网络嗅探 实验

本次记录曾做过的网络安全实验 ：phase 3

一、实验目的

1．理解网络嗅探的作用和工作机制。

2．熟悉网络嗅探工作wireshark的使用，加深对TCP/IP协议的理解。

二、实验环境

 操作系统为Windows 10,抓包工具为Wireshark.

• 实验原理

     三次握手

     四次挥手

ping是用来测试网络连通性的命令，一旦发出ping命令，主机会发出连续的测试数据包到网络中，在通常的情况下，主机会收到回应数据包，ping采用的是ICMP协议。

TCP协议是在计算机网络中使用最广泛的协议，很多的应用服务如FTP,HTTP,SMTP等在传输层都采用TCP协议，因此，如果要抓取TCP协议的数据包，可以在抓取相应的网络服务的数据包后，分析TCP协议数据包，深入理解协议封装，协议控制过程以及数据承载过程。

• 实验内容

利用Wireshark进行数据包抓取并分析，具体内容如下。

1．网络嗅探：登陆系统，抓取登陆的用户名和口令，并进行分析。

2．TCP协议：抓取数据包，寻找并分析三次握手和TCP的四次挥手。

3．ICMP协议：抓取ping包，并进行分析。

五、实验步骤

针对实验内容1的步骤：

1. 查询系统网站的ip地址     
2. 打开wireshark软件，选择好网卡，启动软件抓包功能

开始抓包

        （3）打开系统页面，输入账号密码并登录

                                           

（4）登录后停止抓包，使用过滤器获取HTTP协议和与该IP地址相关的信息

http and ip.addr==222.24.62.124

（5）点击POST包含login的登录页面得到用户名和密码

从中可看出“用户名”为“yhm”后的内容，密码被加密了。

针对实验内容2的步骤：

       （1）通过对系统的抓包分析得到数据包

       （2）分析三次握手

    第一次握手：[SYN] seq=0

     第二次握手：[SYN,ACK] ack=0+1=1 seq=0

     第三次握手：[ACK] ack=0+1=1

     （3）分析四次挥手

  第一次挥手 [FIN,ACK] seq=3027 ack=32299

      第二次挥手[ACK] seq=32299 ACK=3028

      第三次挥手 [FIN,ACK] seq=32299 ack=3028

      第四次挥手 [ACK] seq=3028 ack=32299+1=32300

针对实验内容3的步骤：

     （1）确定目标地址：选择www.baidu.com作为目标地址。

      （2）配置过滤器：针对协议进行过滤设置，过滤设置为icmp

      （3）启动抓包：点击【start】开始抓包，在命令提示符下键入ping www.baidu.com

停止抓包，获得数据

（4）选取第一个ping响应请求报文进行分析

IP版本号：IPv4

首部长度：20 bytes

数据包总长度：60

标志符：0x34e8

标志：0x00，比特偏移：0

寿命：128，上层协议：ICMP

首部校验和：0x824c,并且是正确的

源IP地址：192.168.2.231

目的IP地址：14.215.177.38

类型：8（回显请求）

代码/编码：0

校验和：0x4d47（正确）

标示符（大端顺序）：1（0x0001）

标示符（小端顺序）：256（0x0100）

序列号（大端顺序）：20（0x0014）

序列号（小端顺序）：5120（0x1400）

六、实验结果分析及心得体会

实验结果分析：本次实验利用Wireshark进行了三次实验：登陆系统，通过网络嗅探抓取得到登陆的用户名和口令。其中我们得到了登录用的用户名信息，但密码是加密状态；使用Wireshark抓取TCP协议的数据包，寻找并分析三次握手和TCP的四次挥手。在第一个实验的数据包中筛取TCP，根据数据可成功找出三次握手和四次挥手；在ICMP协议下使用Wireshark抓取抓取ping包，并进行分析。以www.baidu.com作为目标地址，在获得的ping包中可分析出一系列数据。

心得体会：在这次实验中，我对Wireshark的功能有了更深一步的认识，并且使用Wireshark捕获数据包，分析了各种网络协议的报文格式和工作过程，也加深了对各种网络协议的理解，将计算机网络各个层次以及相应的各种网络协议联系起来，形成了一个整体上的认识，让我对计算机网络的认识更加清晰和完整。