网络嗅探工具wireshark在网络安全中的应用.docx

1、网络嗅探工具wireshark在网络安全中的应用网络与信息安全课程设计网络嗅探工具wireshark在网络安全中的应用学生姓名： 宋 琪 学 号： 30 专业年级： 13级信息与计算科学 指导教师： 信息技术学院二一五 年12月 日网络嗅探wireshark工具应用摘 要随着网络技术的发展和网络应用的普及，越来越多的信息资源放在了互联网上，网络的安全性和可靠性显得越发重要。因此，对于能够分析、诊断网络，测试网络性能与安全性的工具软件的需求也越来越迫切。网络嗅探器具有两面性，攻击者可以用它来监听网络中数据，达到非法获得信息的目的，网络管理者可以通过使用嗅探器捕获网络中传输的数据包并对其进行分析，

2、分析结果可供网络安全分析之用。本文对网络嗅探技术进行简要分析，了解wireshark抓包软件的一部分功能，并用wireshark抓包软件来作为网络数据包的捕获工具，对相应的数据包进行捕获，并对所抓到数据包进行简要的分析。关键词：网络嗅探器；数据包捕获；数据包分析；第一章 引言 41.1 网络安全的现状 41.1.1 计算机网络安全的问题 41.1.2 网络安全机制及技术措施 41.2本课题的研究意义 61.3本文研究的内容 6第二章 网络嗅探器的基本原理 72.1网络嗅探器概述 72.2 嗅探器实现基础 7第三章 数据包的捕获 83.1 wireshark抓包软件的解析 83.2 Wiresh

3、ark嗅探器对ICMP协议数据包的捕获以及分析 93.2.1 ICMP协议的原理 93.2.2 利用网络嗅探工具开始捕获ICMP协议的数据包 93.2.3 对所抓到的数据包的分析 113.3 Wireshark嗅探器对DHCP协议数据包捕获及分析 123.3.1 DHCP 协议的原理 123.3.2利用Wireshark嗅探器抓捕DHCP协议的数据包并分析 133.3.3 分析所抓到的数据包 163.4用wireshark实现和分析三次握手 233.5 FTP协议数据包的捕获 253.5.1 FTP原理 253.5.2实验准备 253.5.3 FTP协议数据包的捕获 29总结 31参考文献 3

4、1第一章 引言1.1 网络安全的现状1.1.1 计算机网络安全的问题随着各种新的网络技术的不断出现、应用和发展，计算机网络的应用越来越广泛，其作用也越来越重要。但是由于计算机系统中软硬件的脆弱性和计算机网络的脆弱性以及地理分布的位置、自然环境、自然破坏以及人为因素的影响，不仅增加了信息存储、处理的风险，也给信息传送带来了新的问题。计算机网络安全问题越来越严重，网络破坏所造成的损失越来越大。Internet的安全已经成为亟待解决的问题。从目前使用的情况来看，对计算机网络的入侵、威胁和攻击，基本上可以归纳为以下几种：1.外部人员攻击2.黑客入侵3.信息的泄漏、窃取和破坏4.搭线窃听5.线路干扰6.

5、拒绝服务或注入非法信息7.修改或删除关键信息8.身份截取或中断攻击9.工作疏忽，造成漏洞10.人为的破坏网络设备，造成网络瘫痪1.1.2 网络安全机制及技术措施目前国内外维护网络安全的机制主要有以下几类：1.访问控制机制 访问控制机制是指在信息系统中，为检测和防止未授权访问，以及为使授权访问正确进行所设计的硬件或软件功能、操作规程、管理规程和它们的各种组合。2.身份鉴别 身份鉴别技术是让验证者相信正在与之通信的另一方就是所声称的那个实体，其目的是防止伪装。3.加密机制 对纯数据的加密，加密机制是对你不愿意让他人看到的这些数据（数据的明文）用可靠的加密算法，只要破解者不知道被加密数据的密码，他就

6、不可解读这些数据。4.病毒防护 计算机病毒的防范既是一个技术问题，也是一个管理问题，它采取以“预防为主，治疗为辅”的防范策略将计算机病毒的危害降到最小限度。针对以上机制的网络安全技术措施主要有：（1）防火墙技术 防火墙是指一种将内部网和公众网络分开的方法，它实际上是一种隔离技术，是在两个网络通信是执行的一种访问控制手段，它能允许用户“同意”的人和数据进入网络，同时将用户“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访自己的网络，防止他们更改、复制和毁坏自己的重要信息。（2）基于主机的安全措施 通常利用主机操作系统提供的访问权限，对主机资源进行保护，这种安全措施往往只局限于主机本身的

