第1-1章：网络监听及防御技术.ppt

**设置Capturefiltertcp**抓包正在进行中，只抓取了TCP包**抓包结束，查看封包内容控制列封包总览封包内容十六进制码**设置Displayfiltertcp.port==21andip.addr==50**封包重组选定某一封包内容后，执行FollowTCPStream，即可对与被选中封包相关的所有封包内容进行重组，可更清楚的看到封包中的Data。ftp登陆过程**案例二：监听TCP通信过程TCP通信过程回顾实验环境用Wireshark抓包数据包详细分析**TCP通信过程回顾TCP数据报格式正常TCP通信过程:建立连接数据传输断开连接**TCP数据报格式**TCP连接建立过程**TCP数据传输过程TCPPacketEstablishedEstablishedSEQ=1001,ACK=751,dataLen=256Sending1Waiting1SEQ=751,ACK=1257OK1ACK1SEQ=751,ACK=1513OK2ACK2SEQ=1257,ACK=751,dataLen=256Sending2Waiting2…………**TCP连接断开过程TCPPacketEstablishedEstablishedSEQ=1513,ACK=751,CTL=FIN|ACKFIN-WAIT-1CLOSE-WAITSEQ=751,ACK=1514,CTL=ACKFIN-WAIT-2CLOSE-WAITSEQ=751,ACK=1514,CTL=FIN|ACKTIME-WAITLAST-ACKSEQ=1514,ACK=752,CTL=ACKTIME-WAITCLOSEDCLOSED**实验环境位于同一局域网内的两台主机，IP分别为：4，19自己编写了一个C/S模式的程序，实现简单的TCP数据发送与接收Client运行在4Server运行在19**实验环境（2）Client发送两次数据，内容分别为123和456，然后发送0结束TCP连接。程序截图如下。客户端发送数据服务端接收到数据**捕获数据包在Client发送数据之前，在4主机(Client)上开启Wireshark。在捕获前不进行过滤，直接捕获所有数据包。当Client结束TCP连接之后，停止捕获数据包。采用捕获后过滤的方法，过滤规则是 tcpandip.addr==19 其中，19是Server主机。过滤后，共得到11个数据包，见下页图。****数据包详细分析这11个数据包的含义如下：1~3：三次握手，建立连接4~5：第一次发送数据6~7：第二次发送数据8~11：断开连接下面将对这11个数据包进行详细分析。**1C?SSYNSEQ=X+0与TCP报文格式相对应**2S?CSYN,ACKSEQ=Y+0ACK=X+1**3C?SACKSEQ=X+1ACK=Y+1三次握手结束**4C?SPSH,ACKSEQ=X+1,datalength=256,nextseq=257ACK=Y+1数据内容见下页图**TCPsegmentdata(256bytes)这是第一次发送的数据123**5S?CACKSEQ=Y+1ACK=X+257第一次传输数据结束**6C?SPSH,ACKSEQ=X+257,datalength=256,nextseq=513ACK=Y+1数据内容见下页图**TCPsegmentdata(256bytes)这是第二次发送的数据456**1.1.2网络监听技术的发展情况2．Sniffer软件的主要工作机制许多操作系统都提供这样的“中间人”机制，即分组捕获机制。在UNIX类型的操作系统中，主要有3种：BSD系统中的BPF(BerkeleyPacketFilter)、SVR4中的DLPI(DateLinkInterface)和Linux中的SOCK_PACKET类型套接字。在Windows平台上主要有NPF过滤机制。目前大部分Sniffer软件都是基于上述机制建立起来的。如Tcpdump、Wireshark等。**1.1.2网络监听技术的发展情况3．网络监听的双刃性 现在的监听技术发展比较成熟，可以协助网络管理员测试网络数据通信流量、实时监控网络状况。 然而事情往往都有两面性，Sniffer的隐蔽性非常好，它只是“被动