网络监听实验(二)

实验二网络扫描与网络监听姓名：学号：班级：2班实验组别：同组实验者姓名：指导教师：章恒日期：成绩：【实验报告要求】1．阐述网络监听技术的原理。

Ethernet协议的工作方式是将要发送的数据包发往连接在一起的所有主机。

在包头中包括有应该接收数据包的主机的正确地址，因为只有与数据包中目标地址一致的那台主机才能接收到信息包，但是当主机工作在监听模式下的话不管数据包中的目标物理地址是什么，主机都将可以接收到。

许多局域网内有十几台甚至上百台主机是通过一个电缆、一个集线器连接在一起的，在协议的高层或者用户来看，当同一网络中的两台主机通信的时候，源主机将写有目的的主机地址的数据包直接发向目的主机，或者当网络中的一台主机同外界的主机通信时，源主机将写有目的的主机IP地址的数据包发向网关。

但这种数据包并不能在协议栈的高层直接发送出去，要发送的数据包必须从TCP/IP协议的IP层交给网络接口，也就是所说的数据链路层。

网络接口不会识别IP地址的。

在网络接口由IP层来的带有IP地址的数据包又增加了一部分以太帧的帧头的信息。

在帧头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址这是一个48位的地址，这个48位的地址是与IP地址相对应的，换句话说就是一个IP地址也会对应一个物理地址。

对于作为网关的主机，由于它连接了多个网络，它也就同时具备有很多个IP地址，在每个网络中它都有一个。

而发向网络外的帧中继携带的就是网关的物理地址。

Ethernet中填写了物理地址的帧从网络接口中，也就是从网卡中发送出去传送到物理的线路上。

如果局域网是由一条粗网或细网连接成的，那么数字信号在电缆上传输信号就能够到达线路上的每一台主机。

再当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每一条线路。

这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。

当数字信号到达一台主机的网络接口时，正常状态下网络接口对读入数据帧进行检查，如果数据帧中携带的物理地址是自己的或者物理地址是广播地址，那么就会将数据帧交给IP层软件。

实验2 网络数据包的监听与分析一实验目的1.掌握使用Wireshark软件监听和捕获网络数据包。

2.掌握通过实际观察网络数据进行分析而了解网络协议运行情况。

二实验要求1.设备要求：计算机若干台（装有Windows 2000/XP/2003操作系统、装有网卡），局域网环境，主机装有Wireshark工具。

2.每组1人，独立完成。

三实验预备知识1.Wireshark简介Wireshark是一个开放源码的网络分析系统，也是是目前最好的开放源码的网络协议分析软件之一，支持Linux和Windows平台，支持500多种协议分析。

网络分析系统首先依赖于一套捕捉网络数据包的函数库。

这套函数库工作在在网络分析系统模块的最底层。

作用是从网卡取得数据包或者根据过滤规则取出数据包的子集，再转交给上层分析模块。

从协议上说，这套函数库将一个数据包从链路层接收，将其还原至传输层以上，以供上层分析。

在Linux系统中，1992年Lawrence Berkeley Lab的Steven McCanne 和Van Jacobson提出了包过滤器，称之为BPF（BSD Packet Filter），设计了基于BPF的捕包函数库Libpcap。

在Window系统中，意大利人Fulvio Risso和Loris Degioanni提出并实现了Winpcap函数库，其实现思想来源于BPF。

2.Wireshark的简单操作方法安装Wireshark之前，需要安装Winpcap，安装过程比较简单。

安装完成后，启动Wireshark，如图2.1所示。

图2.1 启动Wireshark后的界面设置Capture选项。

选择“Capture”-“Options”，弹出“Capture Options”界面，设置完成后点击“Capture”而开始捕获数据，如图2.2所示。

图2.2 “Capture Options”界面在“Capture Options”界面中，主要选项如下：•“Interface”是要求选择在哪个接口（网卡）上抓包。

计算机与信息科学学院实验报告（2012—2013学年第一学期）课程名称：网络安全实验班级：学号：姓名：任课教师：计算机与信息科学学院实验报告（二）、实验步骤：1、安装Wireshark（1）双击文件夹中的可执行文件，如图1所示。

图1 Wireshark的可执行文件(2)该对话框时一个安装提示，如果之前没有安装过该文件，则点击下一步，如图2所示。

图2 确认对话框（3）图3所示是一个关于该软件的许可证说明，可以忽略，点击下一步。

图3 Wireshark的许可说明（4）在图4中罗列出来的是一些可选安装组件，可根据实际需要选择安装图4 选择安装组件（5）以下是关于该软件的图标创建位置和支持的文件拓展，图标部分可根据实际情况选择，然后点击下一步，如图5所示。

图5 快捷方式（6）程序的安装位置，这里选择默认，点击下一步。

图6 程序安装位置（7）安装WinPcap插件，在这一步必须勾选安装，不然无法进行以下的实验。

图7 勾选WinPcap插件（8）下面开始进入WinPcaP插件的安装过程，点击下一步，如图8所示。

图8 安装WinPcaP（9）这一步是对WincaP插件的介绍，可以不用理会，继续下一步。

图9 WinPcaP介绍（10）WinPcaP的许可协议，点击“I Agren”，如图10所示。

图10 许可协议（10）在系统引导时自动启动该插件，默认选择，点击“Install”，如图11所示。

图11 WinPcaP的自动启动（11）经过了那么多步，终于到尽头了。

直接点“Finish”，结束WinPcaP的安装。

图12 WinPcaP安装结束（12）插件安装完了，点击下一步，如图13所示。

图13 Wireshark安装结束（13）Wireshark安装的最后一步，勾选“Run Wireshark……”，点击“Finish”图14 Wireshark成功安装2、Wireshark的基本操作（1）在ip为192.168.0.4的虚拟主机上双击安装好的Wireshark可执行文件“Wireshake.exe”，弹出Wireshark操作界面。

实验二网络嗅探【实验目的】1.了解ARP、ICMP等协议明文传输的特性；2.了解局域网内的监听手段；3.掌握Wireshark嗅探器软件的使用方法；4.掌握对嗅探到的数据包进行分析的基本方法，并能够对嗅探到的数据包进行网络状况的判断。

【实验环境】两台以上装有Windows XP以上操作系统的计算机。

【实验原理】(1)嗅探原理网络监听是一种常用的被动式网络攻击方法，能帮助入侵者轻易获得用其他方法很难获得的信息，包括用户口令、账号、敏感数据、IP地址、路由信息、TCP套接字号等。

管理员使用网络监听工具可以监视网络的状态、数据流动情况以及网络上传输的信息。

嗅探器（Sniffer）是利用计算机的网络接口截获发往其他计算机的数据报文的一种技术。

它工作在网络的底层，将网络传输的全部数据记录下来。

嗅探器可以帮助网络管理员查找网络漏洞和检测网络性能。

嗅探器可以分析网络的流量，以便找出所关心的网络中潜在的问题。

不同传输介质网络的可监听性是不同的。

一般来说，以太网(共享式网络)被监听的可能性比较高，因为以太网(共享式网络)是一个广播型的网络。

微波和无线网被监听的可能性同样比较高，因为无线电本身是一个广播型的传输媒介，弥散在空中的无线电信号可以被很轻易地截获。

在以太网中，嗅探器通过将以太网卡设置成混杂模式来捕获数据。

因为以太网协议工作方式是将要发送的数据包发往连接在一起的所有主机，包中包含着应该接收数据包主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收。

但是，当主机工作在监听模式下，无论数据包中的目标地址是什么，主机都将接收（当然自己只能监听经过自己网络接口的那些包）。

在Internet上有很多使用以太网协议的局域网，许多主机通过电缆、集线器连在一起，当同一网络中的两台主机通信的时候，源主机将写有目的主机地址的数据包直接发向目的主机。

但这种数据包不能在IP层直接发送，必须从TCP/IP协议的IP层交给网络接口，也就是数据链路层，而网络接口是不会识别IP地址的，因此在网络接口数据包又增加了一部分以太帧头的信息。

实验名称网络监听与数据包修改工具使用练习实验目的通过实验，使学生掌握协议分析工具的使用方法，能够利用协议分析工具分析数据包的内容，更加深入理解IP/TCP/HTTP协议。

另外，了解Firefox浏览器调试工具以及netcat工具的基本使用方法。

实验平台以win2003为主机，ubuntu为服务器实验工具1. 掌握网络抓包分析工具WireShark的使用2. 掌握IP/TCP/HTTP协议分析技能3. 掌握Firefox浏览器调试工具的使用4. 掌握netcat工具的使用实验步骤【实验原理】WiresharkWireshark是一个有名的网络端口探测器，是可以在Windows、Unix等各种平台运行的网络监听软件，它主要是针对TCP/IP协议的不安全性对运行该协议的机器进行监听。

