实验 12 网络嗅探与协议分析
实验3协议分析与网络嗅探
sniffer的嗅探。 • 利用网络设备的物理或者逻辑隔离的手段,
可以防止信息的泄密 • 利用交换机的VLAN功能,实现VLAN间的
三. 实验环境
• 三. 实验环境
– 两台运行windows 2000/XP的计算机,通过 HUB相连组成局域网,其中一台安装Sniffer Pro软件。
TCP三次握手
捕获的报文
密码 十验内容
• 3 HTTP口令的嗅探过程
四. 实验内容
• 3 HTTP口令的嗅探过程
五. 实验报告要求
– (1)将两台主机连接在一个HUB上,其中一台主 机使用Telnet登录另一台主机,在任一台主机 上按照sniffer网络嗅探工具进展登录口令嗅探, 把口令嗅探步骤以及嗅探到的重要信息进展记 录。
实验3 协议分析和网络嗅探
目录
• 一. 实验目的 • 二. 实验原理 • 三. 实验环境 • 四. 实验内容 • 五. 实验报告要求
一. 实验目的
• 一. 实验目的 • 理解TCP/IP协议中多种协议的数据构造、
会话连接建立和终止的过程、TCP序列号、 应答序号的变化规律。 • 通过实验了解FTP、HTTP等协议明文传输 的特性,以建立平安意识,防止FTP、 HTTP等协议由于传输明文密码造成的泄密。
四. 实验内容
• 1 sniffer的使用
sniffer主界面
四. 实验内容
• 1 sniffer的使用
Host Table中按照IP显示流量信息
四. 实验内容
• 1 sniffer的使用
Traffic Map
四. 实验内容
• 2 FTP口令的嗅探过程
主要协议分析实验报告(3篇)
第1篇一、实验背景随着计算机网络技术的飞速发展,网络协议作为计算机网络通信的基础,扮演着至关重要的角色。
为了更好地理解网络协议的工作原理和功能,我们开展了主要协议分析实验。
本实验旨在通过分析常用网络协议的报文格式和工作机制,加深对网络协议的理解。
二、实验目的1. 熟悉常用网络协议的报文格式和工作机制。
2. 掌握网络协议分析工具的使用方法。
3. 培养网络故障排查和问题解决能力。
三、实验环境1. 实验设备:PC机、网线、Wireshark软件。
2. 实验网络:局域网环境,包括路由器、交换机、PC等设备。
四、实验内容本实验主要分析以下协议:1. IP协议2. TCP协议3. UDP协议4. HTTP协议5. FTP协议五、实验步骤1. IP协议分析(1)启动Wireshark软件,选择合适的抓包接口。
(2)观察并分析IP数据报的报文格式,包括版本、头部长度、服务类型、总长度、标识、标志、片偏移、生存时间、协议、头部校验和、源IP地址、目的IP地址等字段。
(3)分析IP分片和重组过程,观察TTL值的变化。
2. TCP协议分析(1)观察TCP数据报的报文格式,包括源端口号、目的端口号、序号、确认号、数据偏移、标志、窗口、校验和、紧急指针等字段。
(2)分析TCP连接建立、数据传输、连接终止的过程。
(3)观察TCP的重传机制和流量控制机制。
3. UDP协议分析(1)观察UDP数据报的报文格式,包括源端口号、目的端口号、长度、校验和等字段。
(2)分析UDP的无连接特性,观察UDP报文的传输过程。
4. HTTP协议分析(1)观察HTTP请求报文和响应报文的格式,包括请求行、头部字段、实体等。
(2)分析HTTP协议的请求方法、状态码、缓存控制等特性。
(3)观察HTTPS协议的加密传输过程。
5. FTP协议分析(1)观察FTP数据报的报文格式,包括命令、响应等。
(2)分析FTP的文件传输过程,包括数据传输模式和端口映射。
网络信息对抗第三章网络嗅探与协议分析
与libpcap兼容,可使得原来许多类UNIX平 台下的网络分析工具快速移植过来 便于开发各种网络分析工具
除了与libpcap兼容的功能之外,还有
充分考虑了各种性能和效率的优化,包括对于 NPF内核层次上的过滤器支持 支持内核态的统计模式 提供了发送数据包的能力
实现参考源码 Snort中的网络解码器模块 decode.c/decode.h 解析以太网数据帧 DecodeEthPkt 预处理:拆包前进行一些前期 处理 拆包:将当前得到的包内存位 置赋给Packet数据结构中相应 的指针eh(EtherHdr)型的指针 即可 解析上层协议:switch语句, 根据ether_type分别调用相应 的上层协议解析例程
以太网工作模式
网卡的MAC地址(48位)
通过ARP来解析MAC与IP地址的转换 用ipconfig/ifconfig可以查看MAC地址
正常情况下,网卡应该只接收这样的包
MAC地址与自己相匹配的数据帧 广播包
网卡完成收发数据包的工作,两种接收模式
混杂模式:不管数据帧中的目的地址是否与自己的地址 匹配,都接收下来 非混杂模式:只接收目的地址相匹配的数据帧,以及广 播数据包(和组播数据包)
根据网络和主机的性能
根据响应时间:向本地网络发送大量的伪造数据包,然后,看目 标主机的响应时间,首先要测得一个响应时间基准和平均值
LOpht的AntiSniff产品
网络嗅探技术的防范措施
采用安全的网络拓扑 共享式网络→交换式网络 交换机上设置VLAN等技术手段,对网络进行合理的分段 共享式以太网→交换式以太网拓扑 性能提升: 广播冲突域每台主机单独冲突域 安全性提升: 较难被网络监听 交换式网络提供安全性仍可能被挫败: ARP欺骗 静态ARP或者MAC-端口映射表代替动态机制 重视网络数据传输的集中位置点的安全防范 避免使用明文传输口令/敏感信息网络协议, 使用加密协议 telnet→ssh IPSEC/TLS
