实验十五网络嗅探与Tcp协议分析

网络嗅探与协议分析（1）（Sniffer软件应用）

一、实验目的和意义

网络嗅探器sniffer可以监听到所有流经同一以太网网段的数据包，不管它的接收者或发送者是不是运行sniffer的主机。通过在网络上拦截（接收）数据包并做出分析，来确定该数据包使用了什么协议，是TCP/IP协议，还是UDP协议等，并同时分析出不同数据包的结构，再从中得到具体的内容，如帧的源MAC和目的MAC地址、IP地址、TCP序号等，这些数据内容还可以是用户的帐号和密码，以及一些商用机密数据等。sniffer几乎能得到以太网上传送的任何数据包，黑客也就会使用各种方法

Sniffer是NAI公司推出的协议分析软件，它支持丰富的协议，在网络特殊应用尤其是在网络管理过程中，可以通过计算机的网络接口，从网络上截获目的地为其他计算机的数据报文，利用专家分析系统，对捕获到的数据帧进行快速解码分析，诊断收集到的数据，实时监控网络活动，网络运行状态和错误信息等，是网络管理的有力工具。

本实验通过sniffer软件的应用，监视并分析TCP/UDP应用层程序在客户端和服务器间的交互（如Telnet、HTTP、FTP、DNS等的应用），加强对TCP连接中的三次握手过程及相关网络原理、协议及相关技术的掌握，同时熟练掌握涉及网络管理、网络安全方面的技术技能，为今后的网络管理、网络开发应用打下良好基础。

二、实验原理

1、网络嗅探

网络中处于同一个网段上的所有网络接口都有一个不同的硬件地址，每个网络还有一个广播地址。在正常工作情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的报文则不予响应，因为此网络接口应该只响应： 1）帧的目标地址和本机网络接口的硬件地址相匹配；2）帧的目标区域具有"广播地址"，这样的两种数据帧。在接收到上面两种情况的数据包时，nc通过cpu产生一个硬件中断，由操作系统将帧中所包含的数据传送给系统进一步处理。

也就是说，一个连到以太网上的网络设备接口，在任何时间里都在接收数据，但只将传给自己的数据传给本计算机上的应用程序，但如果将网络接口设置为promiscuous（混杂）工作模式，那么接收的并不仅仅是自己的数据，而是对网络线路上传送的所有数据都可以进行接收即侦听。利用这一点，可以将一台计算机的网卡设置为promiscuous（混杂）工作模式以接收所有以太网线上的数据，从而达到实现sniffer的目的。

而sniffer就是一种能将本地nc接口设成（promiscuous）状态的软件，当sniffer软件将nc设为这种“混杂”方式时，该nc具备“广播地址”，它对所有流经网络线路上的每一个帧都产生一个硬件中断，以使操作系统接收处理每一个报文包。可见，sniffer工作在网络环境中的底层，它会拦截所有正在网络上传送的数据，并且通过软件处理，实时分析这些

数据的内容，从安全性上来说，它是一种消极的安全攻击。

通常通过sniffer分析的内容有以下几类：

（1）数据的来源和去处：主机网络接口地址、远程网络接口ip地址，以太网帧的其他部分存放实际的用户数据、TCP/IP的报文头或IPX报文头等；

（2）信息协议分析，MAC帧、IP、TCP、ICMP包等，还有ip路由信息和tcp连接的字节顺序号码等；

（3）分析网络的流量,以便找出网络中潜在的问题；

（4）口令：sniffer可以记录到明文传送的userid和passwd；

（5）金融帐号：sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码和pin；（6）偷窥机密或敏感的信息数据：通过拦截数据包，可以很方便记录别人之间敏感的信息传送，或者干脆拦截整个的会话过程。（一般我们只嗅探每个报文的前200到300个字节，用户名和口令都包含在这一部分中，也可以嗅探给定接口上的所有报文。）

2、TCP/IP通信协议

因特网在传输层有两种主要的协议：一种是面向连接的协议，一种是无连接的协议。传输控制协议TCP是(transmission control protocol)专门用于在不可靠的因特网上提供可靠的、面向连接的端对端的字节流通信协议。通过在发送方和接收方分别创建一个称为套接字的通信端口就可以获得TCP服务，所有的TCP 均是全双工的和点到点的连接。

发送和接收方TCP实体以数据报的形式交换数据。一个数据报包含一个固定的20字节的头、一个可选部分以及0或多字节的数据。对数据报的大小有两个限制条件：一是每个数据报（包括TCP头在内）必须适合IP的载荷能力，不能超过65535字节；其次，每个网络都存在最大传输单元MTU（maximum transfer unit）的限制，故要求每个数据报必须适合MTU。如果一个数据报进入了一个MTU小于该数据报长度的网络，那么网络边界上的路由器会把该数据报分解为多个小的数据报。

TCP实体所采用的基本协议是滑动窗口协议。当发送方传送一个数据报时，它将启动计时器，当该数据报到达目的地后，接收方的TCP实体回送一个数据报，其中包含有一个它希望收到的下一个数据报的确认顺序号。如果发送方的定时器在确认信息到达之前超时，那么发送方会重发该数据报。

TCP数据被封装在一个IP数据报中，其报头格式如下：

源端口、目的端口：16位长。标识出远端和本地的端口号。

顺序号：32位长。表明了发送的数据报的顺序。

确认号：32位长。希望收到的下一个数据报的序列号。

TCP头长：4位长。表明TCP头中包含多少个32位字。

接下来的6位未用。

URG：紧急比特；标识紧急数据要优先发送。

ACK：确认比特；ACK位置1表明确认号是合法的。如果ACK为0，那么数据报不包含确认信息，确认字段被省略。

PSH：推送比特；表示是带有PUSH标志的数据；接收方所请求数据报一到，不等缓冲便可送往应用程序。

RST：复位比特；用于复位，由于主机崩溃或其它原因而出现的错误连接。还可以用于拒绝非法的数据报或拒绝连接请求。

SYN：同步比特；用于建立连接；

FIN：终止比特；用于释放连接；

窗口大小：16位长；窗口大小字段表示在确认了字节之后还可以发送多少个字节。

校验和：16位长；是为了确保高可靠性而设置的。它校验头部、数据和伪TCP头部之和。可选项：0个或多个32位字；包括最大TCP载荷，窗口比例、选择重发数据报等选项。

最大TCP载荷：允许每台主机设定其能够接受的最大的TCP载荷能力；在建立连接期间，双方均声明其最大载荷能力，并选取其中较小的作为标准。如果一台主机未使用该选项，那么其载荷能力缺省设置为536字节。

窗口比例：允许发送方和接收方商定一个合适的窗口比例因子；这一因子使滑动窗口最大能够达到232字节。

选择重发数据报：这个选项允许接收方请求发送指定的一个或多个数据报。

另一方面，Sniffer也成为了一种对安全造成威胁的工具，因为它可以捕获口令，可以截获机密的或专有的信息，以获取更高级别的访问权限，它也可以被用来攻击其他的网络，故应用中也要增加对其防范，提高安全的防范意识。

三、实验设备器材：

计算机一台，交换机或HUB一台，Internet接入

四、实验方法步骤

1、实例一、利用Sniffer Pro截取ICMP通信协议包：

首先设定过滤器（Define Filter ），這是为了避免截取過多的包导致数据量太大，同時也会增加分析的难度。设定所要截取主机的IP（Address）、过滤规则（Data Pattern）、选择通信协议（Advanced）、以及数据缓冲的大小（Buffer）；在Advanced中，若选择了IP通信协议设定，其携带的几个通信协议的也会被监听，如果想要使监听仔细，可以继续选择下层級的通信协议。

做好设定之后，开始截取，进入Command，輸入ping 命令，按下sniffer的停止并查看所捕获的內容，选择Decode的Tab解码，其截取画面如下：（注意ICMP的号码顺序关系）

IP地址192.168.1.10的源站到192.168.1.2目的站的ICMP请求包结构：

IP地址192.168.1.2目的站的ICMP应答包结构：

2、实例二、监视TCP/UDP应用层程序在客户端和服务器间的响应过程，如HTTP，FTP，DNS 等的应用，特别观察并分析客户端和服务器间登录响应过程中的帐户名、密码及其加密情况；通过FTP或Telnet登录过程，监视，记录并分析在客户端和服务器间响应过程中相互交互的情况，特别仔细观察分析客户端和服务器间登录响应过程中的序号变化情况；

我们知道客户和服务器之间的TCP连接有三次过程，即通常所说的三次握手，握手过程如下：第一次，客户端向服务器端发送一个SYN置位的TCP报文，包括客户端使用的端口号和初始序列号x；第二次，服务器端收到客户端发送过来的SYN报文后，向客户端发送一个SYN和ACK都置位的TCP报文，包括确认号x+1和服务器的序列号y；第三次，客户端接收到服务器端返回的SYN+ACK报文后，向服务器端返回一个确认号y+1和序号x+1的ACK报文，一个标准的TCP连接完成。

下图是Sniffer捕获到的一个Telnet客户端与服务器之间的TCP连接建立的过程。从图中可以看到在整个TCP连接过程中，Sniffer所捕获到的数据中三行记录所截取的图形如下所示：

IP地址192.168.1.9的源站到192.168.1.2目的站的Telnet请求包情况：

IP地址192.168.1.2目的站的Telnet应答包情况：（第二次握手）

第三次握手情况：

从中可以看到Telnet客户端192.168.1.9从1052端口向服务器192.168.1.2的23端口发起一个带有SYN标志的连接请求，初始序列号SEQ＝3730418230,服务器从23端口向客户端的1052端口返回一个同时带有SYN标志和ACK标志的应答包，ACK应答序列号SEQ＝3730418230＋1，SYN请求序列号SEQ＝1639809427。

接下来，Telnet客户端再向服务器返回一个包含ACK标志的应答包，应答序列号SEQ＝3730418233。

最后，Telnet客户端和Telnet服务器之间就建立了一个安全的可靠的TCP连接。TCP 连接建立的三次握手过程示意图如下：

3、实验练习一：通过Ping命令捕获数据并分析ICMP协议；

启动Sniffer的Capture，在DOS命令提示符下运行 ping 某一主机IP地址后，观察是

否捕获到数据，并进行分析；

4、实验练习二：通过运行TELNET命令捕获数据并分析

1、）启动Sniffer的Capture，在DOS命令提示符下运行 telnet 某一主机IP地址后，观察是否捕获到数据，并进行分析；

2、）启动实验中服务器上的telnet服务，并建立一个具有Telnet权限的帐号，如用户名：user1；口令：user1；在DOS命令提示符下再次运行 telnet 服务器主机名或IP地址后，登录进入系统，从Sniffer中捕获数据，分析该次telnet操作中TCP连接建立的过程；

3、）在TCP已建立连接的情况下，在虚拟终端上进行一些简单的操作后，按“CTRL+C”回到telnet提示符下，输入“quit”退出telnet，在此情况下捕获数据，并分析该次telnet 操作中TCP连接断开的完整过程。

5、实验练习三：运行FTP命令捕获数据并分析

1、）安装并启动服务器上的FTP服务，并建立一个帐号，其用户名可为anonymous或其他，在DOS命令提示符下运行 ftp 命令连入服务器，在“Login:”提示符后输入用户名（anonymous），然后在“Password:”提示符后输入口令登录入服务器，然后在客户端上进行一些基本操作：pwd / ls / cd /lcd等，最后输入“quit”退出ftp；

2、）在Sniffer中捕获数据，对该过程中发送和接收的全部ＴＣＰ数据包进行分析：

(a) 记录每个TCP数据包的TCP协议头部分，关注其中源、目的端口号、序号和确认序号、ACK、SYN和FIN等标志位、窗口大小等字段的值；

(b) 根据各字段的值分析TCP协议连接的建立、会话和断开连接的各过程情况；

(d) 根据捕获数据，计算在该TCP连接过程中本地以太网上用户有效数据的实际吞吐量是多少？

6、实验练习四（选做）：通过发送电子邮件捕获数据并分析

1、）先与安装好的或从Internet上选择的邮件服务器建立TCP连接：

(a)选择一个邮件服务器，如https://www.360docs.net/doc/f17097294.html,，利用DNS解析出其IP地址，

(b)打开TCP连接客户端，填写所选择的邮件服务器的IP地址及邮件服务器进程的端口号25，然后点击“起动”，从而建立与邮件服务器的TCP连接；

(c)若连接成功，在接收窗口会显示成功连接的信息（文本方式或十六进制方式）；

若不成功，再次尝试进行连接，直到成功。

2、）使用邮件工具Outlook Express编辑并发送一电子邮件数据

(a) 在发送窗口编辑欲发送的数据信息：

(b) 在Sniffer中截获相应的报文并分析。

3、断开连接：

(a)点击TCP连接客户端上的“停止”按扭，断开与服务器端的连接。

(b)在Sniffer中截获报文并分析。

7、实验练习五（选做）：通过接收电子邮件捕获数据并分析

1、）先与安装好的或从Internet上选择的邮件服务器建立一个TCP连接：

(a) 选择一个邮件服务器，如https://www.360docs.net/doc/f17097294.html,，并获得它的IP地址;

(b) 打开TCP连接客户端，填写所选择的邮件服务器的IP地址及邮件服务器进程的端口号

110（POP3服务端口号），然后点击“起动”，从而建立与邮件服务器的TCP连接；

若不成功，再次尝试进行连接，直到成功。

2、）察看及接收邮件信息。

(a) 在邮件收发器中接收邮件：

(b) 在Sniffer中截获报文并分析。

3、）断开连接：

(a) 点击TCP连接客户端上的“停止”按扭，断开与服务器端的连接。

(b) 在Sniffer中截获报文并分析。

8、思考问题：

1、）ICMP协议通常用于做什么？

2、）ICMP报文是自己独立封装并发送的吗？

3、）FTP的工作过程是怎样的？

4、）FTP工作中有几个连接？

5、）TCP连接断开过程中其通信是怎样的

6、）发送邮件的过程采用的是应用层的什么协议？

7、）接收邮件的过程采用的是应用层的什么协议？

8、）描述A给B发送一电子邮件，以及B接收到该电子邮件的过程以及每一步所用到的协议，并画图说明；

9、）通过本实验能说明在网络上进行的Telnet远程登录和FTP文件传输安全吗？为什么？如果不安全，你认为实现安全的办法是什么？

10、）通过本实验能说明电子邮件在网络上传输是安全的吗？为什么？如果不安全，你认为实现邮件安全传输的最好的办法是什么？

9、以下为选做：

使用Monitor/Dashbord，监控网络的利用率、流量以及错误报文等多种内容，通过网络监控可以进行相关参数的分析，既可以是形象直观但相对粗略的参数分析方法，也可对参数进行深入的分析。无论哪种分析方式，Dashbord都提供了短时间和长期两种分析选择。可以选择自己最关心的问题作细致分析，并且当用户将鼠标移动到相关选项上时，如Network中的Error选项，分析图中的对应曲线会突出显示。

步骤为：首先做捕获参数的设定，单击Set Thresholds…按钮，做符合需要的参数设置。除了一些常用的测量与控制（MAC）参数（如Packets）之外，还可以在Monitor sampling 中选择监听采样时间，“确定”完成参数的保存，单击Reset按钮即可开始一次新的网络监控；

在Monitor/Application Response Time(ART)应用中，打开ART操作界面监视TCP/UDP 应用层程序在客户端和服务器的响应时间，如HTTP，FTP，DNS等的应用。

单击properties进入属性设置对话框。在General下首先选择数据更新的时间间隔，然后打开Display Protocols页面，在Name的Shoe ART栏选择需要应用的协议，最后打开

Server-Client和Server Only选择具体需要监视的参数，确定后，系统提示监视功能将按照新的参数设置重新启动。

在Table View、Client-Server Response Time、Server Response Time 几个网络参数观察方式之间切换观察捕获的信息，刷新可获取最新最有效的信息。

10、提高安全意识，防范Sniffer的一般方法：

sniffer是一种被动攻击，不会留下什么痕迹，所以在网络上通常是难以发现sniffer的。对于一般防范来说，首先要检查网络线路，确定是否有硬件接入的sniffer；其次，检查每一台机器的每一个网络通信连接端口，当sniffer存在时，被窃听机器的网络端口会被改为混杂模式（promiscuous mode），可以通过此检测自己是否被窃听，第三，对敏感数据要加密，对敏感数据的加密是安全的必要条件，其安全级别取决于加密算法的强度和密钥的强度；第四，使用安全的网络拓朴结构，Sniffer无法穿过交换机、路由器、网桥等。网络分段越细，则安全程度越大，等等。

五、实验报告写明捕获操作的情况和结果，并进行分析。

网络协议分析期末

网络协议分析 Chap 1——TCP/IP 概述 1.用IP实现异构网络互联（IP能够屏蔽底层物理网络的差异，向上提供一致性） 2.通用的协议分层思想：（1）第N层实体在实现自身定义的功能的时候，只能使用第N-1层提供的服务（2）N层向N+1层提供服务，该服务不仅包括N层本身所具备的功能，还包括由下层服务提供的功能总和（3）最底层只提供服务，是提供服务的基础；最高层只是用户，是使用服务的最高层，中间各层既是下一层的用户，又是上一层的服务提供者（4）仅在相邻层间有借口，且下层服务的实现细节对上层完全透明 3.TCP/IP分层模型分层优势：简化问题，分而治之，有利于软件升级换代应用层、传输层、IP层、网络接口层、物理层分层缺点：效率低 1.各层之间相互独立，都要对数据进行分别处理 2.每层处理完毕都要加一个头结构，增加了通信数据量 TCP/IP的分层原则：信宿机第n层收到的数据与信源机第n层发出的数据完全一致。应用层：提供通用的应用程序，如电子邮件、文件传输等。传输层：提供应用程序间端到端的通信 ①格式化信息流②提供可靠传输③识别不同应用程序 IP层：负责点到点通信 ①处理TCP分层发送请求 ②为进入的数据报寻径 ③处理ICMP报文：流控、拥塞控制 ④组播服务网络接口层：接收IP数据报并通过选定的网络发送。总结：TCP/IP模型是在1个硬件层上构建的4个软件层 4.TCP/IP 中协议依赖关系

CHAP 2 点到点PPP协议 1.最大接收单元：用以向对方通告可以接受的最大报文长度； 2.PPPoE定义了在以太网中使用PPP协议的规范，主要用于城域以太网以及个人用户基于以太网连接ADSL接入设备的场合 CHAP 3 Internet地址及地址解析 1.IP地址：网络号+主机号 2.IP地址的寻路特点：（1）指明了主机所在的网络，标识了对象位置（2）标识了到达对象的路径，机先投递到对象所在网络，之后投递到相应的主机 3.IP地址分类 A类：0 —8位网络号首字节1—126 B类：10 —16位网络号首字节128—191 C类：110 —24位网络号首字节192—223 D类：1110 —组播地址首字节224—239 E类：11110 -- （保留未用）首字节240—247 特殊IP地址: 网络地址：主机号全0；广播地址：主机号全‘1’ 有限广播地址：32位全‘1’；回送地址：127.*.*.*，网络软件测试及本机进程间的通信。 4.从IP地址中提取网络部分，过程如下：（1）提取首比特位，为0则是A类地址，第一个字节是网络号（2）首位为1，则提取第二位，为0则是B类地址，前两个字节是网络号（3）第二位为1，则提取第三位，为0 则是C类地址，前三个字节是网络号 5.ARP的基本思想是“询问”。 6.ARP步骤：（1）发送方发送一个ARP请求，该报文以广播方式发送，包含接收方的IP地址。（2）网络上所有主机都会受到这个请求，比较请求中的接收方IP与自己的IP，若相同，则向发送方回应，回应中包含自己的物理地址，否则不作回应。总结：广播请求，单播回应！话外：在TCP/IP协议中，每一个网络结点是用IP地址标识的，IP地址是一个逻辑地址。而在以太网中数据包是靠48位MAC地址（物理地址）寻址的。因此，必须建立IP地址与MAC地址之间的对应（映射）关系，ARP协议就是为完成这个工作而设计的。 7.ARP欺骗。（P31）（1）嗅探器的原理：在共享网络环境下，所有数据通过物理广播方式投递，在网卡工作于混杂模式下不会进行地址检查而直接接收数据，主机可以修改网卡的工作模式嗅探网断内的所有通讯数据。（被动攻击）（2）基于ARP欺骗的嗅探器：在同一网段中可以通过ARP询问知道网段内任意主机的IP地址和MAC地址映射关系。在交换式网络环境下，一台主机H若想截获A、B主机间的通讯，可以首先向A发送一个ARP应答报文，里面包含IPb/MACh，A收到后会更新

