信息安全-网络扫描与嗅探实验报告

1、>4网给扣描与嗅採卖脸掖告课 程信息安全技术学 Et信息工程学晓专 JE电子信息工程2016 年 5 月 26 Q实脸目的(1) 理解网络嗅探和扫描器的工作机制和作用。(2) 学习板包匀协议分析工具Wire shark的使用。(3) 拿握利用扫描器进行主动探测，收集目标信息的方*。(4) 拿握使用漏润扫描器检测运程或本地主机安全性漏洞。二.卖脸器材与工具PC机，Wire shark软件"局城网环境"superscan ik件实验彖1. 认真阅读和拿握与网络嗅採和网络扫描相关的知识点。2. 上机用Wire shark和superscan软件实现实验操作。3. 诃录卖酸结

2、果，并加以分析生成卖脍报告。四.卖脸步骤及结果1. 网络嗅探使用Wire shark抓包并进行协议分析(1J 下载并安装Wire shark软件，林开界面如下图仁4 Wireshark网客分燈(2)单击“捕荻'J “选项J选择“无线网络连接J再单击“开始J柿荻过诲、器选tcp,如图2。令，Wreiharic 刘衣总口图2使用Wireshark It据才艮获取，抓取TCP救据包并进行分析。从械取的 数据包来看，首先关于本次分析的数据包是典型的TCP三次握手，如 下图3所示。C，无践网損迄8Ut；p)0件f G删(E)(V)臧分析3)绑+(S)龟氓00无妖M)工具(T)幸助(H)4 二(g

3、 Q Q Q Eg Q -I*3kSourgrxctoc«l Lanfith In«1 0.0000800820TCP66 62783 > 80 SYNSeq-G .12 0.0268292008TCP66 80 62783 SYW,ACK S.-3 0.0269888820TCP54 62783 - 80 ACKSeq-1 .J4 0.0276600820HTTP323 GET

4、 /d ata//brfve.5 0.0574282008TCP54 80 -* 62783 ACKSeq=l .6 0.0574312068HTTP/X-.878 HTTP/1.1 290 OK7 0.0574332008TCP54. 80 亠 62783 FIN,ACK S.8 0.0576280820TCP54 62783 - 80 ACKSeq-27.9 0.057776192.16

5、8.1.18820TCP54 62783 - 80 PIN,ACK S.R AF.A7471Q7 1GR 1 1 AR117 4 U 7R4 17ATCPSA 676A4 -rPTM其中"笫一次握手是建立连接肘，瘵户端发送syn包(syn=j丿到服务器， 并进入SYN_SENT状恚，等待服务器确认；SYN：同步序列编号(Synchronize Sequenee Numbers丿。笫二次握手是服务器收到syn包，必须确认家户的SYN fack=j+1),同肘 勺己也发送一个SYN包(syn二k丿，即SYN+ACK包，此肘服务麥进入SYN_RECV 状态。笫三次

6、握手是瘵户端收到服务麥的SYN+ACK包.向服务器发送确认包 ACK(ack=k+1J,此包发送兜毕，瘵户端和服务器进入ESTABLISHED (TCP连 接成功丿状态兜成三次握手。兜成三次握手，瘵户端与服务器开始传送数据。(4) TCP三次握手过程分析(以笫一次握手为例丿source ( )发送一个连 接请 求列 destination笫一个TCP包的格式如下图4所示。Frame 1: 66 bytes on wire (528 bits), 66 bytes captured (528 bits) on interface 0Ethernet II, Src: LiteonTe_84:b0

7、:23 (24:fd:52:84:b0:23), Dst: Tp-LinkT_2c:f4:fB (9c:21:6a:2c:M:f8) Dst：Transmission Control Prototol, Src Port: 62783 (62783), Ost Port: 80 (80), Seq: 0, Len: 0V TrAnsnitKJon Control Protocol: Protocol分组：&3 -已Jt示 63 (103. Ofe)Do仏ult图4第三行是ipv4的报.丈，网际协议IP是工作征网络层，也就是数据链路层的 上层,IPv4报丈中的源地址和目的地址是ip地址,

8、版本号TCP是6,其格式为如下图5所示。文件旧彌腿KV)為防Wg；(c)分折(A)绑+($)电诒00无&20工其(T)尉站& 38 © <1 *H 观 & Q 卫I .tcp 因 El J 磁费+No.Tin«Sourg如rrctoclLanth Ir»f01 0.0000800820TCP66 62783 鼻 80 SYW Seq-G .2 0.0268292008TCP66 80 - 62783 SYN, ACK S.3 0.02698

9、80820TCP54 62783 - 80 ACK Seq=l4 0.0276608820HTTP323 GET /data//brfve.Frame 1: 66 byteson wire (528 bits),66 bytes captured (528 bits) oninterface 0Ethernet 11, Src:LiteonTe_84;b0:23 (24;fd:52;84;b0;23), Dst;Tp-LinkT_2c;f4;f8 (9c:21;6a:2c;f4;f8)

