实训4 网络封包及扫描器的使用和分析.docVIP

实扫描器使用和分析 实验目的 通过使用网络扫描软件，了解目标主机端口和服务的开放情况，从而进一步获取信息，找出系统安全漏洞。通过抓包软件的使用，捕获一些敏感数据（如密码）。 通过本次实验，了解到端口与服务开放的风险，增强在网络安全防护方面的意识，还可以捕获局域网中用户的账号和密码。实验具体要求如下： 1.熟悉网络数据包捕获工具的使用 2.熟悉扫描程序（漏洞、端口）的使用 3.能够利用抓包工具分析扫描程序的具体原理 实验准备 1. 实验室内计算机均可以访问另外一台计算机。 2.工具软件包wireshark、Xscan、zeNmap）。 3. 在计算机中安装相应的软件wireshark前，先安装WinPcap_4_0_2.exe， 如果安装wireshark后没有在桌面建立快捷链接，可以直接到C:\Program Files\Wireshark 下打开Wireshark.exe即可）。XScan是不需要安装的，可以直接解压拷贝到某个文件夹下运行xscan_gui.exe即可。 三、实验原理 1、Wireshark简介及使用原理Wireshark（前称Ethereal）是一个网络封包分析软件，不是入侵侦测软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包Wireshark本身也不会送出封包至网络上。 Xscan简介及使用原理 Xscan采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测，支持插件功能，扫描内容包括：远程服务类型、操作系统类型及版本，各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十几个大类。 nmap简介及使用原理?nmap是Linux,FreeBSD,UNIX,Windows下的网络扫描和嗅探工 具包，其基本功能有三个，一是探测一组主机是否在线；其次是扫描主机端口，嗅探所提供的网络服务；还可以推断主机所用的操作系统。Nmap还允许用户定制扫描技巧也可以深入探测UDP或者TCP端口，直至主机所使用的操作系统；还可以将所有探测结果记录到各种格式的日志中，供进一步分析操作。利用WireShark捕获数据包 在网站（/)上注册一个会员号，利用WireShark捕获数据包，对捕获到的数据包进行分析，找到用户名和密码。 1. 打开网站，进入会员登录界面。 2. 输入用户名和密码 ！！！先不要点击【会员登录】！！！ 3. 起动WireShark应用程序，点击点击 5. 每笔抓到的数据包都会显示出来，类似如下图所示： 如果不需要抓包了，选择菜单“抓包 | 停止”即可。 上图分析： 包号为75的包，表明使用DNS进行了域名转换，将域名转换为物理IP地址=04。 随着转换完成，浏览器与web服务器建立TCP连接（78-80包），并从服务器活动连接成功的信息（81包），最后浏览器使用已经建立好的TCP连接发生请求（82包，说明请求的方式为GET, 文件为 /edurs/info.aspx , 协议和版本为HTTP 1.1）。 6. 请分析登录unsv网站后抓到的数据包，从中是否能查找用户名和密码利用Xscan扫描主机和局域网中的开放端口和漏洞 1. 运行Xscan，设置扫描参数在指定IP地址范围，将IP（均代表本机），还可对高级设置中的最大并发线程数量和最大并发主机数量按默认设置，其他设置中，选中显示详细进度和无条件扫描复选框，在“全局设置”的“扫描模块”选项中分别勾选“开放服务”、“NT-Server弱口令”、“NetBios信息”三个选项，余下的选项按默认设置。点击“确定”。 扫描参数设置完毕后，开始扫描(1) 扫描漏洞如图所示 (2) 界面里的扫描的内容如图所示： 2. 将IP地址范围不变，再重新扫描一次。扫描利用nmap对主机进行扫描 其中： Profile栏：用于选择“Zenmap默认提供的Profile”或“用户创建的Profile”； Command栏：用于显示选择Profile对应的命令或者用户自行指定的命令； Topology选项卡：用于显示扫描到的目标机与本机之间的拓扑结构。 zenmap基本扫描方法确定端口状况 命令形式:确定目标主机在线情况及端口基本状况。 ② 完整全面扫描 命令形式:–T4 –A –v targetip 功能：对目标主机进行主机发现、端口扫描、应用程序与版本侦测、操作系统侦测 其中-A选项用于使用进攻性（Aggressive）方式扫描；-T4指定扫描过程使用的时序（Timing），6个级别（0-5），级别越高，扫