sniffer报告

sniffer报告
sniffer报告

网络嗅探实验报告

HUNAN UNIVERSITY 信息安全实验报告 题目:网络嗅探实验 指导老师: 学生姓名: 学生学号: 院系名称:信息科学与工程学院 专业班级: 2015年5月15日星期五

一、实验目的 掌握Sniffer(嗅探器)工具的使用方法,实现FTP、HTTP数据包的捕捉。 掌握对捕获数据包的分析方法,了解FTP、HTTP数据包的数据结构和连接过程,了解FTP、HTTP协议明文传输的特性,以建立安全意识。 二、实验环境 ①Windows 7 ②Wireshark(网络封包分析软件) ③FLASHFXP(FTP下载软件) ④Serv_U(FTP服务器端) ⑤搜狗浏览器。 三、实验要求 每两个学生为一组:其中学生A进行Http或者Ftp连接,学生B运行Wireshark软件监听学生A主机产生的网络数据包。完成实验后,互换角色重做一遍。 四、实验内容 任务一:熟悉Wireshark工具的使用 任务二:捕获FTP数据包并进行分析 任务三:捕获HTTP数据包并分析 五、实验原理 网卡有几种接收数据帧的状态:unicast(接收目的地址是本级硬件地址的数据帧),Broadcast(接收所有类型为广播报文的数据帧),multicast(接收特定的组播报文),promiscuous(目的硬件地址不检查,全部接收)。 以太网逻辑上是采用总线拓扑结构,采用广播通信方式,数据传输是依靠帧中的MAC 地址来寻找目的主机。 每个网络接口都有一个互不相同的硬件地址(MAC地址),同时,每个网段有一个在此网段中广播数据包的广播地址。 一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧,丢弃不是发给自己的数据帧。但网卡工作在混杂模式下,则无论帧中的目标物理地址是什么,主机都将接收。 1.HTTP 协议简介 HTTP 是超文本传输协议(Hyper Text Transfer Protocol)的缩写,用于WWW 服务。 (1)HTTP 的工作原理 HTTP 是一个面向事务的客户服务器协议。尽管HTTP 使用TCP 作为底层传输协议,但HTTP 协议是无状态的。也就是说,每个事务都是独立地进行处理。当一个事务开始时,就在web客户和服务器之间建立一个TCP 连接,而当事务结束时就释放这个连接。此外,客户可以使用多个端口和和服务器(80 端口)之间建立多个连接。其工作过程包括以下几个阶段。 ①服务器监听TCP 端口 80,以便发现是否有浏览器(客户进程)向它发出连接请求; ②一旦监听到连接请求,立即建立连接。 ③浏览器向服务器发出浏览某个页面的请求,服务器接着返回所请求的页面作为响应。 ④释放TCP 连接。

Wireshark抓包实验报告.

第一次实验:利用Wireshark软件进行数据包抓取 1.3.2 抓取一次完整的网络通信过程的数据包实验 一,实验目的: 通过本次实验,学生能掌握使用Wireshark抓取ping命令的完整通信过程的数据包的技能,熟悉Wireshark软件的包过滤设置和数据显示功能的使用。 二,实验环境: 操作系统为Windows 7,抓包工具为Wireshark. 三,实验原理: ping是用来测试网络连通性的命令,一旦发出ping命令,主机会发出连续的测试数据包到网络中,在通常的情况下,主机会收到回应数据包,ping采用的是ICMP协议。 四,验步骤: 1.确定目标地址:选择https://www.360docs.net/doc/915318923.html,作为目标地址。 2.配置过滤器:针对协议进行过滤设置,ping使用的是ICMP协议,抓包前使用捕捉过滤器,过滤设置为icmp,如图 1- 1

图 1-1 3.启动抓包:点击【start】开始抓包,在命令提示符下键入ping https://www.360docs.net/doc/915318923.html,, 如图 1-2

图 1-2 停止抓包后,截取的数据如图 1-3 图 1-3 4,分析数据包:选取一个数据包进行分析,如图1- 4

图1-4 每一个包都是通过数据链路层DLC协议,IP协议和ICMP协议共三层协议的封装。DLC协议的目的和源地址是MAC地址,IP协议的目的和源地址是IP地址,这层主要负责将上层收到的信息发送出去,而ICMP协议主要是Type和Code来识别,“Type:8,Code:0”表示报文类型为诊断报文的请求测试包,“Type:0,Code:0”表示报文类型为诊断报文类型请正常的包。ICMP提供多种类型的消息为源端节点提供网络额故障信息反馈,报文类型可归纳如下: (1)诊断报文(类型:8,代码0;类型:0代码:0); (2)目的不可达报文(类型:3,代码0-15); (3)重定向报文(类型:5,代码:0--4); (4)超时报文(类型:11,代码:0--1); (5)信息报文(类型:12--18)。

wireshark抓包分析实验报告

Wireshark抓包分析实验 若惜年 一、实验目的: 1.学习安装使用wireshark软件,能在电脑上抓包。 2.对抓出包进行分析,分析得到的报文,并与学习到的知识相互印证。 二、实验内容: 使用抓包软件抓取HTTP协议通信的网络数据和DNS通信的网络数据,分析对应的HTTP、TCP、IP协议和DNS、UDP、IP协议。 三、实验正文: IP报文分析: 从图中可以看出: IP报文版本号为:IPV4 首部长度为:20 bytes 数据包长度为:40 标识符:0xd74b 标志:0x02 比特偏移:0 寿命:48 上层协议:TCP 首部校验和:0x5c12 源IP地址为:119.75.222.18 目的IP为:192.168.1.108

