1、第一篇 网络基础及网络嗅探技术,第一篇 网络基础及网络嗅探技术,Windows网络通信分析(Ethereal) TCP协议的三次握手分析 UDP协议的基础分析 网络嗅探技术,实验11:Windows网络通信分析(Ethereal),Ethereal是一个强大的协议嗅探器,网络专业人士可以用它来检修故障和分析网络通信量。对于管理员来说,它是一个用来识别黑客攻击战略方法的有价值的工具。它可以帮助观察各种不同的协议是如何工作的。,实验11:Windows网络通信分析(Ethereal),一、实验目的 二、实验设备 三、实验步骤 四、实验小结,一、实验目的:,了解Windows网络中的ARP通信会话数
2、据包的结构,掌握使用Ethereal进行数据包捕获、过滤的方法。,二、实验设备,2台Windows主机:一台Windows XP主机,另一台 Windows 2K Server主机。,三、实验步骤,1、在Windows XP Professional PC机上登录。 2、清除ARP缓存。 3、启动Ethereal并捕获一个通信会话。 4、检查捕获的会话。 5、过滤捕获的会话。,三、实验步骤(1、2),1、在Windows XP Professional PC机上登录。 2、清除ARP缓存。 ARP缓存是一个内存区域,计算机将所发现的信息存储在ARP表中。在启动捕获会话之前清除ARP缓存可以更好
3、地控制所捕获的数据。 (1)在“开始”任务条菜单上运行键入“cmd”,并单击“确定”钮。 (2)在DOS命令行窗口中,键入arp -a并回车。此处不应该出现任何条目,如果有的话,用arp -d命令清除它们。,三、实验步骤(3),3、启动Ethereal并捕获一个通信会话。(1) 在Windows XP 主机上安装并启动Ethereal。(2) 在Ethereal界面中Capture菜单Options选择网络接口卡类型。 (图1-1 Windows中的Ethereal程序)。(3) 回到命令提示符窗口,键入ping192.168.0.250( Windows2k Server的IP),只要局域网
4、保持正常通 信状态就会收到4条回复。(4)在Ethereal界面中点击“Capture”菜单Stop, (图1-2 停止截获数据包) 会发现捕获到的很多是ICMP数据包,(图1-3 截获的ICMP数据包)。,三、实验步骤(4),4、检查捕获的会话。Ethereal的主界面分为三部分。数据包列表部分:居于顶部。这部分展示了捕获的数据包的概要。树型视图部分 :居于中部。这一部分以树形格式展示所选数据包的详细信息。数据视图部分 :位于底部。该部分以十六进制格式显示捕获的数据。在数据包列表部分有一些栏目,每一栏都提供了特定的信息: (1)No数据包被接收的序号。 (2)Time每一个数据包被捕获的时间
5、,相对于捕获的起始时间计量。 (3)Source源地址。 (4)Destination目的地址。 (5)Protocol用于捕获数据包的协议。 (6)Info数据包概要。,三、实验步骤(5),5、过滤捕获的会话。该软件可以获得成千上万的数据包。从头至尾进行查找数据包的工作非常麻烦。使用Ethereal中所含的过滤器可以帮助我们接近正在寻找的信息。 (1)单击“Filter”工具条。 (2)在Filter工具条中,键入arp并按ENTER键,(图1-4 在Ethereal中使用过滤器)屏幕上只显示出了ARP数据包。,四、实验小结,通过本实验,掌握网络中各种常用通信协议的用途,学会分析其对应的数据
6、包结构。,第一篇 网络基础及网络嗅探技术,Windows网络通信分析(Ethereal) TCP协议的三次握手分析 UDP协议的基础分析 网络嗅探技术,实验12:TCP协议的三次握手分析,一、实验目的 二、实验设备 三、实验步骤 四、实验小结,实验12:TCP协议的三次握手分析,TCP(传输控制协议)是两台或多台主机之间的一个面向连接的协议。在传输数据之前必须建立一条可靠的连接。两台主机利用TCP协议建立这种连接的过程被称为三次握手。,一、实验目的,了解TCP三次握手的原理,掌握使用Ethereal捕获TCP数据包的方法。,二、实验设备,1台Windows XP 和1台Windows 2K S
