信息安全概论实验一

实验一网络信息检测实验(使用Sniffer工具嗅探)一、 实验目的通过使用SnifferPro软件掌握sniffer(嗅探器)工具的使用方法，实现捕捉FTP、HTTP等协议的数据包，以理解TCP/IP协议中多种协议的数据结构、会话连接建立和终止的过程、TCP序列号、应答序号的变化规律。并且，通过实验了解FTP.HTTP等协议明文传输的特性，以建立安全意识，防止FTP、HTTP等协议由于传输明文密码造成的泄密。二、 实验原理Sniffer即网络嗅探器，用于监听网络中的数据包，分析网络性能和故障。Sniffer主要用于网络管理和网络维护，系统管理员通过Sniffer可以诊断出通过常规工具难以解决的网络疑难问题，包括计算机之间的异常通讯、不同网络协议的通讯流量、每个数据包的源地址和目的地址等，它将提供非常详细的信息。通常每个网络接口都有一个互不相同的硬件地址(MAC)，同时，每个网段有一个在此网段中广播数据包的广播地址(代表所有的接口地址)。一般情况下，一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，并由操作系统进一步进行处理，而丢弃不是发给自己的数据帧。而通过Sniffer工具，可以将网络接口设置为“混杂”(promiscuous)模式。在这种模式下，网络接口就处于一个对网络进行“监听”的状态，而它可以监听此网络中传输的所有数据帧，而不管数据帧的目标地址是广播地址还是自己或者其他网络接口的地址了。它将对遭遇的每一个数据帧产生硬件中断，交由操作系统对这个帧进行处理，比如截获这个数据帧，进而实现实时分析数据帧中包含的内容。当然，如果一个数据帧没有发送到目标主机的网络接口，则目标主机将无法监听到该帧。所以Sniffer所能监听到的信息将仅限于在同一个物理网络内传送的数据帧，就是说和监听的目标中间不能有路由(交换)或其他屏蔽广播包的设备。因此，当Sniffer工作在由集线器(HUB)构建的广播型局域网时，它可以监听到此物理网络内所有传送的数据；而对于由交换机(switch)和路由器(router)构建的网络中，由于这些网络设备只根据目标地址分发数据帧，所以在这种网络中，sniffer工具就只能监测到目标地址是自己的数据帧再加上针对广播地址的数据帧了。Sniffer工作在OSI模型中的第2层，它一般使用在已经进入对方系统的情况。实验中要注意，虽然sniffer能得到在局域网中传送的大量数据，但是不加选择的接收所有的数据包，并且进行长时间的监听，那么你需要分析的数据量将是非常巨大的，并且将会浪费大量硬盘空间。Sniffer工具分为软件和硬件两大类，在这里我们主要以SnifferPro软件为例对sniffer工具的使用方法和功能进行简单介绍。当然，sniffer软件工具还有很多种，例如SQLServerSniffer、FsSniffer等，它们的功能和使用的环境有所不同，如果读者感兴趣，可以自己进行深入探索。对于Sniffer工具的防范可以从以下几个方面进行：首先，如果通过网管工具发现在局域网内存在长时间占用较大带宽的计算机，这台计算机可能在进行嗅探；其次，Sniffer的记录文件增长很快，通过分析文件系统大小的变换情况，可以找到这个文件;最后，如果计算机的网络接口处于混杂模式下(在UNIX环境下通过ifconfig-a命令查看网络接口状态)，则它很可能运行了Sniffer。通过上面的几种方法，可以对Sniffer进行分析监测。除了这些间接分析方法外，还可以利用AntiSniff工具，它提供了直接检测Sniffer的功能，从而可以对Sniffer进行有效防范。三、实验环境两台安装Windows2000/XP的PC机，在其中一台上安装SnifferPro软件。将两台PC机通过HUB相连，组成一个局域网。四、实验内容和步骤任务一熟悉SnifferPro工具的使用1） SnifferPro软件简介Sniffer软件是NAI公司推出的功能强大的协议分析软件，实验中使用SnifferPro4.7来截获网络中传输的FTP、HTTP、Telnet等数据包，并进行分析。2） 使用说明启动SnifferPro软件后可以看到它的主界面，如下图所示，启动的时候有时需要选择相应的网卡（adapter），选好后即可启动软件。SnifferPortable—LocalsEthernet(Linespeedat100Kbps) |Zl回区FileMonitorCap+rn'eDisplayToolsDatabase世imh*Help武旧1暑匾1镣|抱|会僦1图回翳阀1主］麹剑、ll| 罚|wan1▼Fornelp,press从Hosttable可以直观的看出连接的主机，如下图所示，显示方式为IP宣Hcti而h戚1宣Hcti而h戚1J■硕Em―'s^Ialsr国淀TIE.芒己左42021122551叵21GL113.2^.22130；1泾沔邱ZII.ISF.IEB.IH?2*9153^552C/IIM胃糖52U2.11J.S11302021122522K2E11Z232.23312104129253|0uPkHI|口3咛iK仙wm：rwjn0QK?9005(il02205167030B7Qt.01701105D0i0♦10益E01004D00001Ia?D任务二捕获HTTP数据包并分析1）假设A主机监视B主机的活动，首先A主机要知道B主机的IP地址，B主机可以在命令符提示下输入ipconfig查讯自己的IP地址并通知A主机。2） 选中Monitor菜单下的Matirx或直接点击网络性能监视快捷键，此时可以看到网络中的TrafficMap视图，如下图所示，可以点击左下角的MAC、IP、或IPX使TrafficMap视图显示相应主机的MAC、IP或IPX地址，下图显示的是IP地址，每条连线表明两台主机间的通信。建新配置文件，在CaptureProfiles对话框中，单击New，输入新配置文件名，单击建新配置文件，在CaptureProfiles对话框中，单击New，输入新配置文件名，单击OK选择新配置文件，然后单击Done按钮单击Stationl字段，输入本机的IP地址：单击Station2字段，输入合作伙伴的IP地址，将AddressType字段的值由Hardware改为IP点击其中的Advanced点击其中的Advanced页面，再选中“IP—TCP—HTTP”如下图所示，然后点击OK。DefineFilter-DefineFilter-CaptureSijfTim：=Lt_SijfTim：=Lt_y|AdiirheeDataFat+ernAdv：=LTLizedEufferSettingsFor:

