Wireshark抓包实例分析报告
wireshark抓包实验报告
wireshark抓包实验报告Wireshark抓包实验报告1. 实验简介本次实验旨在通过使用Wireshark软件进行网络抓包,深入了解网络通信过程中的数据传输和协议交互。
通过分析抓包数据,我们可以了解网络流量的组成、协议的运作方式以及网络安全的相关问题。
2. 实验准备在进行实验之前,我们需要准备一台运行Wireshark软件的计算机,并连接到一个网络环境中。
Wireshark是一款开源的网络协议分析工具,可以在各种操作系统上运行。
安装并配置好Wireshark后,我们就可以开始进行抓包实验了。
3. 实验步骤3.1 启动Wireshark打开Wireshark软件,选择需要抓包的网络接口。
Wireshark会监听该接口上的所有网络流量,并将其显示在界面上。
3.2 开始抓包点击“开始”按钮,Wireshark开始抓取网络数据包。
此时,我们可以看到界面上实时显示的数据包信息,包括源地址、目标地址、协议类型等。
3.3 过滤抓包数据由于网络流量非常庞大,我们可以使用过滤器来筛选出我们感兴趣的数据包。
Wireshark提供了丰富的过滤器选项,可以根据协议、源地址、目标地址等条件进行过滤。
3.4 分析抓包数据选中某个数据包后,Wireshark会显示其详细信息,包括协议分层、数据字段等。
通过分析这些信息,我们可以了解数据包的结构和内容,进一步了解网络通信的细节。
4. 实验结果与讨论在实验过程中,我们抓取了一段时间内的网络流量,并进行了分析。
通过对抓包数据的观察和解读,我们得出了以下几点结果和讨论:4.1 协议分层在抓包数据中,我们可以清晰地看到各种协议的分层结构。
从物理层到应用层,每个协议都承担着不同的功能和责任。
通过分析协议分层,我们可以了解协议之间的关系,以及它们在网络通信中的作用。
4.2 数据传输过程通过分析抓包数据,我们可以追踪数据在网络中的传输过程。
我们可以看到数据包从源地址发送到目标地址的路径,了解中间经过的路由器和交换机等设备。
Wireshark抓包实例分析
Wireshark抓包实例分析通信工程学院010611班赖宇超01061093一.实验目的1.初步掌握Wireshark的使用方法,熟悉其基本设置,尤其是Capture Filter和Display Filter 的使用。
2.通过对Wireshark抓包实例进行分析,进一步加深对各类常用网络协议的理解,如:TCP、UDP、IP、SMTP、POP、FTP、TLS等。
3.进一步培养理论联系实际,知行合一的学术精神。
二.实验原理1.用Wireshark软件抓取本地PC的数据包,并观察其主要使用了哪些网络协议。
2.查找资料,了解相关网络协议的提出背景,帧格式,主要功能等。
3.根据所获数据包的内容分析相关协议,从而加深对常用网络协议理解。
三.实验环境1.系统环境:Windows 7 Build 71002.浏览器:IE83.Wireshark:V 1.1.24.Winpcap:V 4.0.2四.实验步骤1.Wireshark简介Wireshark(原Ethereal)是一个网络封包分析软件。
其主要功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。
其使用目的包括:网络管理员检测网络问题,网络安全工程师检查资讯安全相关问题,开发者为新的通讯协定除错,普通使用者学习网络协议的相关知识……当然,有的人也会用它来寻找一些敏感信息。
值得注意的是,Wireshark并不是入侵检测软件(Intrusion Detection Software,IDS)。
对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。
然而,仔细分析Wireshark 撷取的封包能够帮助使用者对于网络行为有更清楚的了解。
Wireshark不会对网络封包产生内容的修改,它只会反映出目前流通的封包资讯。
Wireshark本身也不会送出封包至网络上。
2.实例实例1:计算机是如何连接到网络的?一台计算机是如何连接到网络的?其间采用了哪些协议?Wireshark将用事实告诉我们真相。
电子科大网络安全实验2Wireshark抓包分析实验完整分析
电⼦科⼤⽹络安全实验2Wireshark抓包分析实验完整分析实验2 Wireshark抓包分析实验⼀、实验原理TCP三次握⼿准则介绍TCP是因特⽹中的传输层协议,使⽤三次握⼿协议建⽴连接。
当主动⽅发出SYN连接请求后,等待对⽅回答SYN,ACK。
这种建⽴连接的⽅法可以防⽌产⽣错误的连接,TCP使⽤的流量控制协议是可变⼤⼩的滑动窗⼝协议。
第⼀次握⼿:建⽴连接时,客户端发送SYN包(SEQ=x)到服务器,并进⼊SYN_SEND状态,等待服务器确认。
第⼆次握⼿:服务器收到SYN包,必须确认客户的SYN(ACK=x+1),同时⾃⼰也送⼀个SYN包(SEQ=y),即SYN+ACK包,此时服务器进⼊SYN_RECV状态。
第三次握⼿:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ACK=y+1),此包发送完毕,客户端和服务器进⼊Established状态,完成三次握⼿。
HTTP协议介绍HTTP协议⽤于在Internet上发送和接收消息。
HTTP协议是⼀种请求-应答式的协议 ——客户端发送⼀个请求,服务器返回该请求的应答,所有的请求与应答都是HTTP包。
HTTP协议使⽤可靠的TCP 连接,默认端⼝是80。
HTTP的第⼀个版本是HTTP/0.9,后来发展到了HTTP/1.0,现在最新的版本是HTTP/1.1。
HTTP/1.1由RFC 2616 定义。
⼆、实验⽬的1、了解并会初步使⽤Wireshark,能在所⽤电脑上进⾏抓包。
2、了解IP数据包格式,能应⽤该软件分析数据包格式。
3、了解HTTP请求中的三次握⼿准则,并能利⽤该软件对该过程进⾏简要分析。
三、实验内容(1)安装wireshark软件,并使⽤该软件捕获HTTP请求中的报⽂,分析该过程中TCP建⽴连接的握⼿过程以及报头各字段的含义,记录实验结果和数据。
(2)尝试利⽤wireshark软件捕获Ping请求中的报⽂,并分析报⽂中各字段的含义,记录实验结果和数据。
Wireshark抓包实验
Wireshark抓包实验报告一、实验名称TCP报文分析二、实验目的利用wireshark抓包工具抓取网络数据包,分析传输层TCP协议,加强对教材知识的理解,特别是TCP连接的特征,三次握手建立连接,累计确认方式,以及报文段的数据结构。
三、实验要求1、分析TCP建立连接和关闭连接的握手阶段及标识符的值;2、分析数据传输过程中的变化;3、分析报头各字段;四、实验内容(一)建立连接三次握手1)源主机向目的主机发送连接请求报头:源端口号:4612目的端口号:http(80)序列号:0(源主机选择0作为起始序号)报头长度:28字节标志位:仅SYN设为1,请求建立连接,ACK:not set 窗口大小:16384字节选项字段:8字节2)目的主机返回确认信号报头:源端口号:http(80)目的端口号:4612序列号:0(目的主机选择0作为起始序号)报头长度:28字节标志位:SYN设为1,ACK设为1,确认允许建立连接窗口大小:5720字节选项字段:8字节3)源主机再次返回确认信息,并可以携带数据报头:源端口号:4612目的端口号:http(80)序列号:1(发送的报文段编号)报头长度:22字节标志位:SYN=1,ACK=1窗口大小:16560字节(二)关闭连接四次握手1)源主机向目的主机发送关闭连接请求,FIN=12)目的主机返回确认信号,ACK=13)目的主机允许关闭连接,FIN=14)源主机返回确认信号,ACK=1五、总结及心得体会TCP协议是传输层的最重要的内容,面向连接,可靠传输,提供流量控制和拥塞控制,对TCP协议的理解和掌握有助于对网络层的学习。
通过抓包实验,对wireshark软件的操作更为熟练了,对教材所讲的内容也有了巩固。
(注:可编辑下载,若有不当之处,请指正,谢谢!)。
Wireshark网络抓包案例分析及方案
网络抓包方案一、硬件设备TL-SG2105工业级是TP-LINK专为工业环境设计的工业以太网交换机。
提供4个千兆自适应以太网接口和1个千兆SFP端口。
-40℃~75℃工作温度设计,无惧极端温度TL-SG2105工业级严格按照-40℃~75℃工作温度设计,精选工业级器件,采用自然散热方式,保证设备在此温度范围内长时间稳定工作,满足各类恶劣环境。
工业级防护设计高标准电磁抗干扰防护设计,适应电力、工业厂房等各种恶劣电磁环境。
铝合金外壳,化学镍金PCB板,大大提升设备防腐蚀性能。
壳体可通过IP30防护,减少粉尘对设备正常工作的影响。
9.6V~60VDC宽电压输入,多重电源保护支持三路电源同时接入,电源冗余供电,保证设备不间断工作。