网络嗅探与协议分析要点课件
案例三:IP分片与重组分析
要点一
IP分片概念
IP分片是指在网络传输中,由于数据包过大而需要进行拆 分的一种技术。
要点二
IP分片过程
当一个数据包过大时,需要在发送端将其拆分成多个小数 据包,并在接收端将这些小数据包重新组合成原来的数据 包。这个过程就叫做IP分片与重组。
谢谢聆听
域名解析
通过DNS服务器将域名转换 为IP地址。
记录类型
A、AAAA、MX、CNAME 等,表示不同的域名解析记 录类型。
查询过程
DNS客户端向DNS服务器发 送查询请求,服务器返回相 应的解析结果。
网络嗅探与协议分析应用场景
05
网络故障排查
诊断网络连接问题
通过嗅探网络流量,分析数据包中的 信息,确定网络故障的原因,如丢包、 延迟等。
TCP/IP协议栈的主要协议 TCP、IP、UDP、HTTP、FTP、SMTP等。
数据链路层协议
数据链路层协议概述
数据链路层协议负责在物理层的基础上,建立和维护网络连接,实现数据链路的建立、管理和释放。
数据链路层的主要协议
以太网协议(Ethernet)、无线局域网协议(WLAN, Wi-Fi)、点对点协议(PPP)等。
取或篡改。
案例二:TCP三次握手过程分析
TCP三次握手概念
TCP三次握手是一种建立TCP连接的过程,需要经过三次握手才能完成连接的建立。
TCP三次握手过程
在TCP三次握手过程中,客户端发送一个SYN报文给服务器,请求建立连接。服务器收到SYN报文后,发送一个 SYN+ACK报文给客户端,表示同意建立连接。客户端再发送一个ACK报文给服务器,确认连接建立。
OSI七层模型
网络协议嗅探工具实验报告
网络协议分析实验报告实验目的1、熟悉并掌握Ethereal 的基本操作,了解网络协议实体间进行交互以及报文交换的情况。
2、分析HTTP 协议。
3、分析DNS 协议。
实验环境与因特网连接的计算机网络系统;主机操作系统为Windows2000或Windows XP;Ethereal等软件实验内容实验一:利用分组嗅探器(ethereal )分析HTTP 和和DNS实验四:TCP协议分析实验步骤实验一(一)Ethereal 的使用1. 启动主机上的web 浏览器。
2. 启动ethereal。
你会看到如图2 所示的窗口,只是窗口中没有任何分组列表。
3. 开始分组俘获:选择“capture”下拉菜单中的“Start”命令,会出现如图3 所示的“Ethereal: Capture Options”窗口,可以设置分组俘获的选项。
4. 在实验中,可以使用窗口中显示的默认值。
在“Ethereal: Capture Options”窗口的最上面有一个“interface”下拉菜单,其中显示计算机所具有的网络接口(即网卡)。
当计算机具有多个活动网卡时,需要选择其中一个用来发送或接收分组的网络接口(如某个有线接口)。
随后,单击“ok”开始进行分组俘获,所有由选定网卡发送和接收的分组都将被俘获。
5. 开始分组俘获后,会出现如图4 所示的分组俘获统计窗口。
该窗口统计显示各类已俘获分组的数量。
在该窗口中有一个“stop”按钮,可以停止分组的俘获。
但此时你最好不要停止俘获分组。
6. 在运行分组俘获的同时,在浏览器地址栏中输入某网页的URL,如:。
为显示该网页,浏览器需要连接的服务器,并与之交换HTTP 消息,以下载该网页。
包含这些HTTP 报文的以太网帧将被Ethereal俘获。
7. 当完整的页面下载完成后,单击Ethereal 俘获窗口中的stop 按钮,停止分组俘获。
此时,分组俘获窗口关闭。
Ethereal 主窗口显示已俘获的你的计算机与其他网络实体交换的所有协议报文,其中一部分就是与服务器交换的HTTP 报文。
使用Wireshark嗅探器分析网络协议
实验2 使用Wireshark嗅探器分析网络协议实验日期:实验目的:1、掌握嗅探器工具Wireshark的下载和安装方法2、掌握Wireshark的简单使用方法,了解抓包结果的分析方法3、掌握封装这一操作的具体含义以及TCP/IP体系结构的分层,了解各层的一些常用协议。
实验步骤:1、预习课本与ping命令及tracert命令相关的因特网控制报文协议ICMP相关的内容(4.4节),通过搜索引擎了解什么是嗅探器,了解嗅探器工具Wireshark的下载、安装和使用方法2、自己下载安装并启动Wireshark(安装程序里附带的WinPcap也一定要安装)如有时间可搜索Wireshark的中文使用说明,作为实验的辅助资料。
FTP上有《Wireshark 网络分析就这么简单》的电子版,供参考。
3、选择正确的网络适配器(俗称网卡)。
这一步很重要。
选错了网卡,可能抓不到任何包。
4、开始抓包。
5、在Wireshark的显示过滤器输入栏中输入正确的表达式,可过滤出需要的数据包。
7、单击选中其中一个报文,可在树形视图面板中看它各层协议首部的详细信息。
8、过滤出http流量,选择其中的一个数据包,回答以下问题:(以下4个问题需回答并截图证明)1)此http包的http协议版本号是多少?此http包的http协议版本号是HTTP/1.12)http协议在传输层使用的是TCP协议还是UDP协议?http协议在传输层使用的是TCP协议3)此http包在网络层使用的是什么协议?4)此http包在数据链路层使用的是什么协议?此http包在数据链路层使用的是Ethernet II协议9、过滤出QQ流量(协议名称为OICQ),选择其中的一个数据包,回答以下问题:(以下4个问题需回答并截图证明)1)此QQ包的OICQ协议版本号是多少?此QQ包的OICQ协议版本号是OICQ 1212)OICQ协议在传输层使用的是TCP协议还是UDP协议?OICQ协议在传输层使用的是UDP协议3)此QQ包在网络层使用协议的目的地址和源地址各是多少?目的地址:10.207.121.180源地址:59.36.118.2354)此QQ包在数据链路层使用协议的目的地址和源地址各是多少?目的地址:54:e1:ad:34:a6:ec源地址:48:46:fb:f7:c4:c910、ping网关(应该是能ping通的,如果ping不通请自行解决问题直到ping通为止),抓取ICMP包,回答以下问题:1)ping的过程共产生了几个ICMP包?它们的Type有几种?分别是什么?8个ICMP包,它们的Type有2种,其中4个为请求报文,另外4个为回复报文。
实验报告网络嗅探实验
软件学院实验报告
课程:信息安全学实验学期:学年第二学期任课教师:
专业:信息安全学号:姓名:成绩:
实验4-网络嗅探实验
一、实验目的
掌握网络嗅探工具的使用,捕获FTP数据包并进行分析,捕获HTTP数据包并分析,通过实验了解FTP、HTTP 等协议明文传输的特性,以建立安全意识。
二、实验原理
Sniffer网络嗅探,用于监听网络中的数据包。
包括分析网络性能和故障。
主要用于网络管理和网络维护。
通过sniffer工具,可以将网络地址设置为“混杂模式”。
在这种模式下,网络接口就处于一个监听状态,他可以监听网络中传输的所有数据帧,而不管数据帧目标地址是自己的还是广播地址。
它将对遭遇每个数据帧产生硬件中断,交由操作系统进行处理,比如截获这个数据帧进行实时的分析。
三、实验步骤
1.熟悉Sniffer 工具的使用
2.捕获FTP数据包并进行分析
3.
4.捕获HTTP数据包并分析
四、遇到的问题及解决办法
在本次实验中遇到的最主要的问题就是没有顺利的抓的数据包,由于是通过VPN连接的网络,抓包过程受到限制,因此没有能够顺利完成实验。
五、实验个人体会
在这次的实验中,我又多学到了一点知识,关于网络嗅探的知识。
通过使用Sniffer Pro软件掌握网络嗅探器的使用方法,虽然没有捕捉到FTP、HTTP等协议的数据包,但是对网络嗅探的原理和实现方法有了比较深刻的了解。
还了解了FTP、HTTP等协议明文的传输特性,并对此有一定的安全意识,感觉现在所学的知识在逐渐向信息安全靠拢。
信息安全实验实验报告
一、实验目的本次实验旨在通过实践操作,加深对信息安全基础知识的理解,提高对网络安全问题的防范意识,掌握常见的网络安全防护技术。
二、实验环境操作系统:Windows 10实验工具:Wireshark、Nmap、Metasploit、Kali Linux等三、实验内容1. 网络嗅探实验(1)实验目的:了解网络嗅探原理,掌握Wireshark的使用方法。
(2)实验步骤:① 使用Wireshark抓取本机所在网络中的数据包;② 分析数据包,观察网络流量,识别常见协议;③ 分析网络攻击手段,如ARP欺骗、DNS劫持等。
2. 端口扫描实验(1)实验目的:了解端口扫描原理,掌握Nmap的使用方法。
(2)实验步骤:① 使用Nmap扫描本机开放端口;② 分析扫描结果,识别高风险端口;③ 学习端口扫描在网络安全中的应用。
3. 漏洞扫描实验(1)实验目的:了解漏洞扫描原理,掌握Metasploit的使用方法。
(2)实验步骤:① 使用Metasploit扫描目标主机漏洞;② 分析漏洞信息,评估风险等级;③ 学习漏洞扫描在网络安全中的应用。
4. 恶意代码分析实验(1)实验目的:了解恶意代码特点,掌握恶意代码分析技术。
(2)实验步骤:① 使用Kali Linux分析恶意代码样本;② 识别恶意代码类型,如木马、病毒等;③ 学习恶意代码分析在网络安全中的应用。
四、实验结果与分析1. 网络嗅探实验通过Wireshark抓取网络数据包,发现网络流量中存在大量HTTP请求,其中部分请求包含敏感信息,如用户名、密码等。
这表明网络中存在信息泄露风险。
2. 端口扫描实验使用Nmap扫描本机开放端口,发现22号端口(SSH)和80号端口(HTTP)开放,存在安全风险。
建议关闭不必要的端口,加强网络安全防护。
3. 漏洞扫描实验使用Metasploit扫描目标主机漏洞,发现存在高危漏洞。
针对这些漏洞,应及时修复,降低安全风险。
4. 恶意代码分析实验通过分析恶意代码样本,识别出其为木马类型,具有远程控制功能。
网络协议分析实验报告
网络协议分析实验报告一、实验目的本次实验旨在通过网络协议分析,深入了解常见的网络协议的工作原理和通信过程,加深对于网络通信的理解。
二、实验环境本次实验使用了Wireshark网络协议分析工具,实验环境为Windows 系统。
三、实验步骤1. 安装Wireshark2.抓包启动Wireshark,选择需要抓包的网络接口,开始进行抓包。
在抓包过程中,可以选择过滤器,只捕获特定协议或特定IP地址的数据包。
3.分析数据包通过Wireshark显示的数据包列表,可以查看抓取的所有数据包,每个数据包都包含了详细的协议信息。
可以通过点击数据包,查看每个数据包的详细信息,包括源IP地址、目标IP地址、协议类型等。
四、实验结果通过抓包和分析数据包,我们发现了一些有趣的结果。
1.ARP协议ARP(Address Resolution Protocol)是用于将IP地址解析为MAC地址的协议。
