中南大学网络安全课外实验报告嗅探与欺骗.docVIP

中南大学 CENTRAL SOUTH UNIVERSITY 《SEED PROJECT》 实验报告 学生姓名 孙毅 学 号 0906140106 指导教师 王伟平 学 院 信息科学与工程 专业班级 信息安全1401 成时间 2016.12 目录 TOC \o 1-3 \h \u HYPERLINK \l _Toc10748 一、 实验原理 PAGEREF _Toc10748 1 HYPERLINK \l _Toc31295 二、 实验器材 PAGEREF _Toc31295 1 HYPERLINK \l _Toc29991 三、 实验步骤及运行结果 PAGEREF _Toc29991 1 HYPERLINK \l _Toc13766 Task1．编写嗅探程序 PAGEREF _Toc13766 1 HYPERLINK \l _Toc17040 Task2．包欺骗 PAGEREF _Toc17040 3 HYPERLINK \l _Toc18483 Task3：综合使用 PAGEREF _Toc18483 4 HYPERLINK \l _Toc11127 四、 附件 PAGEREF _Toc11127 4 HYPERLINK \l _Toc31886 Task1 PAGEREF _Toc31886 5 HYPERLINK \l _Toc21075 Task2 PAGEREF _Toc21075 13 HYPERLINK \l _Toc2267 Task3 PAGEREF _Toc2267 17 Sniffing_Spoofing 实验原理 Sniffing就是一种能将本地网卡状态设成‘混杂’状态的模式，当网卡处于这种“混杂”方式时，该网卡具备“广播地址”，它对遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。（绝大多数的网卡具备置成混杂模式的能力） 一般来说，sniffing和poofing会联合起来使用。当攻击者嗅探到关键信息时，通常会使用poofing技术来构造数据包来劫持会话或者去获取更多信息，通常会造成很大的危害。Poofing技术就是攻击者自己构造数据包的ip/tcp数据包帧头部数据来达到自己的目的。 本次实验就是基于以上原理，在linux下模拟整个过程。 实验器材 1．Ubuntu12.04。 2．Wireshark等常用捕包工具。 实验步骤及运行结果 Task1．编写嗅探程序 嗅探程序可以很容易地使用pcap库。利用PCAP，嗅探器的任务变得在pcap库调用一系列简单的程序。在序列结束时，数据包将被放置在缓冲区中，以进一步处理，只要它们被捕获。所有的数据包捕获的细节由pcap库处理。Tim Carstens写了一个教程如何使用pcap库写的嗅探程序。 1：深入理解并可以编写嗅探程序。 2：编写过滤器。请为您的嗅探程序捕捉每个写过滤表达式如下。在你的实验报告，你需要包括screendumps显示应用这些过滤器的结果。 ?捕获ICMP数据包。 ?捕获TCP数据包有一个目的端口范围从端口10 - 100。 运行结果如下： 在程序中预设捕获10个数据包，当捕获数据包之后会将数据包进行处理，会下显示数据包的类型，还有数据包的源ip和目的ip，源端口和目的端口，当有数据时还会显示数据。 对于任务一的2，主要是修改filter中的过滤条件，要实现只捕获ICMP类型的数据包，只需要将char filter_exp[] = ip中的ip改为ICMP，然后要捕获端口在10-100之间的tcp数据包，同理，将这条语句中的条件改为‘tcp and dst portrange 10-100’即可。 Task2．包欺骗 在正常的情况下，当一个用户发送一个数据包时，操作系统通常不允许用户设置所有的在协议头字段（如TCP，UDP，和IP报头）。操作系统将大部分的领域，而 只允许用户设置几个字段，如目标IP地址、目标端口号等。但是当用户有有root权限，他们可以在数据包标头设置为任意字段。这就是所谓的包欺骗，它可以通过原始套接字完成。 原始套接字给程序员的数据包结构的绝对控制，允许程序员构建任何任意的