支持9.6V~60VDC的宽电压输入,适配各种工业电源。
提供三种电源防护保护,大大提高交换机供电的可靠性。
精选器件PCB板采用化学镍金板,具有高抗腐蚀、抗氧化性能,电气性能更优异。
精选高规格长寿命日系电容,大幅度提升产品的使用寿命。
高冗余系统电路设计,避免外界环境突变影响设备正常工作。
采用TP-LINK严苛的工业级产测工艺,有效释放元器件电气应力,大幅提升设备可靠性。
紧凑型机身设计,金属外壳,高效散热机身大小仅137mm*100mm*38mm,可以非常方便安置在空间紧凑的工作柜中,高热导铝合金壳体,散热效果更优异。
DIN导轨安装,简便灵活TL-SG2105工业级可以方便地进行DIN导轨安装以及壁挂安装,可根据需求灵活选用安装方式,让工业级以太网交换机的使用变得简单可靠。
优异的设备兼容性TP-LINK已有数以亿计以上的各种以太网交换机设备运行在全球各地,服务各行各业,保证TP-LINK以太网交换机能兼容各类的网络设备与生产设备。
端口中断报警,实时监控端口工作状态TL-SG2105工业级提供端口报警功能,实时监控端口工作状态。
一旦端口断开连接,接线端子的报警输出端就会输出一路报警信号,通过用户外接的报警器提示用户有端口中断的情况发生。
Wireshark抓包实验报告!10
Wireshark抓包实验报告!10Wireshark是一款网络抓包工具,可以对网络通信进行实时分析和捕获数据包。
本实验使用Wireshark工具对HTTP协议进行抓包分析,对其协议报文格式、HTTP请求和响应分析等进行总结和说明。
一、实验环境和工具Wireshark版本:Wireshark 3.4.8操作系统:macOS Big Sur 11.2浏览器:Google Chrome 98.0.4758.102(64 位)二、实验内容本实验选择一个网站的首页进行抓包分析,抓取HTTP协议的请求和响应报文。
操作步骤如下:1. 打开浏览器,输入目标网站的URL,进入网站首页。
2. 打开Wireshark工具,选择需要抓包的网卡以及抓包过滤条件。
3. 在浏览器上刷新一次网页,等待网页加载完成。
4. 在Wireshark上停止抓包,对抓取到的数据进行分析。
三、实验结果1. HTTP协议报文格式HTTP协议报文由请求报文和响应报文两部分组成。
请求报文分为请求行、请求头和请求体三个部分,响应报文分为状态行、响应头和响应体三个部分。
具体格式如下:请求报文:请求行:方法URI HTTP/版本请求头:Header1:value1Header2:value2…请求体:Content-Type:typeContent-Length:lengthContent:data2. HTTP请求分析通过Wireshark抓取到的数据包,可以看到浏览器发送的HTTP请求报文。
请求报文的三个部分如下:请求体为空。
请求行包括请求方法、URI和HTTP版本号。
请求方法有GET、POST、HEAD、PUT、DELETE、OPTIONS等。
URI是请求的资源地址,如/表示根目录下的index.html文件。
HTTP 版本号有HTTP/1.0、HTTP/1.1等。
请求头包括Host、User-Agent、Accept、Accept-Encoding、Accept-Language等信息。
wireshark抓包实验报告总结
wireshark抓包实验报告总结一、实验目的本次实验的主要目的是学习Wireshark抓包工具的使用方法,掌握网络通信过程中数据包的组成和解析方式,以及了解常见网络协议的运行机制。
二、实验环境本次实验使用的操作系统为Windows 10,使用Wireshark版本为3.4.6。
三、实验步骤1. 安装Wireshark软件并打开。
2. 选择需要抓包的网络接口,并开始抓包。
3. 进行相应的网络操作,例如访问网站、发送邮件等。
4. 停止抓包,并对捕获到的数据包进行分析和解析。
四、实验结果1. 抓取HTTP请求和响应数据包通过Wireshark抓取HTTP请求和响应数据包,可以轻松地了解HTTP协议在通信过程中所传输的信息。
例如,在访问一个网站时,可以看到浏览器向服务器发送GET请求,并获取到服务器返回的HTML 页面等信息。
同时还可以看到HTTP头部中所携带的信息,例如User-Agent、Cookie等。
2. 抓取TCP连接数据包通过Wireshark抓取TCP连接数据包,可以了解TCP协议在建立连接、传输数据和关闭连接时所涉及到的所有步骤。
