信安实验报告1网络嗅探实验

湖南大学 湖南大学信息安全专业 信息安全原理课程试验试验一 网络嗅探试验试验一 网络嗅探试验一、简洁阐述试验原理网络嗅探器Sniffer的原理

接收目的地址是本级硬件地址的数据帧Broadcast〔接收全部类型为播送报文的数据帧〕，multicast〔接收特定的组播报文〕，promiscuous〔目的硬件地址不检查，全部接收〕MAC地址来查找目的主机。每个网络接口都有一个互不一样的硬件地址〔MAC地址〕，同时，每个网段有一个在此网段中播送数据包的播送地址一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的播送地址的数据帧机都将接收通过Sniffer工具，将网络接口设置为“混杂”模式。可以监听此网络中传输的全部数据帧。从而可以截获数据帧，进而实现实时分析数据帧的内容。数据传输有两种方式：主动和被动模式。关于被动模式与主动模式书上这么解释来着。FTP供给了两种传输模式，一种是Port〔主动模式〕，一种是Passive被动模式。这个主被动指的是效劳器端。20371621〔应当是在握手后中确定的吧port3716+1，告知效劳效劳器端坚决371720与3717建立连接〔这就是主动进展数据连接〕20与客户端3717来文件的213616效劳器端的，在本地随机生成〔1025-65535〕。息，写出对应捕获的报文窗口中的summary〔概要〕代码，并推断出监测主机的系列行为。1湖南大学 湖南大学信息安全专业 信息安全原理课程试验试验一 网络嗅探试验任务二：有用信息：ftp目的端口：21发起连接的源地址：28源端口：10643次握手的数据包及其对应的TCPtcpMACIPTCP层封装。D=21 S=1024SYN SEQ=655528718 LEN=20 WIN=64240其次个tcp恳求，效劳器端告知客户端已经建立好了连接。D=1024 S=21SYN ACK＝655528718SEQ=1267818063 WIN=64240第三次tcp握手，客户端告知效劳器端已经建立好了连接，可以传送数据了。D=21 S=1024SYN ACK=1267818063 WIN=64240登陆的用户名及密码：USERanonymous匿名用户目标主机扫瞄过的名目和文件：/pub/netlib/a/进展的操作：下载.master推断监测主机的系列行为：IP28的客户端连接到IP/pub/netlib/apub/的名目下，下载了.mastersummary〔概要〕代码：客户机发送了USERanonymous，匿名登陆LIST-al命令，显示名目下的文件CWDnetlib，去下一层名目/pub/netlibPWD命令CWDa，去下一层名目/pub/netlib/aTYPEI命令,SIZE.master命令MDTM.master命令PASV命令RETR.master命令,，客户端要求数据传输.master文件任务二过程：首先使用了两台xpWindowsXPProfessionalWindowsXP2，分别装上了snifferflashxp。主机连接校园无线，查看IP地址主机GHOSTWIN7SP1x64 IP:67 网关：2湖南大学 湖南大学信息安全专业 信息安全原理课程试验试验一 网络嗅探试验虚拟机WindowsXPProfessional IP:29 网关：虚拟机WindowsXP2 IP:28 网关：三台机子之间可以相互ping，此时可以确定虚拟机之间可以相互监听虚拟机WindowsXPProfessionalsniffer,FTP协议的数据包，开3湖南大学 湖南大学信息安全专业 信息安全原理课程试验试验一 网络嗅探试验始捕获WindowsXP2flashxp软件，快速建立连接，连接FTP效劳器站点：。在此站点上传或者下载文件。连接显示：4湖南大学 湖南大学信息安全专业 信息安全原理课程试验试验一 网络嗅探试验只选择192,.169.128.128来显示：5湖南大学 湖南大学信息安全专业 信息安全原理课程试验试验一 网络嗅探试验停顿显示，看数据包解码：ftp:登陆：效劳器发送“220vsFTPD2.0.5”，已连接，返回了效劳器名，vsftpd是一个UNIX类操作系统上运行的效劳器的名字3.效劳器返回“3313.效劳器返回“331pleasespecifythepassword”，要求给出确定密码。可知，效劳端已经于效劳器端建立了一次通信。那么，此时就能够推断该用户是否合法。客户端向效劳器端发送PASS命令，后边紧跟着传送密码〔明码〕那么效劳端确定会依据前后传送的用户名和密码，进展验证。