中南大学网络工程实验报告

CENTRALSOUTHUNIVERSITY网络工程实验报告学生姓名专业班级学号学院信息科学与工程学院指导教师黄家林实验时间2014年12月1用协议分析软件观察网络安全情况【实验目的及要求】目的：学会使用协议分析软件来获取网络中的数据分组了解和掌握各种网络协议的工作过程通过所捕获的数据分组，分析网络中存在的安全问题了解和掌握常见的网络攻击（如IP欺骗，ARP攻击，DOS攻击等）的行为特征要求：在本机安装协议分析软件捕获20M数据分组分析所捕获的数据分组中存在哪些问题写出实验报告【实验环境】Windows8Wireshark1.12.1【实验步骤】1、下载安装wireshark从下载安装Windows平台的wireshark，双击安装文件安装即可，在安装过程中注意选择安装winpcap。安装过程简单，没有问题。2、在电脑上打开wareshark，选择capture--interfaces23、选择Packets最多的项，点击start按钮4、打开中南大学邮箱网站:，在主机上用wareshark捕捉http的包35、输入用户名和密码，点击登录6、在电脑上用wareshark捕捉到刚刚post提交的http包，右键选择Followtcpstream7、可以看到刚刚提交的用户名和密码，且是未经过加密的48、在过滤框中分别输入其他网络协议，如ICMP、UDP、ARP、FTP、DNS等，点击“Filter”，分别观察各种网络协议信息。5【实验数据分析】1、捕获20M数据分组如下图所示，已捕获28.101MB数据：2、网络中存在的安全问题----http报文分析6对上图中的解释：（1）帧的解释链路层的信息是以帧的形式进行传输的，帧封装了应用层、传输层、网络层的数据，而wireshark抓到的就是链路层的一帧。Frame3:624bytes：所抓帧的序号是3，大小是624字节Ethernet：以太网，有线局域网技术，属链路层InternetProtocol：即IP协议，属网络层TransmissonControlProtocol：即TCP协议，也称传输控制协议，属传输层HypertextTransferProtocol：即http协议，也称超文本传输协议，属应用层图形下面的数据是对上面数据的16进制表示。（2）分析上图中的http请求报文POST/coremail/index.jsp?cus=1HTTP/1.1方法字段/URL字段/http协议的版本Accept:text/html,application/xhtml+xml,*/*Referer:=1这是网址网址Accept-Language:zh-CN语言为简体中文User-Agent:Mozilla/5.0(compatible;MSIE10.0;WindowsNT6.2;WOW64;Trident/6.0;MALNJS)用户代理，浏览器类型Accept-Encoding:gzip,deflate可接受编码，文件格式Host:mail.csu.edu.cn目标所在的主机Content-Length:86内容长度Connection:Keep-Alive激活连接（3）HTML分析从图中可以直接读取用户账号以及密码，说明http协议并不对用户账号信息进行加密处理，而是明文传送，而https则采用了ssl协议进行加密。这个小实验也提醒我们在登入时要注意密码泄露的问题，尽可能在https下输入账号密码登陆。73、ARP报文分析及ARP欺骗(1)ARP的作用ARP（AddressResolutionProtocol，地址解析协议）是将IP地址解析为以太网MAC地址（或称物理地址）的协议。在局域网中，当主机或其它网络设备有数据要发送给另一个主机或设备时，它必须知道对方的网络层地址（即IP地址）。但是仅仅有IP地址是不够的，因为IP数据报文必须封装成帧才能通过物理网络发送，因此发送站还必须有接收站的物理地址，所以需要一个从IP地址到物理地址的映射。APR就是实现这个功能的协议。（2）ARP报文结构地址解析协议是通过报文工作的。报文包括如下字段：ARP报文格式（3）工作过程假设主机A和B在同一个网段，主机A要向主机B发送信息。如下图所示，具体的地址解析过程如下：①主机A首先查看自己的ARP表，确定其中是否包含有主机B对应的ARP表项。如果找到了对应的MAC地址，则主机A直接利用ARP表中的MAC地址，对IP数据包进行帧封装，并将数据包发送给主机B。②如果主机A在ARP表中找不到对应的MAC地址，则将缓存该数据报文，然后以广播方式发送一个ARP请求报文。ARP请求报文中的发送端IP地址和发送端MAC地址为主机A的IP地址和MAC地址，目标IP地址和目标MAC地址为主机B的IP地址和全0的MAC地址。由于ARP请求报文以广播方式发送，该网段上的所有主机都可以接收到该请求，但只有被请求的主机（即主机B）会对该请求进行处理。③主机B比较自己的IP地址和ARP请求报文中的目标IP地址，当两者相同时进行如下处理：将ARP请求报文中的发送端（即主机A）的IP地址和MAC地址存入自己的ARP表中。之后以单播方式发送ARP响应报文给主机A，其中包含了自己的MAC地址。