网络安全(黑客攻防)_网络基础及嗅探攻击重点.ppt

三、实验步骤(4) 4、分析结果并比较TCP头和UDP头： （1）在Ethereal中，点击Capture菜单－ 点击Stop。（2）分析UDP数据包。在数据包部分，选中在协议栏中列出了DNS的第一个数据包项，(图1-8 UDP头截图)。观察显示的信息：源端口是什么，目的端口是什么，校验和值是什么？（3）分析TCP数据包：在数据包部分，选中在协议栏中列出了TCP的第一个数据包项，(图1-9 TCP头截图)。在树型视图部分，展开Transmission Control Protocol项。观察显示的信息，源端口，目的端口，校验和值，注意TCP头和UDP头之间有什么不同? 四、实验小结 通过本次实验可以获得UDP协议数据包的结构信息，并可比较出UDP协议与TCP协议数据包的不同。 第一篇 网络基础及网络嗅探技术 Windows网络通信分析(Ethereal) TCP协议的三次握手分析 UDP协议的基础分析 网络嗅探技术 实验1－4：网络嗅探技术 一、实验目的 二、实验设备 三、实验步骤 四、实验小结 五、防御措施 实验1－4：网络嗅探技术  默认情况下FTP、HTTP、Telnet等协议在客户端与服务器端进行身份验证时用明文传输数据包。网络嗅探技术利用某些工具，通过将网卡的工作模式设置为“混杂模式”的方式，使网卡处于对网络进行“监听”的状态，可以监听到与“混杂模式”的网卡处于同一物理网络中传输的数据帧（无论数据帧的目标地址是广播地址、本机地址或者其它主机的地址）。如果使用Hub等共享式设备将几台主机互联，A机与B机之间通讯时产生的数据包可以被安装了网络嗅探工具的主机C嗅探到。但是在交换的网络和ATM网络中，嗅探效果不理想。 实验1－4：网络嗅探技术 使用嗅探工具时应该注意以下几点： 1、嗅探工具应该和其他网络主机使用Hub等共享式设备互连，这样才能捕获到网络中所有的数据包。2、如果网络设备使用的是交换机，可以通过两种方法实现对网络的监控：（1）对交换机进行镜像端口配置：将所有其它端口上的数据包复制并转发一份到“镜像”端口,并让该端口与安装了嗅探工具的主机相连。否则，嗅探工具只能够捕获到嗅探主机所连接的交换机端口上的所有数据包。（2）把交换机的“镜像”端口级联到集线器上，再把安装了嗅探工具的主机接到集线器上。 一、实验目的 了解网络嗅探的原理，掌握嗅探类工具对数据包的捕获方法，学会从捕获的数据包中发现用户名、口令等敏感信息。 二、实验设备 3台Windows计算机：一台主机作为邮件服务器（称为A机），其它主机作为电子邮件客户端。本实验需要安装嗅探工具Ethereal的主机如果是XP主机,则最好选择SP2及SP2以下的补丁包版本;如果是2003 Server主机,则最好选择R1补丁包版本;如果是2000 Server,则任何补丁包类型均可。 三、实验步骤(1) 1、A机上安装Mdaemon软件，域名为默认的company.mail（不选择Windows集成DNS，将主DNS服务器IP设置为A机IP），建立2个邮箱帐号。一个邮箱帐号为zhoufeifei@，另一个邮箱帐号为qjy@。 三、实验步骤(2) 2、B、C机上启动电子邮件客户端软件outlook（或者outlookexpress），B机的outlook用zhoufeifei@帐号登录，C机的outlook用qjy@登录。 三、实验步骤(3) 3、先退出B、C机的outlook环境。在A、B、C三台主机上分别启动Ethereal：在Ethereal界面中，单击Capture菜单－Options界面，选中相应的网络接口卡并单击OK。 三、实验步骤(4) 4、在B机上用zhoufeifei@帐号登录B机的outlook，在C机上用qjy@登录C机的outlook。在B机与C机上分别登录成功后，在A、B、C这三台机器上停止捕获数据包。  三、实验步骤(5) 5、分析Ethereal捕获： 可以在这三台机器上分别查找含有POST字段的数据包。(图1 -10 A机上捕获到的包含敏感信息的数据包)是在A机上捕获到的数据包，该数据包包含邮箱口令等敏感信息。如果捕获的数据包过多，可以在Filter框(位于工具条之下)中，键入HTTP并按ENTER键。如果只对TCP协议的某个端口（如21端口）所传递的数据包感兴趣，可以在Filter框中输入Tcp.Port==21。 四、实验小结 因为默认情况下FTP、HTT