信息收集阶段主要技术03-嗅探技术分析-交换式网络嗅探实验讲解.doc

类别 内容 实验课题名称 交换式网络嗅探实验 实验目的与要求 1.???掌握Sniffer（嗅探器）工具的使用方法，实现FTP、HTTP数据包的捕捉。 2.???掌握对捕获数据包的分析方法，了解FTP、HTTP数据包的数据结构和连接过程，了解FTP、HTTP协议明文传输的特性，以建立安全意识。 实验环境 VPC1(虚拟PC） 操作系统类型：xp；?网络接口：本地连接 VPC2(虚拟PC） 操作系统类型：xp；?网络接口：本地连接 VPC?连接要求 PC网络接口，本地连接与实验网络直连 软件描述 1.???学生机要求安装java环境 2.???两台windows xp的系统 实验环境描述 1、 学生机与实验室网络直连； 2、?VPC与实验室网络直连； 3、 学生机与VPC物理链路连通； 预备知识 网络嗅探器Sniffer的原理 （1）网卡有几种接收数据帧的状态：unicast（接收目的地址是本级硬件地址的数据帧），Broadcast（接收所有类型为广播报文的数据帧），multicast（接收特定的组播报文），promiscuous（目的硬件地址不检查，全部接收）。 （2）以太网逻辑上是采用总线拓扑结构，采用广播通信方式，数据传输是依靠帧中的MAC地址来寻找目的主机。 （3）每个网络接口都有一个互不相同的硬件地址（MAC地址），同时，每个网段有一个在此网段中广播数据包的广播地址。 （4）一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，丢弃不是发给自己的数据帧。但网卡工作在混杂模式下，则无论帧中的目标物理地址是什么，主机都将接收。 （5）通过Sniffer工具，将网络接口设置为“混杂”模式。可以监听此网络中传输的所有数据帧。从而可以截获数据帧，进而实现实时分析数据帧的内容。 交换式网络嗅探与共享式网络嗅探的区别 目前，80％的局域网（LAN）是以太网，在局域网中大量地了集线器（HUB）或交换机（Switch）这种连接设备。利用集线器连接的局域网叫共享式局域网，利用交换机连接的局域网叫交换式局域网。那它们二者有何区别呢？大家知道，以太网中采用的工作方式是CSMA／CD（载波监听多路访问／冲突检测），对于发送端来说，它每发送一个数据信息时，首先对网络进行监听，当它检测到线路正好有空，便立即发送数据，否则继续检测，直到线路空闲时再发送。对于接收端来说，对接收到的信号首先进行确认，如果是发给自己的就接收，否则不予理睬。在介绍集线器与交换机二者区别的时候，我们先来谈谈网络中的共享和交换这两个概念。在此，我们打个比方，同样是10个车道的马路，如果没有给道路标清行车路线，那么车辆就只能在无序的状态下抢道或占道通行，容易发生交通堵塞和反向行驶的车辆对撞，使通行能力降低。为了避免上述情况的发生，就需要在道路上标清行车线，保证每一辆车各行其道、互不干扰。共享式网络就相当于前面所讲的无序状态，当数据和用户数量超出一定的限量时，就会造成碰撞冲突，使网络性能衰退。而交换式网络则避免了共享式网络的不足，交换技术的作用便是根据所传递信息包的目的地址，将每一信息包独立地从端口送至目的端口,避免了与其它端口发生碰撞，提高了网络的实际吞吐量。共享式以太网存在的主要问题是所有用户共享带宽，每个用户的实际可用带宽随网络用户数的增加而递减。这是因为当信息繁忙时，多个用户都可能同进“争用”一个信道，而一个通道在某一时刻只充许一个用户占用，所以大量的经常处于监测等待状态，致使信号在传送时产生抖动、停滞或失真，严重影响了网络的性能。集线器上是一个中继器，而中继器的主要功能是对接收到的信号进行整形再生放大，使被衰减的信号再生（恢复）到发送时的状态，以扩大网络的传输距离，而不具备信号的定向传送能力。交换式以太网中，交换机供给每个用户专用的信息通道，除非两个源端口企图将信息同时发往同一目的端口，否则各个源端口与各自的目的端口之间可同时进行通信而不发生冲突。交换机只是在工作方式上与集线器不同，其它的连接方式、速度选择等则与集线器基本相同。不久的将来，局域网中的交换机将逐取代集线器。 通俗的来理解： 从底层机制来说，作为终端设备，在共享式网络好比很多人在一个屋子里谈话，不管对方是否跟你说，你都听得见。交换式网络则更像打电话，你只能听见跟你说话的人的声音，而听不到别人之间的交谈。 ? 实验内容 1.???任务一：熟悉SnifferPro工具的使用 2.???任务二：捕获FTP数据包并进行分析 3.???任务三：捕获HTTP数据包并分析 4.???撰写实验报告 实验步骤 ? 注：实验中所有ip(如：172.17.135.*?或?110.10.10.*)均要根据实际网络情况而改变，所用工具windows版的均在D:/tools中，linux