在数据包中,可以看到ARP请求(ARP Request)和ARP响应(ARP Reply)的过程。
当发送方需要向目标发送数据包时,会发送ARP请求来获取目标的MAC地址,然后通过ARP响应获取到目标的MAC地址,从而进行通信。
2.HTTP协议HTTP(Hypertext Transfer Protocol)是Web开发中常用的协议。
在数据包中,可以看到HTTP请求(HTTP Request)和HTTP响应(HTTP Response)的过程。
通过分析HTTP的请求和响应,我们可以看到客户端发送了HTTP请求报文,包括请求的URL、请求的方法(GET、POST等)、请求头部和请求体等信息。
服务器收到请求后,发送HTTP响应,包括响应的状态码、响应头部和响应体等信息。
3.DNS协议DNS(Domain Name System)是用于将域名解析为IP地址的协议。
在数据包中,可以看到DNS请求(DNS Query)和DNS响应(DNS Response)的过程。
协议分析实验
协议分析实验协议分析实验是网络安全领域中常用的一种攻击分析手段,通过对协议流量数据的分析,来了解网络中可能存在的安全隐患和攻击方式。
本实验旨在通过一个具体的例子,介绍协议分析的基本过程和方法。
实验名称:协议分析实验实验目的:通过对HTTP协议的分析,了解协议分析的基本原理和方法。
实验步骤:1. 实验环境搭建:搭建一个包含攻击者和受害者的网络环境,并安装Wireshark软件用于抓取网络流量数据。
2. 实施攻击:攻击者通过发送特定的HTTP请求来攻击受害者。
例如,攻击者可能发送一个包含恶意代码的HTTP请求,试图在受害者的系统中执行非法操作。
3. 抓取流量数据:在攻击发生过程中,使用Wireshark软件来抓取网络流量数据。
Wireshark可以捕获所有通过网络传输的数据,并以数据包的形式进行显示。
4. 分析网络流量:使用Wireshark对抓取的流量数据进行分析。
可以通过查看HTTP请求和响应的内容,了解攻击者的行为和受害者的反应。
5. 发现攻击:通过分析网络流量,可以发现攻击者发送的恶意请求和受害者的异常响应。
例如,可以发现攻击者发送的HTTP请求中包含特定的恶意代码,或者受害者的系统对该请求的响应异常。
6. 分析攻击方式:通过分析攻击者发送的HTTP请求,可以了解攻击者利用的具体攻击方式和漏洞。
例如,可以发现攻击者可能利用的是一个已知的漏洞或者是通过自己的恶意代码来进行攻击。
7. 攻击溯源:通过分析网络流量,可以追踪攻击者的IP地址和攻击来源。
可以通过查询IP地址归属地以及其他信息,来了解攻击者的身份和攻击来源。
8. 防护方案:根据分析的结果,制定相应的防护方案来避免类似的攻击再次发生。
例如,可以修复系统中的漏洞或者增强网络防护措施。
实验结果与分析:通过对流量数据的分析,我们可以发现攻击者发送的HTTP请求中包含特定的恶意代码,而受害者在收到该请求后出现了异常响应。
通过进一步分析,我们发现攻击者利用了一个已知的漏洞来进行攻击,并且攻击者的IP地址可以追溯到某个特定的地区。
网络嗅探实验报告
网络嗅探实验报告网络嗅探实验报告近年来,随着互联网的普及和发展,人们对网络安全的关注也日益增加。
网络嗅探作为一种常见的网络安全技术,被广泛应用于网络管理、数据分析等领域。
本文将通过一个网络嗅探实验,探讨其原理、应用以及对个人隐私的影响。
一、网络嗅探的原理和技术网络嗅探是一种通过监听网络通信流量并分析其中的数据包,获取有关网络活动的信息的技术。
它基于网络数据包的捕获和解析,可以实时监测网络中的数据传输,并提取出关键信息。
在实验中,我们使用了一款常见的网络嗅探工具Wireshark。
Wireshark能够捕获网络数据包,并以图形化的方式展示捕获到的数据。
通过对捕获到的数据包进行分析,我们可以了解网络中的通信行为、协议使用情况等。
二、网络嗅探的应用领域网络嗅探技术在许多领域都有广泛的应用。
首先,它在网络管理和故障排除方面发挥着重要作用。
通过对网络数据包的捕获和分析,网络管理员可以监测网络中的流量、识别异常活动,并及时采取相应措施。
其次,网络嗅探技术在网络安全领域也有重要应用。
通过分析网络数据包,可以发现潜在的安全威胁、检测入侵行为,并提供相应的安全防护措施。
此外,网络嗅探还可以用于网络性能优化、网络流量分析等方面。
三、网络嗅探对个人隐私的影响然而,网络嗅探技术的广泛应用也引发了对个人隐私的担忧。
在网络嗅探过程中,个人的通信数据可能被捕获并分析。
这涉及到个人隐私的泄露问题。
尽管网络嗅探通常是为了网络管理和安全目的进行,但滥用网络嗅探技术可能导致个人隐私受到侵犯。
为了解决这一问题,一方面,网络嗅探的使用应受到法律和道德的限制。
相关的法律法规应当明确规定网络嗅探的范围和条件,以保护个人隐私。
另一方面,个人在使用互联网时也应加强自身的网络安全意识,采取相应的隐私保护措施,如使用加密协议、定期更换密码等。
四、网络嗅探实验的结果与反思通过实验,我们成功捕获了网络数据包,并对其进行了分析。
我们发现了许多有趣的现象,比如不同协议的使用情况、网络流量的分布等。
实验 12 网络嗅探与协议分析
kind=0 1B kind=1 1B kind=2 1B kind=3 1B len=4 1B len=3 1B MSS 2B shift count 1B time stamp value 4B time stamp echo reply 4B
25
kind=8 len=10 1B 1B
2015-3-10
17
控制报文(网关→主机)
