信息安全概论实验一.docVIP

实验一网络信息检测实验(使用Sniffer工具嗅探) 一、实验目的 通过使用Sniffer Pro软件掌握sniffer(嗅探器)工具的使用方法，实现捕捉FTP、HTTP等协议的数据包，以理解TCP/IP协议中多种协议的数据结构、会话连接建立和终止的过程、TCP序列号、应答序号的变化规律。并且，通过实验了解FTP、HTTP等协议明文传输的特性，以建立安全意识，防止FTP、HTTP等协议由于传输明文密码造成的泄密。 二、实验原理 Sniffer即网络嗅探器，用于监听网络中的数据包，分析网络性能和故障。Sniffer主要用于网络管理和网络维护，系统管理员通过Sniffer可以诊断出通过常规工具难以解决的网络疑难问题，包括计算机之间的异常通讯、不同网络协议的通讯流量、每个数据包的源地址和目的地址等，它将提供非常详细的信息。 通常每个网络接口都有一个互不相同的硬件地址(MAC)，同时，每个网段有一个在此网段中广播数据包的广播地址（代表所有的接口地址）。一般情况下，一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，并由操作系统进一步进行处理，而丢弃不是发给自己的数据帧。 而通过Sniffer工具，可以将网络接口设置为“混杂” (promiscuous)模式。在这种模式下，网络接口就处于一个对网络进行“监听”的状态，而它可以监听此网络中传输的所有数据帧，而不管数据帧的目标地址是广播地址还是自己或者其他网络接口的地址了。它将对遭遇的每一个数据帧产生硬件中断，交由操作系统对这个帧进行处理，比如截获这个数据帧，进而实现实时分析数据帧中包含的内容。 当然，如果一个数据帧没有发送到目标主机的网络接口，则目标主机将无法监听到该帧。所以Sniffer所能监听到的信息将仅限于在同一个物理网络内传送的数据帧，就是说和监听的目标中间不能有路由（交换）或其他屏蔽广播包的设备。因此，当Sniffer工作在由集线器(HUB)构建的广播型局域网时，它可以监听到此物理网络内所有传送的数据；而对于由交换机(switch)和路由器(router)构建的网络中，由于这些网络设备只根据目标地址分发数据帧，所以在这种网络中，sniffer工具就只能监测到目标地址是自己的数据帧再加上针对广播地址的数据帧了。 Sniffer工作在OSI模型中的第2层，它一般使用在已经进入对方系统的情况。实验中要注意，虽然sniffer能得到在局域网中传送的大量数据，但是不加选择的接收所有的数据包，并且进行长时间的监听，那么你需要分析的数据量将是非常巨大的，并且将会浪费大量硬盘空间。 Sniffer工具分为软件和硬件两大类，在这里我们主要以Sniffer Pro软件为例对sniffer工具的使用方法和功能进行简单介绍。当然，sniffer软件工具还有很多种，例如SQLServerSniffer、FsSniffer等，它们的功能和使用的环境有所不同，如果读者感兴趣，可以自己进行深入探索。 对于Sniffer工具的防范可以从以下几个方面进行：首先，如果通过网管工具发现在局域网内存在长时间占用较大带宽的计算机，这台计算机可能在进行嗅探；其次，Sniffer的记录文件增长很快，通过分析文件系统大小的变换情况，可以找到这个文件；最后，如果计算机的网络接口处于混杂模式下（在UNIX环境下通过ifconfig –a命令查看网络接口状态），则它很可能运行了Sniffer。通过上面的几种方法，可以对Sniffer进行分析监测。除了这些间接分析方法外，还可以利用AntiSniff工具，它提供了直接检测Sniffer的功能，从而可以对Sniffer进行有效防范。 三、实验环境 两台安装Windows 2000/XP的PC机，在其中一台上安装Sniffer Pro软件。将两台PC机通过HUB相连，组成一个局域网。 四、实验内容和步骤 任务一 熟悉Sniffer Pro工具的使用 1）Sniffer Pro软件简介 Sniffer软件是NAI公司推出的功能强大的协议分析软件，实验中使用Sniffer Pro4.7来截获网络中传输的FTP、HTTP、Telnet等数据包，并进行分析。 2）使用说明 启动Sniffer Pro软件后可以看到它的主界面，如图，启动的时候有时需要选择相应的网卡（adapter），选好后即可启动软件。 网络监视面板Dashboard可以监控网络的利用率，流量及错误报文等内容，如图 从Host table可以直观的看出连接的主机，如图，显示方式为IP 任务二捕获HTTP数据包并分析 1） 假设A主机监视B主机的活动，首先A主机要知道B主机的IP地址，B主机可以在命令符提示下输入ipconfig查讯自己的IP地址并A主机。 2） 选中Monitor菜单下的Matirx或直接点击网