网络扫描及网络嗅探工具的使用

网络扫描与网络嗅探一实验目的

（1）理解网络嗅探和扫描器的工作机制和作用

（2）使用抓包与协议分析工具Wireshark

（3）掌握利用扫描器进行主动探测，收集目标信息的方法（4）掌握使用漏洞扫描器检测远程或本地主机安全性漏洞二实验环境

Windows xp操作系统平台，局域网环境

网络抓包与协议分析工具Wireshark

扫描器软件：Superscan

三实验步骤

使用Wireshark 抓包并进行协议分析

（1）下载并安装软件，主界面如图

（2）单击capture，打开interface接口选项，选择本地连接，如图

（3）使用Wireshark数据报获取，抓取TCP数据包并进行分析

从抓取的数据包来看,首先关于本次分析的数据包是典型的TCP三次握手,如图所示:

（4）TCP三次握手过程分析（以第一次握手为例）

主机（172.16.1.64）发送一个连接请求到（172.16.0.1），第一个TCP包的格式如图所示：

第三行是ipv4的报文,网际协议IP是工作在网络层,也就是数据链路层的上层, IPv4报文中的源地址和目的地址是ip地址,版本号TCP是6，其格式为:

第四行是TCP报文,从上面两个可以知道,这个TCP包被层层包装,经过下面一层就相应的包装一层,第三段是经过传输层的数据,TCP报文的格式为:

TCP的源端口2804也就是宿主机建立连接开出来的端口,目的端口8080。Sequence number同步序号，这里是0x3a 2a b7 bb,但这里显示的是相对值0。Acknowledgment number确认序号4bytes,为0,因为还是第一个握手包。Header Length头长度28字节,滑动窗口65535大小字节,校验和,紧急指针为0。Options选项8字节

使用superscan 扫描

（1）下载并安装

（2）主界面如下所示：

（3）使用superscan对远程主机和本地主机进行端口扫描通过ping来检验IP是否在线：ping 172.16.1.64

（4）单击port list setup进入如下界面：

（5）软件自带一个木马端口列表trojans.lst，通过这个列表我们可以检测目标计算机是否有木马：

四实验总结

通过本次实验，我理解了网络嗅探的工作机制和作用，它可以用来窃听计算机在网络上所产生的众多的信息，可以窃听计算机程序在网络上发送和接收到的

数据，用来接收在网络上传输的信息，并且掌握了常用的网络抓包与协议分析工具Wireshark的使用方法。同时也掌握了扫描器的工作机制和作用，以及利用扫描器进行主动探测，收集目标信息的方法。

使用Wireshark嗅探器分析网络协议书范本

实验2 使用Wireshark嗅探器分析网络协议实验日期：实验目的： 1、掌握嗅探器工具Wireshark的下载和安装方法 2、掌握Wireshark的简单使用方法，了解抓包结果的分析方法 3、掌握封装这一操作的具体含义以及TCP/IP体系结构的分层，了解各层的一些常用协议。实验步骤： 1、预习课本与ping命令及tracert命令相关的因特网控制报文协议ICMP相关的容(4.4节)，通过搜索引擎了解什么是嗅探器，了解嗅探器工具Wireshark的下载、安装和使用方法 2、自己下载安装并启动Wireshark（安装程序里附带的WinPcap也一定要安装）如有时间可搜索Wireshark的中文使用说明，作为实验的辅助资料。FTP上有《Wireshark 网络分析就这么简单》的电子版，供参考。 3、选择正确的网络适配器（俗称网卡）。这一步很重要。选错了网卡，可能抓不到任何包。 4、开始抓包。 5、在Wireshark的显示过滤器输入栏中输入正确的表达式，可过滤出需要的数据包。

7、单击选中其中一个报文，可在树形视图面板中看它各层协议首部的详细信息。 8、过滤出http流量，选择其中的一个数据包，回答以下问题：（以下

4个问题需回答并截图证明） 1）此http包的http协议版本号是多少？此http包的http协议版本号是HTTP/1.1 2）http协议在传输层使用的是TCP协议还是UDP协议？ http协议在传输层使用的是TCP协议 3）此http包在网络层使用的是什么协议？

此http包在网络层使用的是IPV4协议 4）此http包在数据链路层使用的是什么协议？此http包在数据链路层使用的是Ethernet II协议 9、过滤出QQ流量（协议名称为OICQ），选择其中的一个数据包，回答以下问题：（以下4个问题需回答并截图证明） 1）此QQ包的OICQ协议版本号是多少？此QQ包的OICQ协议版本号是OICQ 121

共享网络嗅探工具(如Sniffer Pro)的功能使用和结构分析和IP地址欺骗扫描工具Hping2的使用

课程设计II报告（2011 / 2012 学年第一学期）题目1：共享网络嗅探工具（如Sniffer Pro）的功能使用和结构分析题目2：IP地址欺骗扫描工具Hping2的使用专业学生姓名班级学号指导教师指导单位日期年月日

指导教师成绩评定表学生姓名刘铭菲班级学号08001019 专业信息安全评分内容评分标准优秀良好中等差平时成绩认真对待课程设计，遵守实验室规定，上机不迟到早退，不做和设计无关的事设计成果设计的科学、合理性功能丰富、符合题目要求界面友好、外观漂亮、大方程序功能执行的正确性程序算法执行的效能设计报告设计报告正确合理、反映系统设计流程文档内容详实程度文档格式规范、排版美观验收答辩简练、准确阐述设计内容，能准确有条理回答各种问题，系统演示顺利。评分等级指导教师简短评语指导教师签名日期备注评分等级有五种：优秀、良好、中等、及格、不及格