TCP IP网络协议分析实验报告

TCP/IP网络协议分析实验一、实验目的 1. 通过实验，学习和掌握TCP/IP协议分析的方法及其相关工具的使用； 2. 熟练掌握 TCP/IP体系结构； 3. 学会使用网络分析工具； 4. 网络层、传输层和应用层有关协议分析。二、实验类型分析类实验三、实验课时 2学时四、准备知识 1.Windows 2003 server 操作系统 2.TCP/IP 协议 3.Sniffer工具软件五、实验步骤 1.要求掌握网络抓包软件Wireshark。内容包括： ●捕获网络流量进行详细分析 ●利用专家分析系统诊断问题 ●实时监控网络活动 ●收集网络利用率和错误等 2.协议分析（一）：IP协议，内容包括： ●IP头的结构 ●IP数据报的数据结构分析 3.协议分析（二）：TCP/UDP协议，内容包括： ●TCP协议的工作原理 ●TCP/UDP数据结构分析

六、实验结果 1.IP协议分析：（1）工作原理：IP协议数据报有首部和数据两部分组成，首部的前一部分是固定长度，共20字节，是IP数据报必须具有的。首部分为，版本、首部长度、服务类型、总长度、标识、标志、片偏移、生存时间、协议、首部检验和、源地址、目的地址、可选字段和数据部分（2）IPV4数据结构分析：

2.TCP协议分析：（1）工作原理：TCP连接是通过三次握手的三条报文来建立的。第一条报文是没有数据的TCP报文段，并将首部SYN位设置为1。因此，第一条报文常被称为SYN分组，这个报文段里的序号可以设置成任何值，表示后续报文设定的起始编号。连接时不能自动从1开始计数，选择一个随机数开始计数可避免将以前连接的分组错误地解释为当前连接的分组。

使用Wireshark嗅探器分析网络协议书范本

实验2 使用Wireshark嗅探器分析网络协议实验日期：实验目的： 1、掌握嗅探器工具Wireshark的下载和安装方法 2、掌握Wireshark的简单使用方法，了解抓包结果的分析方法 3、掌握封装这一操作的具体含义以及TCP/IP体系结构的分层，了解各层的一些常用协议。实验步骤： 1、预习课本与ping命令及tracert命令相关的因特网控制报文协议ICMP相关的容(4.4节)，通过搜索引擎了解什么是嗅探器，了解嗅探器工具Wireshark的下载、安装和使用方法 2、自己下载安装并启动Wireshark（安装程序里附带的WinPcap也一定要安装）如有时间可搜索Wireshark的中文使用说明，作为实验的辅助资料。FTP上有《Wireshark 网络分析就这么简单》的电子版，供参考。 3、选择正确的网络适配器（俗称网卡）。这一步很重要。选错了网卡，可能抓不到任何包。 4、开始抓包。 5、在Wireshark的显示过滤器输入栏中输入正确的表达式，可过滤出需要的数据包。

7、单击选中其中一个报文，可在树形视图面板中看它各层协议首部的详细信息。 8、过滤出http流量，选择其中的一个数据包，回答以下问题：（以下

4个问题需回答并截图证明） 1）此http包的http协议版本号是多少？此http包的http协议版本号是HTTP/1.1 2）http协议在传输层使用的是TCP协议还是UDP协议？ http协议在传输层使用的是TCP协议 3）此http包在网络层使用的是什么协议？

此http包在网络层使用的是IPV4协议 4）此http包在数据链路层使用的是什么协议？此http包在数据链路层使用的是Ethernet II协议 9、过滤出QQ流量（协议名称为OICQ），选择其中的一个数据包，回答以下问题：（以下4个问题需回答并截图证明） 1）此QQ包的OICQ协议版本号是多少？此QQ包的OICQ协议版本号是OICQ 121

网络协议实验

1.你的浏览器运行的是HTTP1.0，还是HTTP1.1？你所访问的服务器所运行的HTTP版本号是多少？答：HTTP 1.1 version 4 2. 你的浏览器向服务器指出它能接收何种语言版本的对象？答：Accept language: zh-CN\r\n 3. 你的计算机的IP地址是多少？服务器https://www.360docs.net/doc/f17097294.html,/DatumDownload.aspx 的IP地址是多少？答：我的IP是：10.127.117.2 服务器：222.197.183.99 4. 从服务器向你的浏览器返回的状态代码是多少？答：200 OK

5. 你从服务器上所获取的HTML文件的最后修改时间是多少？答：如图 6.返回到你的浏览器的内容以供多少字节？答：24370 在浏览器地址栏中如下网址： https://www.360docs.net/doc/f17097294.html,/wireshark-labs/HTTP-wireshark-file2.html 8.分析你的浏览器向服务器发出的第一个HTTP GET请求的内容，在该请求报文中，是否有一行是：IF-MODIFIED-SINCE？答：没有

9.分析服务器响应报文的内容，服务器是否明确返回了文件的内容？如何获知？答：有 HTTP/1.1 200 OK（text/html） 10.分析你的浏览器向服务器发出的第二个“HTTP GET”请求，在该请求报文中是否有一行是：IF-MODIFIED-SINCE？如果有，在该首部行后面跟着的信息是什么？答：仍然没有。如图。 11.服务器对第二个HTTP GET请求的响应中的HTTP状态代码是多少？服务器是否明确返回了文件的内容？请解释。答：状态码和相应状态信息的值为304 NOT Modified,他表示缓存器可以使用该对象。第二次没有返回文件的内容，因为他只是作为对该条件GET的响应，WEB服务器只发送一个响应报文,不包含请求的对象。 12. 你的浏览器一共发出了多少个HTTP GET请求？答：1个 13. 传输这一个HTTP响应需要多少个TCP报文段？答：4个。

共享网络嗅探工具(如Sniffer Pro)的功能使用和结构分析和IP地址欺骗扫描工具Hping2的使用

课程设计II报告（2011 / 2012 学年第一学期）题目1：共享网络嗅探工具（如Sniffer Pro）的功能使用和结构分析题目2：IP地址欺骗扫描工具Hping2的使用专业学生姓名班级学号指导教师指导单位日期年月日

指导教师成绩评定表学生姓名刘铭菲班级学号08001019 专业信息安全评分内容评分标准优秀良好中等差平时成绩认真对待课程设计，遵守实验室规定，上机不迟到早退，不做和设计无关的事设计成果设计的科学、合理性功能丰富、符合题目要求界面友好、外观漂亮、大方程序功能执行的正确性程序算法执行的效能设计报告设计报告正确合理、反映系统设计流程文档内容详实程度文档格式规范、排版美观验收答辩简练、准确阐述设计内容，能准确有条理回答各种问题，系统演示顺利。评分等级指导教师简短评语指导教师签名日期备注评分等级有五种：优秀、良好、中等、及格、不及格