从图中可以看出: 源端口号:1891 目的端口号:8000 udp报文长度为:28 检验和:0x58d7 数据长度:20 bytes UDP协议是一种无需建立连接的协议,它的报文格式很简单。当主机中的DNS 应用程序想要惊醒一次查询时,它构造一个DNS查询报文段并把它给UDP,不需要UDP之间握手,UDP为报文加上首部字段,将报文段交给网络层。

第一次握手: 从图中看出: 源端口号:56770 目的端口号:80 序列号为:0 首部长为: 32 bytes SYN为1表示建立连接成功当fin为1时表示删除连接。

第二次握手: 从图中看出: 源端口号是:80 目的端口号为:56770 序列号为:0 ack为:1 Acknowledgement为1表示包含确认的报文Syn为1表示建立连接。

第三次握手: 从图中看出: 源端口:56770 目的端口:80 序列号为:1 ACK为:1 首部长为:20bytes Acknowledgement为1表示包含确认的报文 所以,看出来这是TCP连接成功了 Tcp是因特网运输层的面向连接的可靠的运输协议,在一个应用进程可以开始向另一个应用进程发送数据前,这两个进程必须先握手,即它们必须相互发送预备文段,建立确保传输的参数。

使用用Sniffer_Pro网络分析器实验报告

使用Sniffer Pro网络分析器实验报告 一、实验目的 1、掌握Sniffer工具的安装和使用方法 2、理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构 3、掌握ICMP协议的类型和代码 二、实验内容 1、安装Sniffer Pro 2、捕捉数据包 3、分析捕捉的数据包 三、实验步骤 1、安装Sniffer Pro Sniffer Pro安装过程并不复杂,setup后一直点击“确定”即可,第一次运行时需要选择网络适配器或网卡后才能正常工作。如下图所示: 选择好网络适配器或网卡后,即可进入主界面,如下图所示:

2、捕捉数据包 以抓FTP密码为例 步骤1:设置规则 选择Capture菜单中的Defind Filter出现图(1)界面,选择图(1)中的ADDress 项,在station1和2中分别填写两台机器的IP地址,选择Advanced选项,选择选IP/TCP/FTP ,将 Packet Size设置为 In Between 63 -71, Packet Type 设置为 Normal。如图(2)所示,选择Data Pattern项,点击箭头所指的Add Pattern按钮,出现图(3)界面,按图设置OFFset 为2F,方格内填入18,name可任意起。确定后如图(4)点击Add NOT按钮,再点击Add Pattern 按钮增加第二条规则,按图(5)所示设置好规则,确定后如图(6)所示。 图(1)

图(2) 图(3)

图(4) 图(5) 图(6)步骤2:抓包 按F10键出现下图界面,开始抓包。

图(7) 步骤3:运行FTP命令 本例使FTP到一台开有FTP服务的Linux机器上 D:/>ftp 192.168.113.50 Connected to 192.168.113.50. 220 test1 FTP server (Version wu-2.6.1(1) Wed Aug 9 05:54:50 EDT 2000) ready. User (192.168.113.50:(none)): test 331 Password required for test. Password: 步骤4:察看结果 当下图中箭头所指的望远镜图标变红时,表示已捕捉到数据 图(8) 点击该图标出现下图所示界面,选择箭头所指的Decode选项即可看到捕捉到的所有包。可以清楚地看出用户名为test和密码为123456789。 图(9) 3、分析捕捉的数据包 将图(1)中Packet Size设置为 63 -71是根据用户名和口令的包大小来设置的,图(9)可以看出口令的数据包长度为70字节,其中协议头长度为:14+20+20=54,与telnet的头长度相同。Ftp的数据长度为16,其中关键字PASS占4个字节,空格占1个字节,密码占9个

抓包分析SSL通信过程实验报告1

SSL通信过程分析 一、SSL建立握手连接目的 1.身份的验证,client与server确认对方是它相连接的,而不是第三方冒充的,通过证书实现。 2.client与server交换session key,用于连接后数据的传输加密和hash校验。 二、简单的SSL握手连接过程 (仅Server端交换证书给client): 1.client发送ClientHello,指定版本,随机数(RN),所有支持的密码套件(CipherSuites) 2.server回应ServerHello,指定版本,RN,选择CipherSuites,会话ID(Session ID) 3.server发送Certificate 4.Server发送ServerHelloDone 5.Client发送ClientKeyExchange,用于与server交换session key 6.Client发送ChangeCipherSpec,指示Server从现在开始发送的消息都是加密过的 7.Client发送Finishd,包含了前面所有握手消息的hash,可以让server验证握手过程是否被第三方篡改 8.Server发送ChangeCipherSpec,指示Client从现在开始发送的消息都是加密过的 9.Server发送Finishd,包含了前面所有握手消息的hash,可以让client验证握手过程是否被第三方篡改,并且证明自己是Certificate密钥的拥有者,即证明自己的身份 三、抓包实际分析连接过程 下面从抓包数据来具体分析这一过程并说明各部分数据的作用以及如实现前面列出的握手的目标,当然了,最重要的还是说明为何这一过程是安全可靠的,第三方无法截获,篡改或者假冒。 1.client发送ClientHello

