网络数据包的听与分析

实验2 网络数据包的监听与分析一实验目的1.掌握使用Wireshark软件监听和捕获网络数据包。

2.掌握通过实际观察网络数据进行分析而了解网络协议运行情况。

二实验要求1.设备要求：计算机若干台（装有Windows 2000/XP/2003操作系统、装有网卡），局域网环境，主机装有Wireshark工具。

2.每组1人，独立完成。

三实验预备知识1.Wireshark简介Wireshark是一个开放源码的网络分析系统，也是是目前最好的开放源码的网络协议分析软件之一，支持Linux和Windows平台，支持500多种协议分析。

网络分析系统首先依赖于一套捕捉网络数据包的函数库。

这套函数库工作在在网络分析系统模块的最底层。

作用是从网卡取得数据包或者根据过滤规则取出数据包的子集，再转交给上层分析模块。

从协议上说，这套函数库将一个数据包从链路层接收，将其还原至传输层以上，以供上层分析。

在Linux系统中，1992年Lawrence Berkeley Lab的Steven McCanne 和Van Jacobson提出了包过滤器，称之为BPF（BSD Packet Filter），设计了基于BPF的捕包函数库Libpcap。

在Window系统中，意大利人Fulvio Risso和Loris Degioanni提出并实现了Winpcap函数库，其实现思想来源于BPF。

2.Wireshark的简单操作方法安装Wireshark之前，需要安装Winpcap，安装过程比较简单。

安装完成后，启动Wireshark，如图2.1所示。

图2.1 启动Wireshark后的界面设置Capture选项。

选择“Capture”-“Options”，弹出“Capture Options”界面，设置完成后点击“Capture”而开始捕获数据，如图2.2所示。

图2.2 “Capture Options”界面在“Capture Options”界面中，主要选项如下：•“Interface”是要求选择在哪个接口（网卡）上抓包。

计算机与信息科学学院实验报告（2012—2013学年第一学期）课程名称：网络安全实验班级：学号：姓名：任课教师：计算机与信息科学学院实验报告（二）、实验步骤：1、安装Wireshark（1）双击文件夹中的可执行文件，如图1所示。

图1 Wireshark的可执行文件(2)该对话框时一个安装提示，如果之前没有安装过该文件，则点击下一步，如图2所示。

图2 确认对话框（3）图3所示是一个关于该软件的许可证说明，可以忽略，点击下一步。

图3 Wireshark的许可说明（4）在图4中罗列出来的是一些可选安装组件，可根据实际需要选择安装图4 选择安装组件（5）以下是关于该软件的图标创建位置和支持的文件拓展，图标部分可根据实际情况选择，然后点击下一步，如图5所示。

图5 快捷方式（6）程序的安装位置，这里选择默认，点击下一步。

图6 程序安装位置（7）安装WinPcap插件，在这一步必须勾选安装，不然无法进行以下的实验。

图7 勾选WinPcap插件（8）下面开始进入WinPcaP插件的安装过程，点击下一步，如图8所示。

图8 安装WinPcaP（9）这一步是对WincaP插件的介绍，可以不用理会，继续下一步。

图9 WinPcaP介绍（10）WinPcaP的许可协议，点击“I Agren”，如图10所示。

图10 许可协议（10）在系统引导时自动启动该插件，默认选择，点击“Install”，如图11所示。

图11 WinPcaP的自动启动（11）经过了那么多步，终于到尽头了。

直接点“Finish”，结束WinPcaP的安装。

图12 WinPcaP安装结束（12）插件安装完了，点击下一步，如图13所示。

图13 Wireshark安装结束（13）Wireshark安装的最后一步，勾选“Run Wireshark……”，点击“Finish”图14 Wireshark成功安装2、Wireshark的基本操作（1）在ip为192.168.0.4的虚拟主机上双击安装好的Wireshark可执行文件“Wireshake.exe”，弹出Wireshark操作界面。