实验一Sniffer Pro的使用一．课题内容和要求 1) 熟练掌握Sniffer Pro对数据包捕获的使用方法。 2) 掌握利用Sniffer Pro进行数据包结构分析、进而理解协议对数据的封装。重点：1) Sniffer Pro对数据包捕获的使用方法。 2) 利用Sniffer Pro进行数据包结构分析。难点：Sniffer Pro进行数据包结构分析。【实验环境】 Windows XP、2003 Server等系统，Sniffer Pro软件。二、设计思路分析打开snifeer 软件，出现下图，这个界面是用来选择要抓包得网卡，选择好了之后点击OK 常用功能介绍 1、Dashboard （网络流量表）点击图1中①所指的图标，出现三个表，第一个表显示的是网络的使用率，第二个表显示的是网络的每秒钟通过的包数量，第三个表显示的是网络的每秒错误率。通过这三个表可以直观的观察到网络的使用情况，红色部分显示的是根据网络要求设置的上限。

网络协议分析题库

第一章练习 1 OSI和ISO分别代表什么含义？它们是什么关系？ 2 OSI/RM模型没有被最终采用的原因是什么？ 3下面哪些协议属于应用层协议？（ B ） A. TCP和UDP B. DNS和FTP C. IP D. ARP 4 Internet最早是在( C ) 网络的基础上发展起来的? A. ANSNET B. NSFNET C. ARPANET D. MILNET 5 当网络A上的主机向网络B上的主机发送报文时, 路由器要检查( B ) 地址 A.端口 B. IP C.物理 D.上述都不是 6.下面哪一个是应用层提供的服务? ( D ) A.远程登录服务 B.文件传送 C.邮件服务 D.上述都是 7要将报文交付到主机上的正确的应用程序, 必须使用( A )地址 A.端口 B. IP C.物理 D.上述都不是 8. 网络应用访问操作系统的常用接口是,实现IP地址到物理地址映射的协议是。 9. 在TCP/IP协议族中，能够屏蔽底层物理网络的差异，向上提供一致性服务的协议是；实现异构网络互联的核心设备是。 10. 在TCP/IP网络中，UDP协议工作在层，DNS协议工作在层。 11判断对错：TCP/IP是一个被广泛采用的网际互联协议标准，仅包含TCP和IP两个协议。（）第二章练习 1 PPP协议是什么英文的缩写？用于什么场合? 2 ISP验证拨号上网用户身份时,可以使用哪些认证协议？ 3.PPP协议的通信过程包括哪几个阶段？ 4.LCP的用途是什么? 5.PPP是Internet中使用的（1），其功能对应于OSI参考模型的（2），它使用（3）技术来解决标志字段值出现在信息字段的问题。（1）A. 报文控制协议 B. 分组控制协议 C. 点到点协议 D. 高级数据链路控制协议（2）A. 数据链路层 B. 网络层 C. 传输层 D. 应用层

网络嗅探与监听

网络嗅探与监听局域网具有设备共享、信息共享、可进行高速数据通讯和多媒体信息通信、分布式处理、具有较高的兼容性和安全性等基本功能和特点。目前局域网主要用于办公室自动化和校园教学及管理，一般可根据具体情况采用总线形、环形、树形及星形的拓扑结构。一、网络监听网络监听技术本来是提供给网络安全管理人员进行管理的工具，可以用来监视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在网络上传输时，使用监听技术进行攻击并不是一件难事，只要将网络接口设置成监听模式，便可以源源不断地将网上传输的信息截获。网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等。二、在局域网实现监听的基本原理对于目前很流行的以太网协议，其工作方式是：将要发送的数据包发往连接在一起的所有主机，包中包含着应该接收数据包主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收。但是，当主机工作监听模式下，无论数据包中的目标地址是什么，主机都将接收(当然只能监听经过自己网络接口的那些包)。在因特网上有很多使用以太网协议的局域网，许多主机通过电缆、集线器连在一起。当同一网络中的两台主机通信的时候，源主机将写有目的的主机地址的数据包直接发向目的主机。但这种数据包不能在IP层直接发送，必须从TCP/IP 协议的IP层交给网络接口，也就是数据链路层，而网络接口是不会识别IP地址的，因此在网络接口数据包又增加了一部分以太帧头的信息。在帧头中有两个域，分别为只有网络接口才能识别的源主机和目的主机的物理地址，这是一个与IP 地址相对应的48位的地址。

