实验1 sniffer.pptx

通信网络实验2-1 ——网络数据获取 1. 实验目的 掌握sniffer捕获数据包的技术，了解一般局域网内监听手段，掌握如何防范攻击。 .2 原理简介 嗅探器（sniffer）是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。 它工作在网络的底层，把网络传输的全部数据记录下来。 嗅探器可以帮助网络管理员查找网络漏洞和检测网络性能。 嗅探器可以分析网络的流量，以便找出所关心的网络中潜在的问题。　　 .2 原理简介 不同传输介质网络的可监听性是不同的。 以太网被监听的可能性比较高，因为以太网是一个广播型的网络； 微波和无线网被监听的可能性同样比较高，因为无线电本身是一个广播型的传输媒介，弥散在空中的无线电信号可以被很轻易的截获。 .2 原理简介 在以太网中，嗅探器通过将以太网卡设置成混杂模式来捕获数据。 因为以太网协议的工作方式是将要发送的数据包发往连接在一起的所有主机，包中包含着应该接收数据包主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收。 但是，当主机工作监听模式下，无论数据包中的目标地址是什么，主机都将接收（当然只能监听经过自己网络接口的那些包）。 .2 原理简介 在因特网上有很多使用以太网协议的局域网，许多主机通过电缆、集线器连在一起。当同一网络中的两台主机通信的时候，源主机将写有目的主机地址的数据包直接发向目的主机。 但这种数据包不能在IP层直接发送，必须从TCP/IP协议的IP层交给网络接口，也就是数据链路层，而网络接口是不会识别IP地址的，因此在网络接口数据包又增加了一部分以太帧头的信息。 在帧头中有两个域，分别为只有网络接口才能识别的源主机和目的主机的物理地址，这是一个与IP地址相对应的48位的以太地址。 .2 原理简介 传输数据时，包含物理地址的帧从网络接口（网卡）发送到物理的线路上。 当使用集线器时，由集线器再发向连接在集线器上的每一条线路，数字信号也能到达连接在集线器上的每一台主机。 当数字信号到达一台主机的网络接口时，正常情况下，网络接口读入数据帧，进行检查，如果数据帧中携带的物理地址是自己的或者是广播地址，则将数据帧交给上层协议软件，也就是IP层软件，否则就将这个帧丢弃。 对于每一个到达网络接口的数据帧，都要进行这个过程。 .2 原理简介 当主机工作在监听模式下，所有的数据帧都将被交给上层协议软件处理。 当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时，如果一台主机处于监听模式下，它还能接收到发向与自己不在同一子网（使用了不同的掩码、IP地址和网关）的主机的数据包。也就是说，在同一条物理信道上传输的所有信息都可以被接收到。 .2 原理简介 现在网络中使用的大部分协议都是很早设计的，许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上，许多信息以明文发送。 如果用户的账户名和口令等信息也以明文的方式在网上传输，而此时一个黑客或网络攻击者正在进行网络监听，只要具有初步的网络和TCP/IP协议知识，便能轻易地从监听到的信息中提取出感兴趣的部分。 同理，正确的使用网络监听技术也可以发现入侵并对入侵者进行追踪定位，在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息，成为打击网络犯罪的有力手段。 10.3 实验环境 网内设有3台主机，IP地址分别为1，01，2，其中2主机中安装sniffer软件Ethereal，在主机01上运行FTP服务器。 10.4 实验步骤 1. 点击Ethereal/wireshark图标，激活Ethereal工具。 2．在主界面中，点击最下边一排的【Filter】按钮，打开过滤器的设置界面，这里可以根据需要选取或直接输入过滤命令，并支持 and/or 的功能连接。这里我们输入“tcp and ip.addr==77”单击【OK】配置结束。 10.4 实验步骤 10.4 实验步骤 3、点击菜单栏中的【Capture】|【Interface】查看可以进行监听的网络接口（这里可以直接点击右侧【Capture】按钮进行数据包的捕获）。 10.4 实验步骤 4. 点击需要监听接口的【Prepare】按钮，可以进行监听接口的选择和设定（这里点击start按钮即可在Interface栏选定的接口上进行嗅探、监听）。然后点击【Cancel】回到Interface界面。 10.4 实验步骤 5、在Interface界面中点击需要监听接口的“Capture”按钮即进入网络嗅探状态。 10.4 实验步骤 6．当有需要的数据包出现或监听一段时间后，点击“Stop”按钮，结束监听并自动进入协议分析界面。 10.5 实验报告 1、详细描述实验过程。 2、仔细查看截获的数据，分析通过嗅探器能够获取哪些