源抑制报文 重定向报文
请求|应答报文(主机→主机信息传输)
ECHO请求|应答 时间戳请求|应答 地址掩码请求|应答
2015-3-10
12.3 实验原理(续)
ICMP 回声请求|应答
B 可以 到达吗? A B 可以, 我在这里。
ICMP 回声请求 ICMP 回声应答 用 PING 命令产生的回声及其应答示意图
12.3 实验原理(续)
IP 数据报格式
位 0
固 首 定 部 部 分 可变 部分 4 标 生存时间 8 区分服务 识 协 议 源 地 址 目 的 地 址 可 选 字 段 (长 度 可 变) 数 首 部 发送在前 据 数 部 据 分 部 分 填 充 标志 16 19 24 总 长 度 片 偏 移 首 部 检 验 和 31 版 本 首部长度
2015-3-10 实验 12 网络嗅探与协议分析 3
12.2 实验要求
12.2.1 12.2.2 12.2.3 12.2.4 预习实验原理; 熟悉实验设备; 熟悉实验环境; ……
2015-3-10
实验 12 网络嗅探与协议分析
4
12.3 实验原理
12.3.1 网络嗅探基础 概述 网络嗅探:利用计算机的网络接口截获目的地为其 它计算机的数据报文; 网络嗅探器:一种监控网络数据的工具,又称 Sniffer 抓包,它工作在网络底层,通过对局域网 上传输的各种关键信息进行窃听,从而获取重要信 息; 一个信息包嗅探器向我们展示出正在网络上进行的 活动;
实验 12 网络嗅探与协议分析84页PPT
31、园日涉以成趣,门虽设而常关。 32、鼓腹无所思。朝起暮归眠。 33、倾壶绝余沥,窥灶不见烟。
34、春秋满四泽,夏云多奇峰,秋月 扬明辉 ,冬岭 秀孤松 。 35、丈夫志四海,我愿不知老。
Hale Waihona Puke 61、奢侈是舒适的,否则就不是奢侈 。——CocoCha nel 62、少而好学,如日出之阳;壮而好学 ,如日 中之光 ;志而 好学, 如炳烛 之光。 ——刘 向 63、三军可夺帅也,匹夫不可夺志也。 ——孔 丘 64、人生就是学校。在那里,与其说好 的教师 是幸福 ,不如 说好的 教师是 不幸。 ——海 贝尔 65、接受挑战,就可以享受胜利的喜悦 。——杰纳勒 尔·乔治·S·巴顿
谢谢!
网络嗅探与协议分析-Snort
⽹络嗅探与协议分析-SnortSnort分析Snort拥有三⼤基本功能:嗅探器、数据包记录器和⼊侵检测。
嗅探器模式仅从⽹络上读取数据包并作为连续不断的流显⽰在终端上,数据包记录器模式是把数据包记录到硬盘上,⽹络⼊侵检测模式是最复杂的,⽽且是可配置的。
我们可以让Snort分析⽹络数据流以匹配⽤户定义的⼀些规则,并根据检测结果采取⼀定的动作。
从本质上说,Snort与tcpdump和snoop⼀样,都是⽹络数据包嗅探器。
因此,嗅探器模式是Snort⼯作的基本模式。
只要运⾏Snort时不加载规则,它就可以从⽹络上读取数据包并连续不断地显⽰在屏幕上,直到⽤户按下Ctrl+C键终⽌。
这时,Snort将显⽰统计信息。
Snort使⽤Libpcap⽹络驱动库。
在这种模式下,Snort将⽹卡设置为混在模式,读取并解析共享信道中的⽹络数据包。
在嗅探模式下,Snort也可以将这些信息记录到⽇志⽂件中。
这些⽂件随后可以⽤Snort或者tcpdump查看。
⼊侵模式需要载⼊规则库才能⼯作。
在⼊侵模式下,Snort并不记录所有捕获的包,⽽是将包与规则对⽐,仅当包与某个规则匹配的时候,才会记录⽇志或产⽣报警。
如果包并不与任何⼀个规则匹配,那么它将会被悄悄丢弃,并不做任何记录。
运⾏Snort的⼊侵检测模式的时候,通常会在命令⾏指定⼀个配置⽂件。
⼯作流程包括包捕获模块、包解码模块、预处理模块、检测模块(模式匹配)、输出模块等分析过程由snort.c ⽂件中的OpenPcap函数实现捕包过程(实现的功能实现到libpcap库流程的循环抓包前为⽌)在ProcessPacket()中会对所选模式进⾏判断,并进⾏相应操作:若选择【嗅探模式】,则会调⽤下⾯的函数,然后进⾏输出,不会进⾏以下的步骤if(pv.verbose_flag){/*根据协议,调⽤相应输出函数,共⽀持4种协议*/if(p.iph!=NULL)/*IP协议*/PrintIPPkt(stdout,p.iph->ip_proto,&p);else if(p.ah!=NULL)/*Eapol协议*/PrintArpHeader(stdout,&p);else if(p.elph!=NULL)/*ARP协议*/PrintEapolPkt(stdout,&p);else if(p.wifih&&pv.showwifimgmt_flag)/*WiFi协议*/PrintWiFiPkt(stdout,&p);}若选择【⽇志记录模式】,则会调⽤相应插件,进⾏⽇志记录,CallLogPlugins函数的主要功能是遍历LogList的所有注册函数,实现⽇志输出。
协议分析和网络嗅探_2
• 如图20所示,选择Data Pattern项,点击箭 头所指的Add Pattern按钮
图-20
• 出现图21界面,按图设置OFFset为2F,方格内填入18,name可任意 起。确定后如图22点击Add NOT按钮,再点击Add Pattern按钮增加第 二条规则
图-21
图-22
• 安装非常简单,setup后一路确定即可,第 一次运行时需要选择你的网卡。
图-1
图-2
图-3
图-4
图-5
图-6
图-7
图-8
图-9
图-10
图-11