效劳器返回“230Loginsuccessful230，说明用户凭据有效，登录成功查看名目：客户端向效劳器端发送SYST命令,询问操作系统类型效劳器返回“215UNIXType:L8”,效劳器反响是unix客户端向效劳器端发送FEAT命令,效劳器返回“211-Features”客户端向效劳器端发送EPRT命令,效劳器返回“EPSV、MDTM、PASV、RESTSTREAM、SIZE、TVFS”客户端向效劳器端发送PWD命令效劳器返回“257/”,效劳器响应根名目6湖南大学 湖南大学信息安全专业 信息安全原理课程试验试验一 网络嗅探试验客户端向效劳器端发送PASV命令15.227EnteringPasssiveMode(159,226,92,9,228,238)”,去下一层名目/pub/netlib客户端向效劳器端发送LIST-al命令，告知效劳端列出路径下名目和文件效劳器返回“Herecomesthedirectorylistening效劳器返回“226DirectorysendOK”,效劳端列出路径下名目和文件客户端向效劳器端发送CWDnetlib命令，要求去到netlib名目下效劳器返回“250directorysuccessfullychanged”,,效劳器响应名目已转变客户端向效劳器端发送PWD命令,效劳器返回“257/pub/netlib”,效劳器返回要求名目客户端向效劳器端发送PASV命令,24.227EnteringPasssiveMode(159,226,92,9,228,238)”,去下一层名目/pub/netlib/a客户端向效劳器端发送LIST-al命令，显示名目下的文件效劳器返回“Herecomesthedirectorylistening效劳器返回“226DirectorysendOK”,客户端向效劳器端发送CWDa命令，要求去到netlib名目下效劳器返回“250directorysuccessfullychanged”,效劳器响应名目已转变客户端向效劳器端发送PWD命令,效劳器返回“257/pub/netlib/a”,效劳器返回要求名目客户端向效劳器端发送PASV命令,33.227EnteringPasssiveMode(159,226,92,9,73,162)”,下载.master客户端向效劳器端发送LIST-al命令，显示名目下的文件效劳器返回“150Herecomesthedirectorylistening效劳器返回“226DirectorysendOK”,(62)客户端向效劳器端发送TYPEI命令,(64)效劳器返回“20SwitchingtoBinarymode”,(65)客户端向效劳器端发送SIZE.master命令,40.(67)效劳器返回“213917”,41.(68)客户端向效劳器端发送MDTM.master命令,42.(70)效劳器返回“21319960903025128”客户端向效劳器端发送PASV命令效劳器返回“227EnteringPasssiveMode(159,226,92,9,247,9)”,效劳器端响应为227，表示进入被动模式。效劳端收到该命令后会开一个的端口P进展监听，同时将该端P会告知效劳端。客户端向效劳器端发送RETR.master命令,，客户端要求数据传输.master文件效劳器返回“150OpeningBINARYmodedataconnectionfor.master(97bytes)226FilesendOK.”效劳端告知，数据开头传送。效劳器二进制流传输文件完成。连接断开效劳器发送“421Timeout”,连接超时，断开连接7湖南大学 湖南大学信息安全专业 信息安全原理课程试验试验一 网络嗅探试验受害者的日志：[15:27:15]Winsock2.2--OpenSSL1.0.2a19Mar2015[15:27:31][R]正在连接到->DNS=IP=PORT=21[15:27:31][R]已连接到[15:27:31][R]220(vsFTPd2.0.5)[15:27:31][R]USERanonymous[15:27:32][R]331Pleasespecifythepassword.[15:27:32][R]PASS(hidden)[15:27:32][R]230Loginsuccessful.[15:27:32][R]SYST[15:27:32][R]215UNIXType:L8[15:27:32][R]FEAT[15:27:32][R]211-Features:[15:27:32][R]EPRT[15:27:32][R]EPSV[15:27:32][R]MDTM[15:27:32][R]PASV[15:27:32][R]RESTSTREAM[15:27:32][R]SIZE[15:27:32][R]TVFS[15:27:32][R]211End[15:27:32][R]PWD[15:27:32][R]257“/“[15:27:32][R]PASV[15:27:32][R]227EnteringPassiveMode(159,226,92,9,198,180)[15:27:32][R]正在翻开数据连接IP:端口:50868[15:27:32][R]LIST-al[15:27:32][R]150Herecomesthedirectorylisting.