例如,在进行FTP 文件传输时,可以看到TCP三次握手建立连接,以及文件传输过程中TCP的流量控制和拥塞控制等。
3. 抓取UDP数据包通过Wireshark抓取UDP数据包,可以了解UDP协议在通信过程中所涉及到的所有信息。
例如,在进行DNS域名解析时,可以看到DNS服务器返回的IP地址等信息。
五、实验总结通过本次实验,我学会了使用Wireshark抓包工具进行网络数据包分析的方法,并了解了常见网络协议的运行机制。
同时也发现,在网络通信过程中,数据包所携带的信息非常丰富,能够提供很多有用的参考和指导。
因此,在实际工作中,我们应该灵活运用Wireshark等工具进行网络数据包分析,并结合具体业务场景进行深入研究和分析。
wireshark抓包分析报告
用wireshark分析和 Dns 报文一、请求报文和响应报文wireshark所抓的一个含有请求报文的帧:1、帧的解释链路层的信息上是以帧的形式进展传输的,帧封装了应用层、传输层、网络层的数据.而wireshark抓到的就是链路层的一帧.图中解释:Frame 18:所抓帧的序号是11,大小是409字节Ethernet :以太网,有线局域网技术 ,属链路层Inernet Protocol:即IP协议,也称网际协议,属网络层Transmisson Control Protocol:即TCP协议,也称传输控制协议.属传输层Hypertext transfer protocol:即协议,也称超文本传输协议.属应用层图形下面的数据是对上面数据的16进制表示.2、分析上图中的请求报文报文分析:请求行:GET /img/2009people_index/images/hot_key.gif /1.1方法字段 / URL字段 /协议的版本我们发现,报文里有对请求行字段的相关解释.该报文请求的是一个对象,该对象是图像.首部行:Accept: */*Referer: m/这是Accept-Language: zh-语言中文Accept-Encoding: gzip, deflate可承受编码,文件格式用户代理,浏览器的类型是Netscape浏览器;括号内是相关解释Host: 目标所在的主机Connection: Keep-Alive激活连接在抓包分析的过程中还发现了另外一些请求报文中所特有的首部字段名,比如下面请求报文中橙黄色首部字段名:Accept: */*Referer: 这是html文件Accept-Language: zh-语言中文Accept-Encoding: gzip, deflate可承受编码,文件格式If-Modified-Since: Sat, 13 Mar 2010 06:59:06 GMT内容是否被修改:最后一次修改时间If-None-Match: "9a4041-197-2f11e280"关于资源的任何属性〔 ETags值〕在ETags的值中可以表现,是否改变用户代理,浏览器的类型是Netscape浏览器;括号内是相关解释目标所在的主机Connection: Keep-Alive激活连接Cookie: cdb_sid=0Ocz4H; cdb_oldtopics=D345413D; cdb_visitedfid=17; __gads=ID=7ab350574834b14b:T=1287731680:S=ALNI_Mam5QHAAK2cJdDTRuSxY24VDbjc1Acookie,允许站点跟踪用户,coolie ID是7ab350574834b14b3、分析的响应报文,针对上面请求报文的响应报文如下:wireshark对于2中请求报文的响应报文:展开响应报文:报文分析:状态行:/1.0 200 OK首部行:Content-Length: 159内容长度Accept-Ranges: bytes承受X围Server: nginx服务器X-Cache经过了缓存服务器路由响应信息Date: Fri, 22 Oct 2010 12:09:42 GMT响应信息创建的时间Content-Type: image/gif内容类型图像Expires: Fri, 22 Oct 2010 12:10:19 GMT设置内容过期时间Last-Modified: Fri, 11 Jun 2010 00:50:48 GMT内容最后一次修改时间Powered-By-ChinaCache:PENDINGfromC-BJ-D-3BA ChinaCache的是一家领先的内容分发网络〔CDN〕在中国的服务提供商.Age: 34缓存有效34天Powered-By-ChinaCache: HIT from USA-SJ-1-3D3ChinaCache是一家领先的内容分发网络〔CDN〕在中国的服务提供商.Connection: keep-alive保持TCP连接图中最后一行puserve GIF 是对所传图像的信息的描述GIF是puserve公司开发的图像格式标准.