实验一Sniffer Pro的使用一．课题内容和要求 1) 熟练掌握Sniffer Pro对数据包捕获的使用方法。 2) 掌握利用Sniffer Pro进行数据包结构分析、进而理解协议对数据的封装。重点：1) Sniffer Pro对数据包捕获的使用方法。 2) 利用Sniffer Pro进行数据包结构分析。难点：Sniffer Pro进行数据包结构分析。【实验环境】 Windows XP、2003 Server等系统，Sniffer Pro软件。二、设计思路分析打开snifeer 软件，出现下图，这个界面是用来选择要抓包得网卡，选择好了之后点击OK 常用功能介绍 1、Dashboard （网络流量表）点击图1中①所指的图标，出现三个表，第一个表显示的是网络的使用率，第二个表显示的是网络的每秒钟通过的包数量，第三个表显示的是网络的每秒错误率。通过这三个表可以直观的观察到网络的使用情况，红色部分显示的是根据网络要求设置的上限。

网络协议分析题库

第一章练习 1 OSI和ISO分别代表什么含义？它们是什么关系？ 2 OSI/RM模型没有被最终采用的原因是什么？ 3下面哪些协议属于应用层协议？（） A. TCP和UDP B. DNS和FTP C. IP D. ARP 4 Internet最早是在( ) 网络的基础上发展起来的? A. ANSNET B. NSFNET C. ARPANET D. MILNET 5 当网络A上的主机向网络B上的主机发送报文时, 路由器要检查( ) 地址? A.端口 B. IP C.物理 D.上述都不是 6.下面哪一个是应用层提供的服务? ( ) A.远程登录服务 B.文件传送 C.邮件服务 D.上述都是 7要将报文交付到主机上的正确的应用程序, 必须使用( )地址? A.端口 B. IP C.物理 D.上述都不是 8. 网络应用访问操作系统的常用接口是,实现IP地址到物理地址映射的协议是。 9. 在TCP/IP协议族中，能够屏蔽底层物理网络的差异，向上提供一致性服务的协议是；实现异构网络互联的核心设备是。 10. 在TCP/IP网络中，UDP协议工作在层，DNS协议工作在层。 11判断对错：TCP/IP是一个被广泛采用的网际互联协议标准，仅包含TCP和IP两个协议。（）第二章练习 1 PPP协议是什么英文的缩写？用于什么场合? 2 ISP验证拨号上网用户身份时,可以使用哪些认证协议？

3.PPP协议的通信过程包括哪几个阶段？ 4.LCP的用途是什么? 5.PPP是Internet中使用的（1），其功能对应于OSI参考模型的（2），它使用（3）技术来解决标志字段值出现在信息字段的问题。（1） A. 报文控制协议 B. 分组控制协议 C. 点到点协议 D. 高级数据链路控制协议（2）A. 数据链路层 B. 网络层 C. 传输层 D. 应用层（3）A. 透明传输 B. 帧 C. 控制 D. 字节填充第三章练习 1求下列每个地址的类别： 227.12.14.87 193.14.56.22 14.23.120.8 252.5.15.111 2 假设一段地址的首地址为146.102.29.0，末地址为146.102.32.255，求这个地址段的地址数。某地址段的首地址为14.11.45.96。假设这个地址段的地址数为32个，那么它的末地址是什么？ 3下列哪个地址是C类地址？（）哪个是E类地址？（） A. 00000001 00001011 00001011 11101111 B. 11000001 10000011 00011011 11111111 C. 10100111 11011011 10001011 01101111 D. 11101111 10011011 11111011 00001111 4下列哪个IP地址能用于Internet上的主机通信？（） A. 192.168.120.5 B. 172.30.10.78 C. 186.35.40.25 D. 10.24.25.9 5 一个主机有两个IP地址，一个地址是192.168.11.25，另一个可能是（） A. 192.168.13.25 B. 192.168.11.0 C. 192.168.11.26 D. 192.168.11.24 6下列哪种情况需要启动ARP请求？（）

网络协议分析实验报告

实验报告课程名称计算机网络实验名称网络协议分析系别专业班级指导教师学号姓名实验日期实验成绩一、实验目的掌握常用的抓包软件，了解ARP 、ICMP 、IP 、TCP 、UDP 协议的结构。二、实验环境 1．虚拟机（VMWare 或Microsoft Virtual PC ）、Windows 2003 Server 。 2．实验室局域网，WindowsXP 三、实验学时 2学时，必做实验。四、实验内容注意：若是实验环境1，则配置客户机A 的IP 地址:192.168.11.X/24,X 为学生座号；另一台客户机B 的IP 地址:192.168.11.（X+100）。在客户机A 上安装EtherPeek （或者sniffer pro ）协议分析软件。若是实验环境2则根据当前主机A 的地址，找一台当前在线主机B 完成。 1、从客户机A ping 客户机B ，利用EtherPeek （或者sniffer pro ）协议分析软件抓包，分析ARP 协议； 2、从客户机A ping 客户机B ，利用EtherPeek （或者sniffer pro ）协议分析软件抓包，分析icmp 协议和ip 协议； 3、客户机A 上访问 https://www.360docs.net/doc/f17097294.html, ，利用EtherPeek （或者sniffer pro ）协议分析软件抓包，分析TCP 和UDP 协议；五、实验步骤和截图（并填表） 1、分析arp 协议，填写下表客户机B 客户机A

2、分析icmp协议和ip协议，分别填写下表表一：ICMP报文分析

3、分析TCP和UDP 协议，分别填写下表

网络扫描实验

实验一：网络扫描实验【实验目的】了解扫描的基本原理，掌握基本方法，最终巩固主机安全【实验内容】 1、学习使用Nmap的使用方法 2、学习使用漏洞扫描工具【实验环境】 1、硬件PC机一台。 2、系统配置：操作系统windows XP以上。【实验步骤】 1、端口扫描解压并安装ipscan15.zip，扫描本局域网内的主机【实验背景知识】 1、扫描及漏洞扫描原理见第四章黑客攻击技术.ppt NMAP使用方法扫描器是帮助你了解自己系统的绝佳助手。象Windows 2K/XP这样复杂的操作系统支持应用软件打开数百个端口与其他客户程序或服务器通信，端口扫描是检测服务器上运行了哪些服务和应用、向Internet或其他网络开放了哪些联系通道的一种办法，不仅速度快，而且效果也很不错。 Nmap被开发用于允许系统管理员察看一个大的网络系统有哪些主机以及其上运行何种服务。它支持多种协议的扫描如UDP，TCP connect(),TCP SYN (half open), ftp proxy (bounce attack),Reverse-ident, ICMP (ping sweep), FIN, ACK sweep,X

mas Tree, SYN sweep, 和Null扫描。你可以从SCAN TYPES一节中察看相关细节。nmap还提供一些实用功能如通过tcp/ip来甄别操作系统类型、秘密扫描、动态延迟和重发、平行扫描、通过并行的PING侦测下属的主机、欺骗扫描、端口过滤探测、直接的RPC扫描、分布扫描、灵活的目标选择以及端口的描述。图1 图2

图3 1）解压nmap-4.00-win32.zip，安装WinPcap 运行cmd.exe，熟悉nmap命令(详见“Nmap详解.mht”)。图4

网络协议分析软件的使用实验报告

实验报告项目名称：网络协议分析工具的使用课程名称：计算机网络B 班级：姓名：学号：教师：信息工程学院测控系

一、实验目的基于网络协议分析工具Wireshark（原为Ethereal），通过多种网络应用的实际操作，学习和掌握不同网络协议数据包的分析方法，提高TCP/IP协议的分析能力和应用技能。二、实验前的准备 ● 二人一组，分组实验； ● 熟悉Ping、Tracert等命令，学习FTP、HTTP、SMTP和POP3协议； ● 安装软件工具Wireshark，并了解其功能、工作原理和使用方法； ● 安装任一种端口扫描工具； ● 阅读本实验的阅读文献；三、实验内容、要求和步骤 3.1 学习Wireshark工具的基本操作学习捕获选项的设置和使用，如考虑源主机和目的主机，正确设置Capture Filter；捕获后设置Display Filter。 3.2 PING命令的网络包捕获分析 PING命令是基于ICMP协议而工作的，发送4个包，正常返回4个包。以主机210.31.40.41为例，主要实验步骤为：（1）设置“捕获过滤”：在Capture Filter中填写host 210.31.38.94；（2）开始抓包；（3）在DOS下执行PING命令；（4）停止抓包。（5）设置“显示过滤”: IP.Addr=210.31.38.94 （6）选择某数据包，重点分析其协议部分，特别是协议首部内容，点开所有带+号的内容。（7）针对重要内容截屏，并解析协议字段中的内容，一并写入WORD文档中。

分析：从这个数据包的分析结果来看我们可以得知：数据包的到达时间为2013年11月28日14：43：15 帧的序号为20411 帧的长度为74bytes（592bits），同时抓取的长度也是74bytes，说明没有丢失数据目的MAC地址为00：25：11:：4b：7a：6e 源MAC地址为00：25：11：4b：7d：6e 使用的协议为Ipv4 网络层的首部长度为20bytes 目的Ip地址为222.31.38.94 源Ip地址为222.31.38.93 数据没有分片说明数据大小没有超过最大传输单元MUT，其中用到了ICMP协议，数据包的生存周期为128 头部校验和为0x01正确 ICMP的校验和为0x01序列号为2304 数据有32bytes 3.3 TRACERT命令数据捕获观察路由跳步过程。分别自行选择校内外2个目标主机。比如，（1）校内：tracert 210.31.32.8 （2）校外：tracert https://www.360docs.net/doc/f17097294.html,

网络扫描与网络嗅探工具的使用

网络扫描与网络嗅探一实验目的（1）理解网络嗅探和扫描器的工作机制和作用（2）使用抓包与协议分析工具Wireshark （3）掌握利用扫描器进行主动探测，收集目标信息的方法（4）掌握使用漏洞扫描器检测远程或本地主机安全性漏洞二实验环境 Windows xp操作系统平台，局域网环境网络抓包与协议分析工具Wireshark 扫描器软件：Superscan 三实验步骤使用Wireshark 抓包并进行协议分析（1）下载并安装软件，主界面如图（2）单击capture，打开interface接口选项，选择本地连接，如图

（3）使用Wireshark数据报获取，抓取TCP数据包并进行分析从抓取的数据包来看,首先关于本次分析的数据包是典型的TCP三次握手,如图所示: （4）TCP三次握手过程分析（以第一次握手为例）主机（172.16.1.64）发送一个连接请求到（172.16.0.1），第一个TCP包的格式如图所示：

第三行是ipv4的报文,网际协议IP是工作在网络层,也就是数据链路层的上层, IPv4报文中的源地址和目的地址是ip地址,版本号TCP是6，其格式为: 第四行是TCP报文,从上面两个可以知道,这个TCP包被层层包装,经过下面一层就相应的包装一层,第三段是经过传输层的数据,TCP报文的格式为: TCP的源端口2804也就是宿主机建立连接开出来的端口,目的端口8080。Sequence number同步序号，这里是0x3a 2a b7 bb,但这里显示的是相对值0。Acknowledgment number确认序号4bytes,为0,因为还是第一个握手包。Header Length头长度28字节,滑动窗口65535大小字节,校验和,紧急指针为0。Options选项8字节

实验yi：网络协议分析工具Wireshark的使用

实验一：一、实验目的学习使用网络协议分析工具Wireshark的方法，并用它来分析一些协议。二、实验原理和内容 1、tcp/ip协议族中网络层传输层应用层相关重要协议原理 2、网络协议分析工具Wireshark的工作原理和基本使用规则三、实验环境以及设备 Pc机、双绞线四、实验步骤（操作方法及思考题） 1.用Wireshark观察ARP协议以及ping命令的工作过程：（20分）（1）用“ipconfig”命令获得本机的MAC地址和缺省路由器的IP地址；（2）用“arp”命令清空本机的缓存；（3）运行Wireshark，开始捕获所有属于ARP协议或ICMP协议的，并且源或目的MAC地址是本机的包（提示：在设置过滤规则时需要使用（1）中获得的本机的MAC地址）; （4）执行命令：“ping 缺省路由器的IP地址”；写出（1），（2）中所执行的完整命令（包含命令行参数），（3）中需要设置的Wireshark的Capture Filter过滤规则，以及解释用Wireshark所观察到的执行（4）时网络上出现的现象。 -------------------------------------------------------------------------------- （1）ipconfig/all （2）arp –d （3）( arp or icmp ) and ether host 18-03-73-BC-70-51, ping 192.168.32.254 后的截包信息图片：

首先，通过ARP找到所ping机器的ip地址，本机器发送一个广播包，在子网中查询192.168.32.254的MAC地址，然后一个节点发送了响应该查询的ARP分组，告知及其所查询的MAC地址。接下来，本机器发送3个请求的ICMP报文，目的地段回复了三个响应请求的应答ICMP报文。在最后对请求主机对应的MAC地址进行核查。 2.用Wireshark观察tracert命令的工作过程：（20分）（1）运行Wireshark, 开始捕获tracert命令中用到的消息；（2）执行“tracert -d https://www.360docs.net/doc/f17097294.html,” 根据Wireshark所观察到的现象思考并解释tracert的工作原理。 ----------------------------------------------------------- 实验室路由跟踪显示有6个路由器

IP协议分析实验报告

计算机网络实验报告实验名称： IP协议分析实验分组号：实验人：郑微微班级： 12计算机科学系本四B班学号：实验指导教师：阮锦新实验场地：网络实验室706 实验时间： 2014年11月 17号成绩：

一、实验目的 1、掌握IP协议分析的方法 2、掌握TCP/IP体系结构 3、加深网络层协议的理解 4、学会使用网络分析工具二、实验要求 1、实验前下载安装Ethereal/Wireshark/Sniffer中的一款网络分析工具软件 2、了解网络分析工具软件的常见功能与常见操作 3、每位学生必须独立完成所有实验环节三、实验环境 1、操作系统：Windows XP/Windows 7/Windows 2008 2、已安装网络分析工具软件 3、PC机能访问互联网四、实验内容及原理 1、实验内容 (1)IP头的结构 (2)IP报文分析 2、实验原理网络之间互连的协议（Internet Protocol,IP）就是为计算机网络相互连接进行通信而设计的协议。在因特网中，它是能使连接到网上的所有计算机网络实现相互通信的一套规则，规定了计算机在因特网上进行通信时应当遵守的规则。任何厂家生产的计算机系统，只要遵守IP协议就可以与因特网互连互通。 IP报文由报头和数据两部分组成，如图1所示：

图1 IP报文格式五、需求分析 IP协议是TCP/IP体系中两个主要的协议之一，而IP地址位于IP数据报的首部，在网络层及以上使用的是IP地址，因此在数据链路层是看不见数据报的IP地址，另外首部的前一部分是固定长度，共20字节。在TCP/IP的标准中，各种数据格式常以32位为单位来描述，通过分析IP数据报的格式就能够知道IP协议都具有哪些功能。六、实验步骤 1、打开网络分析工具软件 2、抓取浏览器数据包 (1)启动网络分析工具软件，设置抓包过滤条件。 (2)启动浏览器，在地址栏输入要访问的IP地址。 (3)关闭浏览器，停止抓包。 (4)存储所捕获的数据包。 (5)分析数据包。七、实验分析 1.启动网络分析工具软件，设置抓包过滤条件为“==”

网络协议分析期末考试

2008-2009学年第一学期网络协议分析期末试卷（A卷）参考答案第一题判断题（20小题，共20分，对打错打X） 1. 没有完成两个数据包握手称为双向“握手”，是一种不安全的进程。（V） 2. 查阅网上对象所有域名和地址的术语称为统一资源定位符URL （X ） 3. 动态端口也叫临时端口。（V） 4. 用于描述DNS数据库段的数据是一种ASCII文本数据。（V） 5.SOCKS!—种Socket 的实现机制。（X ） 6. 区分服务也叫分用服务，传输层用于向上传送通信数据。（X ） 7. RIPV2最多有15个网络直径，OSPFv2最多有128个网络直径。（X ） 8. DHCP向应消息包含DHCP#求消息。（V） 9. 定界符是PDU的有效数据。（V ） 10. ARPA是一种与Mac地址及IP地址相关的一种协议。（X ） 11. 地址请求是一种ARP服务请求。（X ） 12. 可接收的使用策略AUP是一种格式文档策略。（V ） 13. Apple Talk是一种组安全策略协议。（X ） 14. 权威服务器是PKI中一种发放安全证书的服务器。（X ） 15. 自治系统是一组单一管理权限下的路由器。（V ） 16. 区分服务也叫分用服务，传输层用于向上传送通信数据。（X ） 17. 带宽是一种跨网络信息数量的评估数据。（V ） 18. 绑定确认是一种必选数据。（X ）

19. 定界符是PDU的有效数据。（V ）

20. 黑洞是数据包无记录丢失的网络节点。第二题单项选择题（ 20 小题，共 20 分）面关于 ARP 协议的功能论述正确的是（ C ）。协议边界和 OS 边界; C 、数据单元边界和协议边界; A 、 ICMP 协议同 IP 协议一样位于网络层； B 、 Traceroute 和Ping 命令进行网络检测时使用ICMP 报文; C 、 ICMP 协议可以被黑客用来探查主机的开放端口； D 、 ICMP 协议可以完成主机重定向功能。 7、下面关于 IP 协议和 UDP 协议论述正确的是（ B ） 1、 A 、ARP 协议根据本地主机的 IP 地址获取远程主机的 MAC 地址； B 、ARP 协议根据远程主机的 MA C 地址获取本地主机的 IP 地址； C 、ARP 协议根据本地主机的 D 、 A RP 协议根据本地主机的 IP 地址获取本主机的 MAC 地址； MAC 地址获取本主机的 IP 地址； 2、计算机网络体系结构在逻辑功能构成上存在有两个边界，它们是（ B ）。 A 、协议栈边界和操作系统边界； B 、 D 、 3、操作系统边界和协议栈分层边界; 下面 WAN 或 LAN 网络中关于主机数量论述不正确的是（ C ）。 A 、网络中使用的协议类型越多，网络中的主机数就越少；网络中划分的物理区域越多，网络中的主机数就越少; C 、网络中划分的广播区域越多，网络中的主机数就越少; B 、 D 、网络中使用2层交换机越多，网络中的主机数就越少; 4、 B 类网络 172.16.0.0的广播地址是（ C ）。 A 、172.16.0.1 B 、172.16.0.255 C 、172.16.255.255 D 、172.16.255.0 5、在进行网络 IP 地址配置时，有时会发生 IP 地址是否冲突的网络协议是（ A ） IP 地址冲突， TCP/IP 协议族中检查 A 、ARP 协议 B 、PARP 协议 C 、 IP 协议 D 、 802.x 协议 6、下面关于 ICMP 协议论述不正确的是（ C ）。

实验八--网络性能监测分析工具Sniffer捕获高层协议数据包并分析

实验八-网络性能监测分析工具Sniffer捕获高层协议数据包并分析实验目的：使用Sniffer抓取ftp的数据报分析FTP的三次“握手”的过程。分析FTP客户端和服务器端通信过程实验环境：Windows环境下常用的协议分析工具：sniffer 搭建Serv-U FTP Server，在计算机上建立FTP服务器 VMware虚拟机，用虚拟机进行登录FTP。实验内容和步骤: 1．建立网络环境。用Serv-U FTP Server在计算机上建立一台FTP服务器，设置IP地址为：192.168.0.10。在Serv-U FTP Server中已设定用户xyz，密码123123。（也可以自行设定其他帐号） 2．在此计算机上安装了sniffer。 3．启动该机器上的虚拟机作为一台FTP客户端，设置IP地址为：192.168.0.12。 4．使用ping命令看是否连通。记录结果。 5．使用虚拟机登录FTP服务器。 6．运行sniffer嗅探器，并在虚拟机的“运行”中输入ftp://192.168.0.10，点确定后出现如下图的登录窗口：在登录窗口中输入：用户名（xyz），密码（123123） 7．使用sniffer抓包，再在sniffer软件界面点击“stop and display”，选择“Decode”选项，完成FTP命令操作过程数据包

的捕获。 8.在sniffer嗅探器软件上点击Objects可看到下图，再点击“DECODE(反解码)。记录FTP三次握手信息，写出判断这三个数据包的依据（如syn及ack）。记录端口信息等内容。 9．找出数据包中包含FTPUSER命令的数据包，记录显示的用户名。10．捕获用户发送PASS命令的数据包，记录显示的密码。 11．找出FTP服务器端与客户端端口20进行三次握手打开数据传输。记录数据信息。

网络协议分析最终版

中南林业科技大学实验报告课程名称：网络协议与分析姓名：项学静学号：20104422 专业班级：2010级计算机科学与技术系（院）：计算机与信息工程学院实验时间：2013年下学期实验地点：电子信息楼602机房

实验一点到点协议PPP 一、实验目的 1．理解PPP协议的工作原理及作用。 2．练习PPP，CHAP的配置。 3．验证PPP,CHAP的工作原理。二、实验环境 1．安装windows操作系统的PC计算机。 2．Boson NetSim模拟仿真软件。三、实验步骤 1、绘制实验拓扑图利用Boson Network Designer绘制实验网络拓扑图如图1-1。本实验选择两台4500型号的路由器。同时，采用Serial串行方式连接两台路由器，并选择点到点类型。其中DCE端可以任意选择，对于DCE端路由器的接口(Serial 0/0)需要配置时钟信号（这里用R1的Serial 0/0作为DCE端）。 2、配置路由器基本参数

