实验二_网络嗅探

实验二网络嗅探

【实验目的】

1.了解ARP、ICMP等协议明文传输的特性；

2.了解局域网内的监听手段；

3.掌握Wireshark嗅探器软件的使用方法；

4.掌握对嗅探到的数据包进行分析的基本方法，并能够对嗅探到的数据包进行网络状况的判断。

【实验环境】

两台以上装有Windows XP以上操作系统的计算机。

【实验原理】

(1)嗅探原理

网络监听是一种常用的被动式网络攻击方法，能帮助入侵者轻易获得用其他方法很难获得的信息，包括用户口令、账号、敏感数据、IP地址、路由信息、TCP套接字号等。管理员使用网络监听工具可以监视网络的状态、数据流动情况以及网络上传输的信息。

嗅探器（Sniffer）是利用计算机的网络接口截获发往其他计算机的数据报文的一种技术。它工作在网络的底层，将网络传输的全部数据记录下来。嗅探器可以帮助网络管理员查找网络漏洞和检测网络性能。嗅探器可以分析网络的流量，以便找出所关心的网络中潜在的问题。

不同传输介质网络的可监听性是不同的。一般来说，以太网(共享式网络)被监听的可能性比较高，因为以太网(共享式网络)是一个广播型的网络。微波和无线网被监听的可能性同样比较高，因为无线电本身是一个广播型的传输媒介，弥散在空中的无线电信号可以被很轻易地截获。

在以太网中，嗅探器通过将以太网卡设置成混杂模式来捕获数据。因为以太网协议工作方式是将要发送的数据包发往连接在一起的所有主机，包中包含着应该接收数据包主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收。但是，当主机工作在监听模式下，无论数据包中的目标地址是什么，主机都将接收（当然自己只能监听经过自己网络接口的那些包）。在Internet上有很多使用以太网协议的局域网，许多主机通过电缆、集线器连在一起，当同一网络中的两台主机通信的时候，源主机将写有目的主机地址的数据包直接发向目的主机。但这种数据包不能在IP层直接发送，必须从TCP/IP协议的IP层交给网络接口，也就是数据链路层，而网络接口是不会识别IP地址的，因此在网络接口数据包又增加了一

部分以太帧头的信息。在帧头中有两个域，分别为只有网络接口才能识别的源主机和上的主机的物理地址，这是一个与IP地址相对应的48位的以太地址。

传输数据时，包含物理地址的帧从网络接口（网卡）发送到物理的线路上，如果局域网是由一条粗缆连接而成，则数字信号在电缆上传输，能够到达线路上的每一台主机。当使用集线器时，由集线器再发向连接在集线器上的每一条线路，数字信号也能到达连接在集线器上的每一台主机。当数字信号到达一台主机的网络接口时，正常情况下，网络接口读入数据帧，进行检查，如果数据帧中携带的物理地址是自己的或者是广播地址，则将数据帧交给上层协议软件，也就是IP层软件，否则就将这个帧丢弃，对于每一个到达网络接口的数据帧，都要进行这个过程。

然而，当主机工作在监听模式下，所有的数据帧都将交给上层协议软件处理。而且当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时，如果一台主机处于监听模式下，它还能接收到发向与自己不在同一子网（使用了不同的掩码、IP地址和网关）的主机的数据包。也就是说，在同一条物理信道上传输的所有信息都可以被接收到。另外，现在网络中使用的大部分网络协议都是很早设计的，许多协议的实现都是基于一种非常友好的、通信双方充分信任的基础之上，许多信息以明文发送。因此，如果用户的账户名和口令等信息也以明文的方式在网络上传输，而此时一个黑客或网络攻击者正在进行网络监听，只要具有初步的网络和TCP/IP协议知识，便能轻易地从监听到的信息中提取出感兴趣的部分。同理，正确地使用网络监听技术也可以发现入侵并对入侵者进行追踪定位，在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息，成为打击网络犯罪的有力手段。

目前常用的嗅探器工具主要有Ethereal、Sniffer Pro等。两个软件功能相似，均具有捕获网络中传输的数据功能，除此之外，Sniffer Pro还具有捕获网络流量进行详细分析的功能，并能够利用专家分析系统诊断问题，可以实时监控网络活动，收集网络利用率和错误等信息。

说明:网卡有四种接收模式,广播模式(broadcast),能够接收网络中的广播信息；组播模式（multicast）,能够接收组播数据；直接（正常）模式（unicast），只能接收目的地址为该网卡地址的数据；混杂模式（promiscuous [prəmɪskju:əs]）,能够接收一切通过它的数据，无论数据的目的地址是否与该网卡的地址相符。一般情况下，计算机的网卡工作在直接（正常）模式下；在进行网络嗅探时，我们需要将网卡设置为监听模式，也就是上面介绍的混杂模式。

(2) Wireshark软件

Wireshark（前称Ethereal）是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口，直接与网卡进行数据报文交换。

网络封包分析软件的功能可想像成"电工技师使用电表来量测电流、电压、电阻" 的工作，只是将场景移植到网络上，并将电线替换成网络线。在过去，网络封包分析软件是非常昂贵的，或是专门属于营利用的软件。Ethereal的出现改变了这一切。在GNUGPL通用许可

证的保障范围底下，使用者可以以免费的代价取得软件与其源代码，并拥有针对其源代码修改及客制化的权利。Ethereal是目前全世界最广泛的网络封包分析软件之一。

网络管理员使用Wireshark来检测网络问题，网络安全工程师使用Wireshark来检查资讯安全相关问题，开发者使用Wireshark来为新的通讯协定除错，普通使用者使用Wireshark 来学习网络协定的相关知识。当然，有的人也会“居心叵测”的用它来寻找一些敏感信息……

Wireshark不是入侵侦测系统（Intrusion Detection System,IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。Wireshark本身也不会送出封包至网络上。

wireshark有两种过滤器：

捕捉过滤器（CaptureFilters）：用于决定将什么样的信息记录在捕捉结果中。

显示过滤器（DisplayFilters）：用于在捕捉结果中进行详细查找。

捕捉过滤器在抓包前进行设置，决定抓取怎样的数据；显示过滤器用于过滤抓包数据，方便stream的追踪和排查。捕捉过滤器仅支持协议过滤，显示过滤器既支持协议过滤也支持内容过滤。两种过滤器它们支持的过滤语法并不一样。

①Capture Filter语法

捕捉过滤器语法：

Protocol Direction Host(s) Value Logical Operations Other expression 例子：tcp dst 80 and tcp dst 3128

示例：

(host or src net and tcp dst portrange 200-10000 and dst net 捕捉IP为或者源IP位于网络，目的IP的TCP端口号在200至10000之间，并且目的IP位于网络内的所有封包。

字段详解：

Protocol（协议）:

可能值: ether, fddi, ip, arp, rarp, decnet, lat, sca, moprc, mopdl, tcp and udp.

如果没指明协议类型，则默认为捕捉所有支持的协议。

注：在wireshark的HELP-Manual Pages-Wireshark Filter中查到其支持的协议。

Direction（方向）:

可能值: src, dst, src and dst, src or dst

如果没指明方向，则默认使用“src or dst” 作为关键字。

“host 与“src or dst host 等价。