7、安全，而不能对整个网络提供安全保证。 （3）加密技术 用于网络安全的加密技术通常有两种形式：(a)面向服务的加密技术。面向服务的加密技术即通常所说的信息加密。它是指利用好的密码算法对有些敏感数据、文件和程序进行加密，并以密文方式存取，以防泄密。其优点在于实现相对简单，不需要对网络数据所经过的网络的安全性提出特殊的要求。(b)面向网络的加密技术。面向网络的加密技术是指通信协议加密，它是在通信过程中对包中的数据进行加密，包括完整性检测、数字签名等，这些安全协议大多采用了诸如RSA公钥密码算法、DES分组密码、MD系列Hash函数及其它一些序列密码算法实现信息安全功能，用于防止黑客对信息进行伪造、冒

8、充和篡改，从而保证网络的连通性和可用性不受损害。加密技术是网络信息最基本、最核心的技术措施。但加密的有效性完全取决于所采用的密码算法，故一般由中央授权部门研制生产，不能自行采用一些密码算法用于网络中，否则后果不堪设想。 （4）其它安全措施 包括鉴别技术、数字签名技术、入侵检测技术、审计监控、防病毒技术、备份和恢复技术等。鉴别技术是指只有经过网络系统授权和登记的合法用户才能进入网络。审计监控是指随时监视用户在网络中的活动，记录用户对敏感的数据资源的访问，以便随时调查和分析是否遭到黑客的攻击。这些都是保障网络安全的重要手段。1.2本课题的研究意义计算机网络技术的飞速发展，极大的改变了人们传统的生活

9、和工作模式，越来越多的社会经济活动开始依赖网络来完成，可以说计算机网络的发展已经成为现代社会进步的一个重要标志。但与此同时，计算机犯罪、黑客攻击、病毒入侵等恶性事件也频频发生。因此，信息安全已越来越受到世界各国的重视。嗅探器作为一种网络通讯程序，是通过对网卡的编程来实现网络通讯的，对网卡的编程是使用通常的套接字（socket）方式来进行。但是，通常的套接字程序只能响应与自己硬件地址相匹配的或是以广播形式发出的数据帧，对于其他形式的数据帧比如已到达网络接口但却不是发给此地址的数据帧，网络接口在验证投递地址并非自身地址之后将不引起响应，也就是说应用程序无法收取到达的数据包。而网络嗅探器的目的恰恰在

10、于从网卡接收所有经过它的数据包，这些数据包即可以是发给它的也可以是发往别处的。本文通过对网络嗅探器对网络上传输的数据包的捕获与分析功能的进一步了解，做到知己知彼。通过网络嗅探器对网络上传输的数据包进行捕获和分析，获取所需要的信息，利用对这些信息进行网络安全分析。因此，对网络嗅探器的研究具有重要意义。1.3本文研究的内容本文的研究主要围绕以下几个方面进行。1.网络嗅探器的概念及部分应用的研究。主要包括网络嗅探器的概念、网络嗅探器的工作原理。2.用网络嗅探器对ICMP协议、DHCP协议和TCP协议的数据包进行捕获，并对所捕获到的数据包进行分析。第二章 网络嗅探器的基本原理2.1网络嗅探器概述网络嗅

11、探器又称为网络监听器，简称为Sniffer子系统，放置于网络节点处，对网络中的数据帧进行捕获的一种被动监听手段，是一种常用的收集有用数据的方法，这些数据可以是用户的账号和密码，可以是一些商用机密数据等等。Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。Sniffer的正当用处主要是分析网络的流量,以便找出所关心的网络中潜在的问题。例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器截获网络中的数据包，分析问题的所在。而嗅探器也可作为攻击工具被黑客所利用为其发动进一步的攻击提供有价值的信息。2.2 嗅探器实现基