摘要本文主要阐述了目前网络安全的现状、缺陷、面临的威胁，提出了相应的防范措施，并介绍了网络的常用协议。

然后又介绍了WINSOCK技术和监听原理，并对最广泛的监听工具sniffer做了简单的概述。

基于当前网络很多威胁都是来自与自己电脑的漏洞与自己不能够清楚的察觉到自己电脑是否正在被侵犯，虽然防火墙可以提供帮助，但它不能对低层的东西显示给大家。

本文主要研究的是对局域网的数据包监听并分析，采用WINSOCK技术实现的。

在此工具中主要有监听和IP数据包分析2大主要功能，并能通过窗体清楚的显示出来。

它使人们可以每时每刻观察到进入自己电脑的数据包，并能够观察到进行数据交流时对方的IP地址和所开放的端口号，及时对信息明朗化，预防黑客端口的监听。

关键词：网络安全监听工具winsock技术IP数据包Vc++AbstractThis text has explained the current situation , defect , threat faced of the online security at present mainly, have put forward the corresponding precautionary measures, has introduced the daily agreement of the network. Recommend winsock technology and monitor principle , monitor to a most extensive one tool sniffer make the simple summary。

On the basis of network a lot of threat to come from with one's own loophole and oneself of computer can not clear perceiving whether one's own computer is being infringed at present, though the fire wall can offer help , it can't show to the thing of the lower to everybody . Main research of this text is wrapping up and monitoring and analysing about the data of the lan, adopt wincock technology to realize.Monitor and wrap up and analyse 2 great main functions with ip data mainly in tool once, and can come out through the display that the window body is clear . Its people can observe all the time the data which enter one's own computer are chartered , and can observe the other side's ip address and end slogans opened while exchanging the data , clear to information in time, prevent the monitoring of black ports.Key words: network security monitor tool winsock technology ip data pack vc++目录摘要 (I)Abstract (II)目录 (III)引言 (1)1 网络安全面临的威胁 (2)1.1 什么是网络安全 (2)1.2 网络安全隐患与威胁 (2)1.3 几种常见的威胁类型 (4)1.4 威胁我国网络安全的4个因素 (5)2 网络协议 (7)3 WINSOCK技术与监听原理 (11)3.1 WINSOCK技术概述 (11)3.2 局域网与以太网监听原理 (14)4 sniffer (17)4.1 sniffer概述 (17)4.2 怎样防范sniffer (18)5 基于WINSOCK技术捕获IP包工具的设计与实现 (22)5.1 系统概述 (22)5.2 系统概要设计 (22)5.3 系统主要功能介绍 (24)5.4 实例分析 (28)5.5 数据包首部解析 (29)结论 (31)参考文献 (33)附录 (34)谢辞 (38)引言网络安全正在日益受到广大的计算机用户的关注，特别是“9.11“事件的影响让我们对网络的安全有了更深一层的认识。

tcpdump使用方法tcpdump是一种网络封包分析工具，使用命令行界面进行操作。

它可以监听网络接口传输的数据包，并将其显示在终端上。

tcpdump是一个功能强大的工具，可以用于网络排错、协议分析、安全审计等多种用途。

下面将详细介绍tcpdump的使用方法。

1. 安装tcpdump```sudo apt-get install tcpdump```2. 使用tcpdump命令```sudo tcpdump [options] [expression]```其中，options是一些可选项，expression是过滤器表达式。

3.监听所有网络接口使用tcpdump监听所有网络接口的数据包，可以使用以下命令：```sudo tcpdump```这将显示所有接口传输的数据包。

4.监听指定网络接口使用tcpdump监听指定网络接口的数据包，可以使用以下命令：```sudo tcpdump -i eth0```这将监听名为eth0的网络接口的数据包。

5.保存数据包到文件使用tcpdump将捕获到的数据包保存到文件，可以使用以下命令：```sudo tcpdump -w output.pcap```这将将数据包保存到名为output.pcap的文件中。

6.读取保存的数据包文件使用tcpdump读取保存的数据包文件，可以使用以下命令：```sudo tcpdump -r input.pcap```这将读取名为input.pcap的文件中的数据包。