[15:27:32][R]226DirectorysendOK.[15:27:32][R]列表完成:314字节耗时0.37秒(0.3KB/s)[15:27:36][R]CWDnetlib[15:27:36][R]250Directorysuccessfullychanged.[15:27:36][R]PWD[15:27:37][R]257“/pub/netlib“[15:27:37][R]PASV[15:27:37][R]227EnteringPassiveMode(159,226,92,9,27,153)[15:27:37][R]正在翻开数据连接IP:端口:7065[15:27:37][R]LIST-al[15:27:37][R]150Herecomesthedirectorylisting.[15:27:37][R]226DirectorysendOK.[15:27:37][R]列表完成:13KB耗时0.58秒(13.1KB/s)[15:27:40][R]CWDa8湖南大学 湖南大学信息安全专业 信息安全原理课程试验试验一 网络嗅探试验[15:27:40][R]250Directorysuccessfullychanged.[15:27:40][R]PWD[15:27:40][R]257“/pub/netlib/a“[15:27:40][R]PASV[15:27:40][R]227EnteringPassiveMode(159,226,92,9,250,195)[15:27:40][R]正在翻开数据连接IP:端口:64195[15:27:41][R]LIST-al[15:27:41][R]150Herecomesthedirectorylisting.[15:27:44][R]226DirectorysendOK.[15:27:44][R]列表完成:2KB耗时4秒(0.7KB/s)[15:27:52][R]TYPEI[15:27:52][R]200SwitchingtoBinarymode.[15:27:52][R]SIZE.master[15:27:52][R]21397[15:27:52][R]MDTM.master[15:27:52][R]21319960903025128[15:27:55][R]PASV[15:27:55][R]227EnteringPassiveMode(159,226,92,9,100,210)[15:27:55][R]正在翻开数据连接IP:端口:25810[15:27:55][R]RETR.master[15:27:55][R]150OpeningBINARYmodedataconnectionfor.master(97bytes).任务三：连接的目的地址：52目的端口：80发起连接的源地址：2源端口：2379Cookie:BIDUSID=59DE2F3966ED0FEF0F2AE3E157A9889登陆邮箱的用户名:1217029271%40qq密码：3次握手的数据包：学生A发送的数据包和接收的数据包：登陆邮箱失败后释放连接的数据包及其对应的TCP协议包头构造各字段数据：连接的目的地址：30目的端口：80发起连接的源地址：2源端口：2231Cookie:SINAGLOBAL=7379895419982.32.1431678692996ULV=1431678838106“mailto:un%3D1217029271@qq“un=1217029271@qqWvr=6Login_sid=663dfc9c8b9湖南大学 湖南大学信息安全专业 信息安全原理课程试验试验一 网络嗅探试验登陆邮箱的用户名:1217029271%40qq密码：3次握手的数据包：学生A发送的数据包和接收的数据包：登陆邮箱失败后释放连接的数据包及其对应的TCP协议包头构造各字段数据：(2327)get/wbsso/bogin?url=%3〔2337〕get恳求页面/ajaxlogin.php?framelogin=1&callback=parent.sinaSSOController.feedBackUrlCallBack&sudaref=weibo(2738) get恳求页面/feed.gif?uid=2716009333&time=1431678864&mid=3842801274397239&sub_num=&grid_id=1过程：第一次:〔4〕