計插件。Mate是可配置的顯示過濾引擎。2.wireshark基本工具（1）運行wireshark在windows平臺下啟動運行wireshark。例如監(jiān)聽本機(jī)上

12、上雙擊安裝好的wireshark可執(zhí)行文件，彈出wireshark界面。選擇監(jiān)聽的網(wǎng)卡，點擊start。（2） 監(jiān)聽設(shè)置1）為了能夠?qū)ｉT監(jiān)聽ping ICMP數(shù)據(jù)包，所以專門監(jiān)聽ICMP協(xié)議，首先打開菜單欄中的抓包，在抓包過濾處新建一個ICMP協(xié)議，由于以前沒有建立，所以需要重建，若已經(jīng)建立，則省去這一步，接著點擊確定。如圖：確定之后可以看見所監(jiān)聽的端口只有ICMP的。2）監(jiān)聽FTP服務(wù)。由于wireshark不能夠支持專門監(jiān)聽FTP服務(wù)，所以在抓包過濾時就不去過濾抓包條件，直接點擊抓包就行。在主機(jī)上建立FTP服務(wù)器，在這里使用的工具是QuickEasyFTPServer，帳戶名設(shè)置為Tokyo，密碼000000，服務(wù)器共享文件夾為C:Documents and Settings。如圖設(shè)置權(quán)限。服務(wù)器界面：點擊左上角綠色按鈕啟動FTP服務(wù)，在這臺主機(jī)上打開監(jiān)聽并訪問:2121，輸入用戶名以及密碼，然后進(jìn)行訪問服務(wù)器。接著就會在監(jiān)聽工具中發(fā)現(xiàn)剛剛輸入的帳戶名以及密碼;從監(jiān)聽軟件可以清晰看見FTP服務(wù)器的帳戶名