CENTRALSOUTHUNIVERSITY網(wǎng)絡(luò)工程實驗報告學(xué)生姓名專業(yè)班級學(xué)號學(xué)院信息科學(xué)與工程學(xué)院指導(dǎo)教師黃家林實驗時間2014年12月用協(xié)議分析軟件觀察網(wǎng)絡(luò)安全情況【實驗?zāi)康募耙蟆磕康模簩W(xué)會使用協(xié)議分析軟件來獲取網(wǎng)絡(luò)中的數(shù)據(jù)分組了解和掌握各種網(wǎng)絡(luò)協(xié)議的工作過程通過所捕獲的數(shù)據(jù)分組，分析網(wǎng)絡(luò)中存在的安全問題了解和掌握常見的網(wǎng)絡(luò)攻擊（如IP欺騙，ARP攻擊，DOS攻擊等）的行為特征要求：在本機安裝協(xié)議分析軟件捕獲20M數(shù)據(jù)分組分析所捕獲的數(shù)據(jù)分組中存在哪些問題寫出實驗報告【實驗環(huán)境】Windows8Wireshark1.12.1【實驗步驟】1、下載安裝wireshark從/下載安裝Windows平臺的wireshark，雙擊安裝文件安裝即可，在安裝過程中注意選擇安裝winpcap。安裝過程簡單，沒有問題。2、在電腦上打開wareshark，選擇capture-->interfaces選擇Packets最多的項，點擊start按鈕4、打開中南大學(xué)郵箱網(wǎng)站:/，在主機上用wareshark捕捉http的包輸入用戶名和密碼，點擊登錄在電腦上用wareshark捕捉到剛剛post提交的http包，右鍵選擇Followtcpstream7、可以看到剛剛提交的用戶名和密碼，且是未經(jīng)過加密的在過濾框中分別輸入其他網(wǎng)絡(luò)協(xié)議，如ICMP、UDP、ARP、FTP、DNS等，點擊“Filter”，分別觀察各種網(wǎng)絡(luò)協(xié)議信息?！緦嶒灁?shù)據(jù)分析】捕獲20M數(shù)據(jù)分組如下圖所示，已捕獲28.101MB數(shù)據(jù)：2、網(wǎng)絡(luò)中存在的安全問題http報文分析對上圖中的解釋：（1）幀的解釋鏈路層的信息是以幀的形式進行傳輸?shù)?，幀封裝了應(yīng)用層、傳輸層、網(wǎng)絡(luò)層的數(shù)據(jù)，而wireshark抓到的就是鏈路層的一幀。Frame3:624bytes：所抓幀的序號是3，大小是624字節(jié)Ethernet：以太網(wǎng)，有線局域網(wǎng)技術(shù)，屬鏈路層InternetProtocol：即IP協(xié)議，屬網(wǎng)絡(luò)層TransmissonControlProtocol：即TCP協(xié)議，也稱傳輸控制協(xié)議，屬傳輸層HypertextTransferProtocol：即http協(xié)議，也稱超文本傳輸協(xié)議，屬應(yīng)用層圖形下面的數(shù)據(jù)是對上面數(shù)據(jù)的16進制表示。（2）分析上圖中的http請求報文POST/coremail/index.jsp?cus=1HTTP/1.1方法字段/URL字段/http協(xié)議的版本Accept:text/html,application/xhtml+xml,*/*Referer:/coremail/index.jsp?cus=1這是網(wǎng)址網(wǎng)址Accept-Language:zh-CN語言為簡體中文User-Agent:Mozilla/5.0(compatible;MSIE10.0;WindowsNT6.2;WOW64;Trident/6.0;MALNJS)用戶代理，瀏覽器類型Accept-Encoding:gzip,deflate可接受編碼，文件格式Host:目標(biāo)所在的主機Content-Length:86內(nèi)容長度Connection:Keep-Alive激活連接HTML分析從圖中可以直接讀取用戶賬號以及密碼，說明http協(xié)議并不對用戶賬號信息進行加密處理，而是明文傳送，而https則采用了ssl協(xié)議進行加密。這個小實驗也提醒我們在登入時要注意密碼泄露的問題，盡可能在https下輸入賬號密碼登陸。