二、DNS查询报文和回答报文1、 Wireshark所抓的DNS查询报文:展开DNS查询报文:报文分析:首部区域:标识符:Transaction ID: 0x4b48 16位比特数,标志该查询标志: Flags: 0x0100〔standard query〕0………. ….= Respone:Messsage is a query0表示为dns查询报文.000 0……. ….=opcode: standard query<0>操作码为标准查询.…..0. …. ….=Truncated:message is not truncated信息没有被截断.… ..1. …. ….=Recursion desired:Do queryrecursively 执行递归查询…. …. .0.. …..=z:reserved〔0〕…. …. …0 …..=Nontheticated data: unacceptable 问题数:Question:1 只查询一个主机名回答RR数:Answer RRS:0权威RR数:Authority RRS:0附加RR数:Additional RRS:0问题区域:Type A<Host address> class:IN<0x0001>包含最初请求的名字的资源记录权威〔资源记录的变量数〕:无附加信息:无2、Wireshark 对应的DNS回答报文:展开DNS回答报文:报文分析:首部区域:标识符:Transaction ID: 0x4b48 16位比特数,与对应的查询报文标识符一样标志: Flags: 0x8180〔standard query〕问题数:Question:1 表示只查询一个主机回答RR数:Answer RRS:5 表示该主机对应的有5条资源记录权威RR数:Authority RRS:0附加RR数:Additional RRS:0问题区域:Type A<Host address> class:IN<0x0001>最初请求的名字的资源记录回答〔资源记录的变量数〕:Answers 5条RR,即主机与ip的5条资源记录权威〔资源记录的变量数〕:无附加信息:无。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Wireshark抓包实例分析通信工程学院010611班赖宇超01061093一.实验目的1.初步掌握Wireshark的使用方法,熟悉其基本设置,尤其是Capture Filter和Display Filter 的使用。
2.通过对Wireshark抓包实例进行分析,进一步加深对各类常用网络协议的理解,如:TCP、UDP、IP、SMTP、POP、FTP、TLS等。
3.进一步培养理论联系实际,知行合一的学术精神。
二.实验原理1.用Wireshark软件抓取本地PC的数据包,并观察其主要使用了哪些网络协议。
2.查找资料,了解相关网络协议的提出背景,帧格式,主要功能等。
3.根据所获数据包的容分析相关协议,从而加深对常用网络协议理解。
三.实验环境1.系统环境:Windows 7 Build 71002.浏览器:IE83.Wireshark:V 1.1.24.Winpcap:V 4.0.2四.实验步骤1.Wireshark简介Wireshark(原Ethereal)是一个网络封包分析软件。
其主要功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。
其使用目的包括:网络管理员检测网络问题,网络安全工程师检查资讯安全相关问题,开发者为新的通讯协定除错,普通使用者学习网络协议的相关知识……当然,有的人也会用它来寻找一些敏感信息。
值得注意的是,Wireshark并不是入侵检测软件(Intrusion Detection Software,IDS)。
对于网络上的异常流量行为,Wireshark不会产生警示或是任何提示。
然而,仔细分析Wireshark 撷取的封包能够帮助使用者对于网络行为有更清楚的了解。
