实验1-网络嗅探实验-报告

1实验名称

网络嗅探实验

2实验目的

掌握网络嗅探工具的使用，捕获FTP数据包并进行分析，捕获HTTP数据包并分析，通过实验了解FTP、HTTP等协议明文传输的特性，以建立安全意识。

3实验内容

实验原理

网络嗅探器Sniffer的原理：

1）Sniffer即网络嗅探器，用于监听网络中的数据包，分析网络性能和故障。Sniffer 主要用于网络管理和网络维护，系统管理员通过Sniffer可以诊断出通过常规工具难以解决的网络疑难问题，包括计算机之间的异常通信、不同网络协议的通信流量、每个数据包的源地址和目的地址等，它将提供非常详细的信息。

2）网卡有几种接收数据帧的状态：unicast（接收目的地址是本级硬件地址的数据帧），Broadcast（接收所有类型为广播报文的数据帧），multicast（接收特定的组播报文），promiscuous（目的硬件地址不检查，全部接收）

3）以太网逻辑上是采用总线拓扑结构，采用广播通信方式，数据传输是依靠帧中的MAC地址来寻找目的主机。

4）每个网络接口都有一个互不相同的硬件地址（MAC地址），同时，每个网段有一个在此网段中广播数据包的广播地址

5）一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，丢弃不是发给自己的数据帧。但网卡工作在混杂模式下，则无论帧中的目标物理地址是什么，主机都将接收

6）通过Sniffer工具，将网络接口设置为“混杂”模式。可以监听此网络中传输的所有数据帧。从而可以截获数据帧，进而实现实时分析数据帧的内容。

实验步骤说明和截图

1）熟悉Sniffer 工具的使用

Sniffer 主界面

从文件菜单中选择适配器，标题栏将显示激活的探测器

选择适配器

文件菜单----选择网络探测器/适配器（N）----显示所有在Windows中配置的适配器

菜单与工具栏

状态栏

网络监控面板Dashboard

红色显示统计数据的阀值

使用Dashboard作为网络状况快速浏览

Host table（主机列表）

Detail（协议列表）

Matrix （网络连接）

2）捕获FTP数据包并进行分析

分组角色：学生A进行FTP连接，学生B使用Sniffer监视A的连接。

步骤：

①在命令符提示下输入IPCONFIG查询自己的IP地址。

②学生B单击菜单中的“捕获”|”定义捕获”|”高级”，再选中IP|TCP|FTP。设置Sniffer捕捉数据的过滤选项，使其只捕捉FTP数据。

③学生B选中显示菜单下的网络连接可以看到网络中的传输地图视图。在传输地图视图中单击IP选项卡，用鼠标选中学生A主机的IP地址，单击鼠标右键，选中“捕获”命令，开始捕获指定主机的有关FTP协议的数据包。

④学生B单击工具栏中的捕获仪表盘按钮，可看到捕捉的包数量。

⑤学生A登陆ftp（ftp：//）然后在输入用户名和密码，登陆到某个老师的ftp下。

⑥学生B在捕获数据包到达一定的数量后，单击停止并显示按钮，停止抓包。

⑦停止抓包后，单击窗口左下角的解码选型，窗口会显示捕捉的数据。学生B根据捕获报文和报文解码，详细分析捕获的数据包，找出有用信息：ftp连接的目的地址、目的端口、发起连接的源地址、源端口、建立连接的3次握手的

数据包及其对应的TCP协议包头结构各字段数据、登陆的用户名及密码、目标主机浏览过的目录和文件。

⑧A、B交换角色，重做实验。

截图结果如下：

通过实验可知FTP中的数据是以明文形式传输的，可以利用捕获的数据包分析被监听主机的任何行为，监听主机的信息极易泄露。

3）捕获HTTP数据包并分析

分组角色：学生A进行HTTP连接，学生B使用Sniffer监视A的连接。

步骤：

①学生B单击菜单中的“捕获”|”定义捕获”|”高级”，再选中IP|TCP|HTTP。设置Sniffer捕捉数据的过滤选项，使其只捕捉HTTP数据。

②学生B选中显示菜单下的网络连接可以看到网络中的传输地图视图。在传输地图视图中单击IP选项卡，用鼠标选中学生A主机的IP地址，单击鼠标右键，选中“捕获”命令，开始捕获指定主机的有关HTTP协议的数据包。

③学生B单击工具栏中捕获仪表盘的按钮，可看到捕捉的包数量。

④学生A浏览，任意浏览页面，登陆邮箱（输入正确用户名和密码）。

⑤学生B在A关闭页面后，单击停止并显示按钮，停止抓包。

⑥停止抓包后，单击窗口左下角的解码选型，窗口会显示捕捉的数据。学生B根据捕获报文和报文解码，详细分析捕获的数据包，找出有用信息

⑦A、B交换角色，重做实验。

截图如下：

通过实验可知http传输数据不是以明文传输，能捕捉到用户名，但是不能捕捉到

暗文，所以不容易泄露信息，比ftp要安全一些。