3、ARP報文分析及ARP欺騙ARP的作用ARP（AddressResolutionProtocol，地址解析協(xié)議）是將IP地址解析為以太網(wǎng)MAC地址（或稱物理地址）的協(xié)議。在局域網(wǎng)中，當(dāng)主機或其它網(wǎng)絡(luò)設(shè)備有數(shù)據(jù)要發(fā)送給另一個主機或設(shè)備時，它必須知道對方的網(wǎng)絡(luò)層地址（即IP地址）。但是僅僅有IP地址是不夠的，因為IP數(shù)據(jù)報文必須封裝成幀才能通過物理網(wǎng)絡(luò)發(fā)送，因此發(fā)送站還必須有接收站的物理地址，所以需要一個從IP地址到物理地址的映射。APR就是實現(xiàn)這個功能的協(xié)議。ARP報文結(jié)構(gòu)地址解析協(xié)議是通過報文工作的。報文包括如下字段：ARP報文格式工作過程假設(shè)主機A和B在同一個網(wǎng)段，主機A要向主機B發(fā)送信息。如下圖所示，具體的地址解析過程如下：①主機A首先查看自己的ARP表，確定其中是否包含有主機B對應(yīng)的ARP表項。如果找到了對應(yīng)的MAC地址，則主機A直接利用ARP表中的MAC地址，對IP數(shù)據(jù)包進行幀封裝，并將數(shù)據(jù)包發(fā)送給主機B。②如果主機A在ARP表中找不到對應(yīng)的MAC地址，則將緩存該數(shù)據(jù)報文，然后以廣播方式發(fā)送一個ARP請求報文。ARP請求報文中的發(fā)送端IP地址和發(fā)送端MAC地址為主機A的IP地址和MAC地址，目標(biāo)IP地址和目標(biāo)MAC地址為主機B的IP地址和全0的MAC地址。由于ARP請求報文以廣播方式發(fā)送，該網(wǎng)段上的所有主機都可以接收到該請求，但只有被請求的主機（即主機B）會對該請求進行處理。③主機B比較自己的IP地址和ARP請求報文中的目標(biāo)IP地址，當(dāng)兩者相同時進行如下處理：將ARP請求報文中的發(fā)送端（即主機A）的IP地址和MAC地址存入自己的ARP表中。之后以單播方式發(fā)送ARP響應(yīng)報文給主機A，其中包含了自己的MAC地址。④主機A收到ARP響應(yīng)報文后，將主機B的MAC地址加入到自己的ARP表中以用于后續(xù)報文的轉(zhuǎn)發(fā)，同時將IP數(shù)據(jù)包進行封裝后發(fā)送出去。ARP地址解析過程

⑤當(dāng)主機A和主機B不在同一網(wǎng)段時，主機A就會先向網(wǎng)關(guān)發(fā)出ARP請求，ARP請求報文中的目標(biāo)IP地址為網(wǎng)關(guān)的IP地址。當(dāng)主機A從收到的響應(yīng)報文中獲得網(wǎng)關(guān)的MAC地址后，將報文封裝并發(fā)給網(wǎng)關(guān)。如果網(wǎng)關(guān)沒有主機B的ARP表項，網(wǎng)關(guān)會廣播ARP請求，目標(biāo)IP地址為主機B的IP地址，當(dāng)網(wǎng)關(guān)從收到的響應(yīng)報文中獲得主機B的MAC地址后，就可以將報文發(fā)給主機B；如果網(wǎng)關(guān)已經(jīng)有主機B的ARP表項，網(wǎng)關(guān)直接把報文發(fā)給主機B。ARP欺騙ARP地址轉(zhuǎn)換表是依賴于計算機中高速緩沖存儲器動態(tài)更新的，而高速緩沖存儲器的更新是受到更新周期的限制的，只保存最近使用的地址的映射關(guān)系表項，這使得攻擊者有了可乘之機，可以在高速緩沖存儲器更新表項之前修改地址轉(zhuǎn)換表，實現(xiàn)攻擊。ARP請求為廣播形式發(fā)送的，網(wǎng)絡(luò)上的主機可以自主發(fā)送ARP應(yīng)答消息，并且當(dāng)其他主機收到應(yīng)答報文時不會檢測該報文的真實性就將其記錄在本地的MAC地址轉(zhuǎn)換表，這樣攻擊者就可以向目標(biāo)主機發(fā)送偽ARP應(yīng)答報文，從而篡改本地的MAC地址表。ARP欺騙可以導(dǎo)致目標(biāo)計算機與網(wǎng)關(guān)通信失敗，更會導(dǎo)致通信重定向，所有的數(shù)據(jù)都會通過攻擊者的機器，因此存在極大的安全隱患。