其功能相当于Windows下的Sniffer，都是在一个共享的网络环境下对数据包进行捕捉和分析，而且还能够自由地为其增加某些插件以实现额外功能。

其最常用的功能是被攻击者用来检测被攻击电脑通过23（telnet）和110（pop3）端口进行的一些明文传输数据，以轻松得到用户的登录口令和邮件账号密码。

对于网络管理员来说，也可以通过抓包分析，来确定一些异常的流量和局域网内部的非正常用户与外界的通信，比如说对于现在比较占用网络带宽的诸如Bit Torrent等P2P应用软件流量，通过使用该软件确定这些流量，网络管理员就可以使用流量控制（TC）的方法来规范、合理的分配带宽资源，提高网络的利用率。

Wireshark可以在/download/ 上下载，该软件有极其方便和友好的图形用户界面，并且能够使得用户通过图形界面的配置和选择，针对多块网卡、多个协议进行显示，效果非常好。

目前最新版本为：Wireshark 0.99。

Wireshark安装后自动安装winpcap 4.0 ，Winpcap是UNIX下的libpcap移植到windows下的产物,他是一个GPL项目。

一、实验名称网络窃听实验二、实验目的1. 理解网络窃听的概念和危害。

2. 学习使用网络窃听工具进行实验操作。

3. 掌握网络窃听的基本防御方法。

4. 增强网络安全意识，提高网络安全防护能力。

三、实验时间[填写实验时间]四、实验地点[填写实验地点]五、实验设备1. 实验主机：[填写实验主机型号及配置]2. 实验网络：[填写实验网络拓扑结构]3. 网络窃听工具：[填写使用的网络窃听工具名称]4. 防火墙：[填写使用的防火墙型号及配置]六、实验步骤1. 环境搭建- 搭建实验网络，确保实验主机可以正常连接到网络。

- 配置防火墙，确保实验过程中网络安全。

2. 网络窃听实验- 使用网络窃听工具，对实验网络进行监听。

- 观察并记录网络中的数据包传输情况，重点关注HTTP、HTTPS、FTP等协议的数据包。

- 分析窃听到的数据包，了解网络中的通信内容。

3. 网络窃听防御实验- 尝试使用加密技术对通信数据进行加密，观察网络窃听工具是否能够成功窃听。

- 尝试使用虚拟专用网络（VPN）技术进行通信，观察网络窃听工具是否能够成功窃听。

- 尝试修改通信协议，如使用自定义协议，观察网络窃听工具是否能够成功窃听。

七、实验结果与分析1. 网络窃听结果- [填写实验中监听到的网络数据包类型、数量等信息]- [填写实验中监听到的敏感信息，如用户名、密码、银行账户等]2. 网络窃听防御结果- [填写实验中使用加密技术、VPN技术、自定义协议等防御方法的效果]- [填写实验中未成功防御的网络窃听方式及原因]3. 实验分析- 分析网络窃听实验结果，总结网络窃听的特点和危害。

- 分析网络窃听防御实验结果，总结网络窃听的基本防御方法。

八、实验总结1. 通过本次实验，了解了网络窃听的概念、危害和防御方法。

2. 增强了网络安全意识，提高了网络安全防护能力。

3. 认识到网络安全的重要性，为今后的工作和生活奠定了基础。

九、实验建议1. 加强网络安全意识教育，提高全体员工的网络安全防护能力。

实验说明：实验报告需要打印出来进行提交，每份实验报告注明您的学号、姓名；只需要记录实验步骤和结果即可。

（如果发现抄袭，本次实验成绩为零）实验二：网络监听工具的安装使用实验场景本次实验需在小组合作的基础之上完成。

每个小组由两位成员组成，相互之间通信，通过网络监听工具截取通信数据包，分析数据包完成实验内容。

小组情况表:一、基本要求通过本次实验，学生可以掌握如下基本操作：（1）、使用网络监听工具；（2）、熟悉网络监听工具的原理及被监听的危害；二、实验内容1、通过ipconfig命令获取本机IP地址,并填写上面的小组情况表。

