哈工程网络安全实验实验报告.docx

1、哈工程网络安全实验实验报告学号2013成绩实验报告网络安全实验姓 名：班 级：20132111指导教师：赵国冬实验时间：2016.06.25-2016.06.26哈尔滨工程大学2016年06月实验一、网络分析器应用实验一、实验目的通过本实验，学会在Windows环境下安装Sniffer；能够运用Sniffer捕获报文；熟练掌握Sniffer的各项网络监视模块的使用；熟练运用网络监视功能，撰写网络动态报告；理解常用Sniffer工具的配置方法，明确多数相关协议的明文传输问题；理解TCP/IP主要协议册报头结构，掌握TCP/IP网络的安全风险；掌握利用Sniffer软件捕获和分析网络协议的具体方法

2、。二、实验仪器与器材Sniffer Pro软件系统1套PC机（win xp/ win7)1台三、实验原理Sniffer Pro软件是NAI公司推出的功能强大的协议分析软件。利用Sniffer Pro 网络分析器的强大功能和特征，解决网络问题。本实验使用的软件版本为SnifferPro_4_70_530。Sniffer Pro软件的主要作用可以体现在以下方面：1Sniffer可以评估业务运行状态，如各种应用的响应时间，一个操作需要的时间，应用带宽的消耗，应用的行为特征，应用性能的瓶颈等；2Sniffer能够评估网络的性能，如各链路的使用率，网络性能趋势，消耗最多带宽的具体应用，消耗最多带宽的网络

3、用户；3Sniffer可以快速定位故障；4Sniffer可以排除潜在的威胁，如病毒、木马、扫描等，并且发现攻击的来源，为控制提供根据，对于类似蠕虫病毒一样对网络影响大的病毒有效；5.即时监控工具，sniffer通过发现网络中的行为特征来判断网络是否有异常流量，所以Sniffer可能比防病毒软件更快发现病毒；5Sniffer可以做流量的趋势分析，通过长期监控，可以发现网络流量的发展趋势，为将来网络改造提供建议和依据；6应用性能预测，Sniffer能够根据捕获的流量分析一个应用的行为特征；Sniffer包括了四大功能：监控、显示、数据包捕捉和专家分析系统，通过该软件，可以长期的对其他计算机的进行的

4、服务类型、所处的网络拓扑等信息进行嗅探，为检测其他计算机系统打下基础。四、实验过程与测试数据(一) 程序安装实验Sniffer Pro是需要安装使用的软件。进行任何在此软件上的实验都需要安装。安装过程如下：1、下载安装软件。在网上下载SnifferPro软件，点击安装，按顺序进行。如下图1.1所示，选择默认安装路径进行安装。 图1.1(a) 安装地址示意图 图1.1(b) 用户协议图图1.1(c) 用户信息图2、填写注册信息。在注册用户时，必须填写必要的注册信息，为之后软件公司识别用户提供信息，在图1.2中出现的两个对话框中，依次填写个人信息。 图1.2(a) 个人信息图 1.2(b)个人信息

5、图3、设置网络连接方式。完成注册操作后，需要设置网络连接情况。从上至下依次有三个选项，一般情况下，用户直接选择第一项，即直接连接。当用户的注册信息验证通过后，系统会转入如图1.3所示的界面，用户被告知系统分配的身份识别码，以便用户进行后续的服务和咨询。 图1.3 系统为用户分配识别码示意图4、保存注册信息。用户单击“下一步”按钮时，系统会提示用户保存关键性的注册信息，其生成一个文本格式的文件。该注册文件保存地址可以有用户选定，以便用户查询。从图1.4可以看到， 软件注册用户为ps sp，邮箱为DSAFAS等关键的注册信息。在软件使用前，安装程序会提示用户安装并设置Java环境，如图1.5所示，