Wireshark不会对网络封包产生容的修改,它只会反映出目前流通的封包资讯。
Wireshark本身也不会送出封包至网络上。
2.实例实例1:计算机是如何连接到网络的?一台计算机是如何连接到网络的?其间采用了哪些协议?Wireshark将用事实告诉我们真相。
如图所示:图一:网络连接时的部分数据包如图,首先我们看到的是DHCP协议和ARP协议。
DHCP协议是动态主机分配协议(Dynamic Host Configuration Protocol)。
它的前身是BOOTP。
BOOTP可以自动地为主机设定TCP/IP环境,但必须事先获得客户端的硬件地址,而且,与其对应的IP地址是静态的。
DHCP是BOOTP 的增强版本,包括服务器端和客户端。
所有的IP网络设定数据都由DHCP服务器集中管理,并负责处理客户端的DHCP 要求;而客户端则会使用从服务器分配下来的IP环境数据。
ARP协议是地址解析协议(Address Resolution Protocol)。
该协议将IP地址变换成物理地址。
以以太网环境为例,为了正确地向目的主机传送报文,必须把目的主机的32位IP地址转换成为48位以太网的地址。
这就需要在互连层有一组服务将IP地址转换为相应物理地址,这组协议就是ARP协议。
让我们来看一下数据包的传送过程:数据包No.1:当DHCP 客户端(本地PC)第一次登录网络的时候,它会网络发出一个DHCP DISCOVER 封包。
因为客户端还不知道自己属于哪一个网络,所以封包的来源地址会为0.0.0.0,而目的地址则255.255.255.255,然后再附上DHCP discover 的信息,向网络进行广播。
数据包No.2:当DHCP 服务器(本地路由器)监听到客户端发出的DHCP discover 广播后,它会从那些还没有租出的地址围,选择最前面的空置IP ,连同其它TCP/IP 设定,响应给客户端一个DHCP OFFER 封包。
数据包No.3:客户端向网络发送一个ARP 封包,查询服务器物理地址。
数据包No.4:服务器端返回一个ARP 封包,告诉客户端它的物理地址。
数据包No.5:由于Windows 7 支持IP V6 ,所以DHCP V6协议也开始工作。
……数据包No.51:通过ARP协议,服务器端最终也获得了客户端的网络地址。
到此为止,我认为客户端(本地PC)的已完成网络注册。
现将客户端(本地PC)和服务器端(本地路由器)相关参数展示如下:图二:客户端(本地PC)相关参数图三:服务器端(本地路由器)相关参数实例2:你的密码安全吗?随着Internet的普及,越来越多的人开始拥有越来越多的密码。
小到QQ,MSN,E-mail 等,大到支付宝,信息管理系统等,可是一个核心问题是:你的密码安全吗?让我们来看看下面几个例子。
Test 1:FTP工具软件这里,我们采用的FTP工具软件是FlashFXP V3.7.8。
登陆时抓包如下:图四:FlashFXP登陆时的部分数据包首先,我们来看一下常用到的三个协议:SSDP、DNS和FTP。
SSDP协议是简单服务发现协议(Simple Service Discovery Protocol),该协议定义了如何在网络上发现网络服务的方法。
SSDP信息的传送是依靠HTTPU和HTTPMU进行的。
不论是控制指针,或是UPnP设备,工作中都必然用到SSDP,设备接入网络之后,要利用它向网络广播自己的存在,以便尽快与对应的控制指针建立联系。
设备利用SSDP的方式是“收听”来自网络端口的消息,从中发现与自己匹配的信息,一旦找到与自己匹配的信息,经由HTTPMU来发送一个响应信息到控制指针。
DNS是域名服务器 (Domain Name Server)。
在Internet上域名与IP地址之间可以是一一对应的,域名虽然便于人们记忆,但机器之间只能互相认识IP地址,它们之间的转换工作称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS就是进行域名解析的服务器。
FTP是文件传输协议(File Transfer Protocol),用于Internet上的文件的双向传输。
用户可以通过FTP工具软件它把自己的PC机与世界各地所有运行FTP协议的服务器相连,访问服务器上的大量程序和信息。
FTP的主要作用,就是让用户连接上一个远程计算机(这些计算机上运行着FTP服务器程序),查看远程计算机有哪些文件,然后把文件从远程计算机上下载到本地计算机,或把本地计算机的文件上传到远程计算机。