2、下载网络监听工具ethereal和winpcap并安装；（1）、首先安装winpcap；（2）、安装ethereal。

3、从本机ping小组另一位成员的计算机，使用ethereal截取ping过程中的通信数据。

4、分析截取的由于第3步操作而从本机发送到目的机的数据帧中的IP数据报并填写下表。

5、分析截取的由于第3步操作而从目的机返回到本机的数据帧中的IP数据报并填写下（1）启动Telnet服务：方法一：我的电脑（右键）------管理-----服务和应用程序----服务，在其中找到telnet 服务（telnet服务默认情况是“禁止”了）设置为“手动”并开启服务。

方法二：在运行中输入cmd，在dos中先输入（windows 2003中输入： sc config tlntsvr start= auto,在windows xp输入：sc config telnet start = auto),再输入net start telnet.（2）然后使用dir文件查看对方C盘根目录下的文件系统结构，最后使用exit命令退出。

使用截取操作中的通信数据。

7、分析截取的由于第6步操作而从本机发送到目的机的数据帧中的TCP数据报并填写下表。

表。

三、实验报告1、记录实验内容各步骤的实验结果。

实验二一、实验名称：网络侦听实验二、实验学时：4三、实验内容和目的：实验目的：通过使用Sniffer（嗅探）工具，实现捕捉ARP、ICMP、FTP等协议的数据包，以理解TCP/IP协议栈中多种协议的数据结构、会话连接建立和终止的过程、TCP序列号、应答序号的变化规律。

并且通过实验了解FTP、HTTP等协议明文传输的特性，以建立安全意识，防止FTP、HTTP等协议由于传输明文密码造成的泄密。

实验内容：1.地址解析协议（ARP）实验2.网络路径跟踪（TRACE）实验3.TCP连接实验四、实验原理：（一）地址解析协议（ARP）实验本实验中，所有计算机位于一个物理网络中：所有计算机通过以太网交换机连接在一个以太网中。

该物理网络中没有连接路由器。

同时，所有计算机也位于同一个IP网络中。

IP分组在以太网中发送时，除了要有接收站的IP地址（IP分组中的目的IP 地址）外，还需要接收站的MAC地址（以太网帧中的目的MAC地址）。

ARP协议将IP地址（逻辑地址）动态映射为MAC地址（物理地址）。

实验中两人一组，在“未知”（使用命令arp -d * 清空ARP缓存表）和“已知”IP网络内通信时所需地址映射（目的IP地址，目的MAC地址）这两种情况下，先后使用计算机上的通信测试命令（ping）发起一次通信过程，并通过使用Sniffer软件捕获通信过程中通信双方的交互信息。

比较两次通信过程中所捕获的分组数量、分组类型和分组内容，分析ARP协议的工作原理，包括：ARP 分组（ARP请求分组和ARP应答分组）的产生条件、具体内容和传输方式。

每个实验者使用计算机上的ARP缓存表查看命令（arp -a），查看本小组的ARP协议操作结果和ARP缓存表内容，了解ARP缓存表的形成及其在ARP协议操作过程中的作用。

（二）网络路径跟踪（TRACE）实验本实验中，每个实验小组中的计算机分别连接在两个以太网中，每个以太网被配置为一个IP子网，4台路由器按照实验拓扑结构互连这两个IP子网。

实验（一）项目名称：网络监听一．网络监听的原理对于目前很流行的以太网协议，其工作方式是：将要发送的数据包发往连接在一起的所有主机，包中包含着应该接收数据包主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收。

