实训4 网络封包及扫描器的使用和分析.doc

实训4 网络封包及扫描器的使用和分析 一、实验目的 通过使用网络扫描软件，了解目标主机端口和服务的开放情况，从而进一步获取信息，找出系统安全漏洞。通过抓包软件的使用，捕获一些敏感数据（如密码）。 通过本次实验，了解到端口与服务开放的风险，增强在网络安全防护方面的意识，还可以捕获局域网中用户的账号和密码。实验具体要求如下： 1.熟悉网络数据包捕获工具的使用 2.熟悉扫描程序（漏洞、端口）的使用 3.能够利用抓包工具分析扫描程序的具体原理 二、实验准备 1. 实验室内的任何一台计算机均可以访问另外一台计算机。 2. 下载工具软件包（wireshark、Xscan、zeNmap）。 3. 在计算机中安装相应的软件（安装wireshark前，先安装WinPcap_4_0_2.exe， 如果安装wireshark后没有在桌面建立快捷链接，可以直接到C:\Program Files\Wireshark 下打开Wireshark.exe即可）。 4. 其中XScan是不需要安装的，可以直接解压拷贝到某个文件夹下运行xscan_gui.exe即可。 三、实验原理 1、Wireshark简介及使用原理 Wireshark（前称Ethereal）是一个网络封包分析软件，不是入侵侦测软件。网络封包分析软件的功能是撷取网络封包，并尽可能显示出最为详细的网络封包资料。对于网络上的异常流量行为，Wireshark不会产生警示或是任何提示。然而，仔细分析Wireshark撷取的封包能够帮助使用者对于网络行为有更清楚的了解。Wireshark不会对网络封包产生内容的修改，它只会反映出目前流通的封包数据，Wireshark本身也不会送出封包至网络上。 2、Xscan简介及使用原理 Xscan采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测，支持插件功能，扫描内容包括：远程服务类型、操作系统类型及版本，各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十几个大类。 3、nmap简介及使用原理 ?nmap是Linux,FreeBSD,UNIX,Windows下的网络扫描和嗅探工 具包，其基本功能有三个，一是探测一组主机是否在线；其次是扫描主机端口，嗅探所提供的网络服务；还可以推断主机所用的操作系统。Nmap还允许用户定制扫描技巧，也可以深入探测UDP或者TCP端口，直至主机所使用的操作系统；还可以将所有探测结果记录到各种格式的日志中，供进一步分析操作（本实验采用nmap的GUI图形界面版本zenmap）。 四、实验步骤 内容一：利用WireShark捕获数据包 在unsv网站（/)上注册一个普通会员账号（需要邮箱验证），利用WireShark捕获数据包，对捕获到的数据包进行分析，找到用户名和密码。 1. 打开unsv网站：，进入会员登录界面。 2. 输入上面注册好的用户名和密码，例如： ！！！先不要点击【会员登录】！！！ 3. 起动WireShark应用程序，点击菜单“抓包 | 选择抓包过滤器”： 按图选择“HTTP TCP port(80)”，单击“确定”。 4. 再点击菜单“抓包 | 网络接口”，会打开“抓包接口”选择对话框，用于选择后续抓包操作针对哪个网络接口，类似如下图所示，选择你的机器联网的接口即可（红色框住者）。 然后点击“开始”即可抓包开始。 此时，回到unsv网站的登录页面，点击“会员登录” 5. 每笔抓到的数据包都会显示出来，类似如下图所示： 如果不需要抓包了，选择菜单“抓包 | 停止”即可。 上图分析： 1） 包号为75的包，表明使用DNS进行了域名转换，将域名转换为物理IP地址=04。 2） 随着转换完成，浏览器与web服务器建立TCP连接（78-80包），并从服务器活动连接成功的信息（81包），最后浏览器使用已经建立好的TCP连接发生请求（82包，说明请求的方式为GET, 文件为 /edurs/info.aspx , 协议和版本为HTTP 1.1）。 6. 请分析登录unsv网站后抓到的数据包，从中是否能查找到登录的用户名和密码，并将找到了用户名/密码的数据包抓图下来按下图形式粘贴到下面的表格内。 粘贴实验结果图片区 结论 用户名格式 824462670@ 密码格式 362168 内容二：利用Xscan扫描主机和局域网中的开放端口和漏洞 1. 直接运行绿色版Xscan，点击菜单“设置 | 扫描参数”，在指定IP地址范围处，将IP填入localhost或（均代表本机），还可对高级设置中的最大并发线程数量和最大并发主机数量按默认设置，其他设置中，选中显示详细进度和无条件扫描复选框，在“全局设置”的“扫描模块”选项中分别勾选“开放服务”、“NT-Server弱口令”、“NetBios信息”三个选项，余下的选项按默认设置