④主机A收到ARP响应报文后，将主机B的MAC地址加入到自己的ARP表中以用于后续报文的转发，同时将IP数据包进行封装后发送出去。8ARP地址解析过程⑤当主机A和主机B不在同一网段时，主机A就会先向网关发出ARP请求，ARP请求报文中的目标IP地址为网关的IP地址。当主机A从收到的响应报文中获得网关的MAC地址后，将报文封装并发给网关。如果网关没有主机B的ARP表项，网关会广播ARP请求，目标IP地址为主机B的IP地址，当网关从收到的响应报文中获得主机B的MAC地址后，就可以将报文发给主机B；如果网关已经有主机B的ARP表项，网关直接把报文发给主机B。（4）ARP欺骗ARP地址转换表是依赖于计算机中高速缓冲存储器动态更新的，而高速缓冲存储器的更新是受到更新周期的限制的，只保存最近使用的地址的映射关系表项，这使得攻击者有了可乘之机，可以在高速缓冲存储器更新表项之前修改地址转换表，实现攻击。ARP请求为广播形式发送的，网络上的主机可以自主发送ARP应答消息，并且当其他主机收到应答报文时不会检测该报文的真实性就将其记录在本地的MAC地址转换表，这样攻击者就可以向目标主机发送伪ARP应答报文，从而篡改本地的MAC地址表。ARP欺骗可以导致目标计算机与网关通信失败，更会导致通信重定向，所有的数据都会通过攻击者的机器，因此存在极大的安全隐患。4、IP协议及IP欺骗（1）基本概念网络互连设备，如以太网、分组交换网等，它们相互之间不能互通，不能互通的主要原因是因为它们所传送数据的基本单元（技术上称之为“帧”）的格式不同。IP协议实际上是一套由软件、程序组成的协议软件，它把各种不同“帧”统一转换成“网协数据包”格式，这种转换是因特网的一个最重要的特点，使所有各种计算机都能在因特网上实现互通，即具有“开放性”的特点。（2）定义①IP定义了在TCP/IP互联网上数据传送的基本单元和数据格式。②IP软件完成路由选择功能，选择数据传送的路径。③IP包含了一组不可靠分组传送的规则，指明了分组处理、差错信息发生以及分组的规则。（3）IP欺骗指行动产生的IP数据包为伪造的源IP地址，以便冒充其他系统或发件人的身份。这是一种骇客的攻击形式，骇客使用一台计算机上网,而借用另外一台机器的IP地址,从而冒充另外一台机器与服务器打交道。防火墙可以识别这种ip欺骗。9按照InternetProtocol(IP)网络互联协议，数据包头包含来源地和目的地信息。而IP地址欺骗，就是通过伪造数据包包头，使显示的信息源不是实际的来源，就像这个数据包是从另一台计算机上发送的。（4）IP欺骗的防御IP欺骗的防范，一方面需要目标设备采取更强有力的认证措施，不仅仅根据源IP就信任来访者，更多的需要强口令等认证手段；另一方面采用健壮的交互协议以提高伪装源IP的门槛。有些高层协议拥有独特的防御方法，比如TCP（传输控制协议）通过回复序列号来保证数据包来自于已建立的连接。由于攻击者通常收不到回复信息，因此无从得知序列号。【总结】这一次的网络工程实验让我学到了平时在课堂上很难学到的东西，比如说各种报文的真实信息。我对这一次的网络工程实验非常珍惜和用心。在四五个小时的本机实验中，我查阅了很多资料去了解各种网络协议的工作过程，比如TCP的三次握手协议、DHCP动态主机配置协议、VTP虚拟局域网中继协议，每观察一个协议信息我都兴奋不已。起初只是把实验当成任务来对待，到后面实验则充满了乐趣。总结一下有以下体会：1、网络真的很强大，用在学习上将是一个非常高效的助手。几乎所有的资料都能够在网上找到。例如网络协议中各个协议的解释，工作过程等等，例如IP、网卡MAC该怎么设置，域名系统的重要性等等，这些都能在网上找到。正因为这样，整个实验下来，我浏览的相关网页已数不胜数。当然网上的东西很乱很杂，自己要能够学会筛选。如果不能决定资料是对还是错的，有个很简单的方法就是去实践。从网上了解方法然后去实践，但需要注意的是要学会去对比，把不太可能的方法去掉，这样可以节省很多时间，提高效率。2、同学间的讨论，这是很重要的。老师毕竟比较忙。对于实验最大的讨论伴侣应该是同学了。能和自己的室友讨论收益是非常大的，几个人的思想碰撞会得到意想不到的结果，大家都在研究同样的问题，讨论起来，更能够把思路理清楚，相互帮助，可以大大提高效率。3、敢于攻坚，越是难的问题，越是要有挑战的心理。这样就能够达到废寝忘食的境界。当然这不是提倡熬夜的，毕竟有了精力才能够打持久战。但是做实验一定要有状态，能够在吃饭，睡觉，上厕所都想着要解决的问题，这样你不成功都难。4、最好能够养成在实验过程中做记录的习惯，这样在写实验报告时能够比较完整的回忆起中间遇到的各种问题。5、网络中存在很多安全问题，比如http协议并不对用户账号信息进行加密处理，而是明文传送，而https则采用了ssl协议进行加密。作为一名信息安全专业的学生，我们应该持之以恒地去发现各种安全问题，思考问题产生的原因，以及找到解决问题的方法。【参考文献】【1】AndrewS.Tanenbaum,DavidJ.Wetherall《计算机网络》北京：清华大学出版社，2012【2】王建平，李浩君，李文琴，李洪涛《网络工程》北京：清华大学出版社，2013