資源描述:
《wireshark抓包實例分析》由會員上傳分享����,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫���。
1����、Wireshark抓包實例分析通信工程學(xué)院010611班賴宇超01061093一.實驗?zāi)康?.初步掌握Wireshark的使用方法����,熟悉其基本設(shè)置,尤其是CaptureFilter和DisplayFilter的使用��。2.通過對Wireshark抓包實例進行分析��,進一步加深對各類常用網(wǎng)絡(luò)協(xié)議的理解��,如:TCP��、UDP�、IP、SMTP��、POP�、FTP、TLS等����。3.進一步培養(yǎng)理論聯(lián)系實際,知行合一的學(xué)術(shù)精神�。二.實驗原理1.用Wireshark軟件抓取本地PC的數(shù)據(jù)包,并觀察其主要使用了哪些網(wǎng)絡(luò)協(xié)議�����。2.查
2���、找資料����,了解相關(guān)網(wǎng)絡(luò)協(xié)議的提出背景�����,幀格式,主要功能等���。3.根據(jù)所獲數(shù)據(jù)包的內(nèi)容分析相關(guān)協(xié)議��,從而加深對常用網(wǎng)絡(luò)協(xié)議理解����。三.實驗環(huán)境1.系統(tǒng)環(huán)境:Windows7Build71002.瀏覽器:IE83.Wireshark:V1.1.24.Winpcap:V4.0.2四.實驗步驟1.Wireshark簡介Wireshark(原Ethereal)是一個網(wǎng)絡(luò)封包分析軟件�。其主要功能是擷取網(wǎng)絡(luò)封包,并盡可能顯示出最為詳細的網(wǎng)絡(luò)封包資料�。其使用目的包括:網(wǎng)絡(luò)管理員檢測網(wǎng)絡(luò)問題,網(wǎng)絡(luò)安全工程師檢查資訊安全相關(guān)問題
3��、����,開發(fā)者為新的通訊協(xié)定除錯,普通使用者學(xué)習網(wǎng)絡(luò)協(xié)議的第1頁�����,共12頁相關(guān)知識……當然��,有的人也會用它來尋找一些敏感信息���。值得注意的是��,Wireshark并不是入侵檢測軟件(IntrusionDetectionSoftware,IDS)��。對于網(wǎng)絡(luò)上的異常流量行為�����,Wireshark不會產(chǎn)生警示或是任何提示�����。然而��,仔細分析Wireshark擷取的封包能夠幫助使用者對于網(wǎng)絡(luò)行為有更清楚的了解�。Wireshark不會對網(wǎng)絡(luò)封包產(chǎn)生內(nèi)容的修改��,它只會反映出目前流通的封包資訊�。Wireshark本身也不會送出封包至
4、網(wǎng)絡(luò)上�����。2.實例實例1:計算機是如何連接到網(wǎng)絡(luò)的��?一臺計算機是如何連接到網(wǎng)絡(luò)的?其間采用了哪些協(xié)議���?Wireshark將用事實告訴我們真相��。如圖所示:圖一:網(wǎng)絡(luò)連接時的部分數(shù)據(jù)包如圖���,首先我們看到的是DHCP協(xié)議和ARP協(xié)議。DHCP協(xié)議是動態(tài)主機分配協(xié)議(DynamicHostConfigurationProtocol)�����。它的前身是BOOTP�����。BOOTP可以自動地為主機設(shè)定TCP/IP環(huán)境����,但必須事先獲得客戶端的硬件地址,而且����,與其對應(yīng)的IP地址是靜態(tài)的。DHCP是BOOTP的增強版本��,包括服務(wù)器端和
5、客戶端�。所有的IP網(wǎng)絡(luò)設(shè)定數(shù)據(jù)都由DHCP服務(wù)器集中管理,并負責處理客戶端的DHCP要求��;而客戶端則會使用從服務(wù)器分配下來的IP環(huán)境數(shù)據(jù)���。ARP協(xié)議是地址解析協(xié)議(AddressResolutionProtocol)。該協(xié)議將IP地址變換成物理地址����。以以太網(wǎng)環(huán)境為例,為了正確地向目的主機傳送報文�,必須把目的主機的32位IP地址轉(zhuǎn)換成為48位以太網(wǎng)的地址。這就需要在互連層有一組服務(wù)將IP地址轉(zhuǎn)換為相應(yīng)物理地址����,這組協(xié)議就是ARP協(xié)議。讓我們來看一下數(shù)據(jù)包的傳送過程:第2頁����,共12頁數(shù)據(jù)包No.1:當DHC
6、P客戶端(本地PC)第一次登錄網(wǎng)絡(luò)的時候����,它會網(wǎng)絡(luò)發(fā)出一個DHCPDISCOVER封包�。因為客戶端還不知道自己屬于哪一個網(wǎng)絡(luò)�,所以封包的來源地址會為0.0.0.0,而目的地址則255.255.255.255�,然后再附上DHCPdiscover的信息,向網(wǎng)絡(luò)進行廣播�。數(shù)據(jù)包No.2:當DHCP服務(wù)器(本地路由器)監(jiān)聽到客戶端發(fā)出的DHCPdiscover廣播后,它會從那些還沒有租出的地址范圍內(nèi)�,選擇最前面的空置IP,連同其它TCP/IP設(shè)定���,響應(yīng)給客戶端一個DHCPOFFER封包����。數(shù)據(jù)包No.3:客戶端向
7����、網(wǎng)絡(luò)發(fā)送一個ARP封包,查詢服務(wù)器物理地址�。數(shù)據(jù)包No.4:服務(wù)器端返回一個ARP封包,告訴客戶端它的物理地址���。數(shù)據(jù)包No.5:由于Windows7支持IPV6�,所以DHCPV6協(xié)議也開始工作?�!瓟?shù)據(jù)包No.51:通過ARP協(xié)議��,服務(wù)器端最終也獲得了客戶端的網(wǎng)絡(luò)地址��。到此為止����,我認為客戶端(本地PC)的已完成網(wǎng)絡(luò)注冊。現(xiàn)將客戶端(本地PC)和服務(wù)器端(本地路由器)相關(guān)參數(shù)展示如下:圖二:客戶端(本地PC)相關(guān)參數(shù)第3頁�,共12頁圖三:服務(wù)器端(本地路由器)相關(guān)參數(shù)實例2:你的密碼安全嗎?隨著Inter
8���、net的普及,越來越多的人開始擁有越來越多的密碼�。小到QQ,MSN�����,E-mail等��,大到支付寶�,信息管理系統(tǒng)等,可是一個核心問題是:你的密碼安全嗎?讓我們來看看下面幾個例子��。Test1:FTP工具軟件這里�����,我們采用的FTP工具軟件是FlashFXPV3.7.8���。登陸時抓包如下:第4頁���,共12頁圖四:FlashFXP登陸時的部分數(shù)據(jù)包首先,我們來看一下常用到的三個協(xié)議:SSDP�、DNS和FTP。SSDP協(xié)議是簡單服務(wù)發(fā)現(xiàn)協(xié)議(SimpleSe
