实验一-网络扫描与网络嗅探

1、网络扫描与网络嗅探实验目的(1) 理解网络嗅探和扫描器的工作机制和作用(2) 使用抓包与协议分析工具Wireshark(3) 掌握利用扫描器进行主动探测，收集目标信息的方法(4) 掌握使用漏洞扫描器检测远程或本地主机平安性漏洞二实验环境Windows xp操作系统平台，局域网环境，网络抓包 与协议分析 工具Wireshark，扫描器软件：Superscan三实验步骤使用Wireshark抓包并进行协议分析1下载并安装软件，主界面如图1所示图12单击capture，翻开in terface 接口选项，选择本地连接，如图2所示图23使用Wireshark数据报获取，抓取TCP数据包并进行分析从抓取

2、的数据包来看，首先关于本次分析的数据包是典型的TCP三次握手,如图3所示。l 13. C (rl . tS.O-O-ElfahAl K Froal：?J沖 Edit 览pw a £at in 莎咖*只 STArsfirs PAiRhnn Qi盲 LitpitiaK：108 12MC7COCO X?2,15, 1+ 创109 工2*4匚7130 17216,1,61110 12*4C95*(J 172.16. 0+1111 12.4C8G WHB.工4111 12+4C9e95G 1?.16.1+1117 dinvijn 1 H R d 11J,TCPHTTP17蜜3.&1 制

3、CPN程轨1*64TCP172+ltC.lTCP1 7 7 "I F 1 他TCP54 2SO4*8O8O 心立58S GtT nttp:/<WH hm口 工5丄4 TCP segnenrt; of 1孔4 二P 5ecpier7t cjf54 283d-SOSO Lg<jT F 戲 Ftd Earmarrt rrhPilttr.tcp 1 壬工卩曹怎首ion. ，CLc：arXppltjriTit!电ifvoucftl IhuiftA Lnti1U3 1-WjlT胡工二eT PtpE亓时尿、曲口二107 12.406WS0 172<L6»Cf»

4、L弋Pe © B it '銘男丨臥。瞬令苓JL |j(S国I Q Q Q已106 12,4CjO 172,15, 1,172,1 ,C.IHP2 2804-3080 TsNlAraLe凹200Z63L5c4C00013fAIffrn=7C0000100020rauT60 06益o OO oil ico4 d50 0 3 4C SIS 00 a<u 0包 11 d c c s d6 TOC b Ob V *LU - PI。4Frame 108;5 bytes on >nre (4 32bits)t54 bytes captured C4J2 bits on inte

5、rface 0 Ethernet IIj jrc; f8：0f:Al:;ed：Oe (f8:frf;41;6f;ed;Oe), det: DD:le:c?;ae:8e:aa (00:1 internet Prat acai verjisn 4, Src： 172,16,1,64 C1?2,16,L, 54), Ost: 172,16.0.1 (172,16, TrarstTissior Cant口"I Prot aca" f Src Port : 2204 (2804 j, Dst Pmrt: SDSD 8030), Esq: 1,4TCP三次握手过程分析以第一次握手为例主

6、机丨发送一个连接请求到，第一个TCP包 的格式如图4所示。77'LT)QUle7niooo303b帘4 jQQ2<|oo(JI。耳+4IF0030fh14Od54忙ITEa4 w o 2" & & Q a 2 r B -.5 D -a . o o a-il?r L h 4 60 b b1 o 7 r - 1ohoao oo co as 70 gCl 01 転 02ec. Ije Ud L . J .1 fO at 10 01 4 ' ac '10Fi帥;3SxFressiM- .CLtu*&t#Sfrl |LsTi£&l

7、t;h llXkfdlOhI z,ii. J.h , 1. Tiqf!BiH 1 1 P?a li GFT IT P :/WAyH Hii r.106 10406239 12 ：L0 1>5EirZeiG.Q,!TCPi Z8W )0A；"H172.16,1.d SUSI* . Z.4 'STtJ, AC1UW ±Z.4J/UJU1172.1ft. 0.1TCP代 2KILL -SJHL ；ALK _.C10 丄2: 4 07104 a 172 U 丄巧a172.16.0,1HTTP! SS GETp：；'?WW.hiL1L0 12 4&S3

8、640 12 172*16.1 64TCP1TL4 tcp s «ynr«rrt of <131 1?Hd曲斤R白ul?IB O-lTCP1F1； TUP PPqiFPLT nf 4112 1?B 4096930 172/16,1.641?.16-0.1TCP2 护M+R ' ri'，矿叩 f1 7 A ' lITUd 1 771 fi Oi 11 771 1 fi 1 RJTTP1 & 1 £ r CP w = nir Ar ref 刁 上-Al|4 p rdjrri& 丄06: c' LyLSs un三寫躺

9、j1L£,匕b/tss captured C4&6 bits) on lr itrface 0Sthfel'iiifel II, SrtJ f8：0f(fBiiQf ：.41:>iSf：Ed0«X Bit:©Ci:Lh：已巴：&皂总d (OD:1? inre-rnst pfq acol version J,Ds-r: ：H . l . 1：7；.1 匚-Trarsnisisiqh Corrtrol Pratdcd!, Sr (： ?S0dMt Fort: SOSO (SOBO S*q： QvhlI图4第三行是ipv4的报文,网际协议I

10、P是工作在网络层,也就是数据链路层的上层,IPv4报文中的源地址和目的地址是ip地址,版本号TCP是 6,其格式为如图 5所示。U12J_ LtTT KT1 f' - TI -3 ；' 7 4 J_ ； '7 J LI T3L!73Tf T；±'Z TT CC T fLrr L - L U ； 1U ； -312 7 U JIULJintcrriet Frotcccl version 4* Src： 172.16*1* &4 <172*16.1.6； f Dst: L?2<16*1 (172*1-version: 4,Header

11、Length: 20 bytes壬 Difftrentiated sarvices Field: 0x00 <dccp GxGO: Leftlr; ecn: OkOD: hiDt-ECT (wot Total Length;Idferrtif icat iun : OxSbdLHl孚4j* Fings; S<j2 (Lun '1 Frigrieit) Fragrent offset; 0 Tirre tc 1 ive; lS FretdccP; TCP f打+ reader checksumi 0x0099 Eval 1 Jar 1 an dlsabledl source:

12、 172 + i.i. e4 CL了儿丄久Destination; 172.a&.q.ll-)source aeoiP： urrknowfoesTlnar lori oeci f： unkno*nli0010 OQZJ 033 0000000ff1E2CUL幵c93tUdCcF-crc co 4 丄 oea609U电0f 06 2d 044LQOb?05汕 DtJ 40e 0310 01DO 0031 044 5 CO* Ac. . L .ac 10. C;fl.70 Q2 *.：*p.第四行是TCP报文,从上面两个可以知道，这个TCP包被层层包装，经过下面一层就相应的包装一层，第三段

13、是经过传输层的数据,TCP报文的格式为如图6所 示。图6TCP的源端口 2804也就是宿主机建立连接开出来的端口,目的端口 8080。Sequenee number同步序号，这里是 0x3a 2a b7 bb,但这里显示的是相对值 0。Ack no wledgme nt number确认序号4bytes,为0,因为还是第一个握手包。Header Length头长度28字节，滑动窗口 65535大小字节，校验和，紧急指针为0Options选项8字节使用superscan 扫描(1)下载并安装，如图7所示。InstaflShiefdSuperScanversion 3.00by Foundstor

14、re he.SuperScan is a powerful TCP Part Scanner, pinger and hostname resolwer. Enjoy, but ue with discretionrobin.keirfoundstone Copyright 2000 Foundstone Inc.:t.i | HF澎妙枭|取消2主界面如图8所示3使用superscan对远程主机和本地主机进行端口扫描，显示结果如图9、图10所示。MinSpetidMa»3(op|172 -n n.130M貝ic| -.,254-IDI x|炉一I meoutFlipP旷口尸IP沢eP

15、 g*ior- IP 255E> i.r j?t We filmC&inedt12000Fi?atj4nnnV 4单击 port list setupScan tpe r RogI-t- I lottnsTifrsW Only team 'espentive pinos 阪 Show host response 广 Prjy (jrily * F' CH 1 |E/-.I' se1?r.leri nr' !： n l: 1 C Al Ii.-' p jl/rox'i |1 广 Al ps ta htm F图10进入如图11所示Sca

16、nActive hostsOpen porfe811即洛匚<3* |匚 Kpind dlPrune图115软件自带一个木马端口列表trojan s.lst，通过这个列表我们可以检测目标电脑是否有木马，如图12所示K<lit Port LiPortIDNSelecled 厂Descripfion1ProgramLParams1Picbe textrChange/add7delefe part infoS elect portsDoubleclick G$t item to telect/de-select Wefect Al | CteaffAl |AddHelper appt in

17、 right-click menuFTP jCiXProgiain FilesGlabalSCAPE| F辭血ftpTacW:Telnet tebietexe冷 |Params 艮務_Wob |C.Frogidn)FilesMuteinel E«pk ParamE |打叩“為和fParsmelftrs.忆a = IP addressp = portI 31 Mastef Paradbe# 121 BD iamrmrkilal/“ IE： H«ckvrtPdF4di?9 (555 Phase Zero 6S>? Attack FTP# ' UL1 Silencer '.01 1 Silencer 1001 WebE«r 101C Do TfCjjan 1.30 (Subm.Crorico) 1011 Dt4 Troj