传输数据时，包含物理地址的帧从网络接口(网卡)发送到物理的线路上，如果局域网是由一条粗缆或细缆连接而成，则数字信号在电缆上传输，能够到达线路上的每一台主机。当使用集线器时，由集线器再发向连接在集线器上的每一条线路，数字信号也能到达连接在集线器上的每一台主机。当数字信号到达一台主机的网络接口时，正常情况下，网络接口读入数据帧，进行检查，如果数据帧中携带的物理地址是自己的或者是广播地址，则将数据帧交给上层协议软件，也就是IP层软件，否则就将这个帧丢弃。对于每一个到达网络接口的数据帧，都要进行这个过程。然而，当主机工作在监听模式下，所有的数据帧都将被交给上层协议软件处理。而且，当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时，如果一台主机处于监听模式下，它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP地址和网关)的主机的数据包。也就是说，在同一条物理信道上传输的所有信息都可以被接收到。另外，现在网络中使用的大部分协议都是很早设计的，许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上，许多信息以明文发送。因此，如果用户的账户名和口令等信息也以明文的方式在网上传输，而此时一个黑客或网络攻击者正在进行网络监听，只要具有初步的网络和TCP/IP协议知识，便能轻易地从监听到的信息中提取出感兴趣的部分。同理，正确的使用网络监听技术也可以发现入侵并对入侵者进行追踪定位，在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息，成为打击网络犯罪的有力手段。三、局域网监听的简单实现要使主机工作在监听模式下，需要向网络接口发出I/O控制命令，将其设置为监听模式。在Unix系统中，发送这些命令需要超级用户的权限。在Windows 系列操作系统中，则没有这个限制。要实现网络监听，可以自己用相关的计算机语言和函数编写出功能强大的网络监听程序，也可以使用一些现成的监听软件，在很多黑客网站或从事网络安全管理的网站都有。 1. 一个使用Wireshark进行监听并解析IPv4协议头部的例子 (1)IP数据报首部概述

网络扫描与网络嗅探工具的使用

网络扫描与网络嗅探一实验目的（1）理解网络嗅探和扫描器的工作机制和作用（2）使用抓包与协议分析工具Wireshark （3）掌握利用扫描器进行主动探测，收集目标信息的方法（4）掌握使用漏洞扫描器检测远程或本地主机安全性漏洞二实验环境 Windows xp操作系统平台，局域网环境网络抓包与协议分析工具Wireshark 扫描器软件：Superscan 三实验步骤使用Wireshark 抓包并进行协议分析（1）下载并安装软件，主界面如图（2）单击capture，打开interface接口选项，选择本地连接，如图

（3）使用Wireshark数据报获取，抓取TCP数据包并进行分析从抓取的数据包来看,首先关于本次分析的数据包是典型的TCP三次握手,如图所示: （4）TCP三次握手过程分析（以第一次握手为例）主机（172.16.1.64）发送一个连接请求到（172.16.0.1），第一个TCP包的格式如图所示：

第三行是ipv4的报文,网际协议IP是工作在网络层,也就是数据链路层的上层, IPv4报文中的源地址和目的地址是ip地址,版本号TCP是6，其格式为: 第四行是TCP报文,从上面两个可以知道,这个TCP包被层层包装,经过下面一层就相应的包装一层,第三段是经过传输层的数据,TCP报文的格式为: TCP的源端口2804也就是宿主机建立连接开出来的端口,目的端口8080。Sequence number同步序号，这里是0x3a 2a b7 bb,但这里显示的是相对值0。Acknowledgment number确认序号4bytes,为0,因为还是第一个握手包。Header Length头长度28字节,滑动窗口65535大小字节,校验和,紧急指针为0。Options选项8字节

网络协议分析习题解答参考思路

《网络协议分析与实现》习题解答参考思路第1章习题解答参考思路习题1：该题考查对异构网络互联概念、异构网络涉及的问题以及解决方法的理解程度。其中涉及的问题包括地址问题、包格式转换问题、路由问题等，其中1.1.3节还列举了很多其他的问题。习题2：该题可参考教材中所讲述的用户A和用户B的数据转换和传输过程进行解答。习题3：该题主要考查网上查找资料的能力。在https://www.360docs.net/doc/507244503.html,/上可以查到所有的RFC信息。习题4： TCP/IP模型和OSI参考模型之间的层次对应关系及各层协议参见教材中的图1-5。习题5：该题主要考查动手能力，可以使用Wireshark（曾称为Ethereal）、Sniffer Portable 等软件进行抓包，然后针对一些具体报文进行分析。注意分析通信中的多路复用和多路分解过程，说出通信双方的物理地址、IP地址和端口地址。习题6：该题主要考查阅读代码的能力，这部分代码是对数据结构课程中队列操作的一个实现。该队列是一个基于优先级排序的队列，主要的数据结构是qinfo： struct qinfo { Bool q_valid; int q_type; /* mutex type */ int q_max; int q_count; int q_seen; int q_mutex; int *q_key;

char **q_elt; }; 具体操作如下： int enq(int q, void *elt, int key)； /*入队列操作，根据key的大小插到队列中的合适位置*/ void * deq(int q)；/*出队列操作*/ void * headq(int q)；/*获取队列头部元素*/ void * seeq(int q)；/*按顺序取队列元素*/ int newq(unsigned size, unsigned mtype)； /*分配一个新的队列，并返回队列的索引位置*/ int freeq(int q)；/*释放队列*/ int lenq(int q)；/*获取队列长度*/ static int initq()；/*初始化队列*/

