实验二 网络数据包的监听与分析
一.实验目的
1.初步掌握
Wireshark的使用方法,熟悉其基本设置,尤其是Capture Filter和Display Filter 的使用。
2.通过对Wireshark抓包实例进行分析,进一步加深对各类常用网络协议的理解,如:TCP、 UDP、IP、SMTP、POP、FTP、TLS等。
二.实验原理
1.用Wireshark软件抓取本地PC的数据包,并观察其主要使用了哪些网络协议。 2.查找资料,了解相关网络协议的提出背景,帧格式,主要功能等。 3.根据所获数据包的内容分析相关协议,从而加深对常用网络协议理解。
三.实验环境
三.系统环境:WindowsXP 四.浏览器:IE8 五.Wireshark:V 1.7.1 六.Winpcap:V 4.1.3
四.实验步骤
1.Wireshark简介
Wireshark<原Ethereal)是一个网络封包分析软件。其主要功能是撷取网络封包,并尽可能显示出最为详细的网络封包资料。其使用目的包括:网络管理员检测网络问题,网络安全项目师检查资讯安全相关问题,开发者为新的通讯协定除错,普通使用者学习网络协议的相关知识……当然,有的人也会用它来寻找一些敏感信息。 值得注意的是,Wireshark并不是入侵检测软件 实例1:你的密码安全吗? 随着Internet的普及,越来越多的人开始拥有越来越多的密码。小到QQ,MSN,E-mail等,大到支付宝,信息管理系统等,可是一个核心问题是:你的密码安全吗?让我们来看看下面几个例子。 Test 1:FTP工具软件 这里,我们采用的FTP工具软件是FlashFXP V3.7.8。登陆时抓包如下: 图四:FlashFXP登陆时的部分数据包 首先,我们来看一下常用到的三个协议:SSDP、DNS和 FTP。 SSDP协议是简单服务发现协议(Simple Service Discovery Protocol>,该协议定义了如何在网络上发现网络服务的方法。SSDP信息的传送是依靠HTTPU和HTTPMU进行的。不论是控制指针,或是UPnP设备,工作中都必然用到SSDP,设备接入网络之后,要利用它向网络广播自己的存在,以便尽快与对应的控制指针建立联系。设备利用SSDP的方式是“收听”来自网络端口的消息,从中发现与自己匹配的信息,一旦找到与自己匹配的信息,经由HTTPMU来发送一个响应信息到控制指针。 DNS是域名服务器 (Domain Name Server>。在Internet上域名与IP地址之间可以是一一对应的,域名虽然便于人们记忆,但机器之间只能互相认识IP地址,它们之间的转换工作称为域名解读,域名解读需要由专门的域名解读服务器来完成,DNS就是进行域名解读的服务器。 FTP是文件传输协议(File Transfer Protocol>,用于Internet上的文件的双向传输。用户可以通过FTP工具软件它把自己的PC机与世界各地所有运行FTP协议的服务器相连,访问服务器上的大量程序和信息。FTP的主要作用,就是让用户连接上一个远程计算机<这些计算机上运行着FTP服务器程序),查看远程计算机有哪些文件,然后把文件从远程计算机上下载到本地计算机,或把本地计算机的文件上传到远程计算机。 现在让我们来看看工作流程: 数据包No.1:本地PC机<数据包中表示为ipv6地址)通过SSDP协议向本地路由器发送消息。 数据包No.2:本地路由器通过SSDP协议向非路由地址(IANA>发送消息。 …… 数据包No.13:本地PC机<192.168.1.100)向DNS服务器<218.30.19.50)发送查询请求,要求解读域名jwy.yyets.net。 数据包No.14:DNS服务器返回请求,jwy.yyets.net的ip地址为:210.31.141.46。经查,DNS服务器<218.30.19.50)在西安本地,而jwy.yyets.net<210.31.141.46)在天津科技大学。 …… 数据包No.21:通过FTP协议,本地计算机与FTP服务器建立连接。让人非常兴奋同时又非常沮丧的是:Wireshark不仅抓到了登陆用户名和密码,而且还抓到了传送的文件信息。如下图所示: 图五:Wireshark抓取的用户名,密码和传送的文件信息。 Test 2:Koomail邮件客户端 现在来看看我们常常使用的邮件服务的安全性又如何。 首先,我们用网页方式登陆一个邮箱:,此时我们抓包如下: