网络嗅探工具wireshark在网络安全中的应用

1、.WD.WD.WD.网络与信息安全课程设计网络嗅探工具wireshark在网络安全中的应用学生姓名： 宋 琪 学 号：20134088130 专业年级：13级信息与计算科学指导教师：信息技术学院二一五 年12月 日网络嗅探wireshark工具应用摘 要随着网络技术的开展和网络应用的普及，越来越多的信息资源放在了互联网上，网络的安全性和可靠性显得越发重要。因此，对于能够分析、诊断网络，测试网络性能与安全性的工具软件的需求也越来越迫切。网络嗅探器具有两面性，攻击者可以用它来监听网络中数据，到达非法获得信息的目的，网络管理者可以通过使用嗅探器捕获网络中传输的数据包并对其进展分析，分析结果可供网络安

2、全分析之用。本文对网络嗅探技术进展简要分析，了解wireshark抓包软件的一局部功能，并用wireshark抓包软件来作为网络数据包的捕获工具，对相应的数据包进展捕获，并对所抓到数据包进展简要的分析。关键词：网络嗅探器；数据包捕获；数据包分析；目录 TOC o 1-3 h z u HYPERLINK l _Toc439146356 第一章引言 PAGEREF _Toc439146356 h 4 HYPERLINK l _Toc439146357 1.1 网络安全的现状 PAGEREF _Toc439146357 h 4 HYPERLINK l _Toc439146358 1.1.1 计算机网

3、络安全的问题 PAGEREF _Toc439146358 h 4 HYPERLINK l _Toc439146359 1.1.2 网络安全机制及技术措施 PAGEREF _Toc439146359 h 4 HYPERLINK l _Toc439146360 1.2本课题的研究意义 PAGEREF _Toc439146360 h 6 HYPERLINK l _Toc439146361 1.3本文研究的内容 PAGEREF _Toc439146361 h 6 HYPERLINK l _Toc439146362 第二章网络嗅探器的 基本原理 PAGEREF _Toc439146362 h 7 HYP

4、ERLINK l _Toc439146363 2.1网络嗅探器概述 PAGEREF _Toc439146363 h 7 HYPERLINK l _Toc439146364 2.2 嗅探器实现根基 PAGEREF _Toc439146364 h 7 HYPERLINK l _Toc439146365 第三章数据包的捕获 PAGEREF _Toc439146365 h 8 HYPERLINK l _Toc439146366 3.1 wireshark抓包软件的解析 PAGEREF _Toc439146366 h 8 HYPERLINK l _Toc439146367 3.2 Wireshark嗅探

5、器对ICMP协议数据包的捕获以及分析 PAGEREF _Toc439146367 h 9 HYPERLINK l _Toc439146368 3.2.1 ICMP协议的原理 PAGEREF _Toc439146368 h 9 HYPERLINK l _Toc439146369 3.2.2 利用网络嗅探工具开场捕获ICMP协议的数据包 PAGEREF _Toc439146369 h 9 HYPERLINK l _Toc439146370 3.2.3 对所抓到的数据包的分析 PAGEREF _Toc439146370 h 11 HYPERLINK l _Toc439146371 3.3 Wires

6、hark嗅探器对DHCP协议数据包捕获及分析 PAGEREF _Toc439146371 h 12 HYPERLINK l _Toc439146372 3.3.1 DHCP 协议的原理 PAGEREF _Toc439146372 h 12 HYPERLINK l _Toc439146373 3.3.2利用Wireshark嗅探器抓捕DHCP协议的数据包并分析 PAGEREF _Toc439146373 h 13 HYPERLINK l _Toc439146374 3.3.3 分析所抓到的数据包 PAGEREF _Toc439146374 h 16 HYPERLINK l _Toc4391463

7、75 3.4用wireshark实现和分析三次握手 PAGEREF _Toc439146375 h 23 HYPERLINK l _Toc439146376 3.5 FTP协议数据包的捕获 PAGEREF _Toc439146376 h 25 HYPERLINK l _Toc439146377 3.5.1 FTP原理 PAGEREF _Toc439146377 h 25 HYPERLINK l _Toc439146378 3.5.2实验准备 PAGEREF _Toc439146378 h 25 HYPERLINK l _Toc439146379 3.5.3 FTP协议数据包的捕获 PAGERE

8、F _Toc439146379 h 29 HYPERLINK l _Toc439146380 总结 PAGEREF _Toc439146380 h 31 HYPERLINK l _Toc439146381 参考文献 PAGEREF _Toc439146381 h 31第一章 引言1.1 网络安全的现状1.1.1 计算机网络安全的问题随着各种新的网络技术的不断出现、应用和开展，计算机网络的应用越来越广泛，其作用也越来越重要。但是由于计算机系统中软硬件的脆弱性和计算机网络的脆弱性以及地理分布的位置、自然环境、自然破坏以及人为因素的影响，不仅增加了信息存储、处理的风险，也给信息传送带来了新的问题。计

9、算机网络安全问题越来越严重，网络破坏所造成的损失越来越大。Internet的安全已经成为亟待解决的问题。从目前使用的情况来看，对计算机网络的入侵、威胁和攻击， 基本上可以归纳为以下几种：1.外部人员攻击2.黑客入侵3.信息的泄漏、窃取和破坏4.搭线窃听5.线路干扰6.拒绝服务或注入非法信息7.修改或删除关键信息8.身份截取或中断攻击9.工作疏忽，造成漏洞10.人为的破坏网络设备，造成网络瘫痪1.1.2 网络安全机制及技术措施目前国内外维护网络安全的机制主要有以下几类：1.访问控制机制访问控制机制是指在信息系统中，为检测和防止未授权访问，以及为使授权访问正确进展所设计的硬件或软件功能、操作规程、

10、管理规程和它们的各种组合。2.身份鉴别身份鉴别技术是让验证者相信正在与之通信的另一方就是所声称的那个实体，其目的是防止伪装。3.加密机制对纯数据的加密，加密机制是对你不愿意让他人看到的这些数据数据的明文用可靠的加密算法，只要破解者不知道被加密数据的密码，他就不可解读这些数据。4.病毒防护计算机病毒的防范既是一个技术问题，也是一个管理问题，它采取以“预防为主，治疗为辅的防范策略将计算机病毒的危害降到最小限度。针对以上机制的网络安全技术措施主要有：1防火墙技术防火墙是指一种将内部网和公众网络分开的方法，它实际上是一种隔离技术，是在两个网络通信是执行的一种访问控制手段，它能允许用户“同意的人和数据进

11、入网络，同时将用户“不同意的人和数据拒之门外，最大限度地阻止网络中的黑客来访自己的网络，防止他们更改、复制和毁坏自己的重要信息。2基于主机的安全措施通常利用主机操作系统提供的访问权限，对主机资源进展保护，这种安全措施往往只局限于主机本身的安全，而不能对整个网络提供安全保证。3加密技术用于网络安全的加密技术通常有两种形式：(a)面向服务的加密技术。面向服务的加密技术即通常所说的信息加密。它是指利用好的密码算法对有些敏感数据、文件和程序进展加密，并以密文方式存取，以防泄密。其优点在于实现相对简单，不需要对网络数据所经过的网络的安全性提出特殊的要求。(b)面向网络的加密技术。面向网络的加密技术是指通

12、信协议加密，它是在通信过程中对包中的数据进展加密，包括完整性检测、数字签名等，这些安全协议大多采用了诸如RSA公钥密码算法、DES分组密码、MD系列Hash函数及其它一些序列密码算法实现信息安全功能，用于防止黑客对信息进展伪造、冒充和篡改，从而保证网络的连通性和可用性不受损害。加密技术是网络信息最 基本、最核心的技术措施。但加密的有效性完全取决于所采用的密码算法，故一般由中央授权部门研制生产，不能自行采用一些密码算法用于网络中，否那么后果不堪设想。4其它安全措施包括鉴别技术、数字签名技术、入侵检测技术、审计监控、防病毒技术、备份和恢复技术等。鉴别技术是指只有经过网络系统授权和登记的合法用户才能

13、进入网络。审计监控是指随时监视用户在网络中的活动，记录用户对敏感的数据资源的访问，以便随时调查和分析是否遭到黑客的攻击。这些都是保障网络安全的重要手段。1.2本课题的研究意义计算机网络技术的飞速开展，极大的改变了人们传统的生活和工作模式，越来越多的社会经济活动开场依赖网络来完成，可以说计算机网络的开展已经成为现代社会进步的一个重要标志。但与此同时，计算机犯罪、黑客攻击、病毒入侵等恶性事件也频频发生。因此，信息安全已越来越受到世界各国的重视。嗅探器作为一种网络通讯程序，是通过对网卡的编程来实现网络通讯的，对网卡的编程是使用通常的套接字socket方式来进展。但是，通常的套接字程序只能响应与自己硬

14、件地址相匹配的或是以播送形式发出的数据帧，对于其他形式的数据帧比方已到达网络接口但却不是发给此地址的数据帧，网络接口在验证投递地址并非自身地址之后将不引起响应，也就是说应用程序无法收取到达的数据包。而网络嗅探器的目的恰恰在于从网卡接收所有经过它的数据包，这些数据包即可以是发给它的也可以是发往别处的。本文通过对网络嗅探器对网络上传输的数据包的捕获与分析功能的进一步了解，做到知己知彼。通过网络嗅探器对网络上传输的数据包进展捕获和分析，获取所需要的信息，利用对这些信息进展网络安全分析。因此，对网络嗅探器的研究具有重要意义。1.3本文研究的内容本文的研究主要围绕以下几个方面进展。1.网络嗅探器的概念及

15、局部应用的研究。主要包括网络嗅探器的概念、网络嗅探器的工作原理。2.用网络嗅探器对ICMP协议、DHCP协议和TCP协议的数据包进展捕获，并对所捕获到的数据包进展分析。第二章 网络嗅探器的 基本原理2.1网络嗅探器概述网络嗅探器又称为网络监听器，简称为Sniffer子系统，放置于网络节点处，对网络中的数据帧进展捕获的一种被动监听手段，是一种常用的收集有用数据的方法，这些数据可以是用户的账号和密码，可以是一些商用机密数据等等。Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。Sniffer的正当用处主要是分析网络的流量,以便找出所关心的网络中潜在的问题。例如,假设网

16、络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器截获网络中的数据包，分析问题的所在。而嗅探器也可作为攻击工具被黑客所利用为其发动进一步的攻击提供有价值的信息。2.2 嗅探器实现根基以太网数据帧是一组数字脉冲，它们在传输介质上进展传输，从而实现信息的传递。以太网帧格式符合IEEE802.3标准，帧中包含目的地址和源地址，目的地址最高位为0是普通地址，为1时是组地址。当一个帧送到组地址时，组内的所有站点都会收到该帧。如果将它送到一个普通地址，一般情况下，只有一个站点收到这个帧，但是，以太网是以播送方式发送帧的，也即这个帧会传播到其所在网段内的所有站点，

17、只不过该站点不会接收目的地址不为本机地址的帧。为了捕获网段内的所有帧(以后称数据包)，可以设置以太网卡的工作方式，以太网卡通常有正常模式(normal mode)和混杂模式(promiscuous mode)两种工作模式。在正常模式下，网卡每接收到一个到达的数据包，就会检查该数据包的目的地址，如果是本机地址和播送地址,那么将接收数据包放入缓冲区，其他目的地址的数据包那么直接丢掉。因此，正常模式下主机仅处理以本机为目的的数据包，网卡如果工作在混杂模式，那么可以接收本网段内传输的所有数据包。如果要进展数据包捕获，必须利用网卡的混杂模式，获得经过本网段的所有数据信息。第三章 数据包的捕获对于数据包的

18、捕获过程，我们可以按照如下所示的流程图对捕获的过程进展解释。数据包捕获流程图:设置过滤规那么获取网络设备列表翻开设备，设为混杂模式编译过滤规那么循环捕获数据包关闭网络设备3.1 wireshark抓包软件的解析首先，我们安装好wireshark抓包软件后，将其翻开，对其的局部功能按钮进展了解。如以以下图，是我对wireshark抓包软件的其中四个功能键的理解和认识。3.2 Wireshark嗅探器对ICMP协议数据包的捕获以及分析3.2.1 ICMP协议的原理ICMP全称InternetControlMessageProtocol，中文名为因特网控制报文协议。它工作在OSI的网络层，向数据通讯