7.过滤数据包使用tcpdump可以根据特定的条件对数据包进行过滤，只显示满足条件的数据包。

以下是一些常用的过滤器表达式示例：-过滤源IP地址：```sudo tcpdump src 192.168.1.1```-过滤目标IP地址：```sudo tcpdump dst 192.168.1.1```-过滤源和目标IP地址：```sudo tcpdump host 192.168.1.1```-过滤指定端口：```sudo tcpdump port 80```-过滤指定协议：```sudo tcpdump icmp```8.显示数据包详细信息使用tcpdump可以显示每个数据包的详细信息。

tcpdump工作原理TCPDump工作原理TCPDump是一种网络抓包工具，它可以捕获网络数据包并将其显示在终端上。

它是一个命令行工具，可以在Linux、Unix和Mac OS X等操作系统上使用。

TCPDump的工作原理是通过监听网络接口来捕获网络数据包，并将其解析成可读的格式。

TCPDump的工作原理可以分为以下几个步骤：1. 监听网络接口TCPDump通过监听网络接口来捕获网络数据包。

它可以监听多个网络接口，例如eth0、wlan0等。

当有数据包经过监听的网络接口时，TCPDump就会捕获这些数据包。

2. 解析数据包TCPDump捕获的数据包是二进制格式的，需要进行解析才能变成可读的格式。

TCPDump使用libpcap库来解析数据包。

libpcap是一个网络抓包库，它可以在多个操作系统上使用。

TCPDump使用libpcap来解析数据包的头部信息，例如源IP地址、目的IP地址、协议类型等。

3. 过滤数据包TCPDump可以根据用户指定的过滤条件来过滤数据包。

过滤条件可以是协议类型、源IP地址、目的IP地址、端口号等。

TCPDump 使用BPF过滤器来过滤数据包。

BPF过滤器是一种基于指令的过滤器，它可以根据用户指定的过滤条件来过滤数据包。

4. 显示数据包TCPDump将过滤后的数据包显示在终端上。

它可以显示数据包的头部信息和数据部分。

数据包的头部信息包括源IP地址、目的IP 地址、协议类型、端口号等。

数据部分是数据包的实际内容，例如HTTP请求、SMTP邮件等。

总结TCPDump是一种强大的网络抓包工具，它可以捕获网络数据包并将其解析成可读的格式。

TCPDump的工作原理是通过监听网络接口来捕获网络数据包，并使用libpcap库来解析数据包。

TCPDump可以根据用户指定的过滤条件来过滤数据包，并将过滤后的数据包显示在终端上。

TCPDump是一种命令行工具，需要一定的技术水平才能使用。

编者按: 网络监听，可以有效地对网络数据、流量进行侦听、分析，从而排除网络故障，但它同时又带来了信息失窃等极大隐患，也因此，网络监听成为了一个普通的网络管理员想真正成长为资深的网络工程师的必经之路。

网络监听，在网络安全上一直是一个比较敏感的话题，作为一种发展比较成熟的技术，监听在协助网络管理员监测网络传输数据，排除网络故障等方面具有不可替代的作用，因而一直倍受网络管理员的青睐。

然而，在另一方面网络监听也给以太网安全带来了极大的隐患，许多的网络入侵往往都伴随着以太网内网络监听行为，从而造成口令失窃，敏感数据被截获等等连锁性安全事件。

网络监听在安全领域引起人们普遍注意是在94年开始的，在那一年2月间，相继发生了几次大的安全事件，一个不知名的人在众多的主机和骨干网络设备上安装了网络监听软件，利用它对美国骨干互联网和军方网窃取了超过100000个有效的用户名和口令。

上述事件可能是互联网上最早期的大规模的网络监听事件了，它使早期网络监听从"地下"走向了公开，并迅速的在大众中普及开来。

关于网络监听常常会有一些有意思的问题，如："我现在有连在网上的计算机了，我也有了窃听的软件了，那么我能不能窃听到微软（或者美国国防部，新浪网等等）的密码？又如：我是公司的局域网管理员，我知道hub很不安全，使用hub这种网络结构将公司的计算计互连起来，会使网络监听变得非常容易，那么我们就换掉h ub，使用交换机，不就能解决口令失窃这种安全问题了么？这是两个很有意思的问题，我们在这里先不做回答，相信读者看完全文后会有自己正确的答案。