绘制完实验拓扑图后，可将其保存并装入Boson NetSim中开始试验配置。配置时点击Boson NetSim程序工具栏按钮eRouters,选择R1 并按下面的过程进行路由器1的基本参数配置： Router>enable Router#conf t Router(config)#host R1 R1(config)#enable secret c1 R1(config)#line vty 0 4 R1(config-line)#password c2 R1(config-line)#interface serial 0/0 R1(config-if)#ip address 192.168.0.1 255.255.255.0 R1(config-if)#clock rate 64000 R1(config-if)#no shutdown R1(config-if)#end R1#copy running-config startup-config 点击工具栏按钮eRouters，选择R2并按下面过程进行路由器的基本参数配置：Router>enable Router#conf t Router(config)#host R2

实验报告-网络扫描与监听

信息安全实验报告学号：学生姓名：班级：

实验一网络扫描与监听一、实验目的网络扫描是对整个目标网络或单台主机进行全面、快速、准确的获取信息的必要手段。通过网络扫描发现对方，获取对方的信息是进行网络攻防的前提。该实验使学生了解网络扫描的内容，通过主机漏洞扫描发现目标主机存在的漏洞，通过端口扫描发现目标主机的开放端口和服务，通过操作系统类型扫描判断目标主机的操作系统类型。通过该实验，了解网络扫描的作用，掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法，能够通过网络扫描发现对方的信息和是否存在漏洞。要求能够综合使用以上的方法来获取目标主机的信息。而网络监听可以获知被监听用户的敏感信息。通过实验使学生了解网络监听的实现原理，掌握网络监听软件的使用方法，以及对网络中可能存在的嗅探结点进行判断的原理。掌握网络监听工具的安装、使用，能够发现监听数据中的有价值信息，了解网络中是否存在嗅探结点的判断方法及其使用。二、实验要求基本要求了解网络扫描的作用，掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法，能够通过网络扫描发现对方的信息和是否存在漏洞。掌握网络监听工具的安装、使用，能够发现监听数据中的有价值信息等。提高要求能够对网络中可能存在的嗅探结点进行判断的方法及工具使用等。三、实验步骤 1）扫描软件X-Scan 和Nmap 以及WinPcap 驱动安装包并安装。 2）打开X-Scan，如下图所示。 3）点击“设置”->“扫描参数”，弹出扫描参数设置对话框，在“指定IP 范围”输入被扫描的IP 地址或地址范围。在“全局设置”的“扫描模块”设置对话框中选择需要检测的模块。其他可以使用默认的设置，也可以根据实际需要进行选择。最后点击“确定”回到主界面。

网络协议分析实验报告样本

网络协议分析实验报告样本网络协议分析实验报告本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。实验报告99实验名称网络协议分析姓名学号班级313计本班实验目的掌握常用的抓包软件，了解EtherV 2、ARP、P IP协议的结构。实验内容 11、分析2EtherV2协议 22、分析P ARP协议 33、分析P IP协议实验步骤 11、在S DOS状态下，运行ipconfig，记录本机的IP地址和硬件地址，网关的IP地址。如下图11所示::本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。图图 12、分析数据链路层协议（（1）、在:PC1的“运行”对话框中输入命令“Ping192.168.191.1,单击“Enter”按钮；图如下图2所示:图图2（（2）、在本机上运行wireshark截获报文，为了只截获和实验内容有关的报文，将Ethereal的的Captrue Filter设置为“No

Broadcastand noMulticast”；如下图3所示:本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。图图3 （33）停止截获报文::将结果保存为MAC--学号，并对截获的报文进行分析:11）列出截获的报文中的协议类型，观察这些协议之间的关系。答::a a、UDP:用户数据包协议，它和P TCP一样位于传输层，和P IP协议配合使用，。在传输数据时省去包头，但它不能提供数据包的重传，所以适合传输较短的文件。 b b、WSP:是无线局域网领域推出的新协议，用来方便安全地建立无线连接。 c c、ARP:地址解析协议，实现通过P IP地址得知其物理地址。在P TCP/IP网络环境下，每个主机都分配了一个232位的P IP 地址，这种互联网地址是在网际范围标本文档所提供的信息仅供参考之用，不能作为科学依据，请勿模仿。文档如有不当之处，请联系本人或网站删除。识主机的一种逻辑地址。为了让报文在物理网路上传送，必须知道对方目的主机的物理地址。这样就存在把P IP地址变换成物理地址的地址转换问题。

实验八信息搜集和网络嗅探网络与信息安全实验报告

实验八信息搜集和网络嗅探同组实验者实验日期成绩练习一信息搜集实验目的 1.了解信息搜集的一般步骤；2.学会熟练使用ping命令；3.学会利用Nmap等工具进行信息搜集实验人数每组2人系统环境Windows；Linux 网络环境企业网络结构实验工具Nmap、网络协议分析器实验类型验证型一、实验原理详见“信息安全实验平台”，“实验13”，“练习一”。二、实验步骤本练习主机A、B为一组，C、D为一组，E、F为一组。实验角色说明如下：下面以主机A、B为例，说明实验步骤。首先使用“快照X”恢复Windows/Linux系统环境。一．信息搜集此实验主机A可与B同时相互搜集对方信息，下面的步骤以主机A为例讲解。 1. ping探测主机A开启命令行，对主机B进行ping探测，根据主机B的回复，可以确定主机A 和主机B之间的连通情况，还可以根据回复数据包的TTL值对操作系统进行猜测。回复数据包的TTL值：_______________，主机B操作系统可能为：________________。 2. Nmap扫描（1）对活动主机进行端口扫描主机A使用Nmap工具对主机B进行TCP端口同步扫描（范围1-150）： Nmap命令________________________________________________________________；主机B开放的TCP端口__________________________________________________。对主机B进行UDP端口扫描（范围是110-140）：

Nmap命令________________________________________________________________；主机B开放的UDP端口__________________________________________________。（2）对活动主机操作系统进行探测主机A对主机B进行TCP/IP指纹特征扫描： Nmap命令________________________________________________________________；查看扫描结果____________________________________________________________。（3）对活动主机运行服务进行探测主机A单击平台工具栏“协议分析器”按钮，启动协议分析器进行数据包捕获。打开IE 在地址栏中输入http://主机B的IP，访问主机B的web服务，停止协议分析器，查看捕获结果。图1可做为参考。图1 HTTP会话分析由图1可判断目标主机web服务使用的软件类型是______________________________。请探测目标主机FTP服务使用的软件类型是____________________________________。（4）对活动主机IP协议进行探测主机A使用Nmap命令对主机B进行IP协议探测： Nmap命令________________________________________________________________；查看扫描结果____________________________________________________________。 3. 探测总结根据上述实验所得结果，填写表1。

实验十五 网络嗅探与Tcp协议分析