网络扫描实验

实验一：网络扫描实验【实验目的】了解扫描的基本原理，掌握基本方法，最终巩固主机安全【实验内容】 1、学习使用Nmap的使用方法 2、学习使用漏洞扫描工具【实验环境】 1、硬件PC机一台。 2、系统配置：操作系统windows XP以上。【实验步骤】 1、端口扫描解压并安装ipscan15.zip，扫描本局域网内的主机【实验背景知识】 1、扫描及漏洞扫描原理见第四章黑客攻击技术.ppt NMAP使用方法扫描器是帮助你了解自己系统的绝佳助手。象Windows 2K/XP这样复杂的操作系统支持应用软件打开数百个端口与其他客户程序或服务器通信，端口扫描是检测服务器上运行了哪些服务和应用、向Internet或其他网络开放了哪些联系通道的一种办法，不仅速度快，而且效果也很不错。 Nmap被开发用于允许系统管理员察看一个大的网络系统有哪些主机以及其上运行何种服务。它支持多种协议的扫描如UDP，TCP connect(),TCP SYN (half open), ftp proxy (bounce attack),Reverse-ident, ICMP (ping sweep), FIN, ACK sweep,X

mas Tree, SYN sweep, 和Null扫描。你可以从SCAN TYPES一节中察看相关细节。nmap还提供一些实用功能如通过tcp/ip来甄别操作系统类型、秘密扫描、动态延迟和重发、平行扫描、通过并行的PING侦测下属的主机、欺骗扫描、端口过滤探测、直接的RPC扫描、分布扫描、灵活的目标选择以及端口的描述。图1 图2

图3 1）解压nmap-4.00-win32.zip，安装WinPcap 运行cmd.exe，熟悉nmap命令(详见“Nmap详解.mht”)。图4

网络嗅探器的设计与实现

计算机网络课程设计题目网络嗅探器的设计与实现系 (部) 姓名学号指导教师 2015年7月18日

计算机网络课程设计任务书

网络嗅探器的设计与实现摘要：网络嗅探器是对网络中的数据帧进行捕获的一种被动监听手段，是一种常用的收集有用数据的方法。本设计是关于网络嗅探器的设计与实现，其功能包括实现网络层抓包，对获得包的源和目的地址、端口、协议等进行分析和实现简单的包嗅探器功能。关键字：网络嗅探器;数据包捕获; 套接字引言由于网络技术的发展，计算机网络的应用越来越广泛，其作用也越来越重要。计算机网络安全问题更加严重，网络破坏所造成的损失越来越大。但是由于计算机系统中软硬件的脆弱性和计算机网络的脆弱性以及地理分布的位置、自然环境、自然破坏以及人为因素的影响，不仅增加了信息存储、处理的风险，也给信息传送带来了新的问题。嗅探器是一种常用的收集有用数据的方法，可以作为网络数据包的设备。嗅探器是通过对网卡的编程来实现网络通讯的，对网卡的编程是使用通常的套接字（socket）方式来进行。通常的套接字程序只能响应与自己硬件地址相匹配的或是以广播形式发出的数据帧，对于其他形式的数据帧比如已到达网络接口但却不是发给此地址的数据帧，网络接口在验证投递地址并非自身地址之后将不引起响应，也就是说应用程序无法收取到达的数据包。而网络嗅探器的目的恰恰在于从网卡接收所有经过它的数据包，这些数据包即可以是发给它的也可以是发往别处的。 1 基本概念 1.1 嗅探器每一个在局域网（LAN）上的工作站都有其硬件地址，这些地址唯一地表示了网络上的机器。当用户发送一个数据包时，这些数据包就会发送到LAN上所有可用的机器。在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的数据包则不予响应。嗅探器工作在网络的底层，在网络上监听数据包来获取敏感信息。从原理上来说，在一个实际的系统中，数据的收发是由网卡来完成的，网卡接收到传输来的数据，其内的单片程序接收数据帧的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就接收后产生中断信号通知CPU，认为不该接收就丢掉不管，所以不该接收的数据网卡就截断了，计算机根本就不知道。对于网卡来说一般有四种接收模式： a)广播方式：该模式下的网卡能够接收网络中的广播信息。 b)组播方式：设置在该模式下的网卡能够接收组播数据。 c)直接方式：在这种模式下，只有目的网卡才能接收该数据。

网络协议分析与仿真

****** 网络协议分析与仿真课程设计报告书院系名称：计算机学院实验内容：网络流量分析学生姓名：*** 专业名称：网络工程班级：**** 学号：********* 时间：20**年**月**日

网络协议分析与仿真课程设计报告网络流量分析一、课程设计目的加深对IP、DSN 、TCP、UDP、HTTP等协议的理解；掌握流量分析工具的使用，学习基本的流量分析方法。二、课程设计内容流量分析工具：Wireshark（Windows或Linux），tcpdump（Linux）要求：使用过滤器捕获特定分组；用脚本分析大量流量数据（建议用perl）。内容：Web流量分析清除本机DNS缓存，访问某一网站主页，捕获访问过程中的所有分组，分析并回答下列问题（以下除1、3、8、11外，要求配合截图回答）：（1）简述访问web页面的过程。（2）找出DNS解析请求、应答相关分组，传输层使用了何种协议，端口号是多少？所请求域名的IP地址是什么？（3）统计访问该页面共有多少请求IP分组，多少响应IP分组？（提示：用脚本编程实现）（4）找到TCP连接建立的三次握手过程，并结合数据，绘出TCP连接建立的完整过程，注明每个TCP报文段的序号、确认号、以及SYN\ACK的设置。（5）针对（4）中的TCP连接，该TCP连接的四元组是什么？双方协商的起始序号是什么？TCP连接建立的过程中，第三次握手是否带有数据？是否消耗了一个序号？（6）找到TCP连接的释放过程，绘出TCP连接释放的完整过程，注明每个TCP报文段的序号、确认号、以及FIN\ACK的设置。（7）针对（6）中的TCP连接释放，请问释放请求由服务器还是客户发起？FIN报文段是否携带数据，是否消耗一个序号？FIN报文段的序号是什么？为什么是这个值？（8）在该TCP连接的数据传输过程中，找出每一个ACK报文段与相应数据报文段的对应关系，计算这些数据报文段的往返时延RTT（即RTT样本值）。根据课本 200页5.6.2节内容，给每一个数据报文段估算超时时间RTO。（提示：用脚本编程实现）（9）分别找出一个HTTP请求和响应分组，分析其报文格式。参照课本243页图6-12，在截图中标明各个字段。