但是，当主机工作监听模式下，无论数据包中的目标地址是什么，主机都将接收（当然只能监听经过自己网络接口的那些包）。

二．实施方案1.抓包工具Wireshark（前称Ethereal）是一个网络封包分析软件。

网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。

Wireshark是世界上最流行的网络分析工具。

这个强大的工具可以捕捉网络中的数据，并为用户提供关于网络和上层协议的各种信息。

与很多其他网络工具一样，Wireshark也使用pcap network library来进行封包捕捉。

视窗数据包捕获（WinPcap的） :WinPcap的是Windows版本的libpcap库，它包括一个驱动程序以支持捕获数据包。

Wireshark的使用这个库来捕获Windows Live网络上的数据.2.数据包分析捕获到的数据包：帧号时间源地址目的地址高层协议包内信息概况No. Time Source Destination Protocol Info根据条件删选数据包：ip.dst==110.65.98.60&&http数据包分析，具体分为以下几个部分：第一部分：到达时间：2014年1月6日 12:51:04.016124000新纪元时间：1388983924秒捕获该帧与前一帧的时间间隔是0.014120000秒显示陈列出该帧与前一帧的时间间隔是0.014120000秒从捕获第一帧到捕获该帧所用时间为388.095秒帧号（相对）：140297该帧的长度是544字节（4352比特）捕获的的帧长度544字节（4352比特）帧包含的协议：UDP/IP等第二部分：物理层的信息，包含了源端和目的端的物理地址第三部分：IP层数据段头部信息源地址：110.65.68.194目的地址：110.65.98.60版本号：IPv4头部长度：20字节区分服务域：0x2203分段策略：不分段TTL（生存时间）：64传输协议：TCP头部校验和：0x0000(接受不正确)第四部分：传输层TCP数据段头部信息源端口名称（端口号）：62353（62353）目的端口名http：（8080）序列号（相对序列号）：1头部长度：20 bytesTCP标记字段：Flags: 0x18 (PSH，ACK)流量控制的窗口大小：16425TCP数据段的校验和：Checksum: 0xa385第五部分：http协议语言中文：用户代理，浏览器的类型是Netscape浏览器；括号内是相关解释激活连接：可接受编码，文件格式：目标所在的主机：允许站点跟踪用户：访问的网址：3.机密资料的获取与验证获取：验证：与自己输入的用户名和密码一致。

实验名称网络监听与数据包修改工具使用练习实验目的通过实验，使学生掌握协议分析工具的使用方法，能够利用协议分析工具分析数据包的内容，更加深入理解IP/TCP/HTTP协议。

另外，了解Firefox浏览器调试工具以及netcat工具的基本使用方法。

实验平台以win2003为主机，ubuntu为服务器实验工具1. 掌握网络抓包分析工具WireShark的使用2. 掌握IP/TCP/HTTP协议分析技能3. 掌握Firefox浏览器调试工具的使用4. 掌握netcat工具的使用实验步骤【实验原理】WiresharkWireshark是一个有名的网络端口探测器，是可以在Windows、Unix等各种平台运行的网络监听软件，它主要是针对TCP/IP协议的不安全性对运行该协议的机器进行监听。

其功能相当于Windows下的Sniffer，都是在一个共享的网络环境下对数据包进行捕捉和分析，而且还能够自由地为其增加某些插件以实现额外功能。

其最常用的功能是被攻击者用来检测被攻击电脑通过23（telnet）和110（pop3）端口进行的一些明文传输数据，以轻松得到用户的登录口令和邮件账号密码。

对于网络管理员来说，也可以通过抓包分析，来确定一些异常的流量和局域网内部的非正常用户与外界的通信，比如说对于现在比较占用网络带宽的诸如Bit Torrent等P2P应用软件流量，通过使用该软件确定这些流量，网络管理员就可以使用流量控制（TC）的方法来规范、合理的分配带宽资源，提高网络的利用率。

Wireshark可以在/download/ 上下载，该软件有极其方便和友好的图形用户界面，并且能够使得用户通过图形界面的配置和选择，针对多块网卡、多个协议进行显示，效果非常好。

目前最新版本为：Wireshark 0.99。

Wireshark安装后自动安装winpcap 4.0 ，Winpcap是UNIX下的libpcap移植到windows下的产物,他是一个GPL项目。

【实验说明】实验开始前，首先使用分组切换器将实验主机切换到理论学习环境中；将智能网络设备的网络结构切换到“网络结构一”；主机A、B、C、D、E、F使用【快照】将Linux虚拟机恢复到“网络结构1”的状态；该实验每组2人，主机A和B作为一组，主机C和D作为一组，主机E和F作为一组，实验步骤以主机A、B所在组为例进行说明，其它组的操作参考主机A、B所在组的操作。

主机C、E的操作与主机A的相同，主机D、F的操作与主机B的相同。

1. 实验准备(1) 实验环境初始化配置主机A单击工具栏中的【安装服务】按钮，进行实验环境的初始化。

2. telnet登录的不安全性验证(1) 主机A单击工具栏中的【Snort】按钮，启动2个snort控制台，分别命名为控制台1和控制台2。

主机A在控制台1中输入如下命令监听主机A的网络行为。

snort –dev src net 主机A的IP地址主机A在控制台2中输入如下命令监听主机B的网络行为。

snort –dev src net 主机B的IP地址其中src net为过滤条件，表示源IP地址，通过上述命令Snort仅监听捕获源IP地址为主机A和主机B 的网络数据包。

