1、计算机通信网络实验网络数据获取学院: 班级: 学号: 姓名: 2012 年 10 月 30 日一、实验目的1、掌握 sniffer捕获数据包的技术2、了解一般局域网内监听手段3、掌握如何防范攻击二、实验原理网络监听是一种常用的被动式网络攻击方法,能帮助入侵者轻易获得用其他方法很难获得的信息,包括用户口令、账号、敏感数据、IP 地址、路由信息、TCP 套接字号等。管理员使用网络监听工具监视网络的状态、监听数据流动情况、监听网络上传输的信息。嗅探器(sniffer)是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。它工作在网络的底层,把网络传输的全部数据记录下来。嗅探器可以帮助网络
2、管理员查找网络漏洞检测网络性能。嗅探器可以分析网络的流量,以便找出所关心的网络中潜在的问题。 不同传输介质网络的可监听性是不同的。比如,以太网被监听的可能性比较高,因为以太网是一个广播型的网络;微波和无线网被监听的可能性同样比较高,无线电本身是一个广播型的传输媒介弥散在空中的无线电信号可以被很轻易的截获。在以太网中,嗅探器通过将以太网卡设置成混杂模式来捕获数据:1、以太网协议的工作方式是将要发送的数据包发往连接在一起的所有主机1) 包中包含着应该接收数据包主机的正确地址2) 只有与数据包中目标地址一致的那台主机才能接收2、当主机工作监听模式下,无论数据包中的目标地址是什么,主机都将接收(当然只
3、能监听经过自己网络接口的那些包)因特网上有很多使用以太网协议的局域网,许多主机通过电缆、集线器连在一起,当同一网络中的两台主机通信的时候,源主机将写有目的主机地址的数据包直接发向目的主机。但这种数据包不能在 IP层直接发送,必须从 TCP/IP协议的 IP层交给网络接口,也就是数据链路层,而网络接口是不会识别 IP地址的,因此在网络接口数据包又增加了一部分以太帧头的信息:1、在帧头中有两个域,分别为只有网络接口才能识别的源主机和目的主机的物理地址,这是一个与 IP地址相对应的 48位的以太地址 2、传输数据时,包含物理地址的帧从网络接口(网卡)发送到物理的线路上 如果局域网是由一条粗缆或细缆连
4、接而成,则数字信号在电缆上传输,能够到达线路上的每一台主机 当使用集线器时,由集线器再发向连接在集线器上的每一条线路,数字信号也能到达连接在集线器上的每一台主机3、当数字信号到达一台主机的网络接口时,正常情况下,网络接口读入数据帧,进行检查,如果数据帧中携带的物理地址是自己的或者是广播地址,则将数据帧交给上层协议软件,也就是IP层软件,否则就将这个帧丢弃。4、对于每一个到达网络接口的数据帧,都要进行这个过程。 5、当主机工作在监听模式下,所有的数据帧都将被交给上层协议软件处理。6、当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时,如果一台主机处于监听模式下,它还能接收到发向与自己不在同
5、一子网(使用了不同的掩码、IP 地址和网关)的主机的数据包。1) 在同一条物理信道上传输的所有信息都可以被接收到2) 现在网络中使用的大部分协议都是很早设计的,许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上,许多信息以明文发送。3) 如果用户的账户名和口令等信息也以明文的方式在网上传输,而此时一个黑客或网络攻击者正在进行网络监听,只要具有初步的网络和 TCP/IP协议知识,便能轻易地从监听到的信息中提取出感兴趣的部分。4) 正确的使用网络监听技术也可以发现入侵并对入侵者进行追踪定位,在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息,成为打击网络犯罪的有力手段。三、实验过
6、程1、下载 sniffer软件 Ethereal,我下载的版本是 ethereal0.99.0。在本机 222.25.162.5上安装该软件;2、在主界面中,点击【Capture】按钮,选择最下面的 Capture filters打开过滤器的设置界面输入“tcp and ip.addr=222.25.162.5”,( 222.25.162.5 为本机的 ip地址),如图所示:3、点击菜单栏中的【Capture】|【Interface】查看可以进行监听的网络接口或者直接点击右侧【Capture】按钮进行数据包的捕获,如图所示:从图中可以看出,当前可监听的 ip 为 222.25.168.5,即为
7、本机。4、点击上图中需要监听接口的【Prepare 】按钮,进行监听接口的选择和设定,如图所示(点击start 按钮开始在 Interface 栏选定的接口上进行嗅探、监听) 。5、点击【start】开始监听,如图所示,监听结束后点击【stop 】 。6、结束监听后自动进入协议分析界面7、但是可以看到,分析界面显示的信息太多,太为杂乱,如果我们想单独看到本机于某个 IP地址的主机间的通信,可以点击上图中需要监听接口的【Prepare】按钮,进行监听接口的选择和设定,在 Capture Filter中写入:host 222.25.162.196,这样就只能监听主机与其的通信。可以进行以下试验:1) 点击【start】开始监听2) 将本机与 IP为 222.25.162.196的主机连通3) 结束监听,进入协议分析界面可以清楚的看到本机与 IP为 222.25.162.196的主机 ping通的过程四、思考题根据嗅探器工作原理,分析如何抵御嗅探器攻击?答:有三种方法可能会对抵御嗅探器的攻击有所作用:(1) 、将数据隐藏,使嗅探器无法发现。一般有两种防御的方法: 1安全的拓扑结构; 2会话加密。 (2) 、通过使用虚拟主机号发送信息。(3) 、检测和消灭嗅探器。由于嗅探器需要将网络中入侵的网卡设置为混杂模式才能工作,所以有效检测混杂模式网卡的工具 Anto-sniff就是一个好的工具。