网络嗅探实验报告

HUNAN UNIVERSITY 信息安全实验报告题目：网络嗅探实验指导老师：学生姓名：学生学号：院系名称：信息科学与工程学院专业班级： 2015年5月15日星期五

一、实验目的掌握Sniffer（嗅探器）工具的使用方法，实现FTP、HTTP数据包的捕捉。掌握对捕获数据包的分析方法，了解FTP、HTTP数据包的数据结构和连接过程，了解FTP、HTTP协议明文传输的特性，以建立安全意识。二、实验环境 ①Windows 7 ②Wireshark(网络封包分析软件) ③FLASHFXP（FTP下载软件） ④Serv_U(FTP服务器端) ⑤搜狗浏览器。三、实验要求每两个学生为一组：其中学生A进行Http或者Ftp连接，学生B运行Wireshark软件监听学生A主机产生的网络数据包。完成实验后，互换角色重做一遍。四、实验内容任务一：熟悉Wireshark工具的使用任务二：捕获FTP数据包并进行分析任务三：捕获HTTP数据包并分析五、实验原理网卡有几种接收数据帧的状态：unicast（接收目的地址是本级硬件地址的数据帧），Broadcast（接收所有类型为广播报文的数据帧），multicast（接收特定的组播报文），promiscuous（目的硬件地址不检查，全部接收）。以太网逻辑上是采用总线拓扑结构，采用广播通信方式，数据传输是依靠帧中的MAC 地址来寻找目的主机。每个网络接口都有一个互不相同的硬件地址（MAC地址），同时，每个网段有一个在此网段中广播数据包的广播地址。一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，丢弃不是发给自己的数据帧。但网卡工作在混杂模式下，则无论帧中的目标物理地址是什么，主机都将接收。 1．HTTP 协议简介 HTTP 是超文本传输协议（Hyper Text Transfer Protocol）的缩写，用于WWW 服务。（1）HTTP 的工作原理 HTTP 是一个面向事务的客户服务器协议。尽管HTTP 使用TCP 作为底层传输协议，但HTTP 协议是无状态的。也就是说，每个事务都是独立地进行处理。当一个事务开始时，就在web客户和服务器之间建立一个TCP 连接，而当事务结束时就释放这个连接。此外，客户可以使用多个端口和和服务器（80 端口）之间建立多个连接。其工作过程包括以下几个阶段。 ①服务器监听TCP 端口 80，以便发现是否有浏览器（客户进程）向它发出连接请求； ②一旦监听到连接请求，立即建立连接。 ③浏览器向服务器发出浏览某个页面的请求，服务器接着返回所请求的页面作为响应。 ④释放TCP 连接。

浅谈网络嗅探

浅谈网络嗅探邹宁随着信息化进程的加快、宽带网的普及，计算机网络在各个领域得到了广泛的应用，网络通信安全成为电信运营商和广大用户所关心的重要问题。病毒肆虐、黑客攻击，常常会导致网络莫名其妙的变慢甚至中断。而嗅探器，既是网络维护人员分析捕获网络故障的有效工具，也成为黑客进行网络入侵的得力助手。嗅探器，是指在运行以太网协议、TCP／IP协议、IPX协议或者其他协议的网络上，可以捕获网络信息流的工具。嗅探器分软件和硬件两种，硬件的有网络分析仪，软件的如sniffer则是著名的嗅探器程序。嗅探器所捕获到的是动态的以信息包形式(如IP数据包或者以太网包)封装的信息流。其中可能携带了重要数据或敏感信息，譬如明文密码。嗅探器可以将捕获到的数据流分类，并可以作进一步分析。享即意味着网络中的一台机器可以嗅探到传递给本网段(冲突域)中的所有机器的报文。例如最常见的以太网就是一种共享式的网络技术，以太网卡收到报文后，通过对目的地址进行检查，来判断是否是传递给自己的，如果是则把报文传递给操作系统；否则将报文丢弃而不进行处理；网卡存在一种特殊的工作模式，在这种工作模式下，网卡不对目的地址进行判断，而直接将他收到的所有报文都传递给操作系统进行处理。这种特殊的工作模式，就称之为混杂模式。网络嗅探器通过将网卡设置为混杂模式，并利用数据链路访问技术来实现对网络的嗅探。实现了数据链路层的访问，就可以把嗅探能力扩展到任意类型的数据链路帧，而不光是IP数据报。嗅探器用于网络维护上是个得力的工具，在日常的网络查障中也发挥着重要的作用。嗅探器能够分析网络的流量,以便找出所关心的网络中潜在的问题。例如,网络的某一段频繁掉线、网速缓慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题判断。系统管理员通过嗅探器可以诊断出大量的不可见模糊问题，这些问题涉及两台乃至多台计算机之间的异常通讯有些甚至牵涉到各种的协议，借助嗅探器，系统管理

