精华内容
下载资源
问答
  • 网络嗅探

    2020-10-08 15:44:26
    实验1、网络嗅探-网络嗅探的基本概念及实践 1、实验介绍 实验简介 实验所属系列:网络嗅探 实验对象:本科/专科信息安全专业;相关工作从业人员;应用安全爱好者 相关课程及专业:网络嗅探 实验时数(学分):2学时 ...

    实验1、网络嗅探-网络嗅探的基本概念及实践

    1、实验介绍
    实验简介

    • 实验所属系列:网络嗅探
    • 实验对象:本科/专科信息安全专业;相关工作从业人员;应用安全爱好者
    • 相关课程及专业:网络嗅探
    • 实验时数(学分):2学时
    • 实验类别:实践实验类
    • 实验附件:https://xpro-adl.91ctf.com/userdownload?filename=无&type=attach

    实验目标

    • 熟悉SniffX工具的安装和使用。
    • 捕获数据包并进行分析。

    预备知识
    网络嗅探是指利用计算机的网络接口截获其它计算机的数据报文的一种手段。网络嗅探需要用到网络嗅探器,其最早是为网络管理人员配备的工具,有了嗅探器网络管理员可以随时掌握网络的实际情况,查找网络漏洞和检测网络性能,当网络性能急剧下降的时候,可以通过嗅探器分析网络流量,找出网络阻塞的来源。网络嗅探是网络监控系统的实现基础。

    2、实验步骤
    一、实验准备1、打开本地“远程桌面连接”工具,输入地址192.168.41.205(以实际获取ip为准),进入远程登陆界面,输入账号Administrator和密码7afe5c,进入虚拟机。远程桌面连接,如下图所示。
    在这里插入图片描述
    2、远程登录成功,如下图所示。
    在这里插入图片描述
    二、网络嗅探
    1、安装sniffx。打开C:\tools\网络嗅探的基本概念及实践,找到sniffx文件。如下图所示
    在这里插入图片描述
    2、双击打开sniffx.exe,如果提示未安装WinpCap驱动,先安装WinPcap驱动。如下图所示。
    在这里插入图片描述
    3、点击“确定”按钮,提示WinPcap驱动安装完成。如下图所示。若已安装驱动,再次安装时需要卸载之前的版本,再重新安装。
    在这里插入图片描述
    4、用sniffx软件捕获数据包。sniffx 是一个HTTP协议的网络嗅探器,协议分析器和HTTP文件重建工具。它可以捕捉局域网内的含有HTTP协议的ip数据包,并对其内容进行解码分。通过它,可以看到现在都访问了哪些网页,这些网页的内容是什么。双击sniffx.exe,启动工具,使用浏览器输入“192.168.41.209”,访问网站一段时间,产生一定数量的网络流量。软件会自动捕获捕捉本机的含有HTTP协议的ip数据包。如下图所示
    在这里插入图片描述
    在这里插入图片描述
    5、查看数据包详情。选中一个数据包,查看数据包详情。如下图所示。
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述

    3、分析和思考
    1、网络嗅探概念是什么?

    2、嗅探器是什么?   
    答案:

    1、网络嗅探是指利用计算机的网络接口截获其它计算机的数据报文的一种手段。

    2、嗅探器是进行网络嗅探时使用的工具。

    实验2、网络嗅探-网络嗅探常用的系统和工具

    1、实验介绍
    实验简介

    • 实验所属系列:网络嗅探
    • 实验对象:本科/专科信息安全专业;相关工作从业人员;应用安全爱好者
    • 相关课程及专业:网络嗅探
    • 实验时数(学分):2学时
    • 实验类别:实践实验类
    • 实验附件:https://xpro-adl.91ctf.com/userdownload?filename=无&type=attach

    实验目标

    • 熟悉WireShark工具的安装和使用。
    • 捕获数据包并进行分析。

    预备知识
    Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPcap作为接口,直接与网卡进行数据报文交换。
    网络封包分析软件的功能可想像成 “电工技师使用电表来量测电流、电压、电阻” 的工作 - 只是将场景移植到网络上,并将电线替换成网络线。在过去,网络封包分析软件是非常昂贵,或是专门属于盈利用的软件。Wireshark的出现改变了这一切。在GNUGPL通用许可证的保障范围底下,使用者可以以免费的代价取得软件与其源代码,并拥有针对其源代码修改及客制化的权利。Wireshark是目前全世界最广泛的网络封包分析软件之一。

    2、实验步骤
    一、实验准备
    1、打开本地“远程桌面连接”工具,输入地址192.168.41.205(以实际获取ip为准),进入远程登陆界面,输入账号Administrator和密码7afe5c,进入虚拟机。远程桌面连接,如下图所示。
    在这里插入图片描述
    2、远程登录成功,如下图所示
    在这里插入图片描述
    二、使用Wireshark捕获数据包
    1、安装Wireshark。打开C:\tools\网络嗅探常用的系统和工具,找到Wireshark安装文件。如下图所示。
    在这里插入图片描述
    2、双击打开安装文件,点击“Next”按钮。如下图所示。3、在许可协议页面,点击“IAgree”同意。如下图所示。
    在这里插入图片描述
    4、选择安装组件。其中Wireshark是基本的组件,TShark是Wireshark的命令行版本,Plugins/Extensions是扩展插件,Tools是工具,User’sGuide是用户指导。点击“Next”按钮。如下图所示。
    在这里插入图片描述
    5、额外的安装选项。勾选StartMenuItem创建开始菜单项,勾选DesktopIcon创建桌面图标,勾选QuickLaunchIcon创建快速启动图标,勾选AssociatefileextensionstoWireshark将捕捉包默认打开方式关联到Wireshark。点击“Next”按钮。如下图所示。
    在这里插入图片描述
    6、选择安装路径为C:\Wireshark。点击“Next”按钮。如下图所示。
    在这里插入图片描述
    7、如果之前未安装WinPcap,则会提示安装WinPcap。点击“Install”按钮安装。如下图所示
    在这里插入图片描述
    8、安装WinPcap,点击“Next”按钮。如下图所示。
    在这里插入图片描述
    9、WinPcap许可协议页面,点击“IAgree”按钮同意。如下图所示。
    在这里插入图片描述
    10、安装选项。勾选“AutomaticllystarttheWinPcapdeiveratboottime”,使WinPcap可以自动启动。点击“Install”按钮。如下图所示。
    在这里插入图片描述
    11、WinPcap安装完成后跳转回Wireshark安装流程继续安装。Wireshark安装完成后点击“Next”按钮。如下图所示。
    在这里插入图片描述
    12、勾选“RunWireshark1.10.14”,点击“Finish”按钮结束安装并启动Wireshark。如下图所示。
    在这里插入图片描述
    13、Wireshark启动。如下图所示。
    在这里插入图片描述
    在这里插入图片描述
    17、对抓取的数据包进行过滤。例如在Filter中输入ip.dst==192.168.41.255可以过滤出目的地址IP为192.168.41.255的数据包。如下图所示。
    在这里插入图片描述
    3、分析和思考
    1、Wireshark使用什么接口?

    2、Wireshark主要有什么功能。    
    答案:

    1、Wireshark使用WinPcap作为接口,直接与网卡进行数据报文交换。

    2、Wireshark可以捕捉网络中的数据包并显示出其中的数据。

    实验3、网络嗅探-利用Iris软件进行数据包检测和分析

    1、实验介绍
    实验简介

    • 实验所属系列:网络嗅探
    • 实验对象:本科/专科信息安全专业;相关工作从业人员;应用安全爱好者
    • 相关课程及专业:网络嗅探
    • 实验时数(学分):2学时
    • 实验类别:实践实验类
    • 实验附件:https://xpro-adl.91ctf.com/userdownload?filename=利用Iris软件进行数据包检测和分析.rar&type=attach

    实验目标

    • 能够使用iris进行相关的网络检测

    预备知识
    Iris是对网络上的数据包进行检测和分析的工具,它可以捕获所有发出和进入的数据包,并可以对数据包进行分析和重构。Iris是eEye公司的一款产器,eEye是一家以网络安全见长的公司,其安全检测工具retina和数据包探测工具Iris都做得非常出色。Iris可用于网络数据传输检测、网络协议检测等。