信安实验报告1网络嗅探实验

实验一网络嗅探实验 一、简单阐述实验原理 网络嗅探器Sniffer的原理 网卡有几种接收数据帧的状态:unicast(接收目的地址是本级硬件地址的数据帧),Broadcast (接收所有类型为广播报文的数据帧),multicast(接收特定的组播报文),promiscuous (目的硬件地址不检查,全部接收) 以太网逻辑上是采用总线拓扑结构,采用广播通信方式,数据传输是依靠帧中的MAC地址来寻找目的主机。 每个网络接口都有一个互不相同的硬件地址(MAC地址),同时,每个网段有一个在此网段中广播数据包的广播地址 一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧,丢弃不是发给自己的数据帧。但网卡工作在混杂模式下,则无论帧中的目标物理地址是什么,主机都将接收 通过Sniffer工具,将网络接口设置为“混杂”模式。可以监听此网络中传输的所有数据帧。从而可以截获数据帧,进而实现实时分析数据帧的内容。 数据传输有两种方式:主动和被动模式。 关于被动模式与主动模式书上这么解释来着。 客户端与服务器建立控制连接后,要告诉服务器采用哪种文件传输模式。FTP提供了两种传输模式,一种是Port(主动模式),一种是Passive被动模式。这个主被动指的是服务器端。 主动,是指服务器端主动向客户端发起数据连接请求,那么此时服务器端要用自己的一个固有端口一般是20去监听客户端。整个过程是这样的,客户端在最初会用一个端口3716向服务器端的21发起控制连接请求(应该是在握手后中确定的吧),连接成功后,在发送port 3716+1,告诉服务服务器端坚定3717,那么服务器端就会用数据端口,一般是20与3717建立连接(这就是主动进行数据连接)。服务器端利用自己的20与客户端 3717来文件的数据传送通信,利用21和客户端最初的端口3616进行用户验证和管理。 而被动模式,是服务器端被动的接受客户端的数据连接请求,这个端口号是由客户端告知服务器端的,在本地随机生成(1025-65535)。 二、分别写出任务二、任务三中要求找出的有用信息,写出对应捕获的报文窗口中的summary(概要)代码,并推断出监测主机的系列行为。

网络嗅探器实验报告

网络攻击与防御技术实验报告 实验目的: 本实验通过研究Winpcap中常用的库函数的使用方式来实现了一个小型的网络数据包抓包器,并通过对原始包文的分析来展示当前网络的运行状况。 实验内容: 1.实现对网络基本数据包的捕获 2.分析捕获到的数据包的详细信息 实验环境: 1.WpdPack_4_0_1支持库 2.VC++开发环境 3.Windows操作系统 实验设计: 系统在设计过程中按照MVC的设计模式,整体分为三层。第一层为Control层即控制层,这里为简化设计,将Control层分为两个部分,一部分为网络报文输入,另一部分为用户输入;第二层是Model层即模型层;第三层为View层即显示层。 系统的整体运行过程为:从Control层得到数据,交到Model层进行处理,将处理完的结果交View层进行显示。Control层主要用于网络数据包的捕获以及获得用户的输入;Model层主要用于分析数据包,处理用户的输入;View层主要用于对处理后的结果进行显示。 详细过程: 程序在执行过程中有两个核心的工作,一是调用Winpcap函数库实现下层抓包。二是对抓到的包文进行分析。下面分别列出两个核心过程的基本算法与相关的实现代码。 抓包算法: 第一:初始化Winpcap开发库 第二:获得当前的网卡列表,同时要求用户指定要操作的网卡 第三:获得当前的过滤规则,可为空 第四:调用库函数,pcap_loop(),同时并指定其回调函数,其中其回调函数为数据包分析过程。 对应的相应核心代码为: I f((pCap=pcap_open_live(getDevice()->name,65536,1,1000,strErrorBuf))==NULL) { return -1; } If(pcap_compile(pCap, &fcode, filter, 1, NetMask) < 0)

Wireshark抓包实验报告

西安郵電學院 计算机网络技术及应用实验 报告书 系部名称:管理工程学院学生姓名:xxx 专业名称:信息管理 班级:10xx 学号:xxxxxxx 时间:2012 年x 月x 日

实验题目Wireshark抓包分析实验 一、实验目的 1、了解并会初步使用Wireshark,能在所用电脑上进行抓包 2、了解IP数据包格式,能应用该软件分析数据包格式 3、查看一个抓到的包的内容,并分析对应的IP数据包格式 二、实验内容 1、安装Wireshark,简单描述安装步骤。 2、打开wireshark,选择接口选项列表。或单击“Capture”,配置“option” 选项。 3、设置完成后,点击“start”开始抓包,显示结果。 4、选择某一行抓包结果,双击查看此数据包具体结构。 5、捕捉IP数据报。 ①写出IP数据报的格式。 ②捕捉IP数据报的格式图例。 ③针对每一个域所代表的含义进行解释。 三、实验内容(续,可选) 1、捕捉特定内容 捕捉内容:http 步骤:①在wireshark软件上点开始捕捉。 ②上网浏览网页。 ③找到包含http格式的数据包,可用Filter进行设置,点击 中的下拉式按钮,选择http。 ④在该数据帧中找到Get 的内容。 实验体会

