Sniffer工具使用实验报告.docx
《Sniffer工具使用实验报告.docx》由会员分享,可在线阅读,更多相关《Sniffer工具使用实验报告.docx(13页珍藏版)》请在冰豆网上搜索。
Sniffer工具使用实验报告
Sniffer工具使用实验报告
学院:
计算机科学与工程学院
班级:
专业:
学生姓名:
学号:
实验目的
了解著名协议分析软件sniffer的主要功能,以及sniffer能处理什么网络问题
实验平台
Sniffer软件是NAI公司推出的功能强大的协议分析软件。
与Netxray比较,Sniffer支持的协议更丰富,如Netxray不支持PPPOE协议,但Sniffer能快速解码分析;Netxray不能在Windows2000和WindowsXP上正常运行,而SnifferPro可以运行在各种Windows平台上。
缺点:
运行时需要的计算机内存比较大,否则运行比较慢
功能:
1)捕获网络流量进行详细分析
2)利用专家分析系统诊断问题
3)实时监控网络活动
4)收集网络利用率和错误等
实验内容
实验1:
抓ping和回应包
实验要求:
Pingxxxx–t
观察icmp:
echo和icmp:
echo(reply)包信息
实验过程与分析
1)设置过滤器过滤ICMP协议
2)让Sniffer开始抓包
Ping–t
截获包如下
Echo包:
ICMP头后面abcde……为填充内容(数据填充码),纯熟用来凑够一个帧大小
Echoreply包
与Echo包对比可知,ID和sequencenumber是一致的。
同样ICMP头后面abcde……为填充内容(数据填充码),纯熟用来凑够一个帧大小
实验2:
捕获内网发往外网的重要数据
实验要求:
捕获条件可选择协议dns(tcp),http,pop,smtp,地址为本机IP到any
登陆华南目棉BBS或华工教学在线或其他网络论坛。
用sniffer可找到用户名和密码
summary域出现“POST”,就可找到用户名和密码。
如果是登录邮箱,如163,sina,sohu等,则只能看到用户名,密码是加密的。
实验过程与分析:
1)先打开华工教学在线输入帐号密码
2)捕获条件可选择协议dns(tcp),http,pop,smtp,地址为本机IP到any
3)Sniffer开始捕获,再点登陆(纯熟为了减少捕获到多余http报文)
在捕获的报文里右键findframe
4)搜索POST,POST为向服务器提交数据的http报文(一般为提交表单内容)
可定位到包含帐号密码的报文,如下
5)下面是其data域内帐号密码的内容,可知这里密码没加密的
实验3:
Arp包编辑发送
实验要求:
先捕获一个ARP包(Ping),右击发送(sendframes)发送编辑窗口
实验过程与分析:
1)用Ping命令可以引发个arp报文
原因:
因为本机器要向目标主机发送报文时,会查询本地的ARP表,找到目标的IP地址对应的MAC地址的话,就会直接传输。
如果未找到,就会广播一个ARP报文请求目标的MAC地址
2)因此假如ping时没截获到arp报文,可以先arp–d删除arp缓冲表
对其中1个arp右击sendframe,如下图
包格式可参照下图修改
实验4:
ARP欺骗
实验要求:
通过ARP请求误导一台计算机建立错误的arp表(IP地址和MAC地址的映射关系表)。
1)主机A和主机C:
用“ARP–a”查看并记录arp高速缓存
2)主机A、C设置过滤条件(只提取ARP和ICMP协议),开始捕包;
主机ApingC,观察主机A、C上捕获的icmp报文,并记录MAC地址。
3)攻击者B:
a)攻击者B向主机A发arp请求报文(编辑,暂不发送)
MAC层:
源MAC:
B的MAC
目的MAC:
A的MAC
ARP层:
源MAC:
B的MAC
源IP:
C的IP(假冒C的IP)
目的MAC:
A的MAC
目的IP:
A的IP
b)主机B向主机C发ARP请求报文(编辑,暂不发送)
MAC层:
源MAC:
B的MAC
目的MAC:
C的MAC
ARP层:
源MAC:
B的MAC
源IP:
A的IP(假冒A)
目的MAC:
C的MAC
目的IP:
C的IP
4)近乎同时(一定要保证时间间隔很短)地发送3)编辑的报文。
可设定时发送(每隔500ms发送一次)
5)观察A和C的ARP表
A:
错误的arp表:
C的IP和B的MAC
C:
错误的arp表:
A的IP和B的MAC
实验过程与分析
1)首先A与C互ping连通
A:
A:
B:
B:
2)这时我做攻击者,可以先打开sniffer,pingA
3)从里面找到A返回给我的ARPREPLY,对这个包右击点sendframe
可以根据上表把MAC互换,再把目标IP写着AIP,源IP写着CIP
要实现近乎同时(一定要保证时间间隔很短)地发送3)编辑的报文。
可设定时发送(每隔500ms发送一次)
修改后如下图
4)把这包持续发出去后,会看到Aping不通C了
查看arp表发现C的IP却是B的MAC
5)对C如同对A操作
之后结果
实验深入分析:
ARP协议是一直开放着接收ARPreply的。
所以当计算机接收到ARPreply时,就会对本地的ARP表进行更新,将reply中的IP和MAC地址存储在ARP表中。
因此,当B向A发送一个伪造的ARPreply,是B为了冒充C而伪造的,把源IP地址改为C的IP,而MAC地址是B自己的MAC,则当A接收到B伪造的ARPreply后,就会更新本地的ARP表,这样在A的ARP表中C的MAC地址已经变成是B的MAC了。
而又因为局域网的通信是根据MAC地址进行的,导致A不能与C交流了
实验5:
交换机端口镜像的简单配置
实验要求:
A,B,C三台电脑。
假设A,B,C外线分别接到交换机端口1,5,6.
配置A,B的流量镜像到C
观察A和B互ping的流量,C能捕获
取消端口镜像,再次观察
命令指导:
Switch>enable
Switch#setdefault清空交换机配置,恢复到出厂设置
Switch#write
Switch#showstartup-config
Switch#reload重启交换机
Switch#configterminal进入配置模式
Switch(config)#monitorsessionsourceinterface{rx/tx/both}指定镜像源端口,为session值,1~100,为镜像源端口列表,如ethernet0/0/1-4,rx为源端口接收流量,tx为源端口发出流量,both为出入两方面的流量
Nomonitorsessionsourceinterface删除镜像源端口
Switch(config)#monitorsessiondestinationinterface指定镜像目的端口
注意:
镜像目的端口必须和镜像源端口在同一vlan中。
实验过程与分析:
清空交换机配置,恢复到出厂设置
重启交换机
将端口1,7的流量镜像到端口8
验证配置
配置完毕。
这里的AB为1、7端口,C为8端口。
然后ApingB的话,C里用sniffer可以看到他们之间的流量。
如下图(已经过源目标IP端口流量过滤):
取消镜像
这个时候就抓不到A、B间的通讯了。
实验心得
掌握了如何使用sniffer进行抓包,懂得了如何使用sniffer去分析网络中的包信息,对网络协议有进一步理解,锻炼了动手能力,受益匪浅。
其中实验4由于在实验室做的时候没考虑好,截图截得不足,就回宿舍又做了一次实验4,可算是把arp攻击这一过程温故而知新了,最让人烦的就是这个构造包的窗口里的内容老是要一个个数字打上去,真希望sniffer下一版本把构包窗口做成单纯的文本编辑框。