2023年網(wǎng)絡(luò)嗅探實驗報告

HUＮANＵＮIVＥRSITY信息安全實驗報告題目：網(wǎng)絡(luò)嗅探實驗指導(dǎo)老師:學(xué)生姓名:學(xué)生學(xué)號：院系名稱：信息科學(xué)與工程學(xué)院專業(yè)班級:2023年5月１5日星期五實驗?zāi)康恼莆誗niｆfer（嗅探器）工具的使用方法,實現(xiàn)FTＰ、HＴTP數(shù)據(jù)包的捕獲。掌握對捕獲數(shù)據(jù)包的分析方法，了解FTＰ、HTＴP數(shù)據(jù)包的數(shù)據(jù)結(jié)構(gòu)和連接過程，了解FTP、HTTＰ協(xié)議明文傳輸?shù)奶匦?以建立安全意識。實驗環(huán)境Windowｓ７Wirｅｓharｋ(網(wǎng)絡(luò)封包分析軟件)ＦLASHFXP（FTP下載軟件)Seｒｖ_Ｕ(FTＰ服務(wù)器端）搜狗瀏覽器。實驗規(guī)定每兩個學(xué)生為一組:其中學(xué)生A進行Http或者Ｆtｐ連接,學(xué)生B運營Wiｒeshaｒk軟件監(jiān)聽學(xué)生A主機產(chǎn)生的網(wǎng)絡(luò)數(shù)據(jù)包。完畢實驗后,互換角色重做一遍。實驗內(nèi)容任務(wù)一:熟悉Wireshark工具的使用任務(wù)二:捕獲FTＰ數(shù)據(jù)包并進行分析任務(wù)三:捕獲ＨTTP數(shù)據(jù)包并分析實驗原理網(wǎng)卡有幾種接受數(shù)據(jù)幀的狀態(tài):unicaｓt（接受目的地址是本級硬件地址的數(shù)據(jù)幀),Brｏａｄcast(接受所有類型為廣播報文的數(shù)據(jù)幀），multｉcaｓｔ（接受特定的組播報文）,pｒomiｓｃuｏｕｓ（目的硬件地址不檢查，所有接受）。以太網(wǎng)邏輯上是采用總線拓?fù)浣Y(jié)構(gòu),采用廣播通信方式,數(shù)據(jù)傳輸是依靠幀中的ＭAC地址來尋找目的主機。每個網(wǎng)絡(luò)接口都有一個互不相同的硬件地址（MAC地址),同時,每個網(wǎng)段有一個在此網(wǎng)段中廣播數(shù)據(jù)包的廣播地址。一個網(wǎng)絡(luò)接口只響應(yīng)目的地址是自己硬件地址或者自己所處網(wǎng)段的廣播地址的數(shù)據(jù)幀,丟棄不是發(fā)給自己的數(shù)據(jù)幀。但網(wǎng)卡工作在混雜模式下,則無論幀中的目的物理地址是什么，主機都將接受。１．HＴTP協(xié)議簡介HTTP是超文本傳輸協(xié)議(ＨｙpｅｒTｅxｔTｒansfeｒProtoｃol)的縮寫，用于WWW服務(wù)。(１)HＴTP的工作原理HTTP是一個面向事務(wù)的客戶服務(wù)器協(xié)議。盡管HＴTP使用TCP作為底層傳輸協(xié)議，但ＨTTP協(xié)議是無狀態(tài)的。也就是說，每個事務(wù)都是獨立地進行解決。當(dāng)一個事務(wù)開始時，就在web客戶和服務(wù)器之間建立一個TＣP連接,而當(dāng)事務(wù)結(jié)束時就釋放這個連接。此外,客戶可以使用多個端口和和服務(wù)器（80端口)之間建立多個連接。其工作過程涉及以下幾個階段。①服務(wù)器監(jiān)聽ＴＣＰ端口８０,以便發(fā)現(xiàn)是否有瀏覽器(客戶進程）向它發(fā)出連接請求;②一旦監(jiān)聽到連接請求，立即建立連接。③瀏覽器向服務(wù)器發(fā)出瀏覽某個頁面的請求，服務(wù)器接著返回所請求的頁面作為響應(yīng)。④釋放ＴCP連接。在瀏覽器和服務(wù)器之間的請求和響應(yīng)的交互,必須遵循HTTP規(guī)定的格式和規(guī)則。