10、，0ie0 Version: 4 0101 - Header Length: 20 bytes> OiHerentiated Services field: 0x08 (DSCP: CS0, ECN: Not-ECT)Total Length; 52 Identification: 0x69d8 (27096)> Flags: 0x02 (Don't Fragment)Fragment offset: 0Time to live: 64Protocol; TCP (6)： Header checksum: ©xccdb validation disabledSou

11、rce GeoIP: UnknownDestination GeoIP; Unknown 笫四行是TCP报丈，从上面两个可以知道，这个TCP包祓层层包装，经过下面一层就相应的包装一层，笫三段是经过传输层的数据；TCP报丈的格式为 如图6所示。覆呻B文加tttiiE) a©v>義技 K) WlA)垓伸<51电0"彩欽M1*0)心密二次匕q至if业二 Oqqqe*oB Z3F龛送如 r*mSacro*rratoo&i u<t<th x>r<*i e.awew08127.131.2W. 120TCP66 62783

12、 80 SW Seq-0 Winl92 Lcn-« MSS-1460 k$-4 $MK_PE2 8.92829117.Bl.2W.129192.168.1.W8TCP66 80 - 62783 SW, MK Seq-0 A<k-1 Mln-14600 Len-0 vss-1440 S.J G.W69&08117.1il.2W.12dTCPU 6272 - 80 AKJ S«q-1 Atk-1 Wln-6624a L«n-04 0.O276W08117.131.2W.120HTTP323 GET /data .

13、4.1.6/brfversion .xtil HTTP/1.1*Praio 1: 66 bytai on wire (528 bits), 66 bytos captunod (528 bits) on interface 8Ethernet II, Sc: lit«nTe_84:W:23 (24：fd;S2:84：b8;23>, D,L Tp-LinkT_2c：4:f8 (9c:21：6a:2c:f4：i8)Ost Port： 80 (39), Seq:Intervet Protocol Version 4, Src: |Tr«n5ni55ion Control P

14、rotcxol, Src Port: 62783Source Port: 62753Destination Port: 80 Strcaw index: 0 TCP S呵voct Lon： B Science nu«»er： 0 (relative sequence nuBbe AcknonledgneT0Hoado, Length: 12 bytafHlrxlow ti2O valu»: 8192CAlculted window- size: 8192Checksut: ex73d0 (vllddticn disabled)Urgent pointer: GOp

15、tions： (12 bytes), Kaxiwun 5egr»*nt size. Ho-Operation (WP), Window- scole. Ho-Operation (MP)» F4o-Operation (HOP), S<K emitted图6从上图中可以看出，TCP的谏端d 62783也就是窑主机建立连接开岀来 的端d，目的端d 80o Sequence number同步厚号这里是0x3a 2a b7 bb,但这里显示的是相对值Oo Acknowledgment number为0,因为还是笫一个 握手包。Header Length头长度32bytes,

16、滑动窗d 8192大小字节，枝脍和 0x7340,紧急指针为Oo Options选顼12字节。2. 网络扌习描<1Jsuperscan,材开后界面如下图7。% SuperScan 3.00图7(2) 使用superscan对运程主机和本地主机进行端d扫描。通过ping 来检睑IP 是否在线：显示结果如图8和图9o4 SuperScan 3.00SuperScan 3.00(3) 单击port list setup进入如图10所示。Edit Port ListPortChange/add/delete port info4| Selected 厂Description|i|TCP Port

17、 Service MultiplexerProgramParamsProbe textAddDeleteApplyHelper apps： in right-click menu FTP|c：P(ogramFilesGlob3lSCePE |ParamsTelnetI telnet.exeParamsWebICAProgram FilesMnternet Explc > |ParamsParameters: a = IP address = port19Character Generator20File Transfer Default Datak/ 21File Transfer Pr

18、otocol Control22SSH Remote Login Protocol23T elnet24any private mail system25Simple Mail Transfer27NSW User System FE29MSG ICP31MSG Authentication33Display Support Protocol35any private printer server37Time38Route Access Protocol图10(5)软件勺带一个木马端d列表trojans. 1st,通过这个列在我们可以检测目标 计算机是否有木马，如图门所示。Edit Portl

19、istChange/a dd/d elete port infoLoadMergeSavetroja ns. 1stOKSelect portsDouble-click list item to selectZde-select Select All Clear AllH elper app$ in right-click menuFTP |CAProgram FilesGlobalSCAPE -> | 际ms |ftp：為:細Telnet |telnet.exe> |Params 屣 NpWeb CAProgram FilesMnternet Explc > |Pavms |http:/a:p7Parameters: 2a = IP address, Zp = portPort list file31 Master Paradise 匕 121