(2) 主机B单击工具栏中的【控制台】按钮，启动控制台。

主机B使用telnet远程登录主机A(用户名test，口令testpass)。

主机A观察Snort捕获数据。

可以发现主机间的信息传输都为明文传输方式，可以在控制台2中捕获到telnet的登录用户名与口令。

(3) 主机B使用“exit”命令退出telnet登录。

3. FTP传输的不安全性验证(1) 主机A重新启动Snort监听捕获源IP地址为主机A和主机B的网络数据包。

(2) 主机B使用命令“ftp 主机A的IP地址”匿名登录主机A(用户名：anonymous，口令：aa@)。

主机B使用命令“get try.txt”下载try.txt文件至本地。

(3) 主机A键入Ctrl+C停止Snort监听，观察捕获信息(TCP负载数据)。

实验二网络管理与监视综合实验【实验目的】通过本实验掌握网络管理软件和流量分析软件在局域网中的应用、基本配置和操作技能，掌握交换机SNMP配置、端口镜像以及流量监测等技术在园区网中的应用和配置方法。

实验前学生应具备以下知识：✓了解以太网交换机SNMP、端口镜像的基本配置和管理方法。

✓了解网络管理软件和流量分析软件的基本工作原理。

【实验类型】综合型设计型实验【实验环境】✓每两排一个S3600/S3526，两个S3100交换机，一个S2403/S3050交换机，。

【实验内容】以下实验内容可根据实验室的具体情况和课时安排的变化进行适当的调整，实验内容中的思考题以书面形式解答并附在实验报告的后面。

本次实验的主要项目包括以下几个方面：☑配置交换机SNMP Agent。

☑安装、配置网管软件SNMPc。

☑配置交换机端口镜像功能。

☑安装、配置网络嗅探软件和协议分析软件对指定端口计算机流量进行监视。

一、实验案例需求场景描述：如图1所示，信息学院某局域网有三个交换机和若干Windows 服务器，现需要对这些设备通过SNMP进行管理，管理区域的Communitiy设置为。

此外，为实现网络故障分析和安全监控，需要对特定网段或主机进行监视，如图2所示。

图1 SNMP实验模拟环境图2 网络监视实验模拟环境实验基本需求：1）设置各个交换机SNMP相关配置。

2）安装、配置SNMPc网管工作站，实现对各个交换机的远程检测和管理。

3）配置Windows 2000 Server的SNMP服务，使其支持网管软件进行远程监视。

4）配置交换机端口镜像，安装科来或SnifforPro到监控计算机，实现对选定计算机和级联链路进行流量分析。

【思考题】1）SNMP的Community名有何用途？2）SNMPc发现代理的种子设在哪里可以学习到全网的拓扑？3）网络数据捕获和协议分析软件通常在网络中应该如何部署？二、配置方法1．SNMP配置SNMP（Simple Network Management Protocol，简单网络管理协议）是使用TCP/IP协议族对互联网上的设备进行管理的一个框架，它提供一组基本的操作来监视和维护互联网。