12、础以太网数据帧是一组数字脉冲，它们在传输介质上进行传输，从而实现信息的传递。以太网帧格式符合IEEE802.3标准，帧中包含目的地址和源地址，目的地址最高位为0是普通地址，为1时是组地址。当一个帧送到组地址时，组内的所有站点都会收到该帧。如果将它送到一个普通地址，一般情况下，只有一个站点收到这个帧，但是，以太网是以广播方式发送帧的，也即这个帧会传播到其所在网段内的所有站点，只不过该站点不会接收目的地址不为本机地址的帧。为了捕获网段内的所有帧(以后称数据包)，可以设置以太网卡的工作方式，以太网卡通常有正常模式(normal mode)和混杂模式(promiscuous mode)两种工作模式。在

13、正常模式下，网卡每接收到一个到达的数据包，就会检查该数据包的目的地址，如果是本机地址和广播地址,则将接收数据包放入缓冲区，其他目的地址的数据包则直接丢掉。因此，正常模式下主机仅处理以本机为目的的数据包，网卡如果工作在混杂模式，则可以接收本网段内传输的所有数据包。如果要进行数据包捕获，必须利用网卡的混杂模式，获得经过本网段的所有数据信息。第三章 数据包的捕获对于数据包的捕获过程，我们可以按照如下所示的流程图对捕获的过程进行解释。数据包捕获流程图:3.1 wireshark抓包软件的解析首先，我们安装好wireshark抓包软件后，将其打开，对其的部分功能按钮进行了解。如图所示，是我对wiresh

14、ark抓包软件的其中四个功能键的理解和认识。3.2 Wireshark嗅探器对ICMP协议数据包的捕获以及分析3.2.1 ICMP协议的原理ICMP全称Internet Control MessageProtocol，中文名为因特网控制报文协议。它工作在OSI的网络层，向数据通讯中的源主机报告错误。ICMP可以实现故障隔离和故障恢复。网络本身是不可靠的，在网络传输过程中，可能会发生许多突发事件并导致数据传输失败。网络层的IP协议是一个无连接的协议，它不会处理网络层传输中的故障，而位于网络层的ICMP协议却恰好弥补了IP的缺限，它使用IP协议进行信息传递，向数据包中的源端节点提供发生在网络层的错

15、误信息反馈。3.2.2 利用网络嗅探工具开始捕获ICMP协议的数据包利用Wireshark嗅探器抓捕ICMP协议的数据包并对所捕获的数据包进行分析。我们利用ping程序产生ICMP分组，抓取ICMP数据包，具体程如下。1. 打开Windows命令提示符窗口，启动Wireshark分组嗅探器，在过滤窗口输入ICMP：2.接着我们打开Windows命令提示符窗口，在命令提示符界面输入“”，返回十条ping信息：从图上可以看出连续收到了10个ping的恢复，每次ICMP通讯的过程都是一个ICMP request和ICMP reply，10次通讯加起来一共20个数据包。3.停止Wireshark分组嗅

16、探器捕捉后，我们会得到如图所示的页面：由图片我们可以看出，在这次捕捉过程中，我们捕捉到了很多数据包，乱七八糟的排列。但是我们这次所抓包的对象是ICMP协议的，所以，我们可以单击下Apply（应用）按钮或是按回车键，就可以使过滤生效，如下图所示：3.2.3 对所抓到的数据包的分析由上图我们可以看出，这次的抓包一共抓到了20个ICMP协议的数据包，我们随机打开一个ICMP request数据包和一个ICMP reply数据包，其结果分别如图a和图b所示：图（a）图(b)我们可以得到的信息有：1.Type：类型字段，8代表ICMP的请求2.Code：代码字段，0代表ICMP的请求3.Checksum

17、：对ICMP头部的校验值，如果传递过程中ICMP被篡改或损坏，与该值不匹配，接收方就将这个ICMP数据包作废4.进程ID标识，从哪个进程产生的ICMP数据包。5.Sequence Number：序列号，同一个进程中会产生很多个ICMP数据包，用来描述当前这个数据包是哪一个，每一对ICMP request和ICMP reply这个字段应该是一样的6.Data：ICMP中的数据，一般都是无意义的填充字段，这个部分可能会被黑客加入恶意代码，实施ICMP攻击3.3 Wireshark嗅探器对DHCP协议数据包捕获及分析3.3.1 DHCP 协议的原理DHCP，全称是Dynamic Host Confi