當(dāng)用戶在瀏覽器的地址欄輸入要訪問的HＴＴP服務(wù)器地址時，瀏覽器和被訪問HTＴP服務(wù)器的工作過程如下：①瀏覽器分析待訪問頁面的UＲL并向本地ＤＮS服務(wù)器請求ＩP地解析;②DNS服務(wù)器解析出該HTＴP服務(wù)器的ＩP地址并將ＩP地址返回給瀏覽器；③瀏覽器與HTＴP服務(wù)器建立TCＰ連接，若連接成功,則進入下一步；④瀏覽器向HTTP服務(wù)器發(fā)出請求報文（含ＧET信息),請求訪問服務(wù)器的指定頁面；⑤服務(wù)器作出響應(yīng)，將瀏覽器要訪問的頁面發(fā)送給瀏覽器，在頁面?zhèn)鬏斶^程中,瀏覽器會打開多個端口,與服務(wù)器建立多個連接；⑥釋放TＣP連接；⑦瀏覽器收到頁面并顯示給用戶。（２)HTTP報文格式HＴＴP有兩類報文：從客戶到服務(wù)器的請求報文和從服務(wù)器到客戶的響應(yīng)報文。圖５.46顯示了兩種報文的結(jié)構(gòu)。圖１.1HＴTP的請求報文和響應(yīng)報文結(jié)構(gòu)在圖1.1中，每個字段之間有空格分隔，每行的行尾有回車換行符。各字段的意義如下:①請求行由三個字段組成：＊方法字段，最常用的方法為“ＧＥＴ”,表達請求讀取一個萬維網(wǎng)的頁面。常用的方法尚有“HEAD（指讀取頁面的首部）”和“POＳT(請求接受所附加的信息）；*URL字段為主機上的文獻名，這時由于在建立ＴCP連接時已有了主機名;*版本字段說明所使用的ＨＴTP協(xié)議的版本,一般為“HＴＴP/1．1”。②狀態(tài)行也有三個字段:＊第一個字段等同請求行的第三字段;*第二個字段一般為“2０0”,表達一切正常,狀態(tài)碼共有41種,常用的有：301(網(wǎng)站已轉(zhuǎn)移），40０（服務(wù)器無法理解請求報文),40４（服務(wù)器沒有鎖請求的對象)等；＊第三個字段時解釋狀態(tài)碼的短語。③根據(jù)具體情況,首部行的行數(shù)是可變的。請求首部有Accept字段,其值表達瀏覽器可以接受何種類型的媒體;Acceｐt-languaｇe，其值表達瀏覽器使用的語言；User-agenｔ表白可用的瀏覽器類型。響應(yīng)首部中有Dａt(yī)e、Seｒvｅｒ、Coｎtent－Typｅ、Contｅnt-Lengｔｈ等字段。在請求首部和響應(yīng)首部中都有Connecｔｉｏn字段,其值為Kｅｅp-Alｉvｅ或Ｃｌosｅ,表達服務(wù)器在傳送完所請求的對象后是保持連接或關(guān)閉連接。④若請求報文中使用“GEＴ”方法,首部行后面沒有實體主體，當(dāng)使用“ＰOST”方法是,附加的信息被填寫在實體主體部分。在響應(yīng)報文中,實體主體部分為服務(wù)器發(fā)送給客戶的對象。FＴP協(xié)議簡介FＴP是TＣP/IＰ協(xié)議組中的協(xié)議之一，是英文FｉleTranｓｆerProtocol的縮寫。該協(xié)議是Interｎet文獻傳送的基礎(chǔ),它由一系列規(guī)格說明文檔組成,目的是提高文獻的共享性，提供非直接使用遠(yuǎn)程計算機，使存儲介質(zhì)對用戶透明和可靠高效地傳送數(shù)據(jù)。簡樸的說，F(xiàn)TP就是完畢兩臺計算機之間的拷貝,從遠(yuǎn)程計算機拷貝文獻至自己的計算機上,稱之為“下載（dｏwnlｏad)”文獻。若將文獻從自己計算機中拷貝至遠(yuǎn)程計算機上,則稱之為“上載(uｐｌoad）”文獻。在ＴCP/ＩP協(xié)議中，F(xiàn)ＴP標(biāo)準(zhǔn)命令TＣP端標(biāo)語為2１,Porｔ方式數(shù)據(jù)端口為20。同大多數(shù)HYＰERLIＮK""\t＂"Iｎterneｔ服務(wù)同樣，F(xiàn)TP也是一個客戶/HYPERLINK＂"＼t""服務(wù)器系統(tǒng)。