网络监听实验报告网络监听实验报告随着互联网的普及和发展，网络安全问题日益凸显。

为了保护个人隐私和信息安全，各国政府和组织纷纷进行网络监听实验，以便更好地了解网络环境和保障国家安全。

本文将就网络监听实验进行探讨和分析。

一、实验目的和背景网络监听实验旨在通过监控网络流量和数据传输，掌握网络中的信息传递和交流情况，以便及时发现和防范网络攻击、恶意软件传播等安全威胁。

此外，网络监听实验还可以帮助政府了解社会舆论和民意动态，为政策制定提供参考依据。

二、实验方法和工具网络监听实验主要采用以下几种方法和工具：1. 流量监测：通过监控网络流量，包括入站和出站的数据包，了解网络中的信息传递情况。

常用的工具有Wireshark、Tcpdump等。

2. 数据包分析：对捕获的数据包进行深入分析，提取关键信息和数据，如IP地址、端口号、协议类型等。

这些信息可以用于判断网络流量的来源和目的地。

3. 恶意软件检测：通过监测网络中的恶意软件传播情况，及时发现和阻止网络攻击。

常用的工具有Snort、Suricata等。

4. 社交媒体监测：通过监控社交媒体平台上的信息传播和用户互动，了解社会舆论和民意动态。

常用的工具有Hootsuite、Brandwatch等。

三、实验结果和分析通过网络监听实验，可以获得大量的数据和信息，对网络环境和安全威胁进行分析和评估。

以下是一些实验结果和分析：1. 网络攻击：通过流量监测和数据包分析，我们发现了一些网络攻击行为，如DDoS攻击、SQL注入等。

这些攻击行为可能会导致网络服务中断、数据泄露等严重后果。

及时发现和应对这些攻击，对维护网络安全至关重要。

2. 恶意软件传播：通过恶意软件检测，我们发现了一些恶意软件的传播情况。

这些恶意软件可能通过电子邮件、网页链接等途径传播，给用户的设备和数据带来风险。

加强恶意软件防护，提高用户的安全意识，对减少网络攻击和数据泄露具有重要意义。

3. 社会舆论：通过社交媒体监测，我们了解了一些社会热点和民意动态。

实验报告实验三网络监听实验（二）一、实验目的1、熟悉IP地址与MAC地址的概念2、理解ARP协议及ICMP协议原理3、了解TELNET应用二、实验原理1、IP地址与MAC地址、ARP协议数据链路层使用物理地址（即MAC地址），网络层使用IP地址，当数据包在网络层和数据链路层之间传输时，需要进行MAC地址和IP地址的转换。

ARP协议的功能是实现IP 地址到MAC地址的转换。

每个主机都设有一个ARP高速缓存，操作系统通常会将从网络中得到的IP地址和MAC 地址的映射关系存放在本机的高速缓存中，使用arp命令，可以查看、添加和删除高速缓冲区中的ARP表项。

在Windows操作系统中，高速缓存中的ARP表项可以包含动态和静态表项，动态表项随时间推移自动添加和删除，而静态表项则一直保留在高速缓存中，直到人为删除或重启计算机。

2、ICMP协议ICMP协议是配合IP协议使用的网络层协议，它的报文不是直接传送到数据链路层，而是封装成IP数据报后再传送到数据链路层。

分组网间探测PING是ICMP协议的一个重要应用，它使用ICMP回送请求与回送应答报文，用来测试两个主机之间的连通性。

命令格式为：ping 目的IP地址。

ICMP回送请求与回送应答报文格式如下：说明：类型为8---回送请求，为0---回送应答TRACERT程序是ICMP协议的另一个应用，命令格式为：tracert 目的地址。

Tracert从源主机向目的主机发送一连串的IP数据报P1，P1的TTL设置为1，当它到达路径上的第一个路由器R1时，R1先收下它，把P1的TTL值减1，变成0，R1丢弃P1，并向源主机发送一个ICMP超时差错报告报文。

源主机接着又发送第二个TTL值为2的IP数据报P2，路径上的第一个路由器把P2的TTL值减小1，当P2到达路径上第二个路由器时，第二个路由器把P2丢弃，并向源主机发送一个ICMP超时差错报告报文。

如此继续，最后一个IP数据报到达目的主机时，目的主机和源主机间发送ICMP回送请求与回送应答报文。

实验二：网络安全监听工具的使用
一、实验目的
1．了解网络监听的原理
2．了解常用的监听工具的使用方法
3．了解对网络监听的检测方法
二、实验相关理论
局域网抓包软件是解决网络故障，预防和分析网络攻击的常用软件，是网络管理人员必备的工具，掌握其使用方法有着重要的意义。

三、实验内容
学习一些在网络上经常使用的SNIFF工具。

在Windows环境下首推是大名鼎鼎的NetXRay以及snifferpro，实际上很多人都是用他在Windows环境下抓包来分析，我们主要学习Snifferpro的使用。

四、实验步骤
1．抓包软件的安装和使用
要求：下载、安装抓包软件并学习其使用方法。

2．局域网数据报的捕获和分析
要求：利用工具捕获网络数据包并进行流量分析
3．sniffer的使用
捕获数据包前的准备工作
捕获数据包时观察到的信息
(3)捕获数据包后的分析工作
(4)sniffer提供的工具应用
五、完成实验报告
（1）实验地点，实验时间。