例:192.168.113.208 这台机器telnet到192.168.113.50,用 Sniff Pro抓到用户名和密码
步骤1:设置规则
Wed Aug 9 05:54:50 EDT 2000) ready. • User (192.168.113.50:(none)): test • 331 Password required for test. • Password:
• 步骤4:察看结果
• 图16中箭头所指的望远镜图标变红时,表示已捕捉到数据,点击该图 标出现图25界面,选择箭头所指的Decode选项即可看到捕捉到的所 有包。可以清楚地看出用户名为test密码为123456789。
协议,而另一些可能能够分析几百种协议。 • 一般情况下,大多数的嗅探器至少能够分析下面的协议: • A.标准以太网 • B.TCP/IP • C.IPX 4.DECNet
• 4.各种Sniffer • A. Network General. • Network General开发了多种产品。最重要的是Expert
Sniffer,它不仅仅可以sniff , 还能够通过高性能的专门 系统发送/接收数据包,帮助诊断故障。
网络协议分析实验报告
网络协议分析实验报告一、实验目的本实验旨在通过对网络协议的分析,加深对计算机网络通信的原理和机制的理解,提高网络安全意识和分析能力。
二、实验环境1. 实验平台:Wireshark2. 实验设备:笔记本电脑、路由器三、实验内容1. 抓包分析TCP协议数据包在实验过程中,我们首先通过Wireshark工具进行抓包,然后选择一个TCP协议的数据包进行分析。
通过分析数据包的各个字段,我们可以了解数据包的结构和传输过程,进一步理解TCP协议的工作原理。
2. 分析UDP协议数据包接着,我们选择了一个UDP协议的数据包进行分析。
UDP与TCP不同,是一种无连接的传输协议,具有数据传输快速、效率高的特点。
通过分析UDP数据包,我们可以看到其简单的数据包头格式和传输方式,了解UDP协议与TCP协议的区别和适用场景。
3. 检测网络攻击在实验中,我们还模拟了一些网络攻击行为,如ARP欺骗、SYN 洪水攻击等,通过Wireshark工具抓取攻击数据包,并分析攻击过程和特征。
这有助于我们了解网络安全威胁的种类和形式,提高网络安全防护意识。
四、实验结果通过分析TCP、UDP协议数据包和网络攻击数据包,我们深入了解了网络协议的工作原理和通信机制。
实验结果表明,Wireshark工具是一款强大的网络分析工具,可以帮助我们深入研究网络通信过程,提高网络攻击检测和防护能力。
五、实验总结通过本次实验,我们不仅对网络协议有了更深入的了解,而且增强了网络安全意识和分析能力。
在今后的学习和工作中,我们将继续深入研究网络协议,不断提升自己在网络领域的技术水平,为网络通信的安全和稳定贡献自己的力量。
六、实验感想本次网络协议分析实验让我们受益匪浅,通过亲自动手抓包分析和检测网络攻击,我们对计算机网络的运行机制和安全防护有了更清晰的认识。
希望通过不断努力和学习,我们能在网络领域取得更大的成就,为网络安全做出更大的贡献。
七、参考文献暂无。
以上为网络协议分析实验报告,感谢您的阅读。
实验十五 网络嗅探与Tcp协议分析
网络嗅探与协议分析(1)(Sniffer软件应用)一、实验目的和意义网络嗅探器sniffer可以监听到所有流经同一以太网网段的数据包,不管它的接收者或发送者是不是运行sniffer的主机。
通过在网络上拦截(接收)数据包并做出分析,来确定该数据包使用了什么协议,是TCP/IP协议,还是UDP协议等,并同时分析出不同数据包的结构,再从中得到具体的内容,如帧的源MAC和目的MAC地址、IP地址、TCP序号等,这些数据内容还可以是用户的帐号和密码,以及一些商用机密数据等。
sniffer几乎能得到以太网上传送的任何数据包,黑客也就会使用各种方法Sniffer是NAI公司推出的协议分析软件,它支持丰富的协议,在网络特殊应用尤其是在网络管理过程中,可以通过计算机的网络接口,从网络上截获目的地为其他计算机的数据报文,利用专家分析系统,对捕获到的数据帧进行快速解码分析,诊断收集到的数据,实时监控网络活动,网络运行状态和错误信息等,是网络管理的有力工具。
本实验通过sniffer软件的应用,监视并分析TCP/UDP应用层程序在客户端和服务器间的交互(如Telnet、HTTP、FTP、DNS等的应用),加强对TCP连接中的三次握手过程及相关网络原理、协议及相关技术的掌握,同时熟练掌握涉及网络管理、网络安全方面的技术技能,为今后的网络管理、网络开发应用打下良好基础。
二、实验原理1、网络嗅探网络中处于同一个网段上的所有网络接口都有一个不同的硬件地址,每个网络还有一个广播地址。
在正常工作情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的报文则不予响应,因为此网络接口应该只响应: 1)帧的目标地址和本机网络接口的硬件地址相匹配;2)帧的目标区域具有"广播地址",这样的两种数据帧。
在接收到上面两种情况的数据包时,nc通过cpu产生一个硬件中断,由操作系统将帧中所包含的数据传送给系统进一步处理。
网络嗅探实验报告
一、实验目的●掌握Sniffer(嗅探器)工具的使用方法,实现FTP、HTTP数据包的捕捉。
●掌握对捕获数据包的分析方法,了解FTP、HTTP数据包的数据结构和连接过程,了解FTP、HTTP协议明文传输的特性,以建立安全意识。