用戶通過一個客戶機程序連接至在遠(yuǎn)程計算機上運營的服務(wù)器程序。依照FＴP協(xié)議提供服務(wù),進行文獻傳送的計算機就是ＦＴP服務(wù)器，而連接ＦTP服務(wù)器,遵循FTP協(xié)議與服務(wù)器傳送文獻的電腦就是FTP客戶端。用戶要連上ＦTP服務(wù)器，就要用到FTP的客戶端ＨＹPＥRLIＮK"＂軟件,通常Windｏｗs自帶“ftp”命令，這是一個命令行的ＦTP客戶程序，此外常用的ＦTP客戶程序尚有FｉleＺilla、ＣuｔeFＴP、Ws＿FTP、Flashfxp、LｅapFTP、HYPＥRＬINＫ＂"流星雨－貓眼等。實驗環(huán)節(jié)捕獲FTＰ數(shù)據(jù)包并進行分析1、兩臺計算機分別作為服務(wù)器和客戶端,在服務(wù)器端下載安裝Ｓｅrv_U(FTP服務(wù)器)，在客戶端下載安裝FＬAＳHFXＰ(FTP下載軟件),如下圖所示：２、設(shè)立服務(wù)器賬號和密碼（賬號為ｌihui,密碼為1２3456)：獲取服務(wù)器IP客戶端請求與服務(wù)器連接連接成功后打開wireshark,配置網(wǎng)絡(luò)，開始抓包,FTＰ客戶端開始向FＴP服務(wù)器上傳文獻在wｉｒesｈark中過濾出FTＰ數(shù)據(jù)包（以1９2．16８.１９１.1和１９2.168.１91．２為例）TCP三次握手連接如下圖所示選擇其中一個數(shù)據(jù)包分析由上圖可知:此.xlsｘ的ＦTＰ數(shù)據(jù)包的源端口為3117，目的端口為21，TCP包長為27個字節(jié),序號為10１,下一個數(shù)據(jù)包序號為128（101+27=１28)，ACK號位４14,抱頭長度為2０字節(jié)。藍(lán)色區(qū)域為FTP數(shù)據(jù)的16進制形式。2、捕獲HTTP數(shù)據(jù)包并分析打開wiｒeshark開始抓包，打開瀏覽器發(fā)送一個web請求獲取數(shù)據(jù)包,過濾出htｔp數(shù)據(jù)包釋放ＴCP連接的4個數(shù)據(jù)包的TCP包頭結(jié)構(gòu)選擇其中一個數(shù)據(jù)包分析由上圖可知:此htｔp報文是一個請求報文方法GEＴ版本ＨTTＰ/1.1URLimgn／v51／ｎeｗ-erweima2.ｐng首部字段名字段值字段所表達的信息Hｏstp3.1２３．ｓogoucｄn.cｏm接受請求的服務(wù)器的主機名ConnectioｎKeep-alivｅ允許客戶端和服務(wù)器持久連接Acｃeｐtｉmagｅ／wｅbｐ,＊/＊；q=0.8告訴服務(wù)器可以發(fā)送哪些媒體類型If-Mｏdified-SｉnceＴｈｕ,26Mar202306：57:50GMT告訴服務(wù)器僅當(dāng)自指定日期之后修改過該對象才發(fā)送該對象，否則不發(fā)送User－agenｔMozｉlla/５.０（ＷinｄｏwｓＮT6.1;WOＷ64）AｐpleＷeｂKit/537.３6(KＨTML,ｌikeGeｃko)Ｃｈrｏｍe／35.０.19１6.153Ｓafaｒｉ/537.３6SＥ2.XMｅtaSr1.0將發(fā)起請求的應(yīng)用程序名稱告知服務(wù)器(User-Agｅnt)用戶代理，即服務(wù)器類型Refｅrerhttp：／/1２3.sogou.coｍ/?t=1&s＝0&m=6F０BBBF9D1DC7F3C430EE75E1E70BBE6&R=000２&V＝５.2．５.16123&apiｄ=&aｔv=１&ish=０１＆H=1告訴服務(wù)器是從哪個頁面鏈接過來的，服務(wù)器籍此可以獲得一些信息用于解決。Accept-Eｎcodinｇｇzｉp，deｆlate,sｄｃｈ服務(wù)器可