6、重新启动计算机后，可以通过运行Sniffer Pro来监测网络中的数据包，首先进行设置。 图1.4 用户信息截图 图1.5 软件设置截图完成上述实验后，即完成了Sniffer软件整个的安装过程。搭建好实验环境后在之后可以进行其他的实验了。（二）数据包捕获实验1、报文捕获数据包捕捉，是截取所有的数据包，并放在磁盘缓冲区中，便于分析。其基本原理是通过软件手段设置网络适配器的工作模式，在该工作模式下，网卡接受包括与自己无关的所有的数据，达到网络监控和网络管理的功能。如图1.6，其上部是报文捕捉的各项快捷方式，中部是各项Sniffer可进行的操作的快捷方式，下部是捕捉报文缓冲区的大小。从中可以看到缓冲

7、器大小为8MB，当超过该缓冲器大小后，捕捉的报文将覆盖原来的旧报文，在截图的时刻之前，已接收21个报文，拒绝0个报文，已经开始捕捉报文1秒。图1.6 报文捕获统计信息截图在不同的条件下，对缓冲区的要求有所不同，为了适应这些要求，可以对捕获缓冲区进行设置来达到我们的要求。如图1.7，可以设置缓冲区的大小，捕获报文的存放地址、缓冲区满时的动作等。图1.7 捕获缓冲区设置图2、 报文分析捕获到的报文存储在缓冲区内。使用者可以显示和分析缓冲区内的当前报文，也可以将报文保存到磁盘，加载和显示之前保存的报文信息，进行离线分析和显示。此外，也可以通过指定文件名前缀和脱机文件数对捕获信息进行存储。为了有效进行

8、网络分析，需要借助于专家分析系统。首先，应根据网络协议环境对专家系统的协议、RIP选项、硬件等进行设置。如图1.8，对专家系统进行配置。在专家系统中，还为用户提供了用于检测路由故障的路由信息协议分析，如果选择RIP分析方式，则需将“对象”设置项中的连接层和应用层定义为“分析”，通过“显示”菜单下的“显示设置”选项，可以自定义要显示的分析内容，如图1.9。, 1.8(a) 专家选项设置图 1.8(b) 专家选项设置图 图1.8(c) 专家系统阈值设置 图1.8(d) 指定分析协议设置图1.9 摘要显示设置图进行对捕获报文的设置之后，点击“捕获报文”开始对报文进行捕获。如图1.10可以看到，Sni

9、ffer可以对服务、应用、链接、DLC等进行报文的捕获，捕获到的报文可分为3种“Diagnoses”、“Symptoms”、“Objects”，其中Diagnoses捕获的是出错特别严重的报文、Symptoms捕获的是一般出错的报文，Objects是没有出错的报文。图1.10中，关于站点的报文出错的有2个，正确的报文有45个，共捕获到47个报文。选择其中关于主机名为“F55”的报文进行解码分析。图1.10 报文捕获界面双击报文记录，可查看捕获到的报文的详细信息如图1.11。从图中可以看到，名为F55的主机，其DLC地址为BCAEC5978167，IP地址为192.168.6.55，正在运营13

10、8号端口上的NetBios服务。图1.11 捕获报文详细信息截图3、 解码分析对捕获的报文进行解码分析。单击专家系统下方的【解码】按钮，就可以对具体的记录进行解码分析，如图1.12所示。页面自上而下由三部分组成：捕获的报文、解码后的内容、解码后的二进制编码信息。从图中可以看到，在2016年6月25日18:16:52，名为F55(IP为192.168.6.55)的主机发起了目标地址为192.168.6.57的字节长度为60的ARP请求。图1.12 报文解码分析图4、 统计分析每次进行报文捕获，都可以得到一系列的报文。对其中的报文逐一分析是不现实的。因此，对于各种报文信息，专家系统提供了【矩阵分析