18、guration Protocol中文名为动态主机配置协议，它的前身是BOOTP，它工作在OSI的应用层，是一种帮助计算机从指定的DHCP服务器获取它们的配置信息的自举协议。 DHCP使用客户端/服务器模式，请求配置信息的计算机叫做DHCP客户端，而提供信息的叫做DHCP的服务器。DHCP为客户端分配地址的方法有三种：手工配置、自动配置、动态配置。DHCP最重要的功能就是动态分配。除了IP地址，DHCP分组还为客户端提供其他的配置信息，比如子网掩码。这使得客户端无需用户动手就能自动配置连接网络。3.3.2利用Wireshark嗅探器抓捕DHCP协议的数据包并分析利用ipconfig /rele

19、ase 和ipconfig /renew 产生DHCP分组，抓取DHCP数据包，具体程如下。1.启动wireshark，启动Wireshark分组嗅探器，在过滤窗口输入bootp：2. 打开Windows命令提示符窗口，输入ipconfig /release，释放IP（命令ipconfig /release中，release是该命令的参数。该命令为释放现有的IP地址）。ipconfig /release终止后，输入ipconfig /renew，将发起一个DHCP过程（命令ipconfig /renew中，renew也与release一样，是该命令的参数。该命令是向DHCP服务器发出请求，并租

20、用一个IP地址。一般情况下使用ipconfig /renew获得的IP地址和之前的地址一样，只有在原地址被占用的情况下才会获得一个新的地址。一般来说，这两个参数是一起使用的）。在这个试验中，是要让计算机发起DHCP过程。ipconfig /renew终止后，再次输入ipconfig /renewipconfig /renew终止后，再次输入ipconfig /releaseipconfig /release终止后，再次输入ipconfig /renew停止分组捕获后，wireshark界面如下：3.3.3 分析所抓到的数据包由上图我们可以看出，在这次捕捉过程中，我们捕捉到的数据包还是很多，乱七

21、八糟的排列。但是我们这次所抓包的对象是DHCP协议的，所以，我们还是可以单击下Apply（应用）按钮或是按回车键，就可以使过滤生效，如下图所示：打开第一条DCHP数据包，由第一次执行ipconfig /release产生，结构如下：DHCP的报文格式整理如下：OP(1)Htype(1)Hlen(1)Hops(1)Transaction ID(4)Seconds(2)Flags(2)Ciaddr（4）Yiaddr（4）Siaddr（4）Giaddr（4）Chaddr（16）Sname（64）File（128）Options（variable）对应的含义分别是：OP：若是client送给serve

22、r的封包，设为1，反向为2；Hard type：硬件类别，ethernet为1；Hard address length：硬件长度，ethernet为6；Hops：若数据包需经过router传送，每站加1，若在同一网内，为0；Transaction ID：事务ID，是个随机数，用于客户和服务器之间匹配请求和相应消息；Seconds：由用户指定的时间，指开始地址获取和更新进行后的时间；Flags：从0-15bits，最左一bit为1时表示server将以广播方式传送封包给 client，其余尚未使用；Ciaddr：用户IP地址；Yiaddr：服务器分配给客户的IP地址；Siaddr：用于boots

23、trap过程中的IP地址；（服务器的IP地址）Giaddr：转发代理（网关）IP地址；Chaddr：client的硬件地址；Sname：可选server的名称，以0x00结尾；File：启动文件名；Options：，厂商标识，可选的参数字段这里我们重点分析第一次执行ipconfig /renew产生的四条数据包，如下图所示所勾画出的四条数据包：1. Discover 二层源地址：24:fd:52:d5:c1:ad二层目的地址：ff:ff:ff:ff:ff:ffMessage type：Boot request（1），1是请求包，由clident端发出的Hops：0，表示未经过处理Client

24、MAC address：24:fd:52:d5:c1:ad(24:fd:52:d5:c1:ad)，客户端的MAC地址Option：（t=53,l=1）DHCP Message Type=DHCP Discover，这是一个discover包2. 提供阶段二层源地址：9c:21:6a:64:f6:02二层目的地址：24:fd:52:d5:c1:ad三层源地址：192:168:1:1三层目的地址：192:168:1:104User Datagran Protocol：通过udp来传输，端口号：client-68，server-67Message type：Boot reply（2），1是回复包Ho

