实验一网络嗅探实验一、简单阐述实验原理网络嗅探器Sniffer的原理网卡有几种接收数据帧的状态：unicast（接收目的地址是本级硬件地址的数据帧），Broadcast （接收所有类型为广播报文的数据帧），multicast（接收特定的组播报文），promiscuous （目的硬件地址不检查，全部接收）以太网逻辑上是采用总线拓扑结构，采用广播通信方式，数据传输是依靠帧中的MAC地址来寻找目的主机。

每个网络接口都有一个互不相同的硬件地址（MAC地址），同时，每个网段有一个在此网段中广播数据包的广播地址一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，丢弃不是发给自己的数据帧。

但网卡工作在混杂模式下，则无论帧中的目标物理地址是什么，主机都将接收通过Sniffer工具，将网络接口设置为“混杂”模式。

可以监听此网络中传输的所有数据帧。

从而可以截获数据帧，进而实现实时分析数据帧的内容。

数据传输有两种方式：主动和被动模式。

关于被动模式与主动模式书上这么解释来着。

客户端与服务器建立控制连接后，要告诉服务器采用哪种文件传输模式。

FTP提供了两种传输模式，一种是Port（主动模式），一种是Passive被动模式。

这个主被动指的是服务器端。

主动，是指服务器端主动向客户端发起数据连接请求，那么此时服务器端要用自己的一个固有端口一般是20去监听客户端。

整个过程是这样的，客户端在最初会用一个端口3716向服务器端的21发起控制连接请求（应该是在握手后中确定的吧），连接成功后，在发送port 3716+1，告诉服务服务器端坚定3717，那么服务器端就会用数据端口，一般是20与3717建立连接（这就是主动进行数据连接）。

服务器端利用自己的20与客户端 3717来文件的数据传送通信，利用21和客户端最初的端口3616进行用户验证和管理。

而被动模式，是服务器端被动的接受客户端的数据连接请求，这个端口号是由客户端告知服务器端的，在本地随机生成（1025-65535）。

二、分别写出任务二、任务三中要求找出的有用信息，写出对应捕获的报文窗口中的summary（概要）代码，并推断出监测主机的系列行为。

任务二：有用信息：ftp连接的目的地址：159.226.92.9目的端口：21发起连接的源地址：192.168.128.128源端口：1064建立连接的3次握手的数据包及其对应的TCP协议包头结构各字段数据：第一次握手，客户端发送tcp请求，外层先经过了MAC层的包封装，然后IP层封装，TCP 层封装。

D=21 S=1024 SYN SEQ=655528718 LEN=20 WIN=64240第二个tcp请求，服务器端告诉客户端已经建立好了连接。

D=1024 S=21 SYN ACK＝655528718 SEQ=1267818063 WIN=64240第三次tcp握手，客户端告诉服务器端已经建立好了连接，可以传送数据了。

D=21 S=1024 SYN ACK=1267818063 WIN=64240登陆的用户名及密码：USER anonymous 匿名用户目标主机浏览过的目录和文件：/pub/netlib/a/进行的操作：下载.master文件推断监测主机的系列行为：IP为192.168.128.128 的客户端连接到IP为159.226.92.9的服务器端，匿名登陆，去到/pub/netlib/apub/的目录下，下载了.master的文件，设置了“文件传输完成即断开连接”summary（概要）代码：客户机发送了ER anonymous，匿名登陆2.LIST -al命令，显示目录下的文件3.CWD netlib，去下一层目录/pub/netlib4.PWD命令5.CWD a，去下一层目录/pub/netlib/a6.TYPE I命令,7.SIZE .master命令8.MDTM .master命令9.PASV命令10.RETR .master命令,，客户端要求数据传输.master文件任务二过程：1.首先使用了两台xp虚拟机Windows XP Professional和Windows XP 2，分别装上了sniffer和flashxp。

2. 主机连接校园无线，查看IP地址主机GHOST WIN7 SP1 x64 IP:10.63.35.167 网关：10.63.0.1虚拟机Windows XP Professional IP:192.168.128.129 网关：192.168.128.2虚拟机Windows XP 2 IP:192.168.128.128 网关：192.168.128.2三台机子之间可以互相ping，此时可以确定虚拟机之间可以互相监听3.虚拟机Windows XP Professional打开sniffer,设置过滤器捕获FTP协议的数据包，开始捕获4.虚拟机Windows XP 2打开flash xp软件，快速建立连接，连接FTP服务器站点：。

在此站点上传或者下载文件。

连接显示：只选择192,.169.128.128 来显示：停止显示，看数据包解码：ftp:登陆：1.服务器发送“220 vsFTPD2.0.5”，已连接，返回了服务器名，vsftpd 是一个 UNIX 类操作系统上运行的服务器的名字2.客户端发送USER命令，客户端告诉服务器要发送用户名为匿名3.服务器返回“331 please specify the password”，要求给出确定密码。

