网安全实验5(嗅探).docVIP

郑州大学信息工程学院计算机研究生实验报告（五） 课程名称：网络安全技术 实验地点： 实验时间： 学生年级姓名： 学 号： 指导教师： 一、实验室名称：网络实验室 二、实验项目名称：网络嗅探与欺骗实验实验项目的目的和要求： 了解网络嗅探与欺骗的原理； 掌握基本网络嗅探与欺骗工具的使用方法四、实验原理：网络嗅探器(Network Sniffer)是一种黑客工具，用于窃听流经网络接口的信息，从而获取用户会话信息：如商业秘密、认证信息（用户名、口令等）。一般的计算机系统通常只接受目的地址指向自己的网络包。其他的包被忽略。但在很多情况下，一台计算机的网络接口可能收到目的地址并非指向自身的网络包。在完全的广播子网中，所有涉及局域网中任何一台主机的网络通信内容均可被局域网中所有的主机接收到，这就使得网络窃听变得十分容易。目前网络嗅探器大部分基于以太网得，其原因在于以太网广泛地应用于局域网。 ???一般来说，网络嗅探器的工作流程如下： 打开文件描述字。打开网络接口、专用设备或网络套接字，得到一个文件描述字，以后所有的控制和读、写都针对该文件描述字。 设置杂模式。把以太网网络接口设置成杂模式，使之截获所有流经网络介质的信息包。 设置缓冲区。取样时间、抓取长度等。缓冲区用来存放从内核缓冲区拷贝过来的网络包，设置它的大小。取样时间的意思是：如果取样时间为零，那么一有数据，系统就会立刻向用户进程发送“就绪”同，并由用户把数据内核缓冲区拷贝到用户缓冲区。这样可能造成过于频繁的通知和拷贝，增加系统处理能力的附加负担（Overhead），降低效率。如果适当地设置取样时间，在系统等待发送“就绪”通知期间，就可能有新的数据到来，这样多个网络包只需一次通知和一次拷贝，减少了系统处理能力的消耗。抓取长度定义从内核拷贝空间到用户空间的最大网络包长，超过该长度的包被截短，目的在提高处理效率。 设置过滤器：过滤器使内核只摄取那些攻击者感兴趣得网络包，而不是所有流经网络介质得网络包，可以减少不必要得拷贝和处理。 读取包：从文件描述字中读取数据，一般来说，就是数据链路层的帧，亦即以太网帧， 过滤、分析、解释、输出：如果内核没有提供过滤功能，只能把所有的网络包从内核空间拷贝到用户空间，然后有用户进程分析和过滤，主要是分析以太包头和TCP/IP包头中的信息，如据长度、源IP、目的IP、协议类型（TCP,UDP,ICMP）、源端口、目的口等，选择用户感兴趣的网络数据包，然后对应用层协议级的数据解释，把原数据转化成用户课理解的方式输出。 五、实验目的： 了解网络嗅探与欺骗的原理； 掌握基本网络嗅探与欺骗工具的使用方法； 六、实验内容： 安装并使用网络嗅探工具Iris； 使用Iris对局域网的特定主机进行网络嗅探； 使用Iris对局域网的特定主机进行ARP欺骗； 七、实验器材（设备、元器件）： ??????1、路由器一台。 ??????2、 PC个人计算机三台，分别安装Windows xp操作系统。 ??????3、 Console口配置电缆三根。 ??????4、 RJ45直通网线三根。 ??????5、 网络嗅探工具Iris。 八、实验步骤： ???1、在个人PC上安装安全网络嗅探工具Iris； ???2、运行Iris，配置过滤设置为ARP、ICMP、TCP、UDP； ???3、启动嗅探功能； ???4、分析捕获到的ARP、ICMP、TCP、UPD数据报的格式与内容； ???5、使用Iris向局域网内特定PC发送虚假的ARP响应报文，实现ARP欺骗； 九、实验数据及结果分析： 1、通过iris可以获取网络上传输的ARP、ICMP、TCP、UDP等协议的数据报文； ? 2、iris中各类协议报文的格式与RFC文档的格式匹配； ? 3、iris中存在有本机发出/接受的数据报文，也包含其他主机通信的数据报文； ? 4、通过iris向被攻击主机发送虚假的IP/MAC映射数据报文，将导致被攻击主机与其他主机的正常通信； 十、实验结论： 1、在交换网络下，设置为混杂模式的主机，可以接收其他主机之间通信的数据报文； ? 2、通过发送ARP欺骗报文，将干扰交换网络内主机间正常通信，设置是阻断他们的通信报文；?? 十一、总结及心得体会：? 十二、对本实验过程及方法、手段的改进建议：???? ???????????????????????????????????????????????????? 报告评分： ???????????????????????????????