    2、实验步骤
    一、实验准备
    1、打开本地“远程桌面连接”工具,输入地址192.168.41.214(以实际获取ip为准),进入远程登陆界面,输入账号Administrator和密码51e329,进入虚拟机。远程桌面连接,如下图所示。
    在这里插入图片描述
    2、远程登录成功,如下图所示。
    在这里插入图片描述
    二、利用Iris进行数据包检测和分析
    1、安装Iris。打开C:\tools\网络嗅探-利用Iris软件进行数据包检测和分析目录,找到Iris的安装程序。如下图所示。
    在这里插入图片描述
    2、勾选“I acceptall terms of the preceding License Agreement”同意许可协议,点击“Next”。如下图所示。
    在这里插入图片描述
    3、安装说明,点击“Next”。如下图所示。
    在这里插入图片描述
    4、选择安装路径为C:\Iris\,点击“Next”。如下图所示。
    在这里插入图片描述
    5、创建备份文件选项,勾选“Yse”,点击“Next”。如下图所示。
    在这里插入图片描述
    6、点击“Next”开始安装。如下图所示。
    在这里插入图片描述
    7、等待安装完成。如下图所示。
    在这里插入图片描述
    8、安装完成后勾选“LaunchIrisNetWorek Traffic Analyzer”,点击“Finish”结束安装并开始Iris程序。如下图所示。
    在这里插入图片描述
    9、安装完成后勾选“LaunchIris”,点击“Finish”结束安装并开始Iris程序。如下图所示
    在这里插入图片描述
    10、打开C:\tools\网络嗅探-利用Iris软件进行数据包检测和分析目录,找到keygen.exe。如下图所示。
    在这里插入图片描述
    11、双击keygen.exe打开,选中其中序列号并复制粘贴到Iris的产品序列号输入框中,点击“Next”完成Iris的注册。如下图所示。
    在这里插入图片描述
    在这里插入图片描述
    14、安装向导,点击“下一步”。如下图所示。
    在这里插入图片描述
    在这里插入图片描述
    18、安装完成,勾选“启动IrisNetwork Traffic Analyzer”。如下图所示。
    在这里插入图片描述
    20、iris的基本使用和配置
    第1部分:这是Iris的菜单和工具栏,工具栏的都包含在菜单中,下面介绍下各菜单的功能:文件菜单:主要用来打开和保存相关文件及退出Iris。查看菜单:设置各小部分的显示与隐藏。捕获菜单:针对数据包捕获的相关操作,开始/结束捕获,搜索数据包等。解码菜单:对数据包进行解码的相关操作。过滤器菜单:可以打开/关闭过滤器配置文件,设置包过滤选项等。工具菜单:可查看Iris数据包统计,设定定时抓包任务,对Iris进行设置等。
    第2部分:Iris的捕获和解码的切换,防护、过滤器和日志等的设置。
    第3部分:查看Iris的统计,以图表的形式显示。
    第4部分:一些帮助文档的在线链接。
    第5部分:Iris的帮助和支持,可以查看Iris的详细说明文档。
    第6部分:小提示,它会根据你的操作给出相应的小提示。
    第7部分:显示Iris抓到的数据包。
    第8部分:显示数据包中的内容,并可以对数据包进行重构。
    第9部分:以协议的形式显示数据包的详细信息。
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    2)layer 2,3选项卡主要对第2层和第3层进行设置,选中“显示所有类型”后会显示所有的协议类型,选中“排除”会将所选中的协议排除在外。
    在这里插入图片描述
    (4)IP地址选项卡用于设置针对哪些主机之间的通信进行数据包抓取,address1和address2分别是ip地址和网关,可以直接从地址薄中拖过去。此项是较常用的一项。如下图所示。
    在这里插入图片描述
    在这里插入图片描述
    25、对Iris软件的设置。打开“工具”->“设置”或按“ctrl+t”会出现针对Iris的设置选项卡,如下图所示。
    在这里插入图片描述
    (1)捕获选项卡用于设置捕获数据包的相关选项,“连续运行”表示如果包缓冲区存满时会继续运行,此时最开始的数据包将会被覆盖。“填充缓冲区后停止捕获”表示如果包缓冲区存满时会停止运行。如下图所示。
    在这里插入图片描述
    (1)捕获选项卡用于设置捕获数据包的相关选项,“连续运行”表示如果包缓冲区存满时会继续运行,此时最开始的数据包将会被覆盖。“填充缓冲区后停止捕获”表示如果包缓冲区存满时会停止运行。如下图所示。(2)解码选项卡用于设置解码数据包的相关参数,默认不解码UDP数据报,可选中“解码UDP数据包”让Iris解码UDP数据报。如下图所示。
    在这里插入图片描述
    (3)适配器选项卡用于设置使用哪块网卡,有多块网卡时可选用。如下图所示。
    在这里插入图片描述
    在这里插入图片描述
    1.Iris的主要功能是什么?

    2.Iris的过滤器设置中可以设置哪些部分?

    答案:

    1.Iris是对网络上的数据包进行检测和分析的工具,它可以捕获所有发出和进入的数据包,并可以对数据包进行分析和重构。

    2.可以设置硬件过滤器、Layer2,3、关键字、MAC地址、IP地址、端口等。

    3、分析和思考
    1.Iris的主要功能是什么?

    2.Iris的过滤器设置中可以设置哪些部分?

    答案:

    1.Iris是对网络上的数据包进行检测和分析的工具,它可以捕获所有发出和进入的数据包,并可以对数据包进行分析和重构。

    2.可以设置硬件过滤器、Layer2,3、关键字、MAC地址、IP地址、端口等。

    实验4、网络嗅探-使用微软网络监视器来嗅探FTP会话

    1、实验介绍
    实验简介

    • 实验所属系列:网络嗅探
    • 实验对象:本科/专科信息安全专业;相关工作从业人员;应用安全爱好者
    • 相关课程及专业:信息安全导论
    • 实验时数(学分):2学时
    • 实验类别:实践实验类

    实验目标

    • 安装网络监视器
    • 利用网络监视器捕获FTP交互过程及终端输入的用户名和密码

    预备知识
    Windows附带的网络监视器具有基本的网络嗅探功能。FTP以明文方式发送用户名和口令,网络监视器能够捕获整个FTP会话并将用户名和口令展现给可能的黑客。防止这种情况发生的一个办法是使用匿名连接FTP站点,不过这并不能够锁定访问的服务器。当然,也可以配置FTP服务器,只允许某些IP地址或者VPN连接来限制访问的用户。

    2、实验步骤
    一、实验准备
    1、打开本地“远程桌面连接”工具,输入地址192.168.41.204(以实际获取ip为准),进入远程登陆界面,输入账号administrator和密码7afe5c,进入虚拟机。远程桌面连接,如下图所示。
    在这里插入图片描述
    2、远程登录成功,如下图所示。
    在这里插入图片描述
    3、同样的方法,输入IP地址192.168.41.207(以实际获取ip为准),输入账号administrator和密码51e329登录第二台虚拟机。第一台虚拟机为winxp_info,作为客户端主机。第二台虚拟机为win2003_web_1,作为FTP服务端主机。

    二、使用微软网络监视器嗅探FTP会话
    1、打开服务端主机win2003_web_1。打开启动网络监视器。实验机中已经事先安装好了网络监视器。点击“开始”→“管理工具”→“网络监视器”,启动网络监视器。如下图所示。若要选择网络,则选择本地连接2。
    在这里插入图片描述
    2、在菜单栏“捕获”栏目中,点击“开始”,启动监视器。可以看到监视器启动。如下图所示。
    在这里插入图片描述
    3、打开客户端主机winxp_info,使用客户端主机登录服务端主机的FTP服务器(已事先搭建好)。在客户端系统中,打开命令提示符“cmd”,通过“ftp192.168.41.207”命令行登录FTP服务器。FTP用户名anheng,密码123456。如下图所示。
    在这里插入图片描述
    4、回到服务器端,在网络监视器中,选择“捕获”,点击“停止并查看”。如下图所示。
    在这里插入图片描述
    5、点击上方工具栏的漏斗状按钮,打开显示筛选器页面。如下图所示。
    在这里插入图片描述
    6、双击协议,打开表达式页面,将FTP协议以外的协议禁用,点击“确定”按钮回到显示筛选器页面。如下图所示。
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    7、点击“确定”按钮可以看到捕获窗中的FTP会话包被筛选出来。如下图所示。
    在这里插入图片描述
    8、双击FTP会话包,可以看到与FTP会话有关的信息,如用户名、密码等。如下图所示。
    在这里插入图片描述
    9、实验完成,关闭所有窗口和虚拟机。

    3、分析和思考
    1、命令行下如何登录FTP服务器?