基本概念：认清mac地址和ip地址首先，我们知道，一台接在以太网内的计算机为了和其他主机进行通讯，在硬件上是需要网卡，在软件上是需要网卡驱动程序的。

而每块网卡在出厂时都有一个唯一的不与世界上任何一块网卡重复的硬件地址，称为mac地址。

同时，当网络中两台主机在实现tcp/ip通讯时，网卡还必须绑定一个唯一的ip地址。

抓包工具原理抓包工具（Packet Sniffer）是一种用于网络数据分析和网络故障排查的网络工具。

它通过监听和捕获网络传输中的数据包，以便分析和查看网络通信过程中的实际数据内容。

下面将详细介绍抓包工具的原理。

抓包工具的原理可以总结为以下几个步骤：1.网络接口监听：抓包工具通过监听网络接口，例如网卡，以便捕获通过该接口发送和接收的数据包。

它可以在本地机器上的特定接口上进行监听，或者通过集线器、交换机或路由器等中间设备来监听整个网络的数据流。

2.数据包捕获：当抓包工具监听到网络接口上的流量时，它会实时捕获所有经过该接口的数据包。

这些数据包可能是TCP、UDP、ICMP或其他协议的包，也可能是应用层协议的数据，如HTTP、FTP、SMTP等。

3. 数据包分析：抓包工具会对捕获到的数据包进行解析和分析。

它可以提取包头信息，如源IP地址、目的IP地址、源端口号、目的端口号、协议类型等。

同时，它还可以将包体数据（Payload）以某种格式（如十六进制、ASCII等）呈现出来，以便用户查看和分析。

5.数据包重组：在进行数据包分析时，有些应用层协议的数据不止一个数据包，可能会被分成多个片段在网络上传输。

抓包工具可以重组这些片段，使用户能够看到完整的应用层数据内容。

抓包工具的实现涉及到操作系统网络协议栈的调用和底层网络接口的硬件支持。

它通常需要对网络接口进行混杂模式（Promiscuous Mode）或广播模式（Broadcast Mode）的设置，以便能够捕获本机以外的数据包。

总结起来，抓包工具通过监听和捕获网络接口上的数据包，然后对这些数据包进行分析、解析和过滤，从而帮助用户了解网络通信的细节和分析网络问题。

它是网络管理、网络安全和网络调试中不可或缺的工具之一。

实验名称网络监听与数据包修改工具使用练习实验目的通过实验，使学生掌握协议分析工具的使用方法，能够利用协议分析工具分析数据包的内容，更加深入理解IP/TCP/HTTP协议。

另外，了解Firefox浏览器调试工具以及netcat工具的基本使用方法。

实验平台以win2003为主机，ubuntu为服务器实验工具1. 掌握网络抓包分析工具WireShark的使用2. 掌握IP/TCP/HTTP协议分析技能3. 掌握Firefox浏览器调试工具的使用4. 掌握netcat工具的使用实验步骤【实验原理】WiresharkWireshark是一个有名的网络端口探测器，是可以在Windows、Unix等各种平台运行的网络监听软件，它主要是针对TCP/IP协议的不安全性对运行该协议的机器进行监听。

其功能相当于Windows下的Sniffer，都是在一个共享的网络环境下对数据包进行捕捉和分析，而且还能够自由地为其增加某些插件以实现额外功能。

其最常用的功能是被攻击者用来检测被攻击电脑通过23（telnet）和110（pop3）端口进行的一些明文传输数据，以轻松得到用户的登录口令和邮件账号密码。

对于网络管理员来说，也可以通过抓包分析，来确定一些异常的流量和局域网内部的非正常用户与外界的通信，比如说对于现在比较占用网络带宽的诸如Bit Torrent等P2P应用软件流量，通过使用该软件确定这些流量，网络管理员就可以使用流量控制（TC）的方法来规范、合理的分配带宽资源，提高网络的利用率。

Wireshark可以在/download/ 上下载，该软件有极其方便和友好的图形用户界面，并且能够使得用户通过图形界面的配置和选择，针对多块网卡、多个协议进行显示，效果非常好。

目前最新版本为：Wireshark 0.99。

Wireshark安装后自动安装winpcap 4.0 ，Winpcap是UNIX下的libpcap移植到windows下的产物,他是一个GPL项目。