实验1：网络基础及嗅探攻击

第一篇网络基础及网络嗅探技术说明：本实验绝大部分均可以在windows2003server，windowsXP的各个补丁包版本中以及windows2000server的全部版本中实现。不过，少数实验会由于补丁包的原因以及操作系统的原因看不到应有的效果。所以，请按照课件中的实验设备要求配置实验环境。如果达不到实验要求的可以选择在相应的虚拟机VM环境下做实验。个别实验可以作为选作实验。第一篇网络基础及网络嗅探技术•Windows网络通信分析(Ethereal)•TCP协议的三次握手分析•UDP协议的基础分析•网络嗅探技术实验1－1：Windows网络通信分析(Ethereal)Ethereal是一个强大的协议嗅探器，网络专业人士可以用它来检修故障和分析网络通信量。对于管理员来说，它是一个用来识别黑客攻击战略方法的有价值的工具。它可以帮助观察各种不同的协议是如何工作的。实验1－1：Windows网络通信分析(Ethereal)一、实验目的二、实验设备三、实验步骤四、实验小结一、实验目的:了解Windows网络中的ARP通信会话数据包的结构，掌握使用Ethereal进行数据包捕获、过滤的方法。二、实验设备2台Windows主机：一台WindowsXP主机，另一台Windows2KServer主机。Win2000Winxp三、实验步骤1、在WindowsXPProfessionalPC机上登录。2、清除ARP缓存。3、启动Ethereal并捕获一个通信会话。4、检查捕获的会话。5、过滤捕获的会话。三、实验步骤(1、2)1、在WindowsXPProfessionalPC机上登录。2、清除ARP缓存。•ARP缓存是一个内存区域，计算机将所发现的信息存储在ARP表中。在启动捕获会话之前清除ARP缓存可以更好地控制所捕获的数据。•（1)在“开始”任务条菜单上―运行―键入“cmd”，并单击“确定”钮。•（2)在DOS命令行窗口中，键入arp-a并回车。此处不应该出现任何条目，如果有的话，用arp-d命令清除它们。三、实验步骤（3）3、启动Ethereal并捕获一个通信会话。（1）在WindowsXP主机上安装并启动Ethereal。（2）在Ethereal界面中―Capture菜单―Options―选择网络接口卡类型。(图1-1Windows中的Ethereal程序)。（3）回到命令提示符窗口，键入ping192.168.0.250（Windows2kServer的IP），只要局域网保持正常通信状态就会收到4条回复。（4）在Ethereal界面中点击“Capture”菜单―Stop，(图1-2停止截获数据包)会发现捕获到的很多是ICMP数据包，(图1-3截获的ICMP数据包)。三、实验步骤（4）4、检查捕获的会话。Ethereal的主界面分为三部分。数据包列表部分：居于顶部。这部分展示了捕获的数据包的概要。树型视图部分：居于中部。这一部分以树形格式展示所选数据包的详细信息。数据视图部分：位于底部。该部分以十六进制格式显示捕获的数据。在数据包列表部分有一些栏目，每一栏都提供了特定的信息：（1）No．——数据包被接收的序号。（2）Time——每一个数据包被捕获的时间，相对于捕获的起始时间计量。（3）Source——源地址。（4）Destination——目的地址。（5）Protocol——用于捕获数据包的协议。（6）Info——数据包概要。三、实验步骤（5）5、过滤捕获的会话。该软件可以获得成千上万的数据包。从头至尾进行查找数据包的工作非常麻烦。使用Ethereal中所含的过滤器可以帮助我们接近正在寻找的信息。（1）单击“Filter”工具条。（2）在Filter工具条中，键入arp并按ENTER键，（图1-4在Ethereal中使用过滤器）屏幕上只显示出了ARP数据包。四、实验小结通过本实验，掌握网络中各种常用通信协议的用途，学会分析其对应的数据包结构。第一篇网络基础及网络嗅探技术•Windows网络通信分析(Ethereal)•TCP协议的三次握手分析•UDP协议的基础分析•网络嗅探技术实验1－2：TCP协议的三次握手分析一、实验目的二、实验设备三、实验步骤四、实验小结实验1－2：TCP协议的三次握手分析TCP（传输控制协议）是两台或多台主机之间的一个面向连接的协议。在传输数据之前必须建立一条可靠的连接。两台主机利用TCP协议建立这种连接的过程被称为三次握手。一、实验目的了解TCP三次握手的原理，掌握使用Ethereal捕获TCP数据包的方法。二、实验设备1台WindowsXP和1台Windows2KServerPC机（IP为192.168.0.250）。Win2000Winxp192.168.0.250三、实验步骤(1)1、在Windows2KServerPC机上登录，并开启一个Web默认站点。三、实验步骤(2)2、在WindowsXPPC机上登录，启动Ethereal并捕获一个HTTP通信会话。（1)在WindowsXP主机上，启动Ethereal，点击Capture菜单－Options界面－选中网络接口卡并单击OK。（2)在InternetExplorer浏览器的地址栏中，键入http：//192.168.0.250（即Windows2KServerPC机的IP），访问Windows2KServerPC机的站点。三、实验步骤(3)3、停止Ethereal捕获并检验三次握手，分析TCP数据包。(1)在Ethereal－Capture菜单上，单击Stop。(2)在Filter框中，键入tcp并按ENTER键，(图l-5用Ethereal捕获的Windows中的三次握手)。图中所示的前三个数据包是三次握手的。注意数据包部分的“Info”栏中的[SYN]、[SYN，ACK]和[ACK]。三、实验步骤4、检查网络服务器日志。