    2、FTP协议的用户名和口令能被网络嗅探器捕捉到吗?
       
    答案:

    1、在命令行中输入FTP命令,格式为FTP+服务器IP地址,然后再输入用户名、口令即可。

    2、能,因为FTP以明文方式发送用户名和口令。

    实验5、网络嗅探-Wireshark 工具的使用

    1、实验介绍
    实验简介

    • 实验所属系列:网络嗅探
    • 实验对象:本科/专科信息安全专业;相关工作从业人员;应用安全爱好者
    • 相关课程及专业:网络嗅探
    • 实验时数(学分):2学时
    • 实验类别:实践实验类
    • 实验附件:https://xpro-adl.91ctf.com/userdownload?filename=无&type=attach

    实验目标

    • 安装 Wireshark。
    • 使用软件进行协议包抓取,使用过滤器进行内容检索。

    预备知识
    Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPcap作为接口,直接与网卡进行数据报文交换。
    网络封包分析软件的功能可想像成 “电工技师使用电表来量测电流、电压、电阻” 的工作 - 只是将场景移植到网络上,并将电线替换成网络线。在过去,网络封包分析软件是非常昂贵,或是专门属于盈利用的软件

    2、实验步骤
    一、实验准备
    1、打开本地“远程桌面连接”工具,输入地址192.168.41.205(以实际获取ip为准),进入远程登陆界面,输入账号Administrator和密码7afe5c,进入虚拟机。远程桌面连接,如下图所示。
    在这里插入图片描述
    2、远程登录成功,如下图所示。
    在这里插入图片描述
    二、流量分析
    1、安装Wireshark。打开C:\tools\Wireshark工具的使用,找到Wireshark安装文件。如下图所示。
    在这里插入图片描述
    2、双击打开安装文件,点击“Next”按钮。如下图所示。
    在这里插入图片描述
    3、在许可协议页面,点击“IAgree”同意。如下图所示。
    在这里插入图片描述
    4、选择安装组件。其中Wireshark是基本的组件,TShark是Wireshark的命令行版本,Plugins/Extensions是扩展插件,Tools是工具,User’sGuide是用户指导。点击“Next”按钮。如下图所示。
    在这里插入图片描述
    5、额外的安装选项。勾选StartMenuItem创建开始菜单项,勾选DesktopIcon创建桌面图标,勾选QuickLaunchIcon创建快速启动图标,勾选AssociatefileextensionstoWireshark将捕捉包默认打开方式关联到Wireshark。点击“Next”按钮。如下图所示。
    在这里插入图片描述
    6、选择安装路径为C:\Wireshark。点击“Next”按钮。如下图所示.
    在这里插入图片描述
    7、如果之前未安装WinPcap,则会提示安装WinPcap。点击“Install”按钮安装。如下图所示。
    在这里插入图片描述
    8、安装WinPcap,点击“Next”按钮。如下图所示。
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述
    15、点击上方工具栏中红色方形按钮停止捕获数据包。如下图所示。
    在这里插入图片描述16、捕捉到的Ethernet帧。如下图所示
    在这里插入图片描述
    17、捕捉TCP报文段。
    (1)TCP报文段的首部格式。如下图所示。
    在这里插入图片描述
    (2)捕捉到的TCP报文段。如下图所示。
    在这里插入图片描述
    (3)展开TCP报文段,可以看到此TCP包源端口为51752,目的端口为443,是一个ACK包,只有ACK的标志位置为了1。如下图所示。
    在这里插入图片描述
    18、捕捉IP报文段。
    (1)IP报文段格式。如下图所示
    在这里插入图片描述
    (2)捕捉到的IP报文段。如下图所示。
    在这里插入图片描述
    (3)展开IP报文段,可以得知这个IP报文段的版本为Verision4,即IPV4。源地址Source的IP为192.168.41.215,目的地址Destination的IP地址为122.228.95.122。报文段的ToatlLength即总长度为40。Timetolive为128,表示这个包还可以被路由器转发128次。Protocol为TCP表示里面封装的为TCP报文。如下图所示。
    在这里插入图片描述
    3、分析和思考
    1、Wireshark的功能是什么?

    2、列举几个Wireshark可以抓取的包的类型。   
    答案:

    1、Wireshark可以捕捉网络中的数据包并显示出其中的数据。

    2、TCP包,HTTP包,FTP包等。

    实验6、网络嗅探-Wireshark 工具的使用与TCP数据包分析

    1、实验介绍
    实验简介

    • 实验所属系列:网络嗅探
    • 实验对象:本科/专科信息安全专业;相关工作从业人员;应用安全爱好
    • 相关课程及专业:网络嗅探
    • 实验时数(学分):2学时
    • 实验类别:实践实验类
    • 实验附件:https://xpro-adl.91ctf.com/userdownload?filename=Wireshark工具的使用与TCP数据包分析.rar&type=attach

    实验目标

    • 学习Wireshark工具的使用。
    • 学习TCP协议及其TCP头部结构。
    • 利用Wireshark分析TCP数据包内容。

    预备知识
    1、Wireshark是一个网络封包分析软件。网络封包分析软件的功能是捕捉网络数据包,并尽可能显示出最为详细的数据包内容。Wireshark是目前全世界最广泛的网络封包分析软件之一。

    2、传输控制协议(Transmission Control Protocol),简称TCP协议,是一种面向连接(连接导向)的、可靠的、基于字节流的运输层通信协议,由IETF的RFC793说明。在简化的计算机网络OSI模型中,它完成第3层传输层所指定的功能,基于TCP的常见应用如TELNET,SSH,HTTP,FTP等。

    2、实验步骤
    一、实验准备
    1、打开本地“远程桌面连接”工具,输入Windows7的IP地址(实验以实际的IP为准),进入远程登陆界面,输入密码7c1a9c,进入win7_pu虚拟机。远程桌面连接,如下图所示。
    在这里插入图片描述
    2、远程登录成功,如下图所示。
    在这里插入图片描述
    3、打开本地“远程桌面连接”工具,输入另一台Windows7的ip地址(实验以实际的IP为准),进入远程登陆界面,输入账号Administrator和密码7c1a9c,进入win7_crypto虚拟机。远程桌面连接,如下图所示。
    在这里插入图片描述
    4、远程登录成功,如下图所示。
    在这里插入图片描述
    二、TCP数据包分析
    1、安装Wireshark。打开win7_crypto虚拟机C:\tools\AHCJ038\Wireshark工具的使用与TCP数据包分析\Wireshark工具的使用与TCP数据包分析\wireshark-win32-1.4.3目录,找到Wireshark安装文件。如下图所示。
    在这里插入图片描述
    2、双击打开安装文件,点击“Next”按钮。如下图所示。
    在这里插入图片描述
    3、在许可协议页面,点击“IAgree”同意。如下图所示。
    在这里插入图片描述
    4、选择安装组件。其中Wireshark是基本的组件,TShark是Wireshark的命令行版本,Plugins/Extensions是扩展插件,Tools是工具,User’sGuide是用户指导。点击“Next”按钮。如下图所示。
    在这里插入图片描述
    5、额外的安装选项。勾选StartMenuItem创建开始菜单项,勾选DesktopIcon创建桌面图标,勾选QuickLaunchIcon创建快速启动图标,勾选AssociatefileextensionstoWireshark将捕捉包默认打开方式关联到Wireshark。点击“Next”按钮。如下图所示。
    在这里插入图片描述
    6、选择安装路径为C:\Wireshark。点击“Next”按钮。如下图所示。
    在这里插入图片描述
    7、如果之前未安装WinPcap,则会提示安装WinPcap。点击“Install”按钮安装。如下图所示。
    在这里插入图片描述
    8、安装WinPcap,点击“Next”按钮。如下图所示。
    在这里插入图片描述
    在这里插入图片描述
    9、WinPcap许可协议页面,点击“IAgree”按钮同意。如下图所示。
    在这里插入图片描述
    10、安装选项。勾选“AutomaticllystarttheWinPcapdeiveratboottime”,使WinPcap可以自动启动。点击“Install”按钮。如下图所示。
    在这里插入图片描述
    11、WinPcap安装完成后跳转回Wireshark安装流程继续安装。Wireshark安装完成后点击“Next”按钮。如下图所示。
    在这里插入图片描述
    12、勾选“RunWireshark1.10.14”,点击“Finish”按钮结束安装并启动Wireshark。如下图所示。
    在这里插入图片描述
    13、Wireshark启动。如下图所示。
    在这里插入图片描述
    14、点击“VMwarevmxnet3virtualnetworkdevice”,在点击“start”按钮开始抓包。如下图所示。
    在这里插入图片描述
    在这里插入图片描述
    15、在“开始”→“所有程序”→“Serv-U”中打开Serv-U管理控制台启动Serv-U。如下图所示
    在这里插入图片描述
    在这里插入图片描述
    16、打开win7_pu虚拟机,进入命令行,输入命令ftp192.168.41.200(实验以实际的IP为准)。如下图所示。
    在这里插入图片描述
    17、输入用户名DBAPPSecurity、密码DBAPPSecurity123456(密码是隐藏的)登录ftp服务器。如下图所示。
    在这里插入图片描述
    18、输入命令bye退出ftp服务器。如下图所示。
    在这里插入图片描述
    19、打开win7_crypto虚拟机,停止Wireshark程序的抓包。在Filter栏目中输入ip.addr==192.168.41.215过滤不相关的数据包。如下图所示。
    在这里插入图片描述
    20、可以看到客户端192.168.41.215和ftp服务器192.168.41.200的全部交互过程,包括用户账号、密码传输的过程。如下图所示。
    在这里插入图片描述
    21、可以详细查看每个包的具体传输内容,例如Info为Request:USERDBAPPSecurity的包的传输内容。如下图所示。
    在这里插入图片描述
    22、实验完成,关闭所有的窗口和虚拟机。