实验八--网络性能监测分析工具Sniffer捕获高层协议数据包并分析

实验八-网络性能监测分析工具Sniffer捕获高层协议数据包并分析实验目的：使用Sniffer抓取ftp的数据报分析FTP的三次“握手”的过程。分析FTP客户端和服务器端通信过程实验环境：Windows环境下常用的协议分析工具：sniffer 搭建Serv-U FTP Server，在计算机上建立FTP服务器 VMware虚拟机，用虚拟机进行登录FTP。实验内容和步骤: 1．建立网络环境。用Serv-U FTP Server在计算机上建立一台FTP服务器，设置IP地址为：192.168.0.10。在Serv-U FTP Server中已设定用户xyz，密码123123。（也可以自行设定其他帐号） 2．在此计算机上安装了sniffer。 3．启动该机器上的虚拟机作为一台FTP客户端，设置IP地址为：192.168.0.12。 4．使用ping命令看是否连通。记录结果。 5．使用虚拟机登录FTP服务器。 6．运行sniffer嗅探器，并在虚拟机的“运行”中输入ftp://192.168.0.10，点确定后出现如下图的登录窗口：在登录窗口中输入：用户名（xyz），密码（123123） 7．使用sniffer抓包，再在sniffer软件界面点击“stop and display”，选择“Decode”选项，完成FTP命令操作过程数据包

的捕获。 8.在sniffer嗅探器软件上点击Objects可看到下图，再点击“DECODE(反解码)。记录FTP三次握手信息，写出判断这三个数据包的依据（如syn及ack）。记录端口信息等内容。 9．找出数据包中包含FTPUSER命令的数据包，记录显示的用户名。10．捕获用户发送PASS命令的数据包，记录显示的密码。 11．找出FTP服务器端与客户端端口20进行三次握手打开数据传输。记录数据信息。

实验报告-网络扫描与监听

信息安全实验报告学号：学生姓名：班级：

实验一网络扫描与监听一、实验目的网络扫描是对整个目标网络或单台主机进行全面、快速、准确的获取信息的必要手段。通过网络扫描发现对方，获取对方的信息是进行网络攻防的前提。该实验使学生了解网络扫描的内容，通过主机漏洞扫描发现目标主机存在的漏洞，通过端口扫描发现目标主机的开放端口和服务，通过操作系统类型扫描判断目标主机的操作系统类型。通过该实验，了解网络扫描的作用，掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法，能够通过网络扫描发现对方的信息和是否存在漏洞。要求能够综合使用以上的方法来获取目标主机的信息。而网络监听可以获知被监听用户的敏感信息。通过实验使学生了解网络监听的实现原理，掌握网络监听软件的使用方法，以及对网络中可能存在的嗅探结点进行判断的原理。掌握网络监听工具的安装、使用，能够发现监听数据中的有价值信息，了解网络中是否存在嗅探结点的判断方法及其使用。二、实验要求基本要求了解网络扫描的作用，掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法，能够通过网络扫描发现对方的信息和是否存在漏洞。掌握网络监听工具的安装、使用，能够发现监听数据中的有价值信息等。提高要求能够对网络中可能存在的嗅探结点进行判断的方法及工具使用等。三、实验步骤 1）扫描软件X-Scan 和Nmap 以及WinPcap 驱动安装包并安装。 2）打开X-Scan，如下图所示。 3）点击“设置”->“扫描参数”，弹出扫描参数设置对话框，在“指定IP 范围”输入被扫描的IP 地址或地址范围。在“全局设置”的“扫描模块”设置对话框中选择需要检测的模块。其他可以使用默认的设置，也可以根据实际需要进行选择。最后点击“确定”回到主界面。

网络协议分析最终版

中南林业科技大学实验报告课程名称：网络协议与分析姓名：项学静学号：20104422 专业班级：2010级计算机科学与技术系（院）：计算机与信息工程学院实验时间：2013年下学期实验地点：电子信息楼602机房

实验一点到点协议PPP 一、实验目的 1．理解PPP协议的工作原理及作用。 2．练习PPP，CHAP的配置。 3．验证PPP,CHAP的工作原理。二、实验环境 1．安装windows操作系统的PC计算机。 2．Boson NetSim模拟仿真软件。三、实验步骤 1、绘制实验拓扑图利用Boson Network Designer绘制实验网络拓扑图如图1-1。本实验选择两台4500型号的路由器。同时，采用Serial串行方式连接两台路由器，并选择点到点类型。其中DCE端可以任意选择，对于DCE端路由器的接口(Serial 0/0)需要配置时钟信号（这里用R1的Serial 0/0作为DCE端）。 2、配置路由器基本参数

绘制完实验拓扑图后，可将其保存并装入Boson NetSim中开始试验配置。配置时点击Boson NetSim程序工具栏按钮eRouters,选择R1 并按下面的过程进行路由器1的基本参数配置： Router>enable Router#conf t Router(config)#host R1 R1(config)#enable secret c1 R1(config)#line vty 0 4 R1(config-line)#password c2 R1(config-line)#interface serial 0/0 R1(config-if)#ip address 192.168.0.1 255.255.255.0 R1(config-if)#clock rate 64000 R1(config-if)#no shutdown R1(config-if)#end R1#copy running-config startup-config 点击工具栏按钮eRouters，选择R2并按下面过程进行路由器的基本参数配置：Router>enable Router#conf t Router(config)#host R2