19、中的源主机报告错误。ICMP可以实现故障隔离和故障恢复。网络本身是不可靠的，在网络传输过程中，可能会发生许多突发事件并导致数据传输失败。网络层的IP协议是一个无连接的协议，它不会处理网络层传输中的故障，而位于网络层的ICMP协议却恰好弥补了IP的缺限，它使用IP协议进展信息传递，向数据包中的源端节点提供发生在网络层的错误信息反响。3.2.2 利用网络嗅探工具开场捕获ICMP协议的数据包利用Wireshark嗅探器抓捕ICMP协议的数据包并对所捕获的数据包进展分析。我们利用ping程序产生ICMP分组，抓取ICMP数据包，具体程如下。1. 翻开Windows命令提示符窗口，启动Wireshark

20、分组嗅探器，在过滤窗口输入ICMP：2.接着我们翻开Windows命令提示符窗口，在命令提示符界面输入“ping -n 10 baidu ，返回十条ping信息：从图上可以看出连续收到了10个ping的恢复，每次ICMP通讯的过程都是一个ICMP request和ICMP reply，10次通讯加起来一共20个数据包。3.停顿Wireshark分组嗅探器捕捉后，我们会得到如以以下图的页面：由图片我们可以看出，在这次捕捉过程中，我们捕捉到了很多数据包，乱七八糟的排列。但是我们这次所抓包的对象是ICMP协议的，所以，我们可以单击下Apply应用按钮或是按回车键，就可以使过滤生效，如以以下图所示：3

21、.2.3 对所抓到的数据包的分析由上图我们可以看出，这次的抓包一共抓到了20个ICMP协议的数据包，我们随机翻开一个ICMP request数据包和一个ICMP reply数据包，其结果分别如图a和图b所示：图a图(b)我们可以得到的信息有：Type：类型字段，8代表ICMP的请求Code：代码字段，0代表ICMP的请求Checksum：对ICMP头部的校验值，如果传递过程中ICMP被篡改或损坏，与该值不匹配，接收方就将这个ICMP数据包作废进程ID标识，从哪个进程产生的ICMP数据包。Sequence Number：序列号，同一个进程中会产生很多个ICMP数据包，用来描述当前这个数据包是哪一

22、个，每一对ICMP request和ICMP reply这个字段应该是一样的Data：ICMP中的数据，一般都是无意义的填充字段，这个局部可能会被黑客参加恶意代码，实施ICMP攻击3.3 Wireshark嗅探器对DHCP协议数据包捕获及分析3.3.1 DHCP 协议的原理DHCP，全称是DynamicHostConfigurationProtocol中文名为动态主机配置协议，它的前身是BOOTP，它工作在OSI的应用层，是一种帮助计算机从指定的DHCP服务器获取它们的配置信息的自举协议。 DHCP使用客户端/服务器模式，请求配置信息的计算机叫做DHCP客户端，而提供信息的叫做DHCP的服务器

23、。DHCP为客户端分配地址的方法有三种：手工配置、自动配置、动态配置。DHCP最重要的功能就是动态分配。除了IP地址，DHCP分组还为客户端提供其他的配置信息，比方子网掩码。这使得客户端无需用户动手就能自动配置连接网络。3.3.2利用Wireshark嗅探器抓捕DHCP协议的数据包并分析利用ipconfig /release 和ipconfig /renew 产生DHCP分组，抓取DHCP数据包，具体程如下。1.启动wireshark，启动Wireshark分组嗅探器，在过滤窗口输入bootp：2. 翻开Windows命令提示符窗口，输入ipconfig /release，释放IP命令ipco

24、nfig /release中，release是该命令的参数。该命令为释放现有的IP地址。ipconfig /release终止后，输入ipconfig /renew，将发起一个DHCP过程命令ipconfig /renew中，renew也与release一样，是该命令的参数。该命令是向DHCP服务器发出请求，并租用一个IP地址。一般情况下使用ipconfig /renew获得的IP地址和之前的地址一样，只有在原地址被占用的情况下才会获得一个新的地址。一般来说，这两个参数是一起使用的。在这个试验中，是要让计算机发起DHCP过程。ipconfig /renew终止后，再次输入ipconfig /r