可知，服务端告诉客户端用户名正确，需要口令。

从这里可以看出，当焦点离开用户名输入框时，客户端已经于服务器端建立了一次通信。

那么，此时就能够判断该用户是否合法。

4.客户端向服务器端发送PASS命令，后边紧跟着传送密码（明码）那么服务端肯定会根据前后传送的用户名和密码，进行验证。

5.服务器返回“230 Login successful”，响应码230，说明用户凭据有效，登录成功查看目录：6.客户端向服务器端发送SYST命令,询问操作系统类型7.服务器返回“215 UNIX Type: L8”, 服务器反馈是unix系统8.客户端向服务器端发送FEAT命令,9.服务器返回“211-Features”10.客户端向服务器端发送EPRT命令,11.服务器返回“EPSV、 MDTM 、PASV、 REST STREAM 、SIZE 、TVFS”12.客户端向服务器端发送PWD命令13.服务器返回“257 /”, 服务器响应根目录14.客户端向服务器端发送PASV命令15.服务器返回“227 Entering Passsive Mode(159,226,92,9,228,238)”,去下一层目录/pub/netlib16.客户端向服务器端发送LIST -al命令，告知服务端列出路径下目录和文件17.服务器返回“Here comes the directory listening ”,18.服务器返回“226 Directory send OK ”,服务端列出路径下目录和文件19.客户端向服务器端发送CWD netlib命令，要求去到netlib 目录下20.服务器返回“250 directory successfully changed ”,,服务器响应目录已改变21.客户端向服务器端发送PWD命令,22.服务器返回“257 /pub/netlib”, 服务器返回要求目录23.客户端向服务器端发送PASV命令,24.服务器返回“227 Entering Passsive Mode(159,226,92,9,228,238)”,去下一层目录/pub/netlib/a25.客户端向服务器端发送LIST -al命令，显示目录下的文件26.服务器返回“Here comes the directory listening ”,27.服务器返回“226 Directory send OK ”,28.客户端向服务器端发送CWD a命令，要求去到netlib 目录下29.服务器返回“250 directory successfully changed ”,服务器响应目录已改变30.客户端向服务器端发送PWD命令,31.服务器返回“257 /pub/netlib/a”, 服务器返回要求目录32.客户端向服务器端发送PASV命令,33.服务器返回“227 Entering Passsive Mode(159,226,92,9,73,162)”,下载.master文件34.客户端向服务器端发送LIST -al命令，显示目录下的文件35.服务器返回“150 Here comes the directory listening ”,36.服务器返回“226 Directory send OK ”,37.(62) 客户端向服务器端发送TYPE I命令,38.(64) 服务器返回“20 Switching to Binary mode”,39.(65) 客户端向服务器端发送SIZE .master命令,40.(67) 服务器返回“213 917”,41.(68) 客户端向服务器端发送MDTM .master命令,42.(70) 服务器返回“213 19960903025128”43.客户端向服务器端发送PASV命令44.服务器返回“227 Entering Passsive Mode(159,226,92,9,247,9)”,服务器端响应为227，表示进入被动模式。

服务端收到该命令后会开一个新的端口P进行监听，同时将该端口告诉客户端。

客户端收到响应后，通过新的端口与P建立连接，进行文件传输。

该新端口会告诉服务端。

45.客户端向服务器端发送RETR .master命令,，客户端要求数据传输.master文件46.服务器返回“150 Opening BINARY mode data connection for .master (97 bytes) 226 File send OK.”服务端告知，数据开始传送。