IP協(xié)議及IP欺騙（1）基本概念網(wǎng)絡(luò)互連設(shè)備，如以太網(wǎng)、分組交換網(wǎng)等，它們相互之間不能互通，不能互通的主要原因是因為它們所傳送數(shù)據(jù)的基本單元（技術(shù)上稱之為“幀”）的格式不同。IP協(xié)議實際上是一套由軟件、程序組成的協(xié)議軟件，它把各種不同“幀”統(tǒng)一轉(zhuǎn)換成“網(wǎng)協(xié)數(shù)據(jù)包”格式，這種轉(zhuǎn)換是因特網(wǎng)的一個最重要的特點，使所有各種計算機都能在因特網(wǎng)上實現(xiàn)互通，即具有“開放性”的特點。定義①IP定義了在TCP/IP互聯(lián)網(wǎng)上數(shù)據(jù)傳送的基本單元和數(shù)據(jù)格式。

②IP軟件完成路由選擇功能，選擇數(shù)據(jù)傳送的路徑。

③IP包含了一組不可靠分組傳送的規(guī)則，指明了分組處理、差錯信息發(fā)生以及分組的規(guī)則。IP欺騙指行動產(chǎn)生的IP數(shù)據(jù)包為偽造的源IP地址，以便冒充其他系統(tǒng)或發(fā)件人的身份。這是一種駭客的攻擊形式，駭客使用一臺計算機上網(wǎng),而借用另外一臺機器的IP地址,從而冒充另外一臺機器與服務(wù)器打交道。防火墻可以識別這種ip欺騙。按照InternetProtocol(IP)網(wǎng)絡(luò)互聯(lián)協(xié)議，數(shù)據(jù)包頭包含來源地和目的地信息。而IP地址欺騙，就是通過偽造數(shù)據(jù)包包頭，使顯示的信息源不是實際的來源，就像這個數(shù)據(jù)包是從另一臺計算機上發(fā)送的。（4）IP欺騙的防御IP欺騙的防范，一方面需要目標(biāo)設(shè)備采取更強有力的認證措施，不僅僅根據(jù)源IP就信任來訪者，更多的需要強口令等認證手段；另一方面采用健壯的交互協(xié)議以提高偽裝源IP的門檻。有些高層協(xié)議擁有獨特的防御方法，比如TCP（傳輸控制協(xié)議）通過回復(fù)序列號來保證數(shù)據(jù)包來自于已建立的連接。由于攻擊者通常收不到回復(fù)信息，因此無從得知序列號?！究偨Y(jié)】這一次的網(wǎng)絡(luò)工程實驗讓我學(xué)到了平時在課堂上很難學(xué)到的東西，比如說各種報文的真實信息。我對這一次的網(wǎng)絡(luò)工程實驗非常珍惜和用心。在四五個小時的本機實驗中，我查閱了很多資料去了解各種網(wǎng)絡(luò)協(xié)議的工作過程，比如TCP的三次握手協(xié)議、DHCP動態(tài)主機配置協(xié)議、VTP虛擬局域網(wǎng)中繼協(xié)議，每觀察一個協(xié)議信息我都興奮不已。起初只是把實驗當(dāng)成任務(wù)來對待，到后面實驗則充滿了樂趣。總結(jié)一下有以下體會：1、網(wǎng)絡(luò)真的很強大，用在學(xué)習(xí)上將是一個非常高效的助手。幾乎所有的資料都能夠在網(wǎng)上找到。例如網(wǎng)絡(luò)協(xié)議中各個協(xié)議的解釋，工作過程等等，例如IP、網(wǎng)卡MAC該怎么設(shè)置，域名系統(tǒng)的重要性等等，這些都能在網(wǎng)上找到。正因為這樣，整個實驗下來，我瀏覽的相關(guān)網(wǎng)頁已數(shù)不勝數(shù)。當(dāng)然網(wǎng)上的東西很亂很雜，自己要能夠?qū)W會篩選。如果不能決定資料是對還是錯的，有個很簡單的方法就是去實踐。從網(wǎng)上了解方法然后去實踐，但需要注意的是要學(xué)會去對比，把不太可能的方法去掉，這樣可以節(jié)省很多時間，提高效率。2、同學(xué)間的討論，這是很重要的。老師畢竟比較忙。對于實驗最大的討論伴侶應(yīng)該是同學(xué)了。能和自己的室友討論收益是非常大的，幾個人的思想碰撞會得到意想不到的結(jié)果，大家都在研究同樣的問題，討論起來，更能夠把思路理清楚，相互幫助，可以大大提高效率。3、敢于攻堅，越是難的問題，越是要有挑戰(zhàn)的心理。這樣就能夠達到廢寢忘食的境界。當(dāng)然這不是提倡熬夜的，畢竟有了精力才能夠打持久戰(zhàn)。但是做實驗一定要有狀態(tài)，能夠在吃飯，睡覺，上廁所都想著要解決的問題，這樣你不