网络嗅探器源代码

#include /*windows socketμ?í·???t￡??μí3?¨ò?μ?*/ #include #include #include #include #pragma comment(lib,"ws2_32.lib") /*á′?óAPI?à1?á?μ?Ws2_32.lib?2ì??a*/ #define MAX_HOSTNAME_LAN 255 #define SIO_RCVALL _WSAIOW(IOC_VENDOR,1) #define MAX_ADDR_LEN 16 struct ipheader { unsigned char ip_hl:4; /*header length(±¨í·3¤?è￡?*/ unsigned char ip_v:4; /*version(°?±?)*/ unsigned char ip_tos; /*type os service·t??ààDí*/ unsigned short int ip_len; /*total length (×ü3¤?è)*/ unsigned short int ip_id; /*identification (±êê?·?)*/ unsigned short int ip_off; /*fragment offset field(??ò???óò)*/ unsigned char ip_ttl; /*time to live (éú′?ê±??)*/ unsigned char ip_p; /*protocol(D-òé)*/ unsigned short int ip_sum; /*checksum(D￡?éoí)*/ unsigned int ip_src; /*source address(?′μ??·)*/ unsigned int ip_dst; /*destination address(??μ?μ??·)*/ }; /* total ip header length: 20 bytes (=160 bits) */ typedef struct tcpheader { unsigned short int sport; /*source port (?′???úo?)*/ unsigned short int dport; /*destination port(??μ????úo?)*/ unsigned int th_seq; /*sequence number(°üμ?DòáDo?)*/ unsigned int th_ack; /*acknowledgement number(è·è?ó|′eo?)*/ unsigned char th_x:4; /*unused(?′ê1ó?)*/ unsigned char th_off:4; /*data offset(êy?Y??ò?á?)*/ unsigned char Flags; /*±ê??è?*/ unsigned short int th_win; /*windows(′°?ú)*/ unsigned short int th_sum; /*checksum(D￡?éoí)*/ unsigned short int th_urp; /*urgent pointer(???±????)*/ }TCP_HDR;

网络扫描与网络嗅探工具的使用

网络扫描和网络嗅探一实验目的（1）理解网络嗅探和扫描器的工作机制和作用（2）使用抓包和协议分析工具Wireshark （3）掌握利用扫描器进行主动探测，收集目标信息的方法（4）掌握使用漏洞扫描器检测远程或本地主机安全性漏洞二实验环境 Windows xp操作系统平台，局域网环境网络抓包和协议分析工具Wireshark 扫描器软件：Superscan 三实验步骤使用Wireshark 抓包并进行协议分析（1）下载并安装软件，主界面如图（2）单击capture，打开interface接口选项，选择本地连接，如图

第三行是ipv4的报文,网际协议IP是工作在网络层,也就是数据链路层的上层, IPv4报文中的源地址和目的地址是ip地址,版本号TCP是6，其格式为: 第四行是TCP报文,从上面两个可以知道,这个TCP包被层层包装,经过下面一层就相应的包装一层,第三段是经过传输层的数据,TCP报文的格式为:

实验八信息搜集和网络嗅探网络与信息安全实验报告

实验八信息搜集和网络嗅探同组实验者实验日期成绩练习一信息搜集实验目的 1.了解信息搜集的一般步骤；2.学会熟练使用ping命令；3.学会利用Nmap等工具进行信息搜集实验人数每组2人系统环境Windows；Linux 网络环境企业网络结构实验工具Nmap、网络协议分析器实验类型验证型一、实验原理详见“信息安全实验平台”，“实验13”，“练习一”。二、实验步骤本练习主机A、B为一组，C、D为一组，E、F为一组。实验角色说明如下：下面以主机A、B为例，说明实验步骤。首先使用“快照X”恢复Windows/Linux系统环境。一．信息搜集此实验主机A可与B同时相互搜集对方信息，下面的步骤以主机A为例讲解。 1. ping探测主机A开启命令行，对主机B进行ping探测，根据主机B的回复，可以确定主机A 和主机B之间的连通情况，还可以根据回复数据包的TTL值对操作系统进行猜测。回复数据包的TTL值：_______________，主机B操作系统可能为：________________。 2. Nmap扫描（1）对活动主机进行端口扫描主机A使用Nmap工具对主机B进行TCP端口同步扫描（范围1-150）： Nmap命令________________________________________________________________；主机B开放的TCP端口__________________________________________________。对主机B进行UDP端口扫描（范围是110-140）：

Nmap命令________________________________________________________________；主机B开放的UDP端口__________________________________________________。（2）对活动主机操作系统进行探测主机A对主机B进行TCP/IP指纹特征扫描： Nmap命令________________________________________________________________；查看扫描结果____________________________________________________________。（3）对活动主机运行服务进行探测主机A单击平台工具栏“协议分析器”按钮，启动协议分析器进行数据包捕获。打开IE 在地址栏中输入http://主机B的IP，访问主机B的web服务，停止协议分析器，查看捕获结果。图1可做为参考。图1 HTTP会话分析由图1可判断目标主机web服务使用的软件类型是______________________________。请探测目标主机FTP服务使用的软件类型是____________________________________。（4）对活动主机IP协议进行探测主机A使用Nmap命令对主机B进行IP协议探测： Nmap命令________________________________________________________________；查看扫描结果____________________________________________________________。 3. 探测总结根据上述实验所得结果，填写表1。

