课程设计II报告
( 2011 / 2012 学年 第 一 学期)
题目1:共享网络嗅探工具(如Sniffer Pro)的功能使用和结构分析
题目2:IP地址欺骗扫描工具Hping2的使用
专 业
学 生 姓 名
班 级 学 号
指 导 教 师
指 导 单 位
日 期 年月日
指导教师成绩评定表
学生姓名 刘铭菲 班级学号 08001019 专业 信息安全
评分内容 评分标准 优秀 良好 中等 差
平时成绩 认真对待课程设计,遵守实验室规定,上机不迟到早退,不做和设计无关的事
设计成果 设计的科学、合理性
功能丰富、符合题目要求
界面友好、外观漂亮、大方
程序功能执行的正确性
程序算法执行的效能
设计报告 设计报告正确合理、反映系统设计流程
文档内容详实程度
文档格式规范、排版美观
验收答辩 简练、准确阐述设计内容,能准确有条理回答各种问题,系统演示顺利。
评分等级
指导教师
简短评语
指导教师签名 日期
备注 评分等级有五种:优秀、良好、中等、及格、不及格
实验一 Sniffer Pro的使用
一. 课题内容和要求
1) 熟练掌握Sniffer Pro对数据包捕获的使用方法。
2) 掌握利用Sniffer Pro进行数据包结构分析、进而理解协议对数据的封装。
重点:1) Sniffer Pro对数据包捕获的使用方法。
2) 利用Sniffer Pro进行数据包结构分析。
难点:Sniffer Pro进行数据包结构分析。
【实验环境】
Windows XP、2003 Server等系统,Sniffer Pro软件。
二、设计思路分析
打开snifeer 软件,出现下图,这个界面是用来选择要抓包得网卡,选择好了之后点击OK
常用功能介绍
1、Dashboard (网络流量表)
点击图1中①所指的图标,出现三个表,第一个表显示的是网络的使用率,第二个表显示的是网络的每秒钟通过的包数量,第三个表显示的是网络的每秒错误率。通过这三个表可以直观的观察到网络的使用情况,红色部分显示的是根据网络要求设置的上限。
当选择Network和Size Distributtion将显示更为详细的网络相关数据的曲线图。
2、Host table(主机列表)
点击①所指的图标,出现图中显示的界面,选择所指的IP选项,界面中出现的是所有在线的本网主机地址及连到外网的外网服务器地址
此时想看看192.168.113.88这台机器的上网情况怎对其进行点击则会出现
3、Detail(协议列表)
点击所示的“Detail”图标,图中显示的是整个网络中的协议分布情况,可清楚地看出哪台机器运行了那些协议。
4、Bar(流量列表)
点击所示的竖状图标,图中显示的是整个网络中的机器所用带宽前10名的情况,点击下面的大饼就显现圆形图
5、Matrix (网络连接)
点击图标,出现全网的连接示意图,图中绿线表示正在发生的网络连接,蓝线表示过去发生的连接。将鼠标放到线上可以看出连接情况。鼠标右键在弹出的菜单中可选择放大此图。
三、概要设计
重点:1) Sniffer Pro对数据包捕获的使用方法。
2) 利用Sniffer Pro进行数据包结构分析。
难点:Sniffer Pro进行数据包结构分析。
四、详细设计
1、抓某台机器的所有数据包
如图9所示,本例要抓192.168.113.208这台机器的所有数据包,如图中①选择这台机器。点击②所指图标,出现图10界面,等到图10中箭头所指的望远镜图标变红时,表示已捕捉到数据,点击该图标出现图11界面,选择箭头所指的Decode选项即可看到捕捉到的所有包。
图9
图10
2、抓Telnet密码
本例从192.168.113.208 这台机器telnet到192.168.113.50,用Sniff Pro抓到用户名和密码。
步骤1:设置规则
如图12所示,选择Capture菜单中的Defind Filter,出现图13界面,选择图13
中的ADDress项,在station1和2中分别填写两台机器的IP地址,如图14所示选择Advanced选项,选择选IP/TCP/Telnet ,将 Packet Size设置为 Equal 55,
Packet
Type 设置为 Normal.。
图12
图13
图14
步骤2:抓包
按F10键出现图15界面,开始抓包。
图15
步骤3:运行telnet命令
本例使telnet到一台开有telnet服务的Linux机器上。
telnet 192.168.113.50
login: test
Password:
3、抓FTP密码
本例从192.168.113.208 这台机器ftp到192.168.113.50,用Sniff Pro抓到用户名和密码。
步骤1:设置规则
如图12所示,选择Capture菜单中的Defind Filter出现图19界面,选择图19中的ADDress项,在station1和2中分别填写两台机器的IP地址,选择Advanced选项,选择选IP/TCP/FTP ,将 Packet Size设置为 In Between 63 -71, Packet Type 设置为 Normal。如图20所示,选择Data Pattern项,点击箭头所指的Add Pattern按钮,出现图21界面,按图设置OFFset为2F,方格内填入18,name可任意起。确定后如图22点击Add NOT按钮,再点击Add Pattern按钮增加第二条规则,按图23所示设置好规则,确定后如图24所示。
图19
图20
图21
图22
图23
步骤2:抓包
按F10键出现图15界面,开始抓包。
步骤3:运行FTP命令
本例使FTP到一台开有FTP服务的Linux机器上
D:/>ftp 192.168.113.50
Connected to 192.168.113.50.