|Default—wan1DNS(TCP)FTPGOPHERH.225H.245HTTPHTTPSLDAT1)racketSizee到TrafficM1)racketSizee到TrafficMap视图中，用鼠标示。此时，点击鼠标右键，选中C十始捕捉指定IP地址的主机的有关racketType豌要捕捉的B主机

i/florm：=l± kf1pture或者点击捕获报IP地址，选中后IP地址文快捷键中的开始按口下图所示。钮，以白底Sniffer确定|取消|Profiles...IleMIQ画0m-!l!-x-KI5■1nmn"4tShowAllHideSelectITudeEZuomPauseUpdateRefreshResetCapture5）开始捕捉后,成击工具栏示出Packet的数量。rruperties...FileMonitorCaptin-eTrafficMap545077leMIQ画0m-!l!-x-KI5■1nmn"4tShowAllHideSelectITudeEZuomPauseUpdateRefreshResetCapture5）开始捕捉后,成击工具栏示出Packet的数量。rruperties...FileMonitorCaptin-eTrafficMap545077BROADCAST5517el”，如下图所示，看到捉包的情况DisplayToolsDa+ataseWirLdowHelpSt：ift FlLlSF10StopandDispla^F9Display F5Captin-eP：irielDefineFilter...SelectFilter...TriggerSetup...图中显间园闻割剑，|III.l皓网国也目6） B主机登陆一个Web服务器（网站），并输入自己的邮箱地址和密码。7） 此时，从CapturePanel中看到捕获数据包已达到一定数量，点击“StopandDisplay^按钮，停止抓包。如下图所示。7Matrix:7Conversations8）停止抓包后，点击窗口左下角的“Decode”选项，窗中会显示所捕捉的数据，并分析捕获的数据包，如下图所示（请截图1个，含Sniffer菜单、窗口1和窗口3,其中窗口3显示本人邮箱的帐号和密码）

从捕获的包中，我们可以发现大量有用信息，下面我们详细介绍。过滤后抓包，还是有很多信息包，我们要在Summary里面找到POST类型的数据包239（图中窗口1深色的那个），大多数信息就在这个包中，图中窗口3数据显示B主机浏览的是新浪网站邮箱，在窗口3的低端，我们可以看到这样的信息&u=wantao217&psw=wantao217,这就表明B主机在新浪网站上曾经输入过用户名wantao217和密码wantao217,B主机的重要信息就这样泄漏了。这说明了HTTP中的数据是以明文形式传输的，在捕获的数据包中可以分析到被监听主机的任何行为。在捕获报文窗口中看出数据包236是TCP连接，D=80，S=1191，DestAddress=51，表明目的端口是80，主机端口是1191，说明我们连接的是IP地址为51的HTTP服务器（HTTP服务器占用80端口）。窗口1中捕获的数据包236、237、238显示了TCP连接过程中的三次握手，如下图所示。客户发出SYN客户端服务器发出SYN/ACK客户发出ACK客户端服务器发出SYN/ACK客户发出ACK服务器端数据包236显示主机向服务器发出了HTTP连接请求。数据中包含SYN（SYN=2604516000），数据包237是服务器向主机发送的数据。数据中对刚才主机发送的包进行了确认（ACK=2604516001），并表明自己的ISN=1445560998,此时，TCP连接已经完成了两次握手。数据包238显示了第三次握手，从而完成了TCP连接，此包中，主机对服务器发出的数据包进行了确认（ACK=1445560999），这表明整个建立过程没有数据包丢失，连接成功。从窗口2分析TCP包头结构，在窗口2中选中一项，在窗口3（十六进制内容）中都会有相应的数据与之对应，每一字段都会与TCP包头结构一致。任务三捕获FTP数据包并进行分析1） 同任务二。2） 同任务二。3） 点击菜单中的“Capture一DefineFilter一Advanced”，选中“IP一TCP一FTP”，然后点击OK。4） 同任务二。5） 同任务二。6） B主机开始登陆一个FTP服务器。接着打开FTP的某个目录。7） 同任务二。8） 停止抓包后，点击窗口左下角的“Decode”选项，窗中会显示所捕捉的数据，并分析捕获的数据包（请截图1个，含Sniffer菜单、窗口1和窗口3，其