25、ps：0Boot flags：unicastYour（client） IP address：Client MAC address：24:fd:52:d5:c1:ad，客户端的MAC地址Option：（t=53,l=1）DHCP Message Type=DHCP offer，这是一个offer包3.选择阶段二层源地址：24:fd:52:d5:c1:ad二层目的地址：ff:ff:ff:ff:ff:ffMessage type：Boot request（1），1是请求包Hops：0Boot flags：unicastYour（client） IP address：Client MAC addres

26、s：24:fd:52:d5:c1:ad，客户端的MAC地址Option：（t=53,l=1）DHCP Message Type=DHCP request，这是一个request包4.确认阶段二层源地址：24:fd:52:d5:c1:ad二层目的地址：ff:ff:ff:ff:ff:ffMessage type：Boot request（1），1是请求包Hops：0Boot flags：unicastClient MAC address：24:fd:52:d5:c1:ad，客户端的MAC地址Option：（t=53,l=1）DHCP Message Type=DHCP ACK，这是一个ACK包3.

27、4用wireshark实现和分析三次握手三次握手过程为：下面用wireshark实际分析三次握手的过程之后停止掉wireshark，可以先用cmd命令获得XX的IP地址，得到XXip地址为在filter中输入查找出如图为三次握手的过程：第一次握手数据包客户端发送一个TCP，标志位为SYN，序列号为0， 代表客户端请求建立连接。 如下图 ：第二次握手的数据包服务器发回确认包, 标志位为 SYN,ACK. 将确认序号(Acknowledgement Number)设置为客户的I S N加1以.即0+1=1, 如下图：第三次握手的数据包客户端再次发送确认包(ACK) SYN标志位为0,ACK标志位为

28、1.并且把服务器发来ACK的序号字段+1,放在确定字段中发送给对方.并且在数据段放写ISN的+1, 如下图:就这样通过tcp三次握手，建立服务器与客户端的链接。由此可以检测客户端与服务器的链接是否是通畅的，但是仅应用于TCP协议，如果其他协议就不一定是三次握手了。3.5 FTP协议数据包的捕获3.5.1 FTP原理FTP是文件传输控制协议，它可以使文件通过网络从一台主机传送到另一台主机上，而不受计算机类型和操作系统类型的限制，无论是PC机、服务器、大型机，还是DOS操作系统、Windows操作系统、Linux操作系统，只要双方都支持FTP协议，就可以方便地传送文件。3.5.2实验准备用Srev

29、-U软件对文件设置共享、修改、阅读、写入文件等。建立一个用户。其具体步骤如下：（2）打开Srev-U软件，在右键单击“用户”，出现的对话框再“新建用户”。具体步骤如图：（3）新建用户，设置新用户名称为“000”。单击“下一步”。如图所示：设置新用户密码，密码也设置为“000”，这样方便记忆。单击“下一步”。如图所示：主目录是指浏览的文件目录，我们可以设置想要给别人浏览的文件。如图所示：这里我选择让别人浏览我的U盘（命名为宋琪）里面的“网络与安全”这个文件夹）单击“确定”。如图所示：（4）我们打开用户“000”，可以看到如图的界面。我们可以在左边的选项栏中勾选想要给别人使用的权限。如读取、写入、

30、追加等。选好后单击“应用”。在这个软件中，我们也可以查看自己的IP地址。如图所示，单击“向导产生域”就可以查看自己的IP地址。3.5.3 FTP协议数据包的捕获建立好了一个用户以及对它权限的控制后，接着我们打开网络嗅探工具，点击开始抓包，随后让同学访问自己的IP地址，登陆我所建立好的用户，我们便可以抓到如下图所示的账号和密码：由图我们可以知道，在同学源地址： “”，她访问我的IP地址是“192.168.1 .110:”是目标地址，我们可以抓到同学所输入的用户名“songqi”和密码“123456”。总结在这次实验中，进一步的了解了网络嗅探器wireshark的应用，以及充分的利用了网络嗅探器wireshark对三种协议进行了捕获数据包并进行分析，了解到了协议的内容。通过这次试验，加强了对网络嗅探原理的理解，网络嗅探器不至可以帮助网络管理员，也可以对网络造成一定的危害，是一把双刃剑，但只要好好使用它，就可以让它成为很好的助手。通过这次试验，我学到了很多知识，充实了自己的网络知识，为以后的学习打下重要的基础。参考文献【1】王凤英，程 震，网络与信息安全（第二版）C北京，中国铁道出版社，2010.6