    3、分析和思考
    1、Wireshark的功能是什么?

    2、简要介绍一下TCP协议?    
       
    答案:

    1、Wireshark(前称Ethereal)是一个网络封包分析软件。网络封包分析软件的功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。Wireshark使用WinPCAP作为接口,直接与网卡进行数据报文交换。

    2、TCP(Transmission Control Protocol 传输控制协议)是一种面向连接的、可靠的、基于字节流的传输层通信协议,由IETF的RFC 793定义。在简化的计算机网络OSI模型中,它完成第四层传输层所指定的功能,用户数据报协议(UDP)是同一层内[1] 另一个重要的传输协议。在因特网协议族(Internet protocol suite)中,TCP层是位于IP层之上,应用层之下的中间层。不同主机的应用层之间经常需要可靠的、像管道一样的连接,但是IP层不提供这样的流机制,而是提供不可靠的包交换。

    展开全文
  • 网络嗅探网络嗅探网络嗅探网络嗅探网络嗅探
  • zxarps 网络嗅探

    2018-10-31 16:46:38
    zxarps zxarps 网络嗅探
  • 网络嗅探

    2018-02-19 08:32:37
    网络嗅探
  • 网络嗅探器~~网络嗅探器~~~~网络嗅探
  • winpcap 网络嗅探

    2017-02-23 21:37:04
    端口扫描,网络嗅探,代码学习,采用C++编写的嗅探小程序,可以供学习用,
  • 摘 要本文介绍了网络嗅探器软件的功能,以及网络嗅探软件设计的原理,并以软件设计的模块化思想为主介绍了编写一个网络嗅探软件的总体设计思想以及主要代码设计,同时对涉及到的若干网络编程知识以及一些网络基本...

    摘 要本文介绍了网络嗅探器软件的功能,以及网络嗅探软件设计的原理,并以软件设计的模块化思想为主介绍了编写一个网络嗅探软件的总体设计思想以及主要代码设计,同时对涉及到的若干网络编程知识以及一些网络基本知识进行了介绍。本文的最后也指出了此网络嗅探软件设计的另一个发展方向。

    关键词网络嗅探器混杂模式模块化设计

    1引言

    随着网络技术的发展,网络系统对于整个社会的工作和建设发挥着越来越大的作用,网络环境也变得越来越复杂,与此同时网络系统的安全问题也引起了我们的关注。设计数据包嗅探器的目的在于能够使系统管理员运用此类软件分析网络流量以便更好地控制网络。它能够帮助系统管理人员迅速地找到问题症结所在(如网络瓶颈、错误配置等),它们通常被用来在网路上截取/阅读位于OSI协议模型中各个协议层次上的数据包。

    2网络嗅探软件的设计原理

    嗅探器可以理解为一个安装在计算机上的窃听设备,它可以用来窃听计算机在网络上所产生的众多的信息,可以窃听计算机程序在网络上发送和接收到的数据,用来接收在网络上传输的信息。

    很多计算机网络采用的是“共享媒体"。也就是说,不必中断他的通讯,并且配置特别的线路,再安装嗅探器,几乎可以在任何连接着的网络上直接窃听到同一掩码范围内的计算机网络数据。这种窃听方式为“基于混杂模式的嗅探”(promiscuous mode)。

    2.1以太网的工作原理

    以太网的数据传输是基于“共享”原理的:所有的同一本地网范围内的计算机共同接收到相同的数据包。这意味着计算机直接的通讯都是透明可见的。正是因为这样的原因,以太网卡都构造了硬件的“过滤器”,这个过滤器将忽略掉一切和自己无关的网络信息。事实上是忽略掉了与自身MAC地址不符合的信息。嗅探程序正是利用了这个特点,它把网卡设置为“混杂模式”。因此,嗅探程序就能够接收到整个以太网内的网络数据信息了。

    在以太网中所有的通讯都是广播的,也就是说通常在同一个网段的所有网络接口都可以访问在物理媒体上传输的所有数据,而每一个网络接口都有一个唯一的硬件地址,这个硬件地址也就是网卡的MAC地址。大多数系统使用48比特的地址,这个地址用来表示

    网络中的每一个设备。一般来说每一块网卡上的MAC地址都是不同的,每个网卡厂家得到一段地址,然后用这段地址分配给其生产的每个网卡一个地址。在硬件地址和IP地址间使用ARP和RARP协议进行相互转换。

    在正常的情况下,一个网络接口应该只响应这样的两种数据帧:

    ①与自己硬件地址相匹配的数据帧。

    ②发向所有机器的广播数据帧。

    2.2网卡的工作原理

    在一个实际的系统中,数据的收发是由网卡来完成的。网卡接收到传输来的数据,网卡内的单片程序接收数据帧的目的MAC地址。根据计算机上的网卡驱动程序设置的接收模式判断该不该接收。认为该接收就接收后产生中断信号通知CPU;认为不该接收就丢掉不管。所以不该接收的数据,网卡就截断了,计算机根本就不知道。CPU得到中断信号产生中断,操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据,驱动程序接收数据后放入信号堆栈让操作系统处理。

    对于网卡一般有四种接收模式:

    ①广播方式:该模式下的网卡能够接收网络中的广播信息。

    ②组播方式:设置在该模式下的网卡能够接收组播数据。

    ③直接方式:在这种模式下,只有目的网卡才能接收该数据。

    ④混杂模式:在这种模式下的网卡能够接收一切通过它的数据,而不管该数据是否是传给它的。

    数据包MAC

    接口配置模式

    产生中断,通知CPU

    产生中断,通知CPU

    不处理,丢弃

    本地接口硬件地址

    广播地址

    其他硬件地址

    混杂模式

    非混合模式

    数据包MAC

    接口配置模式

    产生中断,通知CPU

    产生中断,通知CPU

    不处理,丢弃

    数据包

    2.3网络嗅探软件的工作原理

    根据以上的介绍,我们可以得出结论如下:

    首先,在以太网中是基于广播方式传送数据的,也就是说,所有的物理信号都要经过我的机器。再次,网卡可以置于一种模式叫混杂模式(promiscuous mode),在这种模式下工作的网卡能够接收到一切通过它的数据,而不管实际上数据的目的地址是不是它。这就是以下将要介绍的网络嗅探软件的工作的基本原理:让网卡接收一切它所能接收的数据。

    计算机直接所传送的数据,事实上是大量的二进制数据。因此,一个网络窃听程序还必须也使用特定的网络协议来分解嗅探到的数据,嗅探器也就必须能够识别出哪个协议对应于这个数据片断,只有这样才能够进行正确的解码。

    3网络嗅探软件的设计实现

    该网络嗅探软件能够从网络上读取数据包并且解析数据包报文头中各字段的意义。能够分析数据帧以及所使用的协议的类型。

    3.1网络嗅探软件的模块结构

    设计该网络嗅探软件可分为以下几个步骤:

    ①创建套接字

    ②把网卡设置为混杂模式

    ③捕获数据包

    ④分析数据包

    3.2模块说明

    ⑴该网络嗅探软件主要是运用LINUX环境下的SOCKET编程。网络的SOCKET数据传输是一种特殊的I/O, SOCKET也是一种文件描述符。该网络嗅探软件设计的目的是截获所有的数据包,即包括所有的协议。

    Socket()函数的定义式如下:

    Sockfd = socket ( int family, int type, int protocol );

    第一个参数是地址类型,如果选用AF UNIX,是用于本机上不同进程之间进行通信,而设为AF INET则是用于不同主机之间的通信;第二个参数即socket的类型参数,主要有4种参数类型如下:

    ①SOCK DRAM:used for udp datagrams.