11、】，【主机列表】，【协议统计】以及【会话统计分析】等多种统计分析功能，可以按照MAC地址、IP地址、协议类型等内容进行多种组合分析，如图1.12。图1.12(a) 矩阵分析 1.12(b)主机列表统计分析图 1.12(c) 协议统计分析图 1.12(d) 会话统计分析图从图1.12(b)中可以看到各个主机的相关信息，如IP地址、MAC地址等；从图1.12(c)中可以看到当前使用的协议(IP)的数据包的数量和字节总数；从图1.12(d)中可以看到会话的种类和字节数等信息。5、 捕获条件设置在sniffer环境下，可以通过【定义】的方式来对捕获条件进行设置，获得用户需要的报文协议信息，如图1.13

12、。基本的捕获条件有两种：1链路层捕获：按照源MAC地址和目的MAC地址设定捕获条件，输入方式为十六进制MAC地址，如：DA98A0BC3DFE。2IP层捕获：按源IP地址和目的IP设定捕获条件。输入方式为IP地址，如：192.168.6.57。特别注意的是，如果选择IP层捕获方式则ARP等类型报文信息将被过滤掉。 图1.13(a) 过滤器操作界面图 图1.13(b) 捕获条件详细配置界面图图1.13(c) 捕获条件定义界面图 从图1.13(c)中可以看出，Sniffer支持通过源主机和目的主机来捕获报文进行分析，可以单线监听数据通信。（三）网络监视实验“监视器”菜单中，有以下监视功能：仪表板、

13、主机列表、矩阵、请求相应时间、历史取样、协议分布、全局统计表、警报日志等。1、仪表板点击快捷操作菜单上的图标，即可弹出仪表板，如图1.14。在仪表板上方，可对监视行为进行具体配置，并对监视内容进行重置。在图中可以看到3个表盘，其中第一个是网络使用率，第二个是网络每秒通过的数量包，第三个是网络每秒的错误率，这三个数据在不同时刻都互有所变化。截图当时的网络使用率为0，网络每秒通过的数量包为92-97个，错误率为0。图1.14 网络监视仪表板示意图在仪表板上方，可对监视行为进行具体配置，并对监视内容进行重置Drops表示网络中遗失的数据包数量，如图1.15所示。图1.15 网络监视详细信息2、主机列

14、表点击快捷操作菜单上的图标，或选择【监视器】菜单内的【主机列表】选项，界面中显示的是所有在线的本网主机地址以及外网服务器地址信息。可以分别选择MAC地址、IP地址以及IPX地址。通常情况下，由于网络中所有终端的对外数据交换行为，如浏览网站、上传下载等，都是各终端与网关在数据链路层中进行的，为了分析链路层的数据交换行为，需要获取MAC地址的连接情况。通过主机列表，可以直观地看到流量最大的前十位主机地址，如图1.16从图中可以看到主机地址、创建时间、数据报通信量等信息，可以为对主机的分析提供较多的信息。图1.16 主机列表图3、矩阵点击快捷操作菜单上的图标，或选择【监视器】菜单内的【矩阵】选项，可

15、以显示全网的所有连接情况，即主机会话情况。处于活动状态的网络连接被标记为绿色，已发生的网络连接被标记为蓝色，线条的粗细与流量的大小成正比。如图1.17(a)为当前主机与物理地址为000BAB2AB6F4的主机的通信状况，二者之间已经发生链接；1.17(b)为当前整个网络的连接示意图。 图1.17(a) 单机连接矩阵示意图 图1.17(b) 全网连接矩阵示意图4请求响应时间(ART)ART窗口用来显示网络中Web网站的连接情况，可以看到局域网中有哪些计算机正在上网，浏览的是哪些网站等如图1.18所示。从图中可以看出源主机正在运行的协议和该写一下的请求和回复数据包的大小，即该窗口中显示了局域网内的

16、通信及数据传输大小，并且显示了本地计算机与Web网站的IP地址。通过单击左侧工具栏中的图标，以柱形图方式显示网络中计算机的数据传输情况，如图1.18(c)所示，不同顺序图柱代表右侧列表中的相应连接，柱形长短表示传输量的大小。 图1.18(a)网络协议链接状况(MAC) 图1.18(b)网络协议链接状况(IP)1.18(c) 数据传输量柱状图图1.19 ART监视功能图图1.19中，请求响应时间用来显示网络中Web网站的连接情况，可以看到局域网中有哪些计算机正在上网，浏览的是哪些网站等。如果一个数据包的目的IP是192.168.6.157，目的端口是138，那么就可以认定192.168.6.57

