第4周网络监听.pptVIP

网络监听 网络监听的目的是截获通信的内容，监听的手段是对协议进行分析。Sniffer pro就是一个完善的网络监听工具。 监听器Sniffer的原理：在局域网中与其他计算机进行数据交换的时候，发送的数据包发往所有的连在一起的主机，也就是广播，在报头中包含目标机的正确地址。因此只有与数据包中目标地址一致的那台主机才会接收数据包，其他的机器都会将包丢弃。但是，当主机工作在监听模式下时，无论接收到的数据包中目标地址是什么，主机都将其接收下来。然后对数据包进行分析，就得到了局域网中通信的数据。一台计算机可以监听同一网段所有的数据包，不能监听不同网段的计算机传输的信息。 监听软件 防止监听的手段是：建设交换网络、使用加密技术和使用一次性口令技术。 除了非常著名的监听软件Sniffer Pro以外，还有一些常用的监听软件： 功能强大的Wireshark(原名Ethereal) 嗅探经典－－Iris 监听工具－－Win Sniffer 密码监听工具－－pswmonitor和非交换环境局域网的fssniffer等等 Sniffer Pro是一款非常著名监听的工具，但是Sniffer Pro不能有效的提取有效的信息。 Netxray同上。 网络抓包软件Sniffer 的安装 利用Sniffer抓包 进入Sniffer主界面，抓包之前必须首先设置要抓取数据包的类型。选择主菜单Capture下的Define Filter菜单，如图下图所示。 利用Sniffer抓包 在抓包过滤器窗口中，选择Address选项卡，如图所示。 窗口中需要修改两个地方：在Address下拉列表中，选择抓包的类型是IP，在Station1下面输入主机的IP地址，主机的IP地址是10；在与之对应的Station2下面输入虚拟机的IP地址，虚拟机的IP地址是09。 利用Sniffer抓包 设置完毕后，点击该窗口的Advanced选项卡，拖动滚动条找到IP项，将IP和ICMP选中（IP和ICMP的具体解释在第二章，这里只是做相应的设置），如图所示。 利用Sniffer抓包 向下拖动滚动条，将TCP和UDP选中，再把TCP下面的FTP和Telnet两个选项选中，如图所示。 利用Sniffer抓包 这样Sniffer的抓包过滤器就设置完毕了，后面的实验也采用这样的设置。选择菜单栏Capture下Start菜单项，启动抓包以后，在主机的DOS窗口中Ping虚拟机，如图所示。 利用Sniffer抓包 等Ping指令执行完毕后，点击工具栏上的停止并分析按钮，如图所示。 利用Sniffer抓包 在出现的窗口选择Decode选项卡，可以看到数据包在两台计算机间的传递过程，如图所示。 抓取Ping指令发送的数据包 按照第一章Sniffer的设置抓取Ping指令发送的数据包，命令执行如图所示。 抓取Ping指令发送的数据包 抓取Ping指令发送的数据包 其实IP报头的所有属性都在报头中显示出来，可以看出实际抓取的数据报和理论上的数据报一致，分析如图所示。 一次完整的FTP会话 首先开启目标主机的FTP服务，如图所示。 一次完整的FTP会话 启动Sniffer，然后在主机的DOS命令行下利用FTP指令连接目标主机上的FTP服务器，连接过程如图所示。 一次完整的FTP会话 一次完整的FTP会话 登录FTP的过程是一次典型的TCP连接，因为FTP服务使用的是TCP协议。分析TCP报头的结构如图所示。 TCP协议的三次“握手” TCP协议的三次“握手” 这个过程在FTP的会话过程中也明显的显示出来，如图所示。 第一次“握手” 首先分析建立“握手”第一个过程包的结构，如图所示。 第二次“握手” SYN为1，开始建立请求连接，需要对方计算机确认，对方计算机确认返回的数据包如图所示。 第三次“握手” 对方计算机返回的数据包中ACK为1并且SYN为1，说明同意连接。 这个时候需要源计算机的确认就可以建立连接了。确认数据包的结构如图所示。 TCP协议的四次“挥手” 需要断开连接的时候，TCP也需要互相确认才可以断开连接，四次交互过程如图所示。 第一次“挥手” 第一次交互过程的数据报结构如图所示。 第二次“挥手” 第一次交互中，首先发送一个FIN=1的请求，要求断开，目标主机在得到请求后发送ACK=1进行确认，如图所示。 第三次“挥手” 在确认信息发出后，就发送了一个FIN=1的包，与源主机断开，如图所示。 第四次“挥手” 随后源主机返回一条ACK=1的信息，这样一次完整的TCP会话就结束了。如图所示。 UDP报头 查看Sniffer抓取的数据报，可以看到UDP报头，如图所示。 UDP报头的分析 对UDP报头的分析如图所示。 ICMP数据报分析 使用Ping命令发送I