信息收集阶段主要技术03嗅探技术分析交换式网络嗅探实验分析Word文档格式.docx
- 文档编号:3639017
- 上传时间:2023-05-02
- 格式:DOCX
- 页数:17
- 大小:499.85KB
信息收集阶段主要技术03嗅探技术分析交换式网络嗅探实验分析Word文档格式.docx
《信息收集阶段主要技术03嗅探技术分析交换式网络嗅探实验分析Word文档格式.docx》由会员分享,可在线阅读,更多相关《信息收集阶段主要技术03嗅探技术分析交换式网络嗅探实验分析Word文档格式.docx(17页珍藏版)》请在冰点文库上搜索。
本地连接
VPC2(虚拟PC)
VPC
连接要求
PC网络接口,本地连接与实验网络直连
软件描述
学生机要求安装java环境
两台windowsxp的系统
实验环境描述
1、学生机与实验室网络直连;
2、
VPC与实验室网络直连;
3、学生机与VPC物理链路连通;
预备知识
网络嗅探器Sniffer的原理
(1)网卡有几种接收数据帧的状态:
unicast(接收目的地址是本级硬件地址的数据帧),Broadcast(接收所有类型为广播报文的数据帧),multicast(接收特定的组播报文),promiscuous(目的硬件地址不检查,全部接收)。
(2)以太网逻辑上是采用总线拓扑结构,采用广播通信方式,数据传输是依靠帧中的MAC地址来寻找目的主机。
(3)每个网络接口都有一个互不相同的硬件地址(MAC地址),同时,每个网段有一个在此网段中广播数据包的广播地址。
(4)一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧,丢弃不是发给自己的数据帧。
但网卡工作在混杂模式下,则无论帧中的目标物理地址是什么,主机都将接收。
(5)通过Sniffer工具,将网络接口设置为“混杂”模式。
可以监听此网络中传输的所有数据帧。
从而可以截获数据帧,进而实现实时分析数据帧的内容。
交换式网络嗅探与共享式网络嗅探的区别
目前,80%的局域网(LAN)是以太网,在局域网中大量地了集线器(HUB)或交换机(Switch)这种连接设备。
利用集线器连接的局域网叫共享式局域网,利用交换机连接的局域网叫交换式局域网。
那它们二者有何区别呢?
大家知道,以太网中采用的工作方式是CSMA/CD(载波监听多路访问/冲突检测),对于发送端来说,它每发送一个数据信息时,首先对网络进行监听,当它检测到线路正好有空,便立即发送数据,否则继续检测,直到线路空闲时再发送。
对于接收端来说,对接收到的信号首先进行确认,如果是发给自己的就接收,否则不予理睬。
在介绍集线器与交换机二者区别的时候,我们先来谈谈网络中的共享和交换这两个概念。
在此,我们打个比方,同样是10个车道的马路,如果没有给道路标清行车路线,那么车辆就只能在无序的状态下抢道或占道通行,容易发生交通堵塞和反向行驶的车辆对撞,使通行能力降低。
为了避免上述情况的发生,就需要在道路上标清行车线,保证每一辆车各行其道、互不干扰。
共享式网络就相当于前面所讲的无序状态,当数据和用户数量超出一定的限量时,就会造成碰撞冲突,使网络性能衰退。
而交换式网络则避免了共享式网络的不足,交换技术的作用便是根据所传递信息包的目的地址,将每一信息包独立地从端口送至目的端口,避免了与其它端口发生碰撞,提高了网络的实际吞吐量。
共享式以太网存在的主要问题是所有用户共享带宽,每个用户的实际可用带宽随网络用户数的增加而递减。
这是因为当信息繁忙时,多个用户都可能同进“争用”一个信道,而一个通道在某一时刻只充许一个用户占用,所以大量的经常处于监测等待状态,致使信号在传送时产生抖动、停滞或失真,严重影响了网络的性能。
集线器上是一个中继器,而中继器的主要功能是对接收到的信号进行整形再生放大,使被衰减的信号再生(恢复)到发送时的状态,以扩大网络的传输距离,而不具备信号的定向传送能力。
交换式以太网中,交换机供给每个用户专用的信息通道,除非两个源端口企图将信息同时发往同一目的端口,否则各个源端口与各自的目的端口之间可同时进行通信而不发生冲突。
交换机只是在工作方式上与集线器不同,其它的连接方式、速度选择等则与集线器基本相同。
不久的将来,局域网中的交换机将逐取代集线器。
通俗的来理解:
从底层机制来说,作为终端设备,在共享式网络好比很多人在一个屋子里谈话,不管对方是否跟你说,你都听得见。
交换式网络则更像打电话,你只能听见跟你说话的人的声音,而听不到别人之间的交谈。
实验内容
任务一:
熟悉SnifferPro工具的使用
任务二:
捕获FTP数据包并进行分析
3.
任务三:
捕获HTTP数据包并分析
4.