Wireshark抓包分析实验报告 一.实验目的 1.了解并初步使用Wireshark,能在所用电脑上进行抓包。 2.了解IP数据包格式,能应用该软件分析数据包格式。 3.查看一个抓到的包的内容,并分析对应的IP数据包格式。 二.主要仪器设备 协议分析软件Wireshark,联网的PC机。 三.实验原理和实验内容 1 安装WireShark。这个不用说了,中间会提示安装WinPcap,一切都是默认的了

计算机网络抓包实验报告

实验报告二

学号1040407105 实验项目 名称 利用Wireshark 进行抓包分析 上面的截图是抓取到的包,下面分别针对其中的一个TCP,UDP和ICMP进行分析 1.TCP TCP:Transmission Control Protocol 传输控制协议TCP是一种面向连接(连接导向)的、可靠的、基于字节流的运输层(Transport layer)通信协议,由IETF的RFC 793 说明(specified)。在简化的计算机网络OSI模型中,它完成第四层传输层所指定的功能。 在因特网协议族(Internet protocol suite)中,TCP层是位于IP层之上,应用层之下的中间层。不同主机的应用层之间经常需要可靠的、像管道一样的连接,但是IP层不提供这样的流机制,而是提供不可靠的包交换。 应用层向TCP层发送用于网间传输的、用8位字节表示的数据流,然后TCP把数据流分割成适当长度的报文段(通常受该计算机连接的网络的数据链路层的最大传送单元(MTU)的限制)。之后TCP把结果包传给IP层,由它来通过网络将包传送给接收端实体的TCP层。TCP为了保证不发生丢包,就给每个字节一个序号,同时序号也保证了传送到接收端实体的包的按序接收。然后接收端实体对已成功收到的字节发回一个相应的确认(ACK);如果发送端实体在合理的往返时延(RTT)内未收到确认,那么对应的数据(假设丢失了)将会被重传。TCP用一个校验和函数来检验数据是否有错误;在发送和接收时都要计算校验和。

学号1040407105 实验项目 名称 利用Wireshark 进行抓包分析 首先,TCP建立连接之后,通信双方都同时可以进行数据的传输,其次,他是全双工的;在保证可靠性上,采用超时重传和捎带确认机制。 在流量控制上,采用滑动窗口协议,协议中规定,对于窗口内未经确认的分组需要重传。 在拥塞控制上,采用慢启动算法。 对于上面的抓包,选取其中的一个TCP进行分析 Source:119.147.91.131 Destination:180.118.215.175 Length:56 Info:http>500001[FIN,ACK] Seq=41,Ack=2877,win=66528 Len=0 1.1抓到的数据链路层中的帧 Frame 211:56bytes 即所抓到的帧的序号为211,大小是56字节 1.2 IP层中的IP数据报 Header Length:20bytes 即首部长度为20个字节;

信息安全实验报告

信息安全实验报告

信息安全基础实验报告 姓名:田廷魁学号:201227920316 班级:网工1201班 ARP欺骗工具及原理分析(Sniffer网络嗅探器)一.实验目的和要求 实验目的: 1.熟悉ARP欺骗攻击有哪些方法。 2.了解ARP欺骗防范工具的使用。 3.掌握ARP欺骗攻击的实验原理。 实验要求: 下载相关工具和软件包(ARP攻击检测工具,局域网终结者,网络执法官,ARPsniffer嗅探工具)。 二.实验环境(实验所用的软硬件) ARP攻击检测工具 局域网终结者 网络执法官 ARPsniffer嗅探工具 三.实验原理 ARP(Address Resolution Protocol)即地址解析协议,是一种将IP地址转化成物理地址的协议。不管网络层使用什么协议,在网络链路上传送数据帧时,最终还是必须使用硬件地址的。而每台机器的MAC地址都是不一样的,具有全球唯一性,因此可以作为一台主机或网络设备的标识。目标主机的MAC地址就是通过ARP协议获得的。

ARP欺骗原理则是通过发送欺骗性的ARP数据包致使接收者收到数据包后更新其ARP缓存表,从而建立错误的IP与MAC对应关系,源主机发送数据时数据便不能被正确地址接收。 四.实验内容与步骤 1、利用ARPsniffer嗅探数据 实验须先安装winpcap.exe它是arpsniffer.exe运行的条件,接着在arpsniffer.exe同一文件夹下新建记事本,输入Start cmd.exe ,保存为cmd.bat。ARPsniffer有很多种欺骗方式,下面的例子是其中的一种。 安装截图:

步骤一:运行cmd.exe,依次输入以下命令: "arpsf.exe -sniffall -o f:\sniffer.txt -g 192.168.137.1 -t 192.168.137.5"(其中IP地址:192.168.137.1是局域网网关的地址,192.168.137.5是被欺骗主机的IP地址,试验获取的数据将会被输入到F盘的sniffer.txt文件中。)按回车键运行,出现如下图所示的选项,选1,接着选0,回车,程序便开始监听了。 运行截图: 步骤二:停止运行,打开F盘的sniffer.txt文件,在文件中查找,可以发现被欺骗主机的一些敏感信息,如下图:可以发现被欺骗主机注册某网站时的信息:username=wanglouanquan password=123456等。 捕获信息截图:

网络监听实验报告

网络监听实验报告 一、实验目的 利用Sniffer软件捕获网络信息数据包,然后通过解码进行分析。通过实验,了解网络监听原理和过程。 二、实验环境及设备 硬件:可以用三台真机:三台PC、一台集线器或交换机、网线若干; 或也可以用三台虚拟机:一台内存不少于2GB的PC,用VMware虚拟机软件建 立三台虚拟机,要求能流畅运行。 软件:Windows XP Professional SP3,IIS组件包(用于搭建FTP服务器),Sniffer软件。 三、实验内容 将三台PC组建成一个局域网;将其中的A机搭建为FTP服务器,并将服务器设置为要求用户名和密码登录;B机作为A机FTP服务的访问者,知道A机FTP服务的用户名和密码;C机作为监听者,装有Sniffer软件,监听A、B两机的通信,以监听到A机的FTP 服务用户名和密码为最终目标。 四、实验详细步骤 本实验内容分为三个过程: 1、准备三台PC,将三台PC组建成一个局域网,以能互相ping通为成功标志。 (1)物理连接:若用三台实体PC,用交换机连接成网络;若用三台虚拟机,则都使用“桥接”方式连接成网络,操作方法为:选定需设置的虚拟机→“虚拟机”菜单→“设置”命令→“硬件”选项卡→“Network Adapter”→“桥接:直接连接到物理网络”。

(2)分配IP地址 IP地址设置好后,关闭防火墙,测试三台电脑能否互相ping通。关闭防火墙方法:右击桌面“网上邻居”→属性→右击“本地连接”→属性→“高级”选项卡→“设置”按钮→“常规”选项卡→选中“关闭(不推荐)”。如下图。 2、在A机上安装IIS,搭建并设置FTP服务器,以B机通过用户名和密码能访问A机FTP 服务为成功标志。 (1)安装IIS。 打开“我的电脑”→“控制面板”→“添加/删除程序”→“添加/删除windows组件”→勾选“Internet信息服务(IIS)”→“详细信息”→勾选“文件传输协议(FTP)服务”→点击确定开始安装IIS,如下图。在安装过程中提示需要放入Windows系统光盘,请点击确定后选择IIS组件包所在位置,如下图。

计算机网络抓包实验报告

电子商务应用开发技术实验报告 实验报告二 课程计算机网络开课实验室日期2013 年 4 月 22 日 实验项目 学号1040407105利用Wireshark进行抓包分析 名称 学院经济管理学院指导教师王斌成绩 教师 评语 一:实验目的利 用 Wireshark 二:实验内容:教师签名: 年月日 进行抓包分析,对以前学习过的内容进行进一步的理解和掌握 1、安装Wireshark,简单描述安装步骤。 2、打开wireshark,选择接口选项列表。或单击“Capture”,配置 “option”选项。 3、设置完成后,点击“ start”开始抓包,显示结果。 4、选择某一行抓包结果,双击查看此数据包具体结构,并对其进行分析 三.实验步骤

实验项目 学号1040407105利用Wireshark进行抓包分析 名称 上面的截图是抓取到的包,下面分别针对其中的一个TCP, UDP和 ICMP进行分析1. TCP TCP :Transmission Control Protocol 的、可靠的、基于字节流的运输层( 传输控制协议TCP 是一种面向连接(连接导向)Transport layer)通信协议,由IETF 的 RFC 793 说明( specified)。在简化的计算机网络OSI模型中,它完成第四层传输层所指定的功 能。 在因特网协议族(Internet protocol suite)中,TCP层是位于IP 层之上,应用层之下的中间层。不同主机的应用层之间经常需要可靠的、像管道一样的连接,但是IP 层不提供这样的流机制,而是提供不可靠的包交换。 应用层向TCP 层发送用于网间传输的、用8 位字节表示的数据流,然后TCP 把数据流分割成适当长度的报文段(通常受该计算机连接的网络的数据链路层的最大传送单 元(MTU) 的限制)。之后 TCP 把结果包传给 IP 层,由它来通过网络将包传送给接收端实体的TCP 层。TCP 为了保证不发生丢包,就给每个字节一个序号,同时序号也保证了传送到接收端实体的包的按序接收。然后接收端实体对已成功收到的字节发回一个相应的 确认 (ACK) ;如果发送端实体在合理的往返时延(RTT) 内未收到确认,那么对应的数据(假设丢失了)将会被重传。TCP 用一个校验和函数来检验数据是否有错误;在发送和 接收时都要计算校验和。 首先, TCP 建立连接之后,通信双方都同时可以进行数据的传输,其次,他是全双 工的;在保证可靠性上,采用超时重传和捎带确认机制。 在流量控制上,采用滑动窗口协议,协议中规定,对于窗口内未经确认的分组需要 重传。 在拥塞控制上,采用慢启动算法。 对于上面的抓包,选取其中的一个TCP 进行分析 Source:119.147.91.131 Destination:180.118.215.175 Length:56 Info:http>500001[FIN,ACK] Seq=41,Ack=2877,win=66528 Len=0