17、是NetBios的服务器地址，而源IP就是客户地址。利用应用响应时间的监视功能，可以快速获得某一业务的响应时间。5、历史取样收集一段时间内的各种网络流量信息。通过这些信息可以建立网络运行状态基线，设置网络异常的报警阈值。默认情况下，历史采样的缓冲有3600个采样点，每隔15秒进行一次采样，采样15个小时后自动停止。如果想延长采样时间，可以通过修改采样间隔时间或者设置缓冲区属性的方式。具体做法是：单击【属性】按钮，修改采样间隔，并勾选“当缓冲区满时覆盖”的条件。此外，还可以灵活的选择多种采样项目。历史取样用来收集一段时间内的各种网络流量信息。通过这些信息可以建立网络运行状态基线，设置网络异常的报

18、警阈值。在试验进行时，如图1.20，可以看到在其下有诸多选项记录Sniffer之下的操作，便于查找。图1.20 历史取样样图6、协议分布分析网络中不同协议的使用情况。通过协议分布功能可以直观的看到当前网络流量中协议分布情况，了解各类网络协议的分布情况以后，可以找到网络中流量最大的主机，这意味该主机对网络的影响也就最大，如图1.21是当前网络协议使用量的饼状图，重中可以清晰的看到当前占用网络通信量最大的协议是IP协议，其次是IP下的ARP协议。 图1.20 网络协议使用量饼状图 图1.21 响应时间分布图7、全局统计表全局统计数据能够显示网络的总体活动情况，并确认各类数据包通信负载大小，从而分析

19、网络的总体性能及存在的问题。全局统计表提供了与网络流量相关的各类统计测量方式。 粒度分布：根据数据包大小与监测到的通信总量之比，显示每个数据包的发生频率。 利用率分布：按照10%为基本度量单位，显示每组空间内网络带宽的分布情况。图1.22 主机通信量分布图8、警告日志 警报日志用于全面检测和记录网络异常事件，一旦超过用户设置的阈值参数，警报器会在警报日志中记录相应事件。选择“工具”菜单中的“选项”，单击“警报”选项卡，选择“定义强度”，可以修改警报强度，如图1.23所示。从图中可以看到在6月13日，有Minor发送了一个Expert的错误。图1.23 警告日志（四） 网络协议嗅探（从此处开始，

20、转换了实验机器，IP和MAC地址等发生了变化）为了得到我们所需要的数据包，可以通过过滤器，定义过滤规则，具体做法如下：在主界面选择“捕获”菜单中的“定义过滤器”选项。其中，“地址”选项卡是最常用的过滤手段，包括MAC地址、IP地址和IPX地址的过滤定义。以定义IP地址过滤为例，如图1.24所示。 图1.24 IP地址过滤设定界面 图1.25协议过滤设定界面在“高级”设置栏目内，可以定义数据包大小，缓冲区大小以及文件存放位置等。将定义好的过滤器应用于捕获操作中，启动“捕获”功能，就可以运用各种网络监控功能分析网络数据流量及各种数据包具体情况。 （五） FTP协议分析按照实际需要，定义过滤器，并应

21、用该过滤器捕获FTP协议信息。运行数据包捕获功能。为了实现以上功能，需要先对过滤器进行设置，如图1.26。图1.26 过滤器设置图 图1.27 登陆FTP站点在sniffer捕获状态下，进行FTP站点操作。登录FTP站点，位置信息为“”，用户名和密码均为匿名(anonymous)。看到系统登录成功的提示后，用户可以进行自定义操作，对FTP站点和文件进行操作，如图1.27。通过点选【捕获停止】或者【停止并显示】按钮停止sniffer捕获操作，并把捕获的数据包进行解码和显示。通过对报文解析，可以看到sniffer 捕获到了用户登录FTP的用户名称和明文密码，对于用户进行的若干FTP站点操作行为，s

22、niffer都能够捕获到相关信息，如图1.28。从图中可以看到IP为192.168.6.254的主机登陆了IP为202.1118.176.254的FTP服务器。图1.28 Sniffer捕获FTP登陆信息截图图1.29 Sniffer捕获FTP登陆信息解码截图 由图1.29可以看到125.223.124.121通过端口54453向地址为202.118.176.254发送了长度为70的FTP请求报文。（六）Telnet协议分析按照实际需要，定义如图1.30所示的过滤器，并应用该过滤器捕获Telnet协议信息。运行数据包捕获功能。图1.30 过滤器设置图在应用Telnet方式登录远程计算机之前，需

23、要开启TELNET服务。如果计算机安装的是WINDOWS 7操作系统，则需要单独下载TELNET.exe程序。在登录远程计算机时，需要知道该计算机的用户名和密码，如图1.31，用户名为administer，密码为123456但出于安全性考虑，telnet登录时口令部分不回显。 图1.31(a) Telnet登陆图 图1.31(b)登陆成功由于telnet登录时口令部分不回显，只能抓取从client到server的报文才能获取明文口令。所以一般嗅探软件无法直接看到口令。缺省情况下，telnet登录时进入字符输入模式，而非行输入模式，此时基本上是客户端一有击键就立即向服务器发送字符，TCP数据区就

24、一个字节。客户端telnet到服务端时，一次只传送一个字节的数据；由于协议的头长度是一定的，所以telnet的数据包大小=“DLC(14字节)+IP(20字节)+TCP(20字节)+数据（一个字节）”，共55个字节，因此，可以将Packet Size设为55，以便捕获到用户名和密码，如图1.32所示。 图1.32 定向捕获设置图 图1.33 用户名和密码再次重复捕获过程，即可显示用户名和明文密码，如图1.33所示，用户名为“administrator”，口令为“123456”五、实验分析正常情况下，网络只接受与目的地址为自己的数据报，但通过Sniffer 程序可以将网络适配卡设置为杂乱模式状态

25、，用以接收传输在网络上的每一个信息包。一般来讲，网络硬件和TCP/IP 堆栈不支持接收或者发送与本地计算机无关的数据包，所以，为了绕过标准的TCP/IP堆栈，网卡就必须设置为我们刚开始讲的混杂模式。一般情况下，要激活这种方式，内核必须支持这种伪设备Bpfliter ，而且需要root 权限来运行这种程序，所以sniffer 需要root 身份安装，如果只是以本地用户的身份进入了系统，那么不可能嗅探到root 的密码，因此不能运行Sniffer。也有基于无线网络、广域网络(DDN, FR) 甚至光网络(POS、Fiber Channel) 的监听技术，这时候略微不同于以太网络上的捕获概念，其中通

26、常会引入TAP 这类的硬件设备来进行数据采集。如何捕获HTTP协议下的用户名和密码。定义过滤器捕获http协议信息，运行捕获功能。之后被嗅探主机开启http服务，比如浏览网页。保存数据，解码并分析，在工作站向服务器发出的网页请求命令数据当中就有用户名和密码。分析TCP协议的头结构，以及两台主机之间建立连接的过程。TCP头结构 TCP协议头最少20个字节，包括以下的区域：TCP源端口 、TCP目的端口、TCP序列号、TCP确认、数据偏移量、保留、控制位、检验和、紧急指针、选项、填充。主机连接过程TCP是因特网中的传输层协议，使用三次握手协议建立连接。当主动方发出SYN连接请求后，等待对方回答SY