二、实验原理●网络嗅探器Sniffer的原理●网卡有几种接收数据帧的状态:unicast(接收目的地址是本级硬件地址的数据帧),Broadcast(接收所有类型为广播报文的数据帧),multicast(接收特定的组播报文),promiscuous(目的硬件地址不检查,全部接收)●以太网逻辑上是采用总线拓扑结构,采用广播通信方式,数据传输是依靠帧中的MAC地址来寻找目的主机。
●每个网络接口都有一个互不相同的硬件地址(MAC地址),同时,每个网段有一个在此网段中广播数据包的广播地址●一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧,丢弃不是发给自己的数据帧。
但网卡工作在混杂模式下,则无论帧中的目标物理地址是什么,主机都将接收●通过Sniffer工具,将网络接口设置为“混杂”模式。
可以监听此网络中传输的所有数据帧。
从而可以截获数据帧,进而实现实时分析数据帧的内容。
三、实验环境●实验室所有机器安装了Windows操作系统,并组成了一个局域网,并且都安装了Sniffer Pro软件、FLASHFXP(FTP下载软件)、Flashget下载工具和IE浏览器。
●每两个学生为一组:其中学生A进行Http或者Ftp连接,学生B运行Sniffer Pro软件监听学生A主机产生的网络数据包。
完成实验后,互换角色重做一遍。
四、实验内容和步骤任务一:熟悉Sniffer Pro工具的使用根据老师给的ppt材料对Sniffer进行了基本的操作,操作过程部分截图如下:网络监控面板Dashboard使用Dashboard作为网络状况快速浏览Detail(协议列表)Matrix (网络连接)设置任务二:捕获FTP数据包并进行分析(1)基本步骤:①在命令符提示下输入IPCONFIG查询自己的IP地址。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验 12 网络嗅探与协议分析
12.3 实验原理(续)
建立 TCP 连接:通过三次握手建立一个 TCP 连 接,协商一些参数(双方的初始序列号、分段大 小等);
客户机 (发起者) 服务器 (提供者)
2015-3-10
实验 12 网络嗅探与协议分析
26
12.3 实验原理(续)
释放 TCP 连接:通过四次握手释放一个 TCP 连接。
计算机网络实验 网络嗅探与 协议分析
2015-3-10 实验 1通过网络嗅探了解网络数据类型,了解网络工 作原理; 12.1.2 通过实验理解并掌握网络嗅探工具 Wireshark 的使用; 12.1.3 通过实验理解并掌握 TCP/IP 体系结构及其协 议分析方法; 12.1.4 通过实验理解并掌握 FTP 协议的工作原理; 12.1.5 通过实验理解并掌握 Telnet 协议的工作原理;
2015-3-10 实验 12 网络嗅探与协议分析 3
12.2 实验要求
12.2.1 12.2.2 12.2.3 12.2.4 预习实验原理; 熟悉实验设备; 熟悉实验环境; ……
2015-3-10
实验 12 网络嗅探与协议分析
4
12.3 实验原理
12.3.1 网络嗅探基础 概述 网络嗅探:利用计算机的网络接口截获目的地为其 它计算机的数据报文; 网络嗅探器:一种监控网络数据的工具,又称 Sniffer 抓包,它工作在网络底层,通过对局域网 上传输的各种关键信息进行窃听,从而获取重要信 息; 一个信息包嗅探器向我们展示出正在网络上进行的 活动;
位 0 8 源 端 口 序 号 TCP 首部 确 认 号 窗 口 紧 急 指 针 填 充
32 位
16
24 目 的 端 口
31
TCP 数 据 报 格 式
数据 偏移
保 留
U A P R S F R C S S Y I G K H T N N
检 验 和 选 项 (长 度 可 变)
20 字 节 的 固 定 首 部
IP
UDP
Ethernet X.25 PPP
9
实验 12 网络嗅探与协议分析
12.3 实验原理(续)
TCP/IP 的主要协议---协议簇
TCP/IP
应用层
主要协议
Http、Telnet、 FTP、E-mail 等
主要功能
负责把数据传输到传输层或者接收从传输层返回的 数据; TCP 为两台主机上的应用程序提供高可靠的端到 端的数据通信,包括把应用程序交给它的数据分成 数据块交给网络层、确认接收到的分组等;UDP 则为应用层提供不可靠的数据通信,它只是把数据 包的分组从一台主机发送到另一台主机,不保证数 据能到达另一端; 主要为数据包选择路由,其中 IP 是 TCP/IP 协议 族中最为核心的协议,所有的 TCP、UDP、 ICMP、IGMP 数据都以 IP 数据包格式传输; 发送时将 IP 包作为帧发送,接收时把收到的位组 装成帧,同时提供链路管理、错误检侧等。
2015-3-10 实验 12 网络嗅探与协议分析 20
12.3 实验原理(续)
当广播 ARP 请求时,网上所有的计算机都能收到 该报文,此时各站应更新 A 的 IP 地址到物理地址 之间的映射; 当网上出现一个新的计算机时,该新的计算机尽可 能主动广播它的 IP 地址和物理地址,以避免其它 站都运行 ARP。
12.3 实验原理(续)
12.3.3 常见协议原理 IP 协议 TCP/IP 协议栈中重要的网际层协议; 向高层提供无连接的服务; 网际层传输的数据单元是分组,一般称为 IP 数据 报; 主要功能:从源端经互连网到目的端尽最大努力传 输数据报。
2015-3-10 实验 12 网络嗅探与协议分析 13
