实践三 网络嗅探与协议分析

1.实验内容（知识总结）

网络嗅探

（1）定义
       网络嗅探是一种黑客常用的窃听技术，利用计算机的网络接口截获目的地为其他计算机的数据报文，以监听数据流中所包含的用户账户密码或私密信息等。

(2)网络嗅探器
       实现网络嗅探技术的工具称为网络嗅探器。嗅探器捕获的数据报文是经过封包处理之后的二进制数据，因此通常会结合网络协议分析技术来解析嗅探到的网络数据，这样才能恢复出TCP/IP协议栈上各层网络协议的内容，以及事件发送的应用层信息。

(3)网络嗅探器的原理和实现

• 以太网工作原理：以太网采用了CSMA/CD技术，由于使用了广播机制，所有与网络连接的工作站都可以看到网络上传递的数据。网卡是网络中主机接收发送数据的硬件设备。网卡完成收发数据包的工作。网卡对于数据的接收有四种模式：
  • 广播模式：该模式下的网卡能够接收网络中的广播数据。
  • 组播模式：该模式下的网卡能够接收组播数据。
  • 直接模式：只有匹配目的MAC地址的。网卡才能接收该数据。
  • 混杂模式：无论其目的MAC地址是什么，网卡都能够接收一切监听到的数据。
• 网络监听的原理：
  • 利用以太网的特性把网卡置为混杂模式状态的工具，一旦网卡设置为这种模式，它就能接收经过它的每一个信息包。
  • 共享式网络嗅探：使用集线器连接，集线器上任意一台主机都能够嗅探整个集线器上的全部网络流量。
  • 交互式网络嗅探：通过MAC地址映射表来发送数据。通常有以下三种方式实现嗅探：
    MAC地址泛洪攻击、MAC欺骗、ARP欺骗

网络协议分析

• 定义：网络协议分析是网络嗅探器进一步解析与理解捕获数据包必须的技术手段，是指对网络上传输的二进制格式数据包进行解析，以恢复出各层网络协议信息以及传输内容的技术方法。
• 原理：网络协议分析需要从底向上逐层解析网络协议，同时进行IP分片包以及TCP会话的重组，需要解析与保存各个网络层次上的所有包头字段信息，以及最高层的应用层数据，并提供给用户以了解网络数据包的全方位信息。
• 技术实现：在开源的软件如Tcpdump、Wireshark和Snort中都有相应源码实现。
• 网络协议分析工具：Wireshark

2.实验过程

（1）动手实践tcpdump

使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探，回答问题：你在访问www.tianya.cn网站首页时，浏览器将访问多少个Web服务器？他们的IP地址都是什么？

• 先在kail上访问www.tianya.cn网站
  

• 在terminal运行命令 sudo tcpdump src 192.168.200.3 and tcp dst port 80 ，其中 src 和 dst 是确定传输方向的关键字，指明ip包中源地址是 192.168.37.129 ，表示只捕获80端口的TCP协议数据包，监听192.168.200.3的http通信。