    ②SOCK STREAM:used for tcp packets.

    ③SOCK RAW:used to bypass the transport layer and directly access the IP layer.

    ④SOCK PACKET:this is linux specific, it is similuar to sock raw except it accesses the DATA LINK layer.

    第三个参数是协议参数,指定程序使用具体的协议。

    在此程序中为截获包含所有协议的数据包,故在程序的开始就写语句:

    #define PROTOhtons(0x0003)/ *Ethernet code for all protol */

    且在本程序中socket()函数的第二个参数选用sock packet。

    ⑵ 套接字创建成功之后,就可以选择网络接口并加以参数控制了。进入第二个模块:设置网卡于混杂模式。

    在程序中有一个单独的自定义函数是用来将网卡设置为混杂模式的。在这个模块中主要是调用了ioctl函数,ioctl函数是用来控制特殊文件的底层设备参数的,这些特殊文件通常是终端、套接字和接口。ioctl函数的定义如下:

    ioctl(sock,SIOCGIFFLAGS, &ifr)

    ioctl()函数中第一个参数是一个打开的原始套接字描述符“sock”,第二个参数是所要执行的请求操作。这里,请求操作是“SIOCGIFFLAGS”,意思是获取接口“etho”的标记符。第三个参数是接口请求数据结构的地址指针,该结构中包含了所要进行请求操作的接口名称值。

    ⑶ 网络接口设置为混杂模式以后,接着就可以接收数据包了,进入捕获数据包的模块。

    recvfrom ( if_eth_fd, &ep, sizeof (ep), 0, &dest, &dlen );

    这个函数要做的就是接收数据,并把接收到的数据放入buffer中。

    ⑷ 在成功的接收到数据包后,程序将进入下一个模块:分析数据包。

    这里要介绍一下有关的网络基本知识,首先介绍一下TCP/IP的分层:

    在TCP/IP协议族中,有很多种协议。可用图一简单概括TCP/IP协议族中不同层次的协议。如图所示,由于TCP、UDP、ICMP和IGMP都要向IP传送数据,因此IP必须在生成的IP首部中加入某种标识,以表明数据属于哪一层。为此,IP在首部中存入一个长度为8 bit的数据,称作协议域。1表示为ICMP协议,2表示为IGMP协议,6表示为TCP协议,17表示为UDP协议。类似地,许多应用程序都可以使用TCP或UDP来传送数据。运输层协议在生成报文首部时要存入一个应用程序的标识符。TCP和UDP都用一个16 bit的端口号来表示不同的应用程序。TCP和UDP把源端口号和目的端口号分别存入报文首部中。网络接口分别要发送和接收IP、ARP和RARP数据,因此也必须在以太网的帧首部中加入某种形式的标识,以指明生成数据的网络层协议。为此,以太网的帧首部也有一个16 bit的帧类型域。

    TCP

    UDP

    ICMP

    IP

    IGMP

    ARP

    硬件接口

    RARP

    用户进程用户进程用户进程用户进程应用层运输层网络层 链路层

    媒体

    (图一)

    网络嗅探程序在分析数据包这一阶段正是根据了网络的工作原理:在收到一个以太网数据帧时,数据就开始从协议栈中由底向上升,同时去掉各层协议加上的报文首部。每层协议盒都要去检查报文首部中的协议标识,以确定接收数据的上层协议。这个过程即是分用。

    4进一步的发展方向

    还有很多的功能可以加入到本文所设计的软件中,使其变得更加完整。它的另一个发展的方向就是进一步更好的分析数据包中的数据部分,并能够把分析出来的数据从ASCII码转换为自然语言,这就能够给用户带来很大的方便。

    posted on 2007-05-16 13:53 ☜♥☞MengChuChen 阅读(825) 评论(1)  编辑  收藏 所属分类: meshwork

    展开全文
  • SRSniffer网络嗅探.rar

    2021-03-23 17:52:49
    SRSniffer网络嗅探.rar
  • nmap网络嗅探

    2013-04-11 23:54:45
    nmap网络嗅探
  • 网络嗅探器 可以嗅探出网络中流入的文件。
  • 防范网络嗅探

    千次阅读 2019-08-07 17:53:24
    防范网络嗅探 作者:自由的猪 最普遍的安全威胁来自内部,同时这些威胁通常都是致命的,其破坏性也远大于外部威胁。其中网络嗅探对于安全防护一般的网络来说,操作简单同时威胁巨大,很多黑客也使用嗅探器进行网络...

    防范网络嗅探

    作者:自由的猪

    最普遍的安全威胁来自内部,同时这些威胁通常都是致命的,其破坏性也远大于外部威胁。其中网络嗅探对于安全防护一般的网络来说,操作简单同时威胁巨大,很多黑客也使用嗅探器进行网络入侵的渗透。

    网络嗅探器对信息安全的威胁来自其被动性和非干扰性,使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变得不容易被发现。本文分析了网络嗅探的原理,分析了一些实例,提出解决方案和介绍实践经验。

    一 嗅探器攻击原理

    嗅探器(sniffer) 是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。它工作在网络的底层,把网络传输的全部数据记录下来. 嗅探器可以帮助网络管理员查找网络漏洞和检测网络性能。嗅探器可以分析网络的流量,以便找出所关心的网络中潜在的问题。

    不同传输介质的网络的可监听性是不同的。一般来说,以太网被监听的可能性比较高,因为以太网是一个广播型的网络;FDDI Token被监听的可能性也比较高,尽管它并不是一个广播型网络,但带有令牌的那些数据包在传输过程中,平均要经过网络上一半的计算机;微波和无线网被监听的可能性同样比较高,因为无线电本身是一个广播型的传输媒介,弥散在空中的无线电信号可以被很轻易的截获。一般情况下,大多数的嗅探器至少能够分析下面的协议:

    标准以太网

    TCP/IP

    IPX

    DECNET

    FDDI Token

    微波和无线网。

    实际应用中的嗅探器分软、硬两种。软件嗅探器便宜易于使用,缺点是往往无法抓取网络上所有的传输数据(比如碎片),也就可能无法全面了解网络的故障和运行情况;硬件嗅探器的通常称为协议分析仪,它的优点恰恰是软件嗅探器所欠缺的,但是价格昂贵。目前主要使用的嗅探器是软件的。

    嗅探器捕获真实的网络报文。嗅探器通过将其置身于网络接口来达到这个目的--例如将以太网卡设置成杂收模式。数据在网络上是以帧(Frame)的单位传输的。帧通过特定的称为网络驱动程序的软件进行成型,然后通过网卡发送到网线上。通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧的到达,然后对其进行存储。就是在这个传输和接收的过程中,每一个在LAN上的工作站都有其硬件地址。这些地址唯一地表示着网络上的机器。当用户发送一个报文时,这些报文就会发送到LAN上所有可用的机器。在一般情况下,网络上所有的机器都可以"听"到通过的流量,但对不属于自己的报文则不予响应。如果某在工作站的网络接口处于杂收模式,那么它就可以捕获网络上所有的报文和帧,如果一个工作站被配置成这样的方式,它(包括其软件)就是一个嗅探器。这也是嗅探器会造成安全方面的问题的原因。通常使用嗅探器的入侵者,都必须拥有基点用来放置嗅探器。对于外部入侵者来说,能通过入侵外网服务器、往内部工作站发送木马等获得需要,然后放置其嗅探器,而内部破坏者就能够直接获得嗅探器的放置点,比如使用附加的物理设备作为嗅探器(例如,他们可以将嗅探器接在网络的某个点上,而这个点通常用肉眼不容易发现。除非人为地对网络中的每一段网线进行检测,没有其他容易方法能够识别出这种连接(当然,网络拓扑映射工具能够检测到额外的IP地址)。