kind=0 1B kind=1 1B kind=2 1B kind=3 1B len=4 1B len=3 1B MSS 2B shift count 1B time stamp value 4B time stamp echo reply 4B
25
kind=8 len=10 1B 1B
2015-3-10
2015-3-10 实验 12 网络嗅探与协议分析 2
12.1 实验目的(续)
12.1.6 通过实验理解并掌握 HTTP 协议的工作原理; 12.1.7 通过实验理解并掌握 DNS 协议的工作原理; 12.1.8 通过实验理解并掌握 ARP 协议的工作原理; 12.1.9 通过实验理解并掌握 QQ 协议的工作原理 12.1.10 通过实验理解并掌握迅雷下载协议的工作原 理; 12.1.11 通过实验加深对协议格式、协议层次及协议 交互过程的理解。
2015-3-10 实验 12 网络嗅探与协议分析 6
12.3 实验原理(续)
嗅探的基本原理:如果在编程时将网卡的工作模式 设置为“混杂模式”,那么网卡将接受所有传递给 它的数据包。
2015-3-10
实验 12 网络嗅探与协议分析
7
12.3 实验原理(续)
12.3.2 协议分析基础 概述 协议分析:通过程序分析网络数据包的协议头和尾 ,从而了解信息和相关的数据包在产生和传输过程 中的行为; 在典型的网络结构中,网络协议和通信采用的是分 层式设计方案,在 OSI 网络结构参考模型中,同 层协议之间能相互进行通信; 协议分析器的主要功能:分析各层协议头部和尾部 ,通过多层协议头尾和其相关信息来识别网络通信 过程中可能出现的问题的方法,称之为专家分析。
TCP 报文段 发送在前
IP 首部
2015-3-10
TCP 首部
TCP 数据部分
IP 数据部分
实验 12 网络嗅探与协议分析 24
12.3 实验原理(续)
TCP 选项域
end of options NOP no operation Maximum Segment Size Window Scale Factor Time Stamp
IP 数据报
实验 12 网络嗅探与协议分析 14
2015-3-10
12.3 实验原理(续)
ICMP 协议:Internet Control Message Protocol IP 协议本身提供无连接的服务,不包括流量控制 与差错控制功能; 检测网络状态(路由、拥塞、服务质量等问题); 提供多种形式的报文,每个 ICMP 消息报文都被封 装于 IP 分组中; PING 是一个典型的基于 ICMP 协议的实用程序。
2015-3-10 实验 12 网络嗅探与协议分析 5
12.3 实验原理(续)
嗅探借助于网络接口,在正常的情况下,一个网络 接口应该只响应:目的 MAC 地址为本机硬件地址 的数据帧、向所有设备发送的广播数据帧; 网络接口使用网卡的接收模式 广播方式:网卡能够接收网络中的广播信息; 组播方式:网卡能够接收组播数据; 直接方式:只有目的网卡才能接收该数据; 混杂模式:网卡能够接收一切通过它的数据,而不 管该数据是否是传给它的。
2015-3-10 实验 12 网络嗅探与协议分析 8
12.3 实验原理(续)
网络体系结构
OSI 参考模型
应用层 表示层 会话层 传输层 网络层 数据链路层 物理层
2015-3-10
TCP/IP 模型
应用层 传输层 网际层 网络 接口层
TCP/IP 协议族 FTP Telnet HTTP TCP
协议头
2015-3-10
数
据
11
实验 12 网络嗅探与协议分析
12.3 实验原理(续)
TCP/IP 协议的封装
应用层
应用地址(80) 应用层数据
传输层
IP地址
TCP头
IP头
网卡地址
应用层数据
网际层
TCP头
应用层数据
数链层
2015-3-10
帧头
IP头
TCP头
应用层数据
帧尾
12
实验 12 网络嗅探与协议分析
0
3 4
ECHO 应答
目的不可达 源抑制
11
12 13
分组超时
分组参数错 时间戳请求
5
8
路由重定向
回应请求
14
17 18
时间戳应答
地址掩码请求 地址掩码应答
16
实验 12 网络嗅探与协议分析
12.3 实验原理(续)
ICMP 报文类型 差错报告(网关→主机信息传输)
信宿(网络、主机、协议、端口)不可达报告 超时报告(TTL=0) 参数差错报告 IP 校验和错误 重组失败
实验 12 网络嗅探与协议分析 10
传输层
TCP、UDP
网络层 链路层
2015-3-10
ICMP、IP、 IGMP ARP、RARP 和设 备驱动程序及接口
12.3 实验原理(续)
数据封装 一台计算机要发送数据到另一台计算机,数据首先 必须打包,打包的过程称为封装; 封装就是在数据前面加上特定的协议头部; 数 据
2015-3-10 实验 12 网络嗅探与协议分析 15
12.3 实验原理(续)
1 2 3 4 类型 代码 校验和
2015-3-10
ICMP 报 文 格 式
数据区
CHECKSUM: 整个 ICMP 报文的校验和算法 与 IP 分组头的校验和算法相同
CODE:提供报文类型的详细信息 类型 ICMP 报文 类型 ICMP 报文
2015-3-10
实验 12 网络嗅探与协议分析
21
12.3 实验原理(续)
ARP 数据报格式
硬件类型 协议类型 硬件地址长度 协议长度 操作 源站 MAC 地址(前 4 字节) 源站 MAC 地址(后 2 字节) 源站 IP 地址(前 2 字节) 源站 IP 地址(后 2 字节) 目的站 MAC 地址(前 2 字节) 目的站 MAC 地址(后 4 字节) 目的站 IP 地址