嗅探器实验报告

嗅探器实验报告 学院:通信工程 班级:011252 学号:01125118 姓名:寇天聪

嗅探器设计原理 嗅探器作为一种网络通讯程序,也是通过对网卡的编程来实现网络通讯的,对网卡的编程也是使用通常的套接字(socket)方式来进行。通常的套接字程序只能响应与自己硬件地址相匹配的或是以广播形式发出的数据帧,对于其他形式的数据帧比如已到达网络接口但却不是发给此地址的数据帧,网络接口在验证投递地址并非自身地址之后将不引起响应,也就是说应用程序无法收取到达的数据包。而网络嗅探器的目的恰恰在于从网卡接收所有经过它的数据包,这些数据包即可以是发给它的也可以是发往别处的。显然,要达到此目的就不能再让网卡按通常的正常模式工作,而必须将其设置为混杂模式。 网络嗅探器无论是在网络安全还是在黑客攻击方面均扮演了很重要的角色。通过使用网络嗅探器可以把网卡设置于混杂模式,并可实现对网络上传输的数据包的捕获与分析。此分析结果可供网络安全分析之用,但如为黑客所利用也可以为其发动进一步的攻击提供有价值的信息。可见,嗅探器实际是一把双刃剑。虽然网络嗅探器技术被黑客利用后会对网络安全构成一定的威胁,但嗅探器本身的危害并不是很大,主要是用来为其他黑客软件提供网络情报,真正的攻击主要是由其他黑软来完成的。而在网络安全方面,网络嗅探手段可以有效地探测在网络上传输的数据包信息,通过对这些信息的分析利用是有助于网络安全维护的。

本程序实现的基本功能:指定局域网内的任一ip地址,能分析包的类型,结构,流量的大小。 嗅探器工作原理 根据前面的设计思路,不难写出网络嗅探器的实现代码,下面就结合注释对程序的具体是实现进行讲解,同时为程序流程的清晰起见,去掉了错误检查等保护性代码。

WireShark抓包网络报文分析实验报告

系别计算机系班级学号姓名 课程名称计算机网络实验日期 实验名称网络报文分析成绩 实验目的: 1.学会简单使用网络分析工具(如WireShark(Ethereal)、Sniffer、科来等)抓取网络报文。 2.对抓取的网络报文进行分析,加深对网络数据分层封装理论的理解。 实验内容: 利用任意一款网络分析工具抓取网络数据(推荐WireShark),开启抓包功能,进行网络信息浏览等简单的网络使用。分析抓到的数据包,能够辨别传输层三次握手的过程,能够辨别分析网络各层添加的头部与数据部分的组成。 实验步骤: 1.选择一个网络分析工具,学会简单使用,本实验使用WireShark来抓取网络报文。WireShark是捕获机器上的某一块网卡的网络包,当你的机器上有多块网卡的时候,你需要选择一个网卡。点击Caputre->Interfaces,选择正确的网卡。然后点击"Start"按钮, 开始抓包。 2.抓取若干数据包,对照理论所学数据包,辨别、分析数据包结构。 TCP分析: 一个TCP报文段分为首部和数据两部分。TCP报文段首部的前二十个字节是固定的,后面有4N个字节是根据需要而增加的选项。因此TCP的最小长度是20个字节。 源端口和目的端口字段:各占两个字节,分别写入源端口号和目的端口号。在抓取的数据报中,源端口号和目的端口号的值分别是:80和5677。

序号字段:占4个字节。序号范围是0到232-1,共232个序号。 确认号字段:在四个字节,是期望收到对方下一个报文段的第一个字节的序号。 数据偏移字段:占4位,它指出TCP报文段的数据起始处距离TCP报文段的起始处有多远。这个字段实际上是指出TCP报文段的首部长度。由于首部中还有长度不确定的选项字段。因此数据偏移字段是必要的。现在本字段的值是20,说明首部不包含选项字段。 保留字段:占6位,保留为今后使用; 窗口字段:占两个字节。窗口值是0到216-1之间的整数。窗口指的是发送本报文段的一方的接收窗口,而不是自己的发送窗口。本数据包中窗口字段的值是8212。 校验和字段:占2个字节。校验和字段检验的范围包括首部和数据这两部分。

sniffer实验报告

《网络安全基础》 实验报告 实验名称:sniffer的基本使用和实例 实验室:凌峰楼b503 专业班级:楼宇11301 组成员:胡征宇徐齐敏袁双龙李勇安鹏郭衍成指导教师:黄老师 成绩:______________________________________ 2012年9 月24 日

