5-1 计算机网络安全基础（上）

通过实验和实践了解计算机网络的基本结构、常见的网络协议以及服务、网络嗅探扫描工具，掌握计算机网络安全的基本概念和基本安全工具的使用

参考资料： 《网络安全实践技能分级培养1》第五章

---

---

1 预备知识

1. 网络协议：是计算机网络数据交换的规则，包括数据通信的格式、时序和意义。常见的协议有HTTP、FTP、DNS、TCP、UDP和IP等。

2. 网络服务：指遵循网络通用标准的软件模块，如Web服务、FTP服务、DNS服务、DHCP服务等。Web服务主要使用HTTP协议。

3. 网络拓扑结构：描述网络设备通过传输媒介互联的物理布局，包括星形、环形、总线、分布式、树形、网状和蜂窝状结构等。

4. SMB协议：主要用于Windows网络中共享文件和打印，提供共享级和用户级保护。

5. 网络安全检测：通过技术手段扫描网站，检测漏洞、挂马、篡改和欺诈等问题，以保障网站安全。检测项目包括SQL注入、XSS跨站脚本、网页挂马、缓冲区溢出等。

6. 网络嗅探：最初用于监管网络状况和检测网络性能，现在也是网络监控和程序员分析网络数据包的常用方法。

---

实践内容包括“安全实践之网络嗅探”和“安全实践之安全扫描”两部分，所涉及的相关场景和问题如下，供大家参考。
（1）在使用网络的过程中，如打开一个网页，如何得知本地主机发出了哪些数据又获取了哪些数据？Web服务器上网页的内容如何传送到主机？
（2）在大量网络数据中，如何找到所关注的数据？
（3）如何获取当前所处网络的拓扑结构？如何发现网络中的其他主机、判断其所使用的操作系统，以及查看其上所运行的程序、服务、协议和状态？
（4）如何获取SMB协议的账户和密码？
（5）如何对网站进行安全检测、审计，以及消除安全隐患？

---

2 网络嗅探

2.1 网络嗅探的相关工具

1. Wireshark：

   • 描述：网络封包分析软件。
   • 特点：能够撷取网络封包，展示详细的网络封包资料。

2. Cain：

   • 描述：针对Microsoft操作系统的免费口令恢复工具。
   • 特点：功能强大，包括网络嗅探、网络欺骗、显示缓存口令和分析路由协议。

3. SMSniff：

   • 描述：能够即时捕获TCP/IP数据的网络工具。
   • 特点：支持ICP/UDP/ICMP等多种网络通信协议，捕获的数据可以以HTML格式导出。

4. SRSniffer：

   • 描述：网络嗅探器工具。
   • 特点：小巧、强大、直观、方便，可以监听网卡数据包，分析HTTP数据。

5. WebSiteSniffer：

   • 描述：数据包嗅探工具。
   • 特点：用于捕获所有网站的数据包，同时浏览互联网下载的文件。

这些工具各有特点，适用于不同的网络分析和安全检测场景，能够帮助用户深入了解网络流量和数据交换过程，以及进行网络安全维护和漏洞检测。

2.2 Wireshark 工具的使用

2.2.1 对Wireshark工具的简要介绍

Wireshark是一个功能强大的网络协议分析器，以下是其主要特点的概括：

1. 广泛使用：Wireshark是全球使用最广泛的网络协议分析工具。

2. 微观观察：允许用户在微观层面上观察网络活动。

3. 协议深入检查：支持对数百种协议进行深入分析，并持续扩充。

4. 实时与离线分析：能够进行现场捕捉和离线分析网络数据。

5. 多平台支持：可在Windows、Linux、Mac OS等多种操作系统上运行。

6. 用户界面：提供图形用户界面(GUI)和文本用户界面(TTY模式TSARK)。

7. VoIP分析：提供丰富的VoIP（Voice over IP）分析功能。

8. 多种文件格式支持：能够读取和写入多种不同的捕获文件格式。

9. 协议解密：支持多种协议的解密功能，如IPSec、SSL/TLS等。

10. 着色规则：允许用户将着色规则应用于数据包列表，便于快速直观分析。

11. 输出导出：支持将分析结果导出为XML、PASScript、CSV或纯文本格式。

Wireshark的这些特点使其成为网络管理员、安全专家和开发人员进行网络故障排除、安全分析和协议开发的重要工具。

2.2.2 实验内容

• 学习 Wireshark 工具的基本使用方法
• 学习 Wireshark 工具的过滤方法
• 学习 Wireshark 工具分析数据包格式和数据包内容的方法

2.2.3 实验步骤

1.选择WLAN，开始进行捕获。点击stop停止捕获。

2.双击打开任意一条数据记录，可以查看数据包的结构和内容，如下。

3.点击工具栏中的分析，选择显示过滤器。

弹出窗口后选择TCP only，可以进行过滤，在数据显示框中只显示TCP的数据包。


鼠标左键双击任意数据包，查看数据包格式。右键选择追踪流，点击追踪TCP流，查看追踪结果

---

2.3 SmartSniff 工具的使用

下载链接：SmartSniff

2.3.1 对SmartSniff工具的简要介绍

SmartSniff 是一个网络嗅探工具，它可以用来捕获和分析网络上的数据包。这种工具通常用于网络安全分析和网络故障排除。它可以帮助用户查看经过网络接口的数据包，包括但不限于HTTP、FTP、SMTP等协议的通信内容。

SmartSniff 工具的主要功能包括：

1. 数据包捕获：实时捕获经过网络的数据包。
2. 协议分析：分析数据包中的协议信息，如TCP、UDP、IP等。
3. 内容查看：查看数据包中的内容，包括明文或加密的通信内容。
4. 过滤和搜索：根据特定条件过滤数据包，或搜索特定的数据包内容。

2.3.2 使用方法

1. 基本使用方法

查看主界面，点击左上角的绿色图标（Start Capture）,弹出对话框。

对话框如下，在弹出对话框中选择“WinPcap Packet Capture Driver”选项。

返回主界面，可以查看捕获的数据包。双击任一数据包，可以看到数据包的摘要内容，如下。

选择某一个数据包，在其上单击右键，选择“HTML Report–TCP/IP Streams”或者“Export TCP/IP Streams”可将该数据包的内容输出为HTML文件或者TXT文件，如下。

2. HTTP数据过滤及查看

在“Options”菜单中选择“Display Protocols”​，取消“UDP”和“ICMP”​，如下。

因为还要看到Web服务器返回的数据，因此勾选上Display Outgoing/Incoming Data，如下。

查看过滤后的结果，如下：

（个人觉得这个工具比较好用）
单击数据包，可以在下面窗口中看到所捕获的页面内容。

---

网络嗅探工具大多相似，使用方法也很类似。友友们可以根据我的实践过程实操一下，掌握网络嗅探是网络攻防的一个重要基础，感谢你的阅读！
网络扫描工具详见下篇