7、erver PC机(IP为192.168.0.250)。,192.168.0.250,三、实验步骤(1),1、在Windows 2K Server PC机上登录,并开启一个Web默认站点。,三、实验步骤(2),2、在Windows XP PC机上登录,启动Ethereal并捕获一个HTTP通信会话。 (1)在Windows XP主机上,启动Ethereal,点击Capture菜单 Options界面选中网络接口卡并单击OK。 (2)在Internet Explorer浏览器的地址栏中,键入http:/192.168.0.250(即Windows 2K Server PC机的IP),访问Wind
8、ows 2K Server PC机的站点。,三、实验步骤(3),3、停止Ethereal捕获并检验三次握手,分析TCP数据包。(1)在EtherealCapture菜单上,单击Stop。 (2)在Filter框中,键入tcp并按ENTER键,(图l-5 用Ethereal捕获的Windows中的三次握手) 。图中所示的前三个数据包是三次握手的。注意数据包部分的“Info”栏中的SYN、SYN,ACK和ACK。,三、实验步骤,4、检查网络服务器日志。(1)在Windows 2K Server PC机上,找到C:WinntSystem32LogfilesW3svcl目录,这就是日志文件的存储目录。
9、 (2)双击文件名中含有今天日期的日志文件。它的格式是exYYMMDD.log,其中YY表示年,MM表示月,DD表示日, (图1-6 日志文件)。 (3)定位至连接到服务器的条目(图1-7日志文件内容)。 (4)分析图17中各行表示的含义。 192.168.0.2是请求连接的IP地址。 192.168.0.250 80是IP地址以及连接到的端口。 GETindex.html-200是所请求的文件。 Mozilla4.0+(compatible;+MSIE+6.0;+Windows+NT+5.1)是对所连接的浏览器的推测。,四、实验小结,通过本实验可以详细了解两台主机之间建立TCP协议通信会话的
10、三次握手过程,并学会分析网络服务器日志。,第一篇 网络基础及网络嗅探技术,Windows网络通信分析(Ethereal) TCP协议的三次握手分析 UDP协议的基础分析 网络嗅探技术,实验13:UDP协议的基础分析,一、实验目的 二、实验设备 三、实验步骤 四、实验小结,实验13:UDP协议的基础分析,UDP(用户数据报协议)是传输层的无连接协议,没有会话建立的三次握手的过程。它没有任何错误恢复功能,也不担保数据包准确交付。但是,UDP显著地减少了协议管理开销。,一、实验目的,了解UDP数据包结构。,二、实验设备,2台主机。一台Windows XP,一台Win 2K Server,局域网环境中
11、设置DNS Server并把自己设置成DNS Server的客户端。,三、实验步骤(1),1、在Windows XP Professional机器上启动Ethereal,点击Capture菜单 Options界面,选中网络接口卡类型并单击OK。,三、实验步骤(2),2、用nslookup命令来产生UDP通信。(1)在DOS命令行方式下,键入nslookup。 (2)在提示符下,键入。 (3)键入exit,并按ENTER键退出nslookup。,三、实验步骤(3),3、用http命令来产生TCP通信。http:/192.168.0.250并按ENTER键。,三、实验步骤(4),4、分析结果并比较
12、TCP头和UDP头: (1)在Ethereal中,点击Capture菜单 点击Stop。 (2)分析UDP数据包。在数据包部分,选中在协议栏中列出了DNS的第一个数据包项,(图1-8 UDP头截图)。观察显示的信息:源端口是什么,目的端口是什么,校验和值是什么? (3)分析TCP数据包: 在数据包部分,选中在协议栏中列出了TCP的第一个数据包项,(图1-9 TCP头截图)。在树型视图部分,展开Transmission Control Protocol项。观察显示的信息,源端口,目的端口,校验和值,注意TCP头和UDP头之间有什么不同?,四、实验小结,通过本次实验可以获得UDP协议数据包的结构信