一、实验目的: 练习sniffer工具的基本使用方法,用sniffer捕获报文并进行分析。 二、实验环境: 在同一台物理机上打开两台虚拟机,预装Windows 及windows sever2003操作系统。 三、实验前的准备: 两台虚拟机必须ping通,接入本地网络,然后把二者的ip 地址设在同一网段,因为vpc与vmc虚拟机环境不同,在vpc里必须手动将二者防火墙关闭,才能网络互通!之后,将sniffer 安装在xp的系统上,用2003系统做客户端。 四、常用功能介绍: 1、Dashboard (网络流量表) 点击图1中①所指的图标,出现三个表,第一个表显示的是网络的使用率(Utilization),第二个表显示的是网络的每秒钟通过的包数量(Packets),第三个表显示的是网络的每秒错误率(Errors)。通过这三个表可以直观的观察到网络的使用情况,红色部分显示的是根据网络要求设置的上限。选择图1中②所指的选项将显示如图2所示的更为详细的网络相关数据的曲线图。

2. Host table(主机列表)如图所示,点击图中所指的图标,出现图中显示的界面,选择图中所指的IP选项,界面中出现的是所有在线的本网主机地址及连到外网的外网服务器地址,此时想看看192.168.5.20这台机器的上网情况,只需如图中所示单击该地址出现界面。

wireshark抓包实验报告

本科实验报告 实验名称:利用EtherPeek工具进行的网络抓包实验 学员:学号: 专业:所属学院: 国防科学技术大学训练部制

【实验名称】 利用Wireshark工具进行的抓包实验 【实验目的】 通过Wireshark软件捕获并观察ARP协议、ICMP协议、FTP协议、HTTP协议以及TCP协议的工作原理,包括协议序列和报文内容【实验内容】 实验环境描述: 网络环境:因特网 操作系统:Windows 7 软件:Wiresharkv1.12.4 实验步骤: 1.Ping命令(ARP, ICMP分析) 2.在实验主机使用FTP应用(FTP分析) 3.在实验主机使用web应用(HTTP分析) 【实验过程】 1.ping命令(ICMP、ARP分析) 实验主机的IP地址为:192.168.0.189 实验主机的MAC地址为:9c:4e:36:cf:db:e4 在实验主机的命令框内输入命令:ping121.14.1.189

Wireshark抓获的数据包如下: 观察可得,抓获的报文里协议类型有ICMP与ARP。(前12条是输入ping命令后抓取的) (1)ICMP分析: 首先明确一下ICMP的相关知识: ICMP是(Internet Control Message Protocol)Internet控制报文协议。它是TCP/IP协议族的一个子协议,用于在IP主机、路由器之间传递控制消息。控制 消息是指网络通不通、主机是否可达、路由是否可用等网络本身的消息。这些 控制消息虽然并不传输用户数据,但是对于用户数据的传递起着重要的作用。 各种ICMP报文的前32bits都是三个长度固定的字段:type类型字段(8位)、code代码字段(8位)、checksum校验和字段(16位) 8bits类型和8bits代码字段:一起决定了ICMP报文的类型。 常见的有: 类型0、代码0:回应应答。 类型3、代码0:网络不可达 类型3、代码1:主机不可达 类型5、代码1:为主机重定向数据包 类型8、代码0:回应 类型11、代码0:传输中超出TTL(常说的超时) 16bits校验和字段:包括数据在内的整个ICMP数据包的校验和,其计算方法和IP头部校验和的计算方法是一样的。 类型代码类型描述

使用用Sniffer_Pro网络分析器实验报告

南京信息工程大学实验(实习)报告 实验名称使用用Sniffer Pro网络分析器实验日期 2014.12.21 得分指导教师朱节中 系计算机专业软件工程年级 2012 班次 1 姓名董上琦学号 20122344001 一、实验目的 1、掌握Sniffer工具的安装和使用方法 2、理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构 3、掌握ICMP协议的类型和代码 二、实验内容 1、安装Sniffer Pro 2、捕捉数据包 3、分析捕捉的数据包 三、实验步骤 1、安装Sniffer Pro Sniffer Pro安装过程并不复杂,setup后一直点击“确定”即可,第一次运行时需要选择 网络适配器或网卡后才能正常工作。如下图所示: 选择好网络适配器或网卡后,即可进入主界面,如下图所示: 2、捕捉数据包

以抓FTP密码为例 步骤1:设置规则 选择Capture菜单中的Defind Filter出现图(1)界面,选择图(1)中的ADDress 项,在station1和2中分别填写两台机器的IP地址,选择Advanced选项,选择选IP/TCP/FTP ,将 Packet Size设置为 In Between 63 -71, Packet Type 设置为 Normal。如图(2)所示,选择Data Pattern项,点击箭头所指的Add Pattern按钮,出现图(3)界面,按图设置OFFset 为2F,方格内填入18,name可任意起。确定后如图(4)点击Add NOT按钮,再点击Add Pattern 按钮增加第二条规则,按图(5)所示设置好规则,确定后如图(6)所示。 图(1) 图(2)

TCP-IP协议抓包分析实验报告

TCP协议分析实验 学号: 姓名: 院系: 专业:

一.实验目的 学会使用Sniffer抓取ftp的数据报,截获ftp账号及密码,并分析TCP 头的结构、分析TCP的三次“握手”和四次“挥手”的过程,熟悉TCP 协议工作方式。 二.实验(软硬件以及网络)环境 利用VMware虚拟机建立网络环境,并用Serv-U FTP Server在计算机上建立FTP服务器,用虚拟机进行登录。 三.实验工具 sniffer嗅探器,VMware虚拟机,Serv-U FTP Server。 四.实验基本配置 Micrsoft Windows XP操作系统 五.实验步骤 1.建立网络环境。 用Serv-U FTP Server在计算机上建立一台FTP服务器,设置IP地址 为:,并在其上安装sniffer嗅探器。再并将虚拟机作为一台FTP客户 端,设置IP地址为:。设置完成后使用ping命令看是否连通。 2.登录FTP 运行sniffer嗅探器,并在虚拟机的“运行”中输入,点确定后出现 如下图的登录窗口: 在登录窗口中输入:用户名(hello),密码(123456)【在Serv-U FTP Server中已设定】,就登录FTP服务器了。再输入“bye”退出FTP 3.使用sniffer嗅探器抓包 再sniffer软件界面点击“stop and display”,选择“Decode”选 项,完成FTP命令操作过程数据包的捕获。 六.实验结果及分析 1.在sniffer嗅探器软件上点击Objects可看到下图:

再点击“DECODE(反解码)”按钮进行数据包再分析,我们一个一个的分析数据包,会得到登录用户名(hello)和密码(123456)。如下图: 2. TCP协议分析 三次握手: 发报文头——接受报文头回复——再发报文(握手)开始正式通信。

网络安全实验报告sniffer,虚拟机

实验一:虚拟机的安装与使用 一、实验目的 1、学习安装、使用虚拟机 2、给虚拟机安装xp操作系统及常用软件 二、实验内容 安装虚拟机步骤: 1.双击VMware-workstation-5.5.3-34685.exe 2.按照流程向导Next> 3.选择安装路径 4.安装完成 可以看到home 5. 6.按照安装向导下一步 7.选择安装的操作系统

8.选择安装路径 9.选择联网方式 10.完成虚拟机的添加 11.可以在看到 点击CD-ROM

12.点击CD-ROM选择我们准备好的windows安装系统,把路径指向windows安装的镜像 文件 13.点start this virtual machine或绿色开始按钮 14.windows安装可选手动或自动 15.最终完成在虚拟机上的windows安装后可以看到 16.可以通过虚拟机上安装一些工具用来直接把主系统的软件拖拽到虚拟机中VM-》 install Vmware tools 17.设置虚拟机中的IP以及DNS等,使其能够上网

18.用ping测试网络的连通性 三、实验心得 通过这个实验,帮助我们掌握了虚拟机的安装,Windows的安装,以及虚拟机的网络互联,我们以后会在虚拟机中进一步了解其他的网络安全试验,帮助我们为以后的实验创造一个安全的平台。 四、实验反馈 实验中由于刚刚接触VMware Workstation,并不熟练在安装应用时花费了较长的时间。

实验二:TCP,UDP端口扫描 一、实验目的 1. 了解常用的TCP、UDP端口扫描的原理及其各种手段 2. 掌握sniffer等网络嗅探工具的使用 二、实验内容 sniffer安装步骤: 1.双击snifferpro.exe 2.进入installshield wizard 3.提取文件后单击Next继续安装,接下来是软件许可协议yes。 4.填入名字公司 5.选择安装路径

计算机网络抓包实验报告

第三次课堂实践报告 高国栋20 同实验者韦纯韦方宇王尊严 一、实践容1 1. 两台PC通过交换机或网线互相ping通。 2. 抓取1个ARP请求报文和1个ARP响应报文。 3. 抓取1个ICMP ECHO报文和1个ICMP ECHO REPLY报文。 Ping通目标主机192.168.0.150(对方也ping通192.168.0.100) 在ping命令时抓取的arp与icmp数据包

分别选择其中的任意一个ARP请求报文、ARP响应报文、ICMP ECHO报文、ICMP ECHO REPLY报文,并打开其数据包。 4. 要求: (1) 列出上述报文对应MAC帧原始数据,附上对应截图。 对应的帧原始数据为框中的容: ARP请求报文: ARP响应报文: IMP ECHO 报文 ICMP ECHO REPLY报文: (2) 找出上述报文对应MAC帧的源MAC地址、目的MAC地址、类型、数据长度,附 上与原始数据的对应图。

ARP请求报文 ARP响应报文 IMP ECHO 报文

ICMP ECHO REPLY报文 (3) 找出ICMP ECHO和ECHO REPLAY报文的首部长度、总长度、生存时间、协议、首部校验和、源IP地址、目的IP地址,计算单次成功ping的时间,附上与原始数据的对应图。 ICMP ECHO报文数据包如下: 可看到时间标记为10:28:06.312741400 ECHO REPLAY报文:

时间标记为10:28:06.314322400 单次成功ping的时间=10:28:06.314322400-10:28:06.312741400=0.002570000s 所以单次成功ping的时间0.00257秒 (4) 找出ARP请求报文希望获得的MAC地址及其对应的IP地址,附上对应截图。 从图中可以知道ARP请求报文希望获得的MAC地址为50:7B:9D:07:D0:B2。它对应的IP地址为:192.168.0.100。 因为此时是IP地址为192.168.0.150在ping 192.168.0.100,所以是192.168.0.150给192.168.0.100发送ARP请求报文,所以捕获到的目的IP地址为192.168.0.100。 (5) 举例说明MAC帧、IP包、ICMP报文的关系。 用我们抓取的ICMP Echo报文举例说明:

相关文档
最新文档