27、N+ACK，并最终对对方的SYN执行ACK确认。这种建立连接的方法可以防止产生错误的连接，TCP使用的流量控制协议是可变大小的滑动窗口协议。TCP三次握手的过程如下：客户端发送SYN（SEQ=x）报文给服务器端，进入SYN_SEND状态。服务器端收到SYN报文，回应一个SYN （SEQ=y）ACK(ACK=x+1）报文，进入SYN_RECV状态。客户端收到服务器端的SYN报文，回应一个ACK(ACK=y+1）报文，进入Established状态。三次握手完成，TCP客户端和服务器端成功地建立连接，可以开始传输数据了六、实验体会此次实验里，我对sniffer软件的应用有了新的了解。 在此次实验的

28、过程中，安装完Sniffer Pro软件后，需要重启计算机，由于之前进入的是第一个系统，第一个系统自带还原卡导致所有操作前功尽弃。在完成Sniffer Pro软件安装后，刚开始打不开，这是由于电脑所配备的java环境与Sniffer Pro软件自带的脚本冲突。解决办法可以通过任务管理器将该进程关闭另外，这次实验中，我对各个网络协议进行了复习，更加熟悉，也有了新的认识。对于不同协议下数据包的分析可以根据协议的包的大小进行筛选过滤，更容易找到想要的包。我们可以看到，网络通信的并不是完全的安全，在使用互联网通信时，我们仍不能忽视各种防护措施的应用，要对重要信息进行额外的加密算法。实验二、剖析远程控制

29、程序一、实验目的1、软件的安装与使用通过本实验，学会在Windows环境下安装pcAnywhere。2、配置被控端（hosts）通过本实验，学会在Windows环境下安装pcAnywhere被控端。3、配置主控端（Remotes）通过本实验，学会在Windows环境下安装pcAnywhere主控端。4、扩展实验利用pcAnywhere软件对远程计算机进行控制。二、实验仪器与器材 pcAnywhere软件系统1套、PC（Windows XP/Windows 7）1台三、实验原理远程控制，是指管理人员在异地通过计算机网络连通被控制的计算机，将被控计算机的桌面显示到自己的计算机上，通过本地计算机对远

30、端计算机进行配置、软件安装、文件编辑等工作。这里的远程指的是通过网络控制远端计算机。当操作者使用主控计算机控制被控计算机时，可以启动被控端计算机的应用程序，使用被控端的文件资料，甚至可以利用被控端计算机的外部设备和通信设备来进行工作。远程控制必须通过网络才能进行。位于本地的计算机是操作指令的发出段，成为主控端或客户端；非本地的被控计算机叫做被控端或服务器端。远程控制软件一般可以分为两个部分；一个客户端程序C1ient，一个服务器端程序Server，在使用前需要将客户端程序安装到主控端电脑上，将服务器端程序安装到被控端电脑上。它的控制过程一般是先在主控端上执行客户端程序，像一个普通客户一样向被控

31、端电脑中的服务器端程序发出信号，建立一个特殊的远程服务，然后通过这个远程服务，使用各种远程控制功能发送远程控制命令，控制被控端电脑中的各种应用程序运行，这种远程控制方式称为基于远程服务的远程控制。通过远程控制软件，可以进行很多方面的远程控制，包括获取目标计算机屏幕图像、窗口及进程列表；记录并提取远端键盘事件(击键序列 ，即监视远端键盘输入的内容)；打开、关闭目标计算机的任意目录并实现资源共享；提取拨号网络及普通程序的密码；激活、中止远端进程：打开、关闭、移动远端窗口；控制目标计算机鼠标的移动与动作( 操作)：浏览目标计算机文件目录，任意删除目标计算机的磁盘文件；上传、下载文件，就如操作自己的计算机的文件一样的简单；远程执行目标计算机的程序：强制关闭Windows 、关闭系统(包括电源、重新启动系统；提取、创建、修改、删除目标计算机系统注册表关键字；在远端屏幕上显示消息；启动目标计算机外设进行捕获、播放多媒体音频文件：控制远端录、放音设备音量以及进行远程版本升级更新等。此类软件可以用在一些网络使用较为复杂、需要大量维护、管理工作的环境。四、实验过程与测试数据1、软件的