实验二网络数据包的监听与分析.doc

试验二 网络数据包的监听与分析 一．实验目的 初步掌握Wireshark的使用方法，熟悉其基本设置，尤其是Capture Filter和Display Filter 的使用。 通过对Wireshark抓包实例进行分析，进一步加深对各类常用网络协议的理解，如：TCP、 UDP、IP、SMTP、POP、FTP、TLS等。 实验原理 用Wireshark软件抓取本地PC的数据包，并观察其主要使用了哪些网络协议。 查找资料，了解相关网络协议的提出背景，帧格式，主要功能等。 根据所获数据包的内容分析相关协议，从而加深对常用网络协议理解。 实验环境 系统环境：WindowsXP 浏览器：IE8 Wireshark：V 1.7.1 Winpcap：V 4.1.3 实验步骤 Wireshark简介 Wireshark（原Ethereal）是一个网络封包分析软件。其主要功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。其使用目的包括：网络管理员检测网络问题，网络安全工程师检查资讯安全相关问题，开发者为新的通讯协定除错，普通使用者学习网络协议的相关知识……当然，有的人也会用它来寻找一些敏感信息。 值得注意的是，Wireshark并不是入侵检测软件（Intrusion Detection Software,IDS）。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包资讯。 Wireshark本身也不会送出封包至网络上。 实例 实例1：你的密码安全吗？ 随着Internet的普及，越来越多的人开始拥有越来越多的密码。小到QQ，MSN，E-mail等，大到支付宝，信息管理系统等，可是一个核心问题是：你的密码安全吗？让我们来看看下面几个例子。 Test 1：FTP工具软件 这里，我们采用的FTP工具软件是FlashFXP V3.7.8。登陆时抓包如下： 图四：FlashFXP登陆时的部分数据包 首先，我们来看一下常用到的三个协议：SSDP、DNS和 FTP。 　　SSDP协议是简单服务发现协议(Simple Service Discovery Protocol)，该协议定义了如何在网络上发现网络服务的方法。SSDP信息的传送是依靠HTTPU和HTTPMU进行的。不论是控制指针，或是UPnP设备，工作中都必然用到SSDP，设备接入网络之后，要利用它向网络广播自己的存在，以便尽快与对应的控制指针建立联系。设备利用SSDP的方式是“收听”来自网络端口的消息，从中发现与自己匹配的信息，一旦找到与自己匹配的信息，经由HTTPMU来发送一个响应信息到控制指针。　　 DNS是域名服务器?(Domain Name Server)。在Internet上域名与IP地址之间可以是一一对应的，域名虽然便于人们记忆，但机器之间只能互相认识IP地址，它们之间的转换工作称为域名解析，域名解析需要由专门的域名解析服务器来完成，DNS就是进行域名解析的服务器。 FTP是文件传输协议(File Transfer Protocol)，用于Internet上的文件的双向传输。用户可以通过FTP工具软件它把自己的PC机与世界各地所有运行FTP协议的服务器相连，访问服务器上的大量程序和信息。FTP的主要作用，就是让用户连接上一个远程计算机（这些计算机上运行着FTP服务器程序），查看远程计算机有哪些文件，然后把文件从远程计算机上下载到本地计算机，或把本地计算机的文件上传到远程计算机。 现在让我们来看看工作流程： 数据包No.1：本地PC机（数据包中表示为ipv6地址）通过SSDP协议向本地路由器发送消息。 数据包No.2：本地路由器通过SSDP协议向非路由地址(IANA)发送消息。 …… 数据包No.13：本地PC机（00）向DNS服务器（0）发送查询请求，要求解析域名。 数据包No.14：DNS服务器返回请求，的ip地址为：6。经查，DNS服务器（0）在西安本地，而（6）在天津科技大学。 …… 数据包No.21：通过FTP协议，本地计算机与FTP服务器建立连接。让人非常兴奋同时又非常沮丧的是：Wireshark不仅抓到了登陆用户名和密码，而且还抓到了传送的文件信息。如下图所示： 图五：Wireshark抓取的用户名，密码和传送的文件信息。 Test 2：Koomail邮件客户端 现在来看看我们常常使用的邮件服务的安全性又如何。 首先，我们用网页方式登陆一个邮箱：hasee126mail@126.com，此时我们抓包如下： 图六：以网页方式登陆邮箱时的部分数据包 DNS协议我们已经非常熟悉了，现在来看看TCP协议和