一、实验目的:
1、掌握Sniffer(嗅探器)工具的使用方法,实现FTP、HTTP数据包的捕捉。
2、掌握对捕获数据包的分析方法,了解FTP、HTTP数据包的数据结构和连接过程,了解FTP、HTTP协议明文传输的特性,以建立安全意识。
二、实验环境:
VMware、XP
三、实验内容:
捕获FTP数据包并进行分析
(1)在命令符提示下输入IPCONFIG查询自己的IP地址。
主机1
主机2
(2)学生B单击菜单“Capture”|”DefineFilter”|”Advanced”,再选中IP|TCP|FTP。设置Sniffer捕捉数据的过滤选项,使其只捕捉FTP数据。
(3)学生B选中Monitor菜单下的Matirx可以看到网络中的Traffic Map视图。在Traffic Map视图中单击IP选项卡,用鼠标选中学生A主机的IP地址,单击鼠标右键,选中“Capture”命令,开始捕获指定主机的有关FTP协议的数据包。
(4)学生B单击工具栏中的Capture Panel按钮,可看到捕捉的Packet数量。
(5)学生A使用FlashFXP工具(或者在命令行输入FTP命令)登陆至FTP服务器210.43.99.210,用户名/密码:information/security或class1/second或class2/first,并打开FTP上的某个目录选择文件下载。
(6)学生B在捕获数据包到达一定的数量后,单击Stop and Display按钮,停止抓包。
(7)停止抓包后,单击窗口左下角的Decode选型,窗口会显示捕捉的数据。学生B根据捕获报文和报文解码,详细分析捕获的数据包,找出有用信息:ftp连接的目的地址、目的端口、发起连接的源地址、源端口、建立连接的3次握手的数据包及其对应的TCP协议包头结构各字段数据、登陆的用户名及密码、目标主机浏览过的目录和文件。
用户名
密码
浏览过的目录和文件
捕获HTTP数据包并进行分析
(1)
学生B单击菜单中的“Capture”|”DefineFilter”|”Advanced”, 再选中IP|TCP|HTTP。设置Sniffer捕捉数据的过滤选项,使其只 捕捉HTTP数据。
(2)学生B选中Monitor菜单下的Matirx可以看到网络中的Traffic Map视图。在Traffic Map视图中单击IP选项卡,用鼠标选中学生 A主机的IP地址,单击鼠标右键,选中“Capture”命令,开始捕获 指定主机的有关HTTP协议的数据包。
(3)学生B单击工具栏中的Capture Panel按钮,可看到捕捉的 Packet数量。
(4)学生A浏览www.hnu.cn,任意浏览页面,登陆邮箱(输入任 意用户名和密码),错误后关闭页面。
(5)学生B在A关闭页面后,单击Stop and Display按钮,停止抓包。
(6)停止抓包后,单击窗口左下角的Decode选型,窗口会显示 捕捉的数据。学生B根据捕获报文和报文解码,详细分析捕获的数据包,找出有用信息:http连接的目的地址、目的端 口、发起连接的源地址、源端口、登陆邮箱的用户名及密码、建立连接的3次握手的数据包、学生A发送的数据包和接收的 数据包、登陆邮箱失败后释放连接的数据包及其对应的TCP 协议包头结构各字段数据。
三次握手的原理
在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接。
第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认;SYN:同步序列编号(Synchronize Sequence Numbers)。
第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN_RECV状态;
第三次握手:客户端收到服务器的SYN+ACK包,向服务器发送确认包ACK(ack=k+1),此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手。
四、心得体会:
通过实验可知FTP中的数据是以明文形式传输的,可以利用捕获的 数据包分析被监听主机的任何行为,监听主机的信息极易泄露