网络嗅探之明文嗅探

实验4 网络嗅探之明文嗅探班级：12 学号：姓名：背景描述由于TCP/IP协议的开放性，一般在没有采用安全协议的情况下，网络上的数据都是以明文的方式来传送。而在目前，社会上还没有绝对安全的通信线路，无论是利用轴电缆、双绞线、光纤还是无线作为网络传输数据的方式，黑客都可以通过搭线的方式窃听机密数据。本章将利用Sniffer软件来充当网络嗅探器进行网络嗅探，捕获网络中传输的明文数据，包括帐号、密码等机密信息。嗅探器，可以理解为一个安装在计算机上的窃听设备它可以用来窃听计算机在网络上所产生的众多的信息。简单一点解释：一部电话的窃听装置, 可以用来窃听双方通话的内容，而计算机网络嗅探器则可以窃听计算机程序在网络上发送和接收到的数据。实验目的 ●掌握嗅探器基本概念 ●掌握嗅探器的基本原理实验步骤及过程一、进行账号密码的嗅探 1.进入Linux虚拟机，对用户进行嗅探：打开“Terminal”>“sniffit -a –t 172.17.49.205”

图1 图2 回到本机，在控制台中登陆terminal>”ftp172.17.49.213”>” Name：bluedon ”>” pass：12345 图3

此时可以看到嗅探结果，如下图4，账号和密码都嗅探出来了：图4 问题答辩 1、嗅探会造成哪些危害? 答：1、获得帐号密码，包括Telnet这样的系统管理帐号 2、获得机密信息 3、分析网络结构、进行渗透 4、数据欺骗和劫持（嗅探结合欺骗技术） 2、如何检测并防范网络嗅探? 答：1、重视内部网络的管理，严格禁止使用任何嗅探工具对于内部网络的安全，管理显得格外重要。除网络管理员外网络的正常使用，是不会运行到任何嗅探相关。 2、重视病毒的来源渠道这里并不是说嗅探器是一种病毒，只是表明那些病毒的来源方式也可能是嗅探器进入常采用的途径。 3、改造内部网络结构普通的嗅探器程序只是简单地进行数据的捕获，因此需要杜绝网络数据进行泛播。对网络进行分段，比如在交换机上设置VLAN，使得网络隔离开，避免不必要的数据传送。4、用静态的ARP表或者IP-MAC对应表代替动态的该措施主要是进行渗透嗅探的防范，采用诸如ARP欺骗这样的手段能够让入侵者在交换网络中顺利完成嗅探。网络管理员需要对各种欺骗手段进行深入了解，比如嗅探中通常使用的ARP欺骗，主要是通过欺骗进行ARP动态缓存表的修改。 5、使用数据加密和加密协议嗅探器捕获到的数据包需要进行解码（根据协议解码），未加密的网络数据正是嗅探器

网络嗅探器的实际与实现

网络与信息安全课程设计网络嗅探器的设计和实现学院：计算机科学与技术班级：网络工程06-1班姓名：白俊生学号：310609040105 指导老师：刘坤

目录一、什么是嗅探器--------------------------------------------1 二、嗅探器的作用---------------------------------------------1 三、网络嗅探器的原理-----------------------------------------1 四、反嗅探技术----------------------------------------------7 五、网络嗅探器的设计-----------------------------------------8 六、结语---------------------------------------------------14参考书目--------------------------------------------------14

网络嗅探器的实际与实现一、什么是嗅探器嗅探器，可以理解为一个安装在计算机上的窃听设备它可以用来窃听计算机在网络上所产生的众多的信息。简单一点解释：一部电话的窃听装置, 可以用来窃听双方通话的内容，而计算机网络嗅探器则可以窃听计算机程序在网络上发送和接收到的数据。可是，计算机直接所传送的数据，事实上是大量的二进制数据。因此, 一个网络窃听程序必须也使用特定的网络协议来分解嗅探到的数据，嗅探器也就必须能够识别出那个协议对应于这个数据片断，只有这样才能够进行正确的解码。计算机的嗅探器比起电话窃听器，有他独特的优势：很多的计算机网络采用的是“共享媒体"。也就是说，你不必中断他的通讯，并且配置特别的线路，再安装嗅探器，你几乎可以在任何连接着的网络上直接窃听到你同一掩码范围内的计算机网络数据。我们称这种窃听方式为“基于混杂模式的嗅探”（promiscuous mode）。尽管如此，这种“共享” 的技术发展的很快，慢慢转向“交换” 技术，这种技术会长期内会继续使用下去，它可以实现有目的选择的收发数据。二、嗅探器的作用嗅探器是网络的抓包工具，可以对网络中大量数据抓取，从而方便使用者对网络中用户的一些信息进行分析，所以，通常被黑客运用于网络攻击。我们如果也能掌握网络嗅探器的原理和设计，可以将它运用与网络故障检测、网络状况的监视，还可以加强企业信息安全防护。三、网络嗅探器原理嗅探器是如何工作的？如何窃听网络上的信息？网络的一个特点就是数据总是在流动中，从一处到另外一处，而互联网是由错综复杂的各种网络交汇而成的，也就是说:当你的数据从网络的一台电脑到另一台电脑的时候，通常会经过大量不同的网络设备，(我们用tracert命令就可以看到这种路径是如何进行的)。如果传输过程中，有人看到了传输中的数据，