（1）在Windows2KServerPC机上，找到C:\Winnt\System32\Logfiles\W3svcl\目录，这就是日志文件的存储目录。（2）双击文件名中含有今天日期的日志文件。它的格式是exYYMMDD.log，其中YY表示年，MM表示月，DD表示日，(图1-6日志文件)。（3）定位至连接到服务器的条目(图1-7日志文件内容)。（4）分析图1－7中各行表示的含义。192.168.0.2是请求连接的IP地址。192.168.0.25080是IP地址以及连接到的端口。GET／index.html-200是所请求的文件。Mozilla／4.0+(compatible；+MSIE+6.0；+Windows+NT+5.1)是对所连接的浏览器的推测。四、实验小结通过本实验可以详细了解两台主机之间建立TCP协议通信会话的三次握手过程，并学会分析网络服务器日志。第一篇网络基础及网络嗅探技术•Windows网络通信分析(Ethereal)•TCP协议的三次握手分析•UDP协议的基础分析•网络嗅探技术实验1－3：UDP协议的基础分析一、实验目的二、实验设备三、实验步骤四、实验小结实验1－3：UDP协议的基础分析UDP（用户数据报协议）是传输层的无连接协议，没有会话建立的三次握手的过程。它没有任何错误恢复功能，也不担保数据包准确交付。但是，UDP显著地减少了协议管理开销。一、实验目的了解UDP数据包结构。二、实验设备2台主机。一台WindowsXP，一台Win2KServer，局域网环境中设置DNSServer并把自己设置成DNSServer的客户端。Win2000Winxp三、实验步骤(1)1、在WindowsXPProfessional机器上启动Ethereal，点击Capture菜单－Options界面，选中网络接口卡类型并单击OK。三、实验步骤(2)2、用nslookup命令来产生UDP通信。(1)在DOS命令行方式下，键入nslookup。(2)在提示符下，键入。(3)键入exit，并按ENTER键退出nslookup。三、实验步骤(3)3、用http命令来产生TCP通信。http：//192.168.0.250并按ENTER键。三、实验步骤(4)4、分析结果并比较TCP头和UDP头：（1）在Ethereal中，点击Capture菜单－点击Stop。（2）分析UDP数据包。在数据包部分，选中在协议栏中列出了DNS的第一个数据包项，(图1-8UDP头截图)。观察显示的信息：源端口是什么，目的端口是什么，校验和值是什么？（3）分析TCP数据包：在数据包部分，选中在协议栏中列出了TCP的第一个数据包项，(图1-9TCP头截图)。在树型视图部分，展开TransmissionControlProtocol项。观察显示的信息，源端口，目的端口，校验和值，注意TCP头和UDP头之间有什么不同?四、实验小结通过本次实验可以获得UDP协议数据包的结构信息，并可比较出UDP协议与TCP协议数据包的不同。第一篇网络基础及网络嗅探技术•Windows网络通信分析(Ethereal)•TCP协议的三次握手分析•UDP协议的基础分析•网络嗅探技术实验1－4：网络嗅探技术一、实验目的二、实验设备三、实验步骤四、实验小结五、防御措施实验1－4：网络嗅探技术默认情况下FTP、HTTP、Telnet等协议在客户端与服务器端进行身份验证时用明文传输数据包。网络嗅探技术利用某些工具，通过将网卡的工作模式设置为“混杂模式”的方式，使网卡处于对网络进行“监听”的状态，可以监听到与“混杂模式”的网卡处于同一物理网络中传输的数据帧（无论数据帧的目标地址是广播地址、本机地址或者其它主机的地址）。如果使用Hub等共享式设备将几台主机互联，A机与B机之间通讯时产生的数据包可以被安装了网络嗅探工具的主机C嗅探到。但是在交换的网络和ATM网络中，嗅探效果不理想。实验1－4：网络嗅探技术使用嗅探工具时应该注意以下几点：1、嗅探工具应该和其他网络主机使用Hub等共享式设备互连，这样才能捕获到网络中所有的数据包。2、如果网络设备使用的是交换机，可以通过两种方法实现对网络的监控：（1）对交换机进行镜像端口配置：将所有其它端口上的数据包复制并转发一份到“镜像”端口,并让该端口与安装了嗅探工具的主机相连。否则，嗅探工具只能够捕获到嗅探主机所连接的交换机端口上的所有数据包。（2）把交换机的“镜像”端口级联到集线器上，再把安装了嗅探工具的主机接到集线器上。一、实验目的了解网络嗅探的原理，掌握嗅探类工具对数据包的捕获方法，学会从捕获的数据包中发现用户名、口令等敏感信息。二、实验设备3台Windows计算机：一台主机作为邮件服务器（称为A机），其它主机作为电子邮件客户端。本实验需要安装嗅探工具Ethereal的主机如果是XP主机,则最好选择SP2及SP2以下的补丁包版本;如果是2003Server主机,则最好选择R1补丁包版本;如果是2000Server,则任何补丁包类型均可。WinxpWinxpASERVER三、实验步骤(1)1、A机上安装Mdaemon软件，域名为默认的company.mail（不选择Windows集成DNS，将主DNS服务器IP设置为A机IP），建立2个邮箱帐号。一个邮箱帐号为zhoufeifei@bjjtxy.bj.cn，另一个邮箱帐号为qjy@bjjtxy.bj.cn。三、实验步骤(2)2、B、C机上启动电子邮件客户端软件outlook（或者outlookexpress），B机的outlook用zhoufeifei@bjjtxy.bj.cn帐号登录，C机的outlook用qjy@bjjtxy.bj.cn登录。三、实验步骤(3)3、先退出B、C机的outlook环境。在A、B、C三台主机上分别启动Ethereal：在Ethereal界面中，单击Capture菜单－Options界面，选中相应的网络接口卡并单击OK。三、实验步骤(4)4、在B机上用zhoufeifei@bjjtxy.bj.cn帐号登录B机的outl