220 test1 FTP server (Version wu-2.6.1(1) Wed Aug 9 05:54:50 EDT 2000)
ready.
User (192.168.113.50:(none)): test
331 Password required for test.
Password:
步骤4:察看结果
图16中箭头所指的望远镜图标变红时,表示已捕捉到数据,点击该图标出现图25界面,选择箭头所指的Decode选项即可看到捕捉到的所有包。可以清楚地看出用户名为test密码为123456789。
4、抓HTTP密码
步骤1:设置规则
按照下图29、30进行设置规则,设置方法同上。
图
图30
步骤2:抓包
按F10 键开始抓包。
步骤3:访问网站
步骤4:察看结果
五、测试数据及其结果分析
1、抓某台机器的所有数据包
图表 1
2、抓Telnet密码
本例使telnet到一台开有telnet服务的Linux机器上。
telnet 192.168.113.50
login: test
Password:
3、抓FTP密码
步骤4:察看结果
图16中箭头所指的望远镜图标变红时,表示已捕捉到数据,点击该图标出现图17界面,选择箭头所指的Decode选项即可看到捕捉到的所有包。可以清楚地看出用户名为test密码为123456。
分析:
虽然把密码抓到了,但大家也许对包大小(Packet Size)设为55不理解,网上的数据传送是把数据分成若干个包来传送,根据协议的不同包的大小也不相同,从
图18可以看出当客户端telnet到服务端时一次只传送一个字节的数据,由于协议的头长度是一定的,所以telnet的数据包大小=DLC(14字节)+IP(20字节)+TCP(20字节)+数据(一个字节)=55字节,这样将Packet Size设为55正好能抓到用户名和密码,否则将抓到许多不相关的包。
4、抓HTTP密码
察看结果
图中箭头所 指的望远镜图标变红时,表示已捕捉到数据,点击该图标出现图31界面,选择箭头所指的Decode选项即可看到捕捉到的所有包。在Summary中找到含有POST关键字的包,可以清楚地看出用户名为qiangkn997,密码为。
六、调试过程中的问题
1.如何导入导出snifferPro定义的过滤器的过滤文件?
方法一、强行覆盖法
C:\Program Files\NAI\SnifferNT\Program\
下面有很多Local打头的目录,对应select settings里各个profile,
进入相应的local目录,用sniffer scan.csf 去覆盖Sniffer.csf(捕获过滤) 或者snifferdisplay.csf(显示过滤)
2.sniffer的警报日志是些做什么用的??
sniffer警报日志也是sniffer专家系统的一部分,通常不正常的TCP/IP通讯会产生警报和日志.
比如: ping 的反映时间太长, 某一个会话中丢包或者重传数过多,单位时间产生的广播/多播数过多等等.
Sniffer抓包时,为什么总是自己机器在流量最大?
网 络环境:电信2M ADSL+宽带路由器+四口交换机,四个人通过交换机共享一个2M的ADSL,在的电脑接在交换机的端口之,然后在我的电脑安装Sniffer,然后看主 机列表中的数据包,为什么老是我的机器的数据流最大?为什么比网关(路由器IP)的收发的数据包还多??
Q: 他们说的对,主要是与你接入的位置有关.
取流量的三种方式:交换机镜象口\HUB\TAP32
七、专业课程设计总结
经过了两个周的学习与实践 sniffer pro 工具的使用与分析使我们更有兴趣深入了解这些内容,我们甚至还没有得到全部的负载内容。Sniffer Pro是一种非常有价值的工具,可以用它来深入挖掘数据的详细资料,就像我们正在做的一样。我们还只是在查看一个数据帧而已!