（2）实验内容：按实验步骤的1、2、3、4、内容作详细记录。

（3）实验分析：
①根据计算机网络结构，我们可以监听的网络类型为什么?为什么?
②网络协议中，工作在下三层的网络设备是什么?作用何在？
③如何才能防止别人监听自己的网络,如何检测?
④网络监听有什么用处，我们可以利用网络监听来做什么，违法吗？（4）实验的心得体会。

六、思考问题
1．如何防止sniff的发生？
2．如何检测网络中是否存在sniff？
3.我们可以监听Internet网上的内容吗？。

实验二网络命令和网络监听软件实验目的●掌握常用网络命令的使用方法。

●了解网络监听软件的使用方法。

实验内容●网络命令的学习。

●网络监听软件。

实验步骤一、基本网络命令的学习(一)ping命令1、ping命令是用于检测网络连通性、可达性和名称解析等疑难问题的TCP/IP命令。

2、命令格式ping [-t] [-a] [-n count] [-l length] [-f] [-i ttl] [-v tos] [-r count] [-s count] [-j -Host list] | [-k Host-list] [-w timeout] target_name3、主要参数-t：有这个参数时，当你ping一个主机时系统就不停的运行ping这个命令，直到你按下键盘组合键Ctrl+C。

-n count：定义用来测试所发出的测试包的个数，缺省值为4。

通过这个命令可以自己定义发送的个数，对衡量网络速度很有帮助，比如我想测试发送20个数据包的返回的平均时间为多少，最快时间为多少，最慢时间为多少就可以通过执行带有这个参数的命令获知。

说明：如果-t参数和-n参数一起使用，ping命令就以放在后面的参数为标准，比如“ping IP -t -n 3”，虽然使用了-t参数，但并不是一直ping下去，而是只ping 3次。

-l length：定义所发送缓冲区的数据包的大小，在默认的情况下windows的ping发送的数据包大小为32byte，也可以自己定义，但有一个限制，就是最大只能发送65500byte，超过这个数时，对方就很有可能因接收的数据包太大而死机，所以微软公司为了解决这一安全漏洞，于是限制了ping的数据包大小。

4、通过ping检测网络故障的典型次序正常情况下，当你使用ping命令来查找问题所在或检验网络运行情况时，你需要使用许多ping命令，如果所有都运行正确，你就可以相信基本的连通性和配置参数没有问题；如果某些ping命令出现运行故障，它也可以指明到何处去查找问题。

网络监听实验报告一、实验目的利用Sniffer软件捕获网络信息数据包，然后通过解码进行分析。

通过实验，了解网络监听原理和过程。

二、实验环境及设备硬件：可以用三台真机：三台PC、一台集线器或交换机、网线若干；或也可以用三台虚拟机：一台内存不少于2GB的PC，用VMware虚拟机软件建立三台虚拟机，要求能流畅运行。

软件：Windows XP Professional SP3，IIS组件包（用于搭建FTP服务器），Sniffer软件。

三、实验内容将三台PC组建成一个局域网；将其中的A机搭建为FTP服务器，并将服务器设置为要求用户名和密码登录；B机作为A机FTP服务的访问者，知道A机FTP服务的用户名和密码；C机作为监听者，装有Sniffer软件，监听A、B两机的通信，以监听到A机的FTP 服务用户名和密码为最终目标。

四、实验详细步骤本实验内容分为三个过程：1、准备三台PC，将三台PC组建成一个局域网，以能互相ping通为成功标志。

（1）物理连接：若用三台实体PC，用交换机连接成网络；若用三台虚拟机，则都使用“桥接”方式连接成网络，操作方法为：选定需设置的虚拟机→“虚拟机”菜单→“设置”命令→“硬件”选项卡→“Network Adapter”→“桥接：直接连接到物理网络”。

（2）分配IP地址设置三台电脑IP地址在同一个网段，IP地址分配如下表。

设备IP 地址任务分配A机IP地址:192.168.1.1子网掩码：255.255.255.0FTP服务器B机IP地址:192.168.1.2子网掩码：255.255.255.0FTP服务访问者C机IP地址:192.168.1.3子网掩码：255.255.255.0监听者，利用Sniffer监听，捕获登录账号和密码IP地址设置好后，关闭防火墙，测试三台电脑能否互相ping通。

关闭防火墙方法：右击桌面“网上邻居”→属性→右击“本地连接”→属性→“高级”选项卡→“设置”按钮→“常规”选项卡→选中“关闭（不推荐）”。