现在让我们来看看工作流程:数据包No.1:本地PC机(数据包中表示为ipv6地址)通过SSDP协议向本地路由器发送消息。
数据包No.2:本地路由器通过SSDP协议向非路由地址(IANA)发送消息。
……数据包No.13:本地PC机(192.168.1.100)向DNS服务器(218.30.19.50)发送查询请求,要求解析域名。
数据包No.14:DNS服务器返回请求,的ip地址为:210.31.141.46。
经查,DNS服务器(218.30.19.50)在本地,而(210.31.141.46)在科技大学。
……数据包No.21:通过FTP协议,本地计算机与FTP服务器建立连接。
让人非常兴奋同时又非常沮丧的是:Wireshark不仅抓到了登陆用户名和密码,而且还抓到了传送的文件信息。
如下图所示:图五:Wireshark抓取的用户名,密码和传送的文件信息。
Test 2:Koomail客户端现在来看看我们常常使用的服务的安全性又如何。
首先,我们用网页方式登陆一个:hasee126mail126.,此时我们抓包如下:图六:以网页方式登陆时的部分数据包DNS协议我们已经非常熟悉了,现在来看看TCP协议和TLS协议。
TCP协议是传输控制协议(Transmission Control Protocol)。
它是一种面向连接的、可靠的、基于字节流的运输层(Transport layer)通信协议。
在简化的计算机网络OSI模型中,它完成第四层传输层所指定的功能。
在因特网协议族(Internet protocol suite)中,TCP层是位于IP层之上,应用层之下的中间层。
TLS是安全传输层协议(Transport Layer Security Protocol),用于在两个通信应用程序之间提供性和数据完整性。
该协议由两层组成:TLS 记录协议(TLS Record)和TLS 握手协议(TLS Handshake)。
TLS的最大优势在于:TLS独立于应用协议。
高层协议可以透明地分布在TLS 协议上面。
由此可见,我们用网页方式登陆是比较安全的。
为什么我再三强调“用网页方式”呢?请看下面的抓包:图七:用Koomail客户端接收时的部分数据包现在又涉及到了POP协议,哎,网络协议真是层出不穷啊。
POP3是邮局协议的第3个版本(Post Office Protocol 3),它是规定怎样将个人计算机连接到Internet的服务器以及如何下载电子的电子协议。
POP3允许用户从服务器上把存储到本地主机上,同时删除保存在服务器上的。
显而易见地问题是:Koomail客户端在连接到服务器时,被Wireshark抓取到了用户名和密码。
然而,更触目惊心的问题在下面:图八:TCP Stream分析看见了吧,在quoted-printable编码模式下,英文明文是可见的,还好中文明文是让人看不懂的。
现在我们用Koomail客户端回复一封,抓包如下:图九:用Koomail客户端回复时的部分抓包及数据分析还是先来看看SMTP协议吧。
SMTP协议是简单传输协议(Simple Mail Transfer Protocol)。
它是一组用于由源地址到目的地址传送的规则,由它来控制信件的中转方式。
通过SMTP协议所指定的服务器,我们就可以把E-mail寄到收信人的服务器上。
SMTP 是一种提供可靠且有效电子传输的协议,它是建模在FTP文件传输服务上的一种服务。
再来看看我们从抓取的数据包中都获得了哪些信息。
发件人:lycmiptom.收件人:hasee126mail126.发送时间:2009/6/2 17:58:52 星期二时区是+0800。
(好像是东八区吧)客户端:Koomail V5.50MIME(多功能扩充服务)版本:1.0编码方式:base64看来信息是相当的丰富啊。
不过容经过编码了,而不是像上文中的明文那样。
综上所述,FTP、POP3 和SMTP协议在安全性方面还有一定的不足之处。
我们的网络安全是如此的脆弱!实例3:看看小企鹅(QQ)每天都做了些什么直接上图:图十:腾讯QQ登陆和使用时的部分数据包这些协议我们都已经非常熟悉了,而且wireshark把qq所用到的相关协议都称作oicp protocol。
经查,登陆时的服务器219.133.60.23和58.61.34.85都在市——腾讯的大本营。
当我们进行聊天应用时,比如给,的同学发送信息,信息还得先跑去绕一圈。