    嗅探器可能造成的危害:

    嗅探器能够捕获口令;

    能够捕获专用的或者机密的信息;

    可以用来危害网络邻居的安全,或者用来获取更高级别的访问权限;

    分析网络结构,进行网络渗透。

    二 嗅探器攻击实例

    Linux、Unix环境下的嗅探器有:Tcpdump、Nmap、Linuxsniffer、hunt、sniffit 等。Linsniffer是一个简单实用的嗅探器。它主要的功能特点是用来捕捉用户名和密码,它在也这方面非常出色。注:编译该软件需要所在的Linux系统上必须的网络包含文件(tvp.h、ip.h、inet.hif_t、her.h)。 虽然这个工具易于使用,但是Linsniffer需要完整的IP头文件,包括常常存储在/usr/include/net和 /usr/include/netinet的头文件,在编译前确保PATH变量包含/usr/include。

    获得这个软件后,进入src目录,使用下面的命令来编译Linsniffer: $ cc linsniffer.c -o linsniffer

    要运行Linsniffer,使用下面的命令:$ linsniffer

    启动以后linsniffer将创建一个空文件:tcp.log来存储嗅探结果。

    举例说明,在一台测试的Linux服务器中创建一个名为“goodcjh”的用户,密码为“fad”。然后在主机CJH上使用该用户来登录这台Linux服务器,并进行一些常见的用户操作。下面是进行的一次ftp过程:

    CJH$ ftp www.red.net
    Connected to www.red.net.
    220 www.red.net FTP server Wed Aug 19 02:55:52 MST 2002) ready.
    Name (www.red.net:root): goodcjh
    331 Password required for goodcjh.
    Password:
    230 User goodcjh logged in.
    Remote system type is UNIX.
    Using binary mode to transfer files.
    ftp> ls -al
    200 PORT command successful.
    150 Opening ASCII mode data connection for /bin/ls.
    total 14
    drwxrwxr-x 4 goodcjh goodcjh 1024 May 20 19:35 .
    drwxr-xr-x 6 root root 1024 May 20 19:28 ..
    -rw-rw-r-- 1 goodcjh goodcjh 96 May 20 19:56 .bash_history
    -rw-r--r-- 1 goodcjh goodcjh 49 Nov 25 2002 .bash_logout
    -rw-r--r-- 1 goodcjh goodcjh 913 Nov 24 2002 .bashrc
    -rw-r--r-- 1 goodcjh goodcjh 650 Nov 24 2002 .cshrc
    -rw-r--r-- 1 goodcjh goodcjh 111 Nov 3 2002 .inputrc
    -rwxr-xr-x 1 goodcjh goodcjh 186 Sep 1 2002 .kshrc
    -rw-r--r-- 1 goodcjh goodcjh 392 Jan 7 2002 .login
    -rw-r--r-- 1 goodcjh goodcjh 51 Nov 25 2002 .logout
    -rw-r--r-- 1 goodcjh goodcjh 341 Oct 13 2002 .profile
    -rwxr-xr-x 1 goodcjh goodcjh 182 Sep 1 2002 .profile.ksh
    drwxr-xr-x 2 goodcjh goodcjh 1024 May 14 12:16 .seyon
    drwxr-xr-x 3 goodcjh goodcjh 1024 May 14 12:15 lg
    226 Transfer complete.
    ftp> ls
    200 PORT command successful.
    150 Opening ASCII mode data connection for /bin/ls.
    total 14
    drwxrwxr-x 4 goodcjh goodcjh 1024 May 20 19:35 .
    drwxr-xr-x 6 root root 1024 May 20 19:28 ..
    -rw-rw-r-- 1 goodcjh goodcjh 96 May 20 19:56 .bash_history
    -rw-r--r-- 1 goodcjh goodcjh 49 Nov 25 2002 .bash_logout
    -rw-r--r-- 1 goodcjh goodcjh 913 Nov 24 2002 .bashrc
    -rw-r--r-- 1 goodcjh goodcjh 650 Nov 24 2002 .cshrc
    -rw-r--r-- 1 goodcjh goodcjh 111 Nov 3 2002 .inputrc
    -rwxr-xr-x 1 goodcjh goodcjh 186 Sep 1 2002 .kshrc
    -rw-r--r-- 1 goodcjh goodcjh 392 Jan 7 2002 .login
    -rw-r--r-- 1 goodcjh goodcjh 51 Nov 25 2002 .logout
    -rw-r--r-- 1 goodcjh goodcjh 341 Oct 13 2002 .profile
    -rwxr-xr-x 1 goodcjh goodcjh 182 Sep 1 2002 .profile.ksh
    drwxr-xr-x 2 goodcjh goodcjh 1024 May 14 12:16 .seyon
    drwxr-xr-x 3 goodcjh goodcjh 1024 May 14 12:15 lg
    226 Transfer complete.
    ftp> ls -F
    200 PORT command successful.
    150 Opening ASCII mode data connection for /bin/ls.
    total 14
    drwxrwxr-x 4 goodcjh goodcjh 1024 May 20 19:35 ./
    drwxr-xr-x 6 root root 1024 May 20 19:28 ../rw-rw-r-- 1 goodcjh goodcjh 96 May 20 19:56 .bash_history
    -rw-r--r-- 1 goodcjh goodcjh 49 Nov 25 2002 .bash_logout
    -rw-r--r-- 1 goodcjh goodcjh 913 Nov 24 2002 .bashrc
    -rw-r--r-- 1 goodcjh goodcjh 650 Nov 24 2002 .cshrc
    -rw-r--r-- 1 goodcjh goodcjh 111 Nov 3 2002 .inputrc
    -rwxr-xr-x 1 goodcjh goodcjh 186 Sep 1 2002 .kshrc*
    -rw-r--r-- 1 goodcjh goodcjh 392 Jan 7 2002 .login
    -rw-r--r-- 1 goodcjh goodcjh 51 Nov 25 2002 .logout
    -rw-r--r-- 1 goodcjh goodcjh 341 Oct 13 2002 .profile
    -rwxr-xr-x 1 goodcjh goodcjh 182 Sep 1 2002 .profile.ksh*
    drwxr-xr-x 2 goodcjh goodcjh 1024 May 14 12:16 .seyon/
    drwxr-xr-x 3 goodcjh goodcjh 1024 May 14 12:15 lg/
    226 Transfer complete.
    ftp> cd lg
    250 CWD command successful.
    ftp> ls -F
    200 PORT command successful.
    150 Opening ASCII mode data connection for /bin/ls.
    total 8
    drwxr-xr-x 3 goodcjh goodcjh 1024 May 14 12:15 ./
    drwxrwxr-x 4 goodcjh goodcjh 1024 May 20 19:35 ../rw-r--r-- 1 goodcjh goodcjh 70 Aug 22 2002 lg3_colors
    -rw-r--r-- 1 goodcjh goodcjh 629 Aug 22 2002 lg3_prefs
    -rw-r--r-- 1 goodcjh goodcjh 728 Aug 22 2002 lg3_soundPref
    -rw-r--r-- 1 goodcjh goodcjh 2024 Aug 22 2002 lg3_startup
    drwxr-xr-x 2 goodcjh goodcjh 1024 May 14 12:15 lg_layouts/
    226 Transfer complete.
    ftp> cd lg_layouts
    250 CWD command successful.
     