撰写实验报告
实验步骤
注:
实验中所有ip(如:
172.17.135.*
或
110.10.10.*)均要根据实际网络情况而改变,所用工具windows版的均在D:
/tools中,linux版的均在桌面上。
一、
单击实验环境,单击实验环境,点击打开控制以启动网络拓扑中的电脑(即虚拟机)
二、
winxp/win2003默认用户名:
administrator,密码:
123456
三、熟悉SnifferPro的使用
提示:
先打开虚拟机c006001008xp02,进入d:
\tools文件夹,双击FTPserver文件,点击启动,由于虚拟机IP地址是随机获取的,以下实验中用到的ftp地址应为ftp:
//***.**.***.**(图中所示的本机ip)如图所示:
图1
步骤1:
从文件菜单中选择适配器,标题栏将显示激活的探测器
图2
图3
步骤2:
选择适配器
..
文件菜单----选择网络探测器/适配器(N)----显示所有在Windows中配置的适配器
图4菜单与工具栏
步骤3:
监视右下角的实时计数
图5状态栏
图6网络监控面板Dashboard
步骤4:
使用Dashboard作为网络状况快速浏览
图7红色显示统计数据的阀值
步骤5:
选择上图中②所指的选项将显示如图所示的更为详细的网络相关数据的曲线图。
图8
Hosttable(主机列表)
步骤6:
点击图中①所指的图标,出现图中显示的界面,选择图中②所指的IP选项,界面中出现的是所有在线的本网主机地址及连到外网的外网服务器地址,此时想看看192.168.113.88这台机器的上网情况,只需如图中③所示单击该地址出现下图界面。
图9
..图中清楚地显示出该机器连接的地址。
点击左栏中其它的图标都会弹出该机器连接情况的相关数据的界面。
步骤7:
点击图中所示的“Detail”图标,图中显示的是整个网络中的协议分布情况,可清楚地看出哪台机器运行了那些协议。
图10
Detail(协议列表)
步骤8:
点击图中箭头所指的图标,出现全网的连接示意图,图中绿线表示正在发生的网络连接,蓝线表示过去发生的连接。
将鼠标放到线上可以看出连接情况。
鼠标右键在弹出的菜单中可选择放大(zoom)此图。
图11Matrix
(网络连接)
步骤9:
设置过滤规则选择Capture菜单中的DefindFilter,定义捕捉规则
图12
图13捕捉与显示
图14显示:
过滤
四、捕获FTP数据包并进行分析
分组角色:
学生A进行FTP连接,学生B使用Sniffer监视A的连接。
步骤:
(1)在命令符提示下输入IPCONFIG查询自己的IP地址。
(2)学生B单击菜单中的“Capture”|”DefineFilter”|”Advanced”,再选中IP|TCP|FTP。
设置Sniffer捕捉数据的过滤选项,使其只捕捉FTP数据。
(3)学生B选中Monitor菜单下的Matirx可以看到网络中的TrafficMap视图。
在TrafficMap视图中单击IP选项卡,用鼠标选中学生A主机的IP地址,单击鼠标右键,选中“Capture”命令,开始捕获指定主机的有关FTP协议的数据包。
(4)学生B单击工具栏中的CapturePanel按钮,可看到捕捉的Packet数量。
(5)学生A登陆至FTP服务器***,账号:
test,密码为:
123456。
并打开FTP上的某个目录选择文件下载。
(6)学生B在捕获数据包到达一定的数量后,单击StopandDisplay按钮,停止抓包。
(7)停止抓包后,单击窗口左下角的Decode选型,窗口会显示捕捉的数据。
学生B根据捕获报文和报文解码,详细分析捕获的数据包,找出有用信息:
ftp连接的目的地址、目的端口、发起连接的源地址、源端口、建立连接的3次握手的数据包及其对应的TCP协议包头结构各字段数据、登陆的用户名及密码、目标主机浏览过的目录和文件。
捕捉到的结果如图所示:
(8)A、B交换角色,重做实验。
通过实验可知FTP中的数据是以明文形式传输的,可以利用捕获的数据包分析被监听主机的任何行为,监听主机的信息极易泄露。
五、捕获HTTP数据包并进行分析
学生A进行HTTP连接,学生B使用Sniffer监视A的连接。
(1)学生B单击菜单中的“Capture”|”DefineFilter”|”Advanced”,再选中IP|TCP|HTTP。
设置Sniffer捕捉数据的过滤选项,使其只捕捉HTTP数据。
(2)学生B选中Monitor菜单下的Matirx可以看到网络中的TrafficMap视图。
在TrafficMap视图中单击IP选项卡,用鼠标选中学生A主机的IP地址,单击鼠标右键,选中“Capture”命令,开始捕获指定主机的有关HTTP协议的数据包。
(3)学生B单击工具栏中的CapturePanel按钮,可看到捕捉的Packet数量。
(4)学生A浏览,任意浏览页面,登陆邮箱(输入任意用户名和密码),错误后关闭页面。
(5)学生B在A关闭页面后,单击StopandDisplay按钮,停止抓包。
(6)停止抓包后,单击窗口左下角的Decode选型,窗口会显示捕捉的数据。
http连接的目的地址、目的端口、发起连接的源地址、源端口、登陆邮箱的用户名及密码、建立连接的3次握手的数据包、学生A发送的数据包和接收的数据包、登陆邮箱失败后释放连接的数据包及其对应的TCP协议包头结构各字段数据。
(7)A、B交换角色,重做实验。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 收集 阶段 主要 技术 03 分析 交换 网络 实验