实验5捕获分析实验.doc

实验五 抓包分析实验 ——Iris的使用 【实验目的】 熟悉和掌握抓包工具Iris的使用；利用Iris进行网络抓包实验并做简单分析。 【预备知识】 网络嗅探：以太网的数据传输是基于“共享”原理的：所有的同一本地网范围内的计算机共同接收到相同的数据包。这意味着计算机直接的通讯都是透明可见的。正是因为这样的原因，以太网卡都构造了硬件的“过滤器”来忽略掉一切和自己无关的网络信息（事实上是忽略掉了与自身MAC地址不符合的信息）。而网络嗅探程序利用了这个特点，它主动的关闭了过滤器，也就是设置了网卡“混杂模式”，此时，嗅探程序就能够接收到整个以太网内的网络数据信息，并加以分析。通过对得到的数据包进行一定的分析，网络嗅探程序可能得到许多有价值的信息，包括机密数据，账户密码等，得到有用信息的难易程度，取决于许多因素，例如数据包的类型，加密程度等。 【实验环境】以一组同学为例 PC1：Windows 2000 Professional＋SP2，IP地址为‘192.168.0.1’ PC2：Windows 2000 Professional＋SP2，IP地址为‘192.168.0.2’ PC3：Windows 2000 Server＋SP2，IP地址为‘192.168.0.3’ 其中PC2安装Iris进行抓包，PC1主要用来向PC3发包。 【实验工具】 Iris.exe：Version 2.0 英文版；eEye公司；共享软件；网络嗅探工具，可以抓取并分析在共享式网络中传输的数据包，通过分析数据包可能得到许多有价值的信息，特别是帐户密码信息。 【实验过程与步骤】 步骤一：配置Iris 1．启动PC2上安装的Iris（如果是第一次使用，会提示你设置adapters，即软件所使用的网卡，如图6-1） 图6-1 网卡设置 2. Tools－setting可做各项配置，选默认设置即可（如图6-2）。 图6-2 捕捉方式选项 3. Filters－Edit filter设置包过滤规则，可针对多种参数进行设置，选择抓 取包的类（如图6-3）。 图6-3 抓包设置 步骤二：监听网络，抓取数据包 1. 选择主界面左下方的capture图标后点击工具栏中的开始按钮，即可开始抓包（如图6-4），右上方子窗口显示的是抓到的包的类型等信息，左方显示的是选中的包的结构，右下方是包具体内容的十六进制代码表示，选择某个包即可查看其具体信息，如MAC header和IP header等。 2. 展开MAC Header，其中Destination为目标MAC，Source为源MAC，Type说明类型。同时可以看到十六进制表示的窗口中有些代码变成了灰底红字（如图6-4），这些即是MAC Header相应的内容在数据包中的具体表示（如图6-5）。 图6-4 抓包的现象 图6-5数据包的目标地址 3．展开IPv4 Header，可以看到IP协议的版本号（4），包头长度（5），源IP（192.168.0.2）等信息（如图6-6），被选中的项也在十六进制窗口中变为灰底红字突出显示（如图6-7）。 图6-6 数据包的IP包头 图6-7 数据包的协议 步骤三：分析数据包 1．暂停抓包或累计抓2000包，点击左边工具栏上的Decode按钮，可以对所有抓到的包中有用的包进行分类分析，是按照源主机――端口（协议）进行分类的（如图6-8）。 图6-8数据包分析 2． 选中某台主机上的某种协议，可以看到和它有关的数据包，选中某个数据包在它下方可以显示包的具体内容（ASCII码表示）（如图6-9）。 图6-9 数据包内容分析 3．分析ASCII码，找出有价值的信息。如图6-11所示，选取PC1的23端口（TCP－TELNET），可以看到有两个数据包，第一个没有多少有价值的信息（图6-10，而第二个就包含了PC1用TELNET登录PC2时使用的用户名Administrator和密码biti01245（图6-11）（由于TELNET的信息为明文传送，所以可能直接截取到未加密的帐户信息）。 图6-10 数据包内容分析 图6-11 数据包内容分析 步骤四：熟悉其他功能 Iris还可以用图表的形式对所抓取的数据包进行统计表示，如图6-12所示，可以在工具栏的statistics中观察数据包的统计信息，具体方法参见帮助。 图6-12 数据包统计信息