    上面是一个典型的用户操作过程。现在我们看看Linsniffer产生的嗅探结果:

    CJH => www.red.net [21]
    USER goodcjh
    PASS fad
    SYST
    PORT 172,16,0,1,4,192
    LIST -al
    PORT 172,16,0,1,4,193
    LIST
    PORT 172,16,0,1,4,194
    LIST -F
    CWD lg
    PORT 172,16,0,1,4,195
    LIST -F
     
    输出的内容是很直观的。首先它记录这是从主机 CJH 到 Linux 主机 www.red.net 的 FTP 连接:主机 CJH => linux.red.net [21]。然后,Linsniffer 捕获了 goodcjh 的用户名和密码。最后,Linsniffer 记录了用户 goodcjh 使用的每一个命令:

    SYST
    PORT 172,16,0,1,4,192
    LIST -al
    PORT 172,16,0,1,4,193
    LIST
    PORT 172,16,0,1,4,194
    LIST -F
    CWD lg
    PORT 172,16,0,1,4,195
    LIST -F

    可见,Linsniffer 的输出结果非常简洁,并且非常适于窃听密码及记录常见的活动。但缺点是不适合于进行更加复杂的分析。

    嗅探器可以帮助网络管理员查找网络漏洞和检测网络性能。嗅探器是一把双刃剑,它也有很大的危害性。嗅探器的攻击非常普遍。一个位置好的嗅探器可以捕获成千上万个口令。1994年一个最大的嗅探器攻击被发现. 这次攻击被认为是危害最大的一次,许多可以FTP,Telnet或远程登陆的主机系统都受到了危害。在这件事故(攻击者处于Rahul.net)中,嗅探器只运行18小时。在这段时间里,有几百台主机被泄密。“受攻击者包括268个站点,包括MIT、美国海军和空军、Sun、IBM、NASA、和加拿大、比利时大学一些主机……”

    三 嗅探器的安全防范

    1、检测嗅探器。

    检测嗅探器可以采用检测混杂模式网卡的工具。由于嗅探器需要将网络中入侵的网卡设置为混杂模式才能工作,能够检测混杂模式网卡的AntiSniff是一个工具。软件可以在http://www.l0pht.com/antisniff/下载,另外还有详细的使用说明。

    证明你的网络有嗅探器有两条经验:

    网络通讯丢包率非常高: 通过一些网管软件,可以看到信息包传送情况,最简单是ping命令。它会告诉你掉了百分之多少的包。如果你的网络结构正常,而又有20%-30%数据包丢失以致数据包无法顺畅的流到目的地。就有可能有人在监听,这是由于嗅探器拦截数据包导致的。

    网络带宽出现反常:通过某些带宽控制器,可以实时看到目前网络带宽的分布情况,如果某台机器长时间的占用了较大的带宽,这台机器就有可能在监听。应该也可以察觉出网络通讯速度的变化。

    对于SunOS、和其它BSD Unix系统可以使用lsof(该命令显示打开的文件)来检测嗅探器的存在。lsof的最初的设计目地并非为了防止嗅探器入侵,但因为在嗅探器入侵的系统中,嗅探器会打开其输出文件,并不断传送信息给该文件,这样该文件的内容就会越来越大。如果利用lsof发现有文件的内容不断的增大,我们就怀疑系统被嗅探。因为大多数嗅探器都会把截获的"TCP/IP"数据写入自己的输出文件中。这里可以用:ifconfig le0检查端口.然后用:

    #/usr/sbin/lsof >test

    #vi test 或 grep [打开的端口号]

    检测文件大小的变化。

    注意如果你确信有人接了嗅探器到自己的网络上,可以去找一些进行验证的工具。这种工具称为时域反射计量器(Time Domaio Reflectometer,TDR)。TDR对电磁波的传播和变化进行测量。将一个TDR连接到网络上,能够检测到未授权的获取网络数据的设备。不过很多中小公司没有这种价格昂贵的工具。

    2、将数据隐藏,使嗅探器无法发现。

    嗅探器非常难以被发现, 因为它们是被动的程序一个老练的攻击者可以轻易通过破坏日志文件来掩盖信息。它们并不会给别人留下进行核查的尾巴.。完全主动的解决方案很难找到,我们可以采用一些被动的防御措施:

    安全的拓扑结构;

    会话加密;

    用静态的ARP或者IP-MAC对应表代替动态的。

    安全的拓扑结构:

    嗅探器只能在当前网络段上进行数据捕获。这就意味着,将网络分段工作进行得越细,嗅探器能够收集的信息就越少。但是,除非你的公司是一个ISP,或者资源相对不受限制,否则这样的解决方案需要很大的代价。网络分段需要昂贵的硬件设备。有三种网络设备是嗅探器不可能跨过的:交换机、路由器、网桥。我们可以通过灵活的运用这些设备来进行网络分段。大多数早期建立的内部网络都使用HUB集线器来连接多台工作站,这就为网络中数据的泛播(数据向所有工作站流通),让嗅探器能顺利地工作提供了便利。普通的嗅探器程序只是简单地进行数据的捕获,因此需要杜绝网络数据的泛播。 随着交换机的价格下降,网络改造变得可行且很必要了。不使用HUB而用交换机来连接网络,就能有效地避免数据进行泛播,也就是避免让一个工作站接收任何非与之相关的数据。 对网络进行分段,比如在交换机上设置VLAN,使得网络隔离不必要的数据传送。一般可以采用20个工作站为一组,这是一个比较合理的数字。然后,每个月人为地对每段进行检测(也可以每个月采用MD5随机地对某个段进行检测)。网络分段只适应于中小的网络。如果有一个500个工作站的网络,分布在50个以上的部门中,那么完全的分段的成本上是很高的。

    会话加密:

    会话加密提供了另外一种解决方案。不用特别地担心数据被嗅探,而是要想办法使得嗅探器不认识嗅探到的数据。这种方法的优点是明显的:即使攻击者嗅探到了数据,这些数据对他也是没有用的。S/key和其它一次性口令技术一样,使窃听帐号信息失去意义。S/key的原理是远程主机已得到一个口令(这个口令不会在不安全的网络中传输),当用户连接时会获得一个"挑战"(challenge)信息,用户将这个信息和口令经过某个算法运算,产生正确的"响应"(response)信息(如果通讯双方口令正确的话)。这种验证方式无需在网络中传输口令,而且相同的"挑战/响应"也不会出现两次。S/key可从以下网址得到:ftp://thumper.bellcore.com/pub/nmh/skey。它的缺点是所有帐号信息都存放在一台主机中,如果该主机被入侵,则会危及整个网络安全。另外配置它也不是一件简单的事情。Kerberos包括流加密rlogind和流加密telnetd等,它可以防止入侵者捕获用户在登录完成后所进行的操作。 在加密时有两个主要的问题:一个是技术问题,一个是人为问题。

    技术是指加密能力是否高。例如,64位的加密就可能不够,而且并不是所有的应用程序都集成了加密支持。而且,跨平台的加密方案还比较少见,一般只在一些特殊的应用之中才有。人为问题是指,有些用户可能不喜欢加密,他们觉得这太麻烦。用户可能开始会使用加密,但他们很少能够坚持下。总之我们必须寻找一种友好的媒介-使用支持强大这样的应用程序,还要具有一定的用户友好性。使用secure shell、secure copy或者IPV6协议都可以使得信息安全的传输。传统的网络服务程序,SMTP、HTTP、FTP、POP3和Telnet等在本质上都是不安全的,因为它们在网络上用明文传送口令和数据,嗅探器非常容易就可以截获这些口令和数据.SSH的英文全称是Secure Shell。通过使用SSH,你可以把所有传输的数据进行加密,这样"中间服务器"这种攻击方式就不可能实现了,而且也能够防止DNS和IP欺骗。还有一个额外的好处就是传输的数据是经过压缩的,所以可以加快传输的速度。SSH有很多功能,它既可以代替telnet,又可以为ftp、pop、甚至ppp提供一个安全的"通道"。SSH绑定在端口22上,其连接采用协商方式使用RSA加密。身份鉴别完成之后,后面的所有流量都使用IDEA进行加密。SSH(Secure Shell)程序可以通过网络登录到远程主机并执行命令。SSH的加密隧道保护的只是中间传输的安全性,使得任何通常的嗅探工具软件无法获取发送的内容。它提供了很强的安全验证可以在不安全的网络中进行安全的通信.所以它是防范嗅探器的一种方法。

    用静态的ARP或者IP-MAC对应表代替动态的ARP或者IP-MAC对应表。

    该措施主要是进行渗透嗅探的防范,采用诸如ARP欺骗手段能够让入侵者在交换网络中顺利完成嗅探。网络管理员需要对各种欺骗手段进行深入了解,比如嗅探中通常使用的ARP欺骗,主要是通过欺骗进行ARP动态缓存表的修改。在重要的主机或者工作站上设置静态的ARP对应表,比如win2K系统使用arp命令设置,在交换机上设置静态的IP-MAC对应表等,防止利用欺骗手段进行嗅探的手法。

    除了以上三点另外还要重视重点区域的安全防范 。这里说的重点区域,主要是针对嗅探器的放置位置而言。入侵者要让嗅探器发挥较大功效,通常会把嗅探器放置在数据交汇集中区域,比如网关、交换机、路由器等附近,以便能够捕获更多的数据。因此,对于这些区域就应该加强防范,防止在这些区域存在嗅探器。

    四 防范嗅探器应用案例

    1、Linux下SSH安装

    www.ssh.com,下载最新版本软件包SSH2,最好下载源程序软件包自己进行编译。

    # tar -zxvf ssh2-2.4.0.tar.gz
    # cd ssh2-2.4.0
    # ./configure ;# make ;#make install

    这一过程实际上将服务器软件包及客户端软件一起安装了,不必再次安装客户端软件包。 安装程序将SSH2软件包安装在/usr/local/bin及/usr/local/sbin下。

    2、配置

    SSH的配置文件在/etc/ssh2下,其中包括sshd2的主机公钥和私钥:hostkey和hostkey.pub。这两个文件通常是在安装SSH时自动生成的。你可以通过下面的命令重新来生成它们:(而ssh2_config 文件一般情形下无需修改)

    # rm /etc/ssh2/hostkey*
    # ssh-keygen2 -P /etc/ssh2/hostkey

    3、启动SSH服务器

    在UNIX/Linux环境下,服务器程序放置在/usr/local/sbin目录下,启动方法如下:

    # sshd

    # ps x

    如果不希望每次重启动系统,都要手工运行启动,在rc.local中加入一行/usr/local/sbin/sshd。

    4、使用SSH

    安装好ssh之后,我们可以很方便地在远程服务器上利用ssh获得一个shell。例如,假设我执行:

    # ssh cjh@red.forge.net

    首先看到系统提示输入密码,输入后我就在远程机器上获得了一个shell。从这里开始,ssh的会话过程和telnet会话相似。但SSH能够确信所有在我和服务器之间传输的数据都已经经过加密。如果你很熟悉rsh和它的选项,那么你很快就可以开始使用ssh。ssh被设计成和rsh具有相同的运作方式。一般情况下,能够用rsh作为传输端口的程序都允许用ssh来替代(例如rsync)。安全复制命令scp的用法也很简单,它的语法和cp的语法很相似。例如,要把my.php文件复制到cjh.org服务器,则我们使用如下命令:

    # scp my.php cjh@cjh.org:/usr/local/apache/htdocs/

    此时,我们将看到密码输入提示(正如ssh)。接下来,本地机器当前目录下的my.php文件被复制到cjh.org的/usr/local/apache/htdocs/,使用的登录名字是cjh。从使用上看,与Telnet没有什么不同之处。而且有了SSH客户端软件,如果你要上传文件,不必向以前一样再开一个FTP窗口,再次认证,然后上传文件。使用SSH客户端自带的scp工具,就可以直接将文件上传到远端服务器上。

    scp命令是SSH中最方便有用的命令,如果告诉你在两台服务器之间直接传送文件,仅用scp-个命令就完全解决.你可以在一台服务器上以root身份运行:

    #scp servername:/home/ftp/pub/file1./

    这样就把另一台服务器上的文件/home/ftp/pub/file1直接传到本机器的当前目录下。

    以上我们讲的是技术方面,对于网络的安全,管理显得格外重要。除网络管理员外其他人员禁止在网络中使用任何嗅探工具包括一些企业高级管理人员,是完全有必要的。这能从制度上明确限制一些工作站主动使用嗅探器的情况。

    对于网络管理员来说更重要的是要建立安全意识,了解你的用户(系统管理员越熟悉自己的用户和用户的工作习惯,就越能快速发现不寻常的事件,而不寻常的事件往往意味着系统安全问题。)、定期检查你网络中的重点设备如服务器,交换机,路由器。最好配备一些专业工具比如前边介绍的TDR。网络管理员还要给用户提供安全服务。对用户要定期发送安全邮件,发送邮件是让用户具有安全意识。管理意识是提高安全性的另-个重要因素。如果用户的管理部门对安全要求不强烈,只靠系统管理员也不行。最好让管理部门建立一套每个人都必须遵守的安全标准,如果系统管理员在此基础再建立自己的安全规则,就强化了安全。管理有助于加强用户意识,让用户明确,信息是有价值的资产。系统管理员应当使安全保护方法对用户尽可能地简单,提供一些提高安全的工具。网络管理员要建立合理的用户痛苦量(痛苦量是指安全限制引起的抵制的函数),不能仅仅从技术上考虑问题,还要站在用户的观点上考虑。例如,我们能够想每次Macintosh用户登录时都使用S/Key吗?用户知道的关于安全的知识越多,网络安全就更有保障。

    五 总结

    嗅探器技术被广泛应用于网络维护和管理方面,它工作的时候就像一部被动声纳,默默的接收看来自网络的各种信息,通过对这些数据的分析,网络管理员可以深入了解网络当前的运行状况,以便找出网络中的漏洞。在网络安全日益被注意的今天.我们不但要正确使用嗅探器.还要合理防范嗅探器的危害.嗅探器能够造成很大的安全危害,主要是因为它们不容易被发现。对于一个安全性要求很严格的企业,在使用技术防范的同时安全管理的制度建设也是非常重要的。

    嗅探器技术并非尖端科技,只能说是安全领域的基础课题。对嗅探器技术的研究并不要求太多底层的知识,它并不神秘。实际上我们的一些网管软件,和一些网络测试仪都使用了嗅探器技术。只是许多计算机软件供应商对其一直讳莫如深。回避这个基本事实是不明智的。了解掌握它才是关键。这也笔者的写作动机。

    转载于:https://www.cnblogs.com/F4ncy/archive/2005/08/15/215629.html

    展开全文
  • Ettercap网络嗅探

    2021-01-08 11:52:53
    网络嗅探:使用Ettercap进行网络嗅探 Ettercap刚开始只是作为一个网络嗅探器,但在开发过程中,它获得了越来越多的功能,在中间的攻击人方面,是一个强大而又灵活的工具。 中间人攻击(Man-in-the-MiddleAttack,...

    网络嗅探:使用Ettercap进行网络嗅探
    Ettercap刚开始只是作为一个网络嗅探器,但在开发过程中,它获得了越来越多的功能,在中间的攻击人方面,是一个强大而又灵活的工具。
    中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”)

    打开方式:
    sudo ettercap -G

    它有两个主要的嗅探选项
    UNIFIED:以中间人方式嗅探,最常用到的模式
    BRIDGED:在双网卡的情况下,嗅探两块网卡之间的数据包
    在这里插入图片描述
    查看嗅探主机

    使用方法
    实验靶机:
    Windqws7 IP:192.168.152.130(用户客户端)
    Metasploitable2 IP:192.168.152.129(用户服务器)
    在这里插入图片描述
    在这里插入图片描述
    查看连接内容
    在这里插入图片描述
    网络嗅探:使用Ettercap 进行网络嗅探

    Ettercap配合driftnet使用获取流量中的图片

    实验靶机:Windows 7 IP:192.168.152.130
    网卡转发
    sudo su
    echo 1>/proc/sys/net/ipv4/ip_forward

    Ettercap开启arp欺骗

    Driftnet获取流量中的图片

    sudo driftnet -i etho -a -d/home/hongke/driftnet/

    展开全文
  • 网络嗅探工具 smsniff

    2018-08-14 13:29:04
    网络嗅探工具,网络上下载的资源,分享给大家使用,谢谢
  • 网络嗅探初识

    2019-10-29 08:51:23
    网络嗅探的概念 嗅探技术: 主要用于网络上的数据包,见识网络流量,状态,数据等信息. 嗅探技术是一把双刃剑,作为管理工具,可以监视网络状态,数据流程以及网络上信息传输,但黑客常用于获取敏感信息. 嗅探技术是...
  • python网络嗅探

    2020-07-24 09:05:24
    网络嗅探 目的 1、学习socket编程,掌握socket网络编程实例; 2、掌握利用SOCK_RAW方式直接在链路层获取数据报文的方法; 3、掌握使用socket进行网络嗅探、对报文进行分析、获取主机的网络通信信息的方法。 4、熟练...
  • 1.利用原始套接字实现简单的网络嗅探器。 2.系统功能包括: 2.1 原始套接字与网卡邦定,并接收流经网卡的所有数据包; 2.2 对数据包进行分析以获得源IP地址和目的IP地址; 2.3 对数据包进行分析以获得运输层协议类型...
  • sniff 网络嗅探

    2012-03-09 20:10:08
    网络嗅探 TCP IP 数据包捕获 允许你检查你网络经过的网络适配器的网络传输
  • iris网络嗅探

    2013-11-07 23:25:31
    iris网络嗅探

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 4,421
精华内容 1,768
关键字:

网络嗅探