25、enewipconfig /renew终止后，再次输入ipconfig /releaseipconfig /release终止后，再次输入ipconfig /renew停顿分组捕获后，wireshark界面如下：3.3.3 分析所抓到的数据包由上图我们可以看出，在这次捕捉过程中，我们捕捉到的数据包还是很多，乱七八糟的排列。但是我们这次所抓包的对象是DHCP协议的，所以，我们还是可以单击下Apply应用按钮或是按回车键，就可以使过滤生效，如以以下图所示：翻开第一条DCHP数据包，由第一次执行ipconfig /release产生，构造如下：DHCP的报文格式整理如下：OP(1)Htype(1)H

26、len(1)Hops(1)Transaction ID(4)Seconds(2)Flags(2)Ciaddr4Yiaddr4Siaddr4Giaddr4Chaddr16Sname64File128Optionsvariable对应的含义分别是：OP：假设是client送给server的封包，设为1，反向为2；Hard type：硬件类别，ethernet为1；Hard address length：硬件长度，ethernet为6；Hops：假设数据包需经过router传送，每站加1，假设在同一网内，为0；Transaction ID：事务ID，是个随机数，用于客户和服务器之间匹配请求和相应消息

27、；Seconds：由用户指定的时间，指开场地址获取和更新进展后的时间；Flags：从0-15bits，最左一bit为1时表示server将以播送方式传送封包给 client，其余尚未使用；Ciaddr：用户IP地址；Yiaddr：服务器分配给客户的IP地址；Siaddr：用于bootstrap过程中的IP地址；服务器的IP地址Giaddr：转发代理网关IP地址；Chaddr：client的硬件地址；Sname：可选server的名称，以0 x00结尾；File：启动文件名；Options：，厂商标识，可选的参数字段这里我们重点分析第一次执行ipconfig /renew产生的四条数据包，如以以

28、下图所示所勾画出的四条数据包：Discover二层源地址：24:fd:52:d5:c1:ad二层目的地址：ff:ff:ff:ff:ff:ffMessage type：Boot request1，1是请求包，由clident端发出的Hops：0，表示未经过处理Client IP address：，客户端的源IP，因为刚开场不知道ip地址是多少Client MAC address：24:fd:52:d5:c1:ad(24:fd:52:d5:c1:ad)，客户端的MAC地址Option：t=53,l=1DHCP Message Type=DHCP Discover，这是一个discover包提供阶段

29、二层源地址：9c:21:6a:64:f6:02二层目的地址：24:fd:52:d5:c1:ad三层源地址：192:168:1:1三层目的地址：192:168:1:104User Datagran Protocol：通过udp来传输，端口号：client-68，server-67Message type：Boot reply2，1是回复包Hops：0Boot flags：unicastYourclient IP address：04Client MAC address：24:fd:52:d5:c1:ad，客户端的MAC地址Option：t=53,l=1DHCP Message Type=DHCP

30、 offer，这是一个offer包3.选择阶段二层源地址：24:fd:52:d5:c1:ad二层目的地址：ff:ff:ff:ff:ff:ffMessage type：Boot request1，1是请求包Hops：0Boot flags：unicastYourclient IP address：04Client MAC address：24:fd:52:d5:c1:ad，客户端的MAC地址Option：t=53,l=1DHCP Message Type=DHCP request，这是一个request包4.确认阶段二层源地址：24:fd:52:d5:c1:ad二层目的地址：ff:ff:ff:f

31、f:ff:ffMessage type：Boot request1，1是请求包Hops：0Boot flags：unicastYourclient IP address：04Client MAC address：24:fd:52:d5:c1:ad，客户端的MAC地址Option：t=53,l=1DHCP Message Type=DHCP ACK，这是一个ACK包3.4用wireshark实现和分析三次握手三次握手过程为：下面用wireshark实际分析三次握手的过程翻开wireshark，翻开浏览器输入 ：/ baidu 之后停顿掉wireshark，可以先用cmd命令获得百度的IP地址，得

32、到百度ip地址为25在filter中输入ip.src =25 or ip.dst=25查找出如图为三次握手的过程：第一次握手数据包客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建设连接。 如以以下图 ：第二次握手的数据包服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如以以下图：第三次握手的数据包客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如以以下图:就这样通过tcp三次握手，建设服务器与客户端的链接。由此可以检测客户端与服务器的链接是否是通畅的，但是仅应用于TCP协议，如果其他协议就不一定