服务器二进制流传输文件完成。

连接断开47.服务器发送“421 Timeout”,连接超时，断开连接受害者的日志：[15:27:15] Winsock 2.2 -- OpenSSL 1.0.2a 19 Mar 2015[15:27:31] [R] 正在连接到 -> DNS= IP=159.226.92.9 PORT=21[15:27:31] [R] 已连接到 [15:27:31] [R] 220 (vsFTPd 2.0.5)[15:27:31] [R] USER anonymous[15:27:32] [R] 331 Please specify the password.[15:27:32] [R] PASS (hidden)[15:27:32] [R] 230 Login successful.[15:27:32] [R] SYST[15:27:32] [R] 215 UNIX Type: L8[15:27:32] [R] FEAT[15:27:32] [R] 211-Features:[15:27:32] [R] EPRT[15:27:32] [R] EPSV[15:27:32] [R] MDTM[15:27:32] [R] PASV[15:27:32] [R] REST STREAM[15:27:32] [R] SIZE[15:27:32] [R] TVFS[15:27:32] [R] 211 End[15:27:32] [R] PWD[15:27:32] [R] 257 "/"[15:27:32] [R] PASV[15:27:32] [R] 227 Entering Passive Mode (159,226,92,9,198,180)[15:27:32] [R] 正在打开数据连接 IP: 159.226.92.9 端口: 50868[15:27:32] [R] LIST -al[15:27:32] [R] 150 Here comes the directory listing.[15:27:32] [R] 226 Directory send OK.[15:27:32] [R] 列表完成: 314 字节耗时 0.37 秒 (0.3 KB/s)[15:27:36] [R] CWD netlib[15:27:36] [R] 250 Directory successfully changed.[15:27:36] [R] PWD[15:27:37] [R] 257 "/pub/netlib"[15:27:37] [R] PASV[15:27:37] [R] 227 Entering Passive Mode (159,226,92,9,27,153)[15:27:37] [R] 正在打开数据连接 IP: 159.226.92.9 端口: 7065[15:27:37] [R] LIST -al[15:27:37] [R] 150 Here comes the directory listing.[15:27:37] [R] 226 Directory send OK.[15:27:37] [R] 列表完成: 13 KB 耗时 0.58 秒 (13.1 KB/s)[15:27:40] [R] CWD a[15:27:40] [R] 250 Directory successfully changed.[15:27:40] [R] PWD[15:27:40] [R] 257 "/pub/netlib/a"[15:27:40] [R] PASV[15:27:40] [R] 227 Entering Passive Mode (159,226,92,9,250,195)[15:27:40] [R] 正在打开数据连接 IP: 159.226.92.9 端口: 64195[15:27:41] [R] LIST -al[15:27:41] [R] 150 Here comes the directory listing.[15:27:44] [R] 226 Directory send OK.[15:27:44] [R] 列表完成: 2 KB 耗时 4 秒 (0.7 KB/s)[15:27:52] [R] TYPE I[15:27:52] [R] 200 Switching to Binary mode.[15:27:52] [R] SIZE .master[15:27:52] [R] 213 97[15:27:52] [R] MDTM .master[15:27:52] [R] 213 19960903025128[15:27:55] [R] PASV[15:27:55] [R] 227 Entering Passive Mode (159,226,92,9,100,210)[15:27:55] [R] 正在打开数据连接 IP: 159.226.92.9 端口: 25810[15:27:55] [R] RETR .master[15:27:55] [R] 150 Opening BINARY mode data connection for .master (97 bytes). 任务三：http连接的目的地址：61.135.186.152目的端口：80发起连接的源地址：192.168.128.12源端口：2379Cookie:BIDUSID=59DE2F3966ED0FEF0F2AE3E157A9889登陆邮箱的用户名:1217029271%密码：建立连接的3次握手的数据包：学生A发送的数据包和接收的数据包：登陆邮箱失败后释放连接的数据包及其对应的TCP协议包头结构各字段数据：http连接的目的地址：123.125.29.230目的端口：80发起连接的源地址：192.168.128.12源端口：2231Cookie: SINAGLOBAL=7379895419982.32.1431678692996ULV=1431678838106un=1217029271@Wvr=6Login_sid=663dfc9c8b登陆邮箱的用户名:1217029271%密码：建立连接的3次握手的数据包：学生A发送的数据包和接收的数据包：登陆邮箱失败后释放连接的数据包及其对应的TCP协议包头结构各字段数据：(2327) get /wbsso/bogin?url=http%3（2337）get 请求页面/ajaxlogin.php?framelogin=1&callback=parent.sinaSSOController.feedBackUrlCallBack&sudaref =(2738)get 请求页面/feed.gif?uid=2716009333&time=1431678864&mid=3842801274397239&sub_num=&grid_id=1过程：第一次http: （4）get 客户端请求网页连接第二次http: （6）HTTP/1.0 服务器响应Status=OK第三次http: (13) get 客户端请求连接GIF？Pid=11&url=&logintypt=dialoglogin&merge=1&tp1=mn&loginfirst&_t1431679739996第四次http: (15) HTTP/1.0 服务器响应Status=OK，返回一张图片第五次http: (22) get 客户端请求连接GIF?Pid=11&url=&logintypt=dialoglogin&merge=1&tp1=mn&type=typein&_t=1431679742059 第六次http: (24) HTTP/1.0 服务器响应Status=OK，返回一张图片第七次http: (104) get 客户端请求登陆v第八次http: (13) get 客户端请求登陆第九次http: (13) get 客户端请求登陆第十次http: (13) get 客户端请求登陆第十一次http: (13) get 客户端请求登陆第十二次http: (13) get 客户端请求登陆第十三次http: (13) get 客户端请求登陆三、画出任务二中建立连接的3个数据包的TCP包头结构（写出各字段对应数据）；画出任务三中释放连接的4个数据包的TCP包头结构（写出各字段对应数据）。