13、息,并可比较出UDP协议与TCP协议数据包的不同。,第一篇 网络基础及网络嗅探技术,Windows网络通信分析(Ethereal) TCP协议的三次握手分析 UDP协议的基础分析 网络嗅探技术,实验14:网络嗅探技术,一、实验目的 二、实验设备 三、实验步骤 四、实验小结 五、防御措施,实验14:网络嗅探技术,默认情况下FTP、HTTP、Telnet等协议在客户端与服务器端进行身份验证时用明文传输数据包。网络嗅探技术利用某些工具,通过将网卡的工作模式设置为“混杂模式”的方式,使网卡处于对网络进行“监听”的状态,可以监听到与“混杂模式”的网卡处于同一物理网络中传输的数据帧(无论数据帧的目标地址是
14、广播地址、本机地址或者其它主机的地址)。如果使用Hub等共享式设备将几台主机互联,A机与B机之间通讯时产生的数据包可以被安装了网络嗅探工具的主机C嗅探到。但是在交换的网络和ATM网络中,嗅探效果不理想。,实验14:网络嗅探技术,使用嗅探工具时应该注意以下几点: 1、嗅探工具应该和其他网络主机使用Hub等共享式设备互连,这样才能捕获到网络中所有的数据包。 2、如果网络设备使用的是交换机,可以通过两种方法实现对网络的监控: (1)对交换机进行镜像端口配置:将所有其它端口上的数据包复制并转发一份到“镜像”端口,并让该端口与安装了嗅探工具的主机相连。否则,嗅探工具只能够捕获到嗅探主机所连接的交换机端口
15、上的所有数据包。 (2)把交换机的“镜像”端口级联到集线器上,再把安装了嗅探工具的主机接到集线器上。,一、实验目的,了解网络嗅探的原理,掌握嗅探类工具对数据包的捕获方法,学会从捕获的数据包中发现用户名、口令等敏感信息。,二、实验设备,3台Windows计算机:一台主机作为邮件服务器(称为A机),其它主机作为电子邮件客户端。本实验需要安装嗅探工具Ethereal的主机如果是XP主机,则最好选择SP2及SP2以下的补丁包版本;如果是2003 Server主机,则最好选择R1补丁包版本;如果是2000 Server,则任何补丁包类型均可。,三、实验步骤(1),1、A机上安装Mdaemon软件,域名为
16、默认的company.mail(不选择Windows集成DNS,将主DNS服务器IP设置为A机IP),建立2个邮箱帐号。一个邮箱帐号为,另一个邮箱帐号为。,三、实验步骤(2),2、B、C机上启动电子邮件客户端软件outlook(或者outlookexpress),B机的outlook用帐号登录,C机的outlook用登录。,三、实验步骤(3),3、先退出B、C机的outlook环境。在A、B、C三台主机上分别启动Ethereal:在Ethereal界面中,单击Capture菜单Options界面,选中相应的网络接口卡并单击OK。,三、实验步骤(4),4、在B机上用帐号登录B机的outlook,
17、在C机上用登录C机的outlook。在B机与C机上分别登录成功后,在A、B、C这三台机器上停止捕获数据包。,三、实验步骤(5),5、分析Ethereal捕获: 可以在这三台机器上分别查找含有POST字段的数据包。(图1 -10 A机上捕获到的包含敏感信息的数据包)是在A机上捕获到的数据包,该数据包包含邮箱口令等敏感信息。如果捕获的数据包过多,可以在Filter框(位于工具条之下)中,键入HTTP并按ENTER键。如果只对TCP协议的某个端口(如21端口)所传递的数据包感兴趣,可以在Filter框中输入Tcp.Port=21。,四、实验小结,因为默认情况下FTP、HTTP、Telnet等协议在客户端与服务器端进行身份验证的过程是明文传输,所以一旦某台主机上安装了网络嗅探工具或者在共享环境的其它主机(D主机)上安装了网络嗅探工具的话,会造成用户名和口令的泄漏。,五、防御措施,最好在客户端与服务器端进行身份验证的过程中采用加密方式传输用户名、口令。,
