一、实验目的

1、初步掌握Wireshark的使用方法，熟悉其基本设置，尤其是Capture Filter和Display Filter 的使用。

2、通过对Wireshark抓包实例进行分析，实现捕捉DHCP、ARP、FTP、HTTP等协议的数据包；理解TCP/IP协议中多种协议的数据结构、会话连接建立和终止的过程；了解FTP、HTTP等协议明文传输特性，增强安全意识。

二、实验原理

2.1 网络嗅探的原理

Wireshark（原Ethereal）是一个网络封包分析软件。其主要功能是抓取网络封包，并尽可能显示出最为详细的网络封包资料。
当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行嗅探攻击。将网络接口设置为监听模式，便可以将网上传输的信息截获。
1. 攻击者常常用它来截获用户的口令；
2. 管理员则可以使用Wireshark分析网络性能和故障；

2.2 网络嗅探的防范

检查网络中是否存在下述情况，其原因可能就是网络中有Wireshark工具正在运行。

一是网络丢包率非常高；
二是网络带宽出现反常现象；

Wireshark嗅探的防范

通过使用加密软硬件设备，实现对传输数据的加密，从而保护传输数据的安全性；VPN、SSL、SSH等加密手段可有效防范Wireshark的嗅探。
利用网络设备的物理或者逻辑隔离的手段，可以避免信息的泄密；

利用交换机的VLAN功能，实现VLAN间的逻辑隔离。

三、实验环境

1、系统环境：Windows 7/8/10操作系统、Centos6.8

2、浏览器：IE10/11

3、Wireshark：Version 2.2.5

4、WinPcap 4.1.0.2980

5、8UFtp 3.8.2.0

6、Foxmail 7.2

四、实验步骤

1、DHCP协议抓包实验

以Win10操作系统为例，鼠标左键单击左下角的开始菜单，选择“设置”选项，进入Win10系统设置界面，点击页面中的“网络和Internet”选项，进入Internet网络设置界面，点击“WLAN”网络，然后选择页面中的“管理已知网络”选项，把除了做实验需要的WLAN之外的其他网络全部选择“忘记”。

启动Wireshark，选中WLAN开始抓取数据包。以管理员方式打开CMD，运行命令ipconfig /release，释放获取到的IP地址。运行命令ipconfig /renew，重新获取IP地址，稍等片刻，获取成功以后，在Wireshark中停止抓取数据包。

在Wireshark的过滤器中输入bootp，表示只筛选DHCP数据包。如下图所示

数据包分析如下：

No106：本机localhost（10.133.81.229）向DHCP server（10.133.0.1）发送了一个DHCP Release数据包，终止了ip租赁。将本机IP地址清空。

No267：本机localhost向局域网广播一个DHCP Discover包，此时本机localhost的IP地址为0.0.0.0。广播地址为255.255.255.255。本地端口为68，目的端口为67。

No277：Ipv4地址为10.133.0.1的DHCP服务器收到该包后，向本机发送一个DHCP Offer数据包。进一步分析该回应数据包内容为：

该包内包含预分配给本机localhost的ip地址（截图中高亮行）、dns服务器地址、子网掩码、ip租赁期等基本信息。

No278：DHCP Request包由本机localhost广播，表示本机已经收到DHCP Offer包，对此事进行通告，通告的内容包括预分配给本机的IP地址，本机的MAC地址，本机的计算机名等信息。

No279：DHCP server（10.133.0.1）向本机localhost（10.133.81.229）发送了一个DHCP Ack数据包。确认IP地址，路由、DNS、IP租赁时间、子网掩码等信息。

本机localhost收到该确认包后，不会立即更新自己的信息。其将会向网络发送ARP请求，询问是否已经有人占用该分配IP，如果没有人回应，本机localhost将更新自己的ipv4信息，IP分配过程结束。

2、抓取FTP密码实验

首先，搭建自己的FTP服务器，这里以Centos6.8为例。运行命令rpm -f vsftpd看ftp服务是否安装，如果没安装的话，依次执行下列命令：

yum -y install vsftpd #安装vsftpd服务

修改/etc/vsftpd/vsftpd.conf，把相关字段改为如下所示：

anonymous_enable=NO #不允许匿名用户登录

chroot_local_user=YES #不可以让ftp用户跳出自己的家目录

useradd -s /sbin/nologin -d /var/www/html testftp #添加用户testftp，此用户只能连接ftp，无法直接登录系统，默认家目录是在var/www/html 文件夹

passwd testftp #为testftp用户设置密码

chmod o+w /var/www/html/ #修改testftp用户家目录权限，允许上传

setenforce 0 #临时关闭SELINUX

如果需要长期修改，可以修改/etc/selinux/config文件，把相关字段改为：SELINUX=disabled，然后重启CentOS。

service iptables stop #关闭iptables

service vsftpd start #开启vstfpd服务。

然后，使用8Uftp客户端上传/下载文件，测试是否搭建成功。

断开8Uftp客户端的连接。开启Wireshark，选择相应的网卡，由于CentOS是用VMWare12Pro搭建在本机上的，所以要使用的网卡为VMware Network Adapter VMnet8。使用8Uftp客户端连接服务器，输入地址，用户名，密码。在Wireshark中设置过滤器为ftp，可以看到明文的用户名和密码。如下图所示：

3、抓取Foxmail邮箱客户端密码实验

首先，自己在mail.163.com上申请一个邮箱，通过网页登录邮箱后，选择设置POP3/SMTP/IMAP，如下图所示：

勾选使用使用授权码登录第三方邮件客户端。

然后，安装Foxmail7.2版本，确认成功登录。

退出Foxmail，开启Wireshark，选择相应的网卡，打开Foxmail，登录成功，停止Wireshark抓包。可以看到明文的用户名和密码。如下图所示：

五、实验思考题

1、请举例说明DHCP数据包各字段的含义。

2、如果是采用网页形式分别登录QQ邮箱、163邮箱、我们学校的邮箱，能否抓取到相关的用户名密码？他们是如何做限制的？

3、请分析一下学校的iNod客户端的认证过程中的数据包。

Wireshark嗅探和协议分析相关推荐

PYTHON黑帽编程1.5 使用WIRESHARK练习网络协议分析
Python黑帽编程1.5 使用Wireshark练习网络协议分析 1.5.0.1 本系列教程说明本系列教程,采用的大纲母本为<Understanding Network Hacks At ...
计算机网络实验报告嗅探器,《计算机网络实验报告》5_网络嗅探与协议分析实验.pdf...
计算机网络实验报告 1. 实验报告如有雷同,雷同各方当次实验成绩均以 0 分计. 警示 2. 当次小组成员成绩只计学号.姓名登录在下表中的. 3. 在规定时间内未上交实验报告的,不得以其他方式补交,当 ...
图解用Wireshark进行Http协议分析
一安装WireShark 安装完成后,运行,如果出现NPF未运行的提示,如下图:说明可能是装的时候WinPcap未装上:一般安装Wireshark会同时自动安装Winpcap: 如果装了Winpca ...
使用 Wireshark 进行计算机网络协议分析
文章目录实验准备 Wireshark基本操作一.数据链路层实作1:Ethernet帧结构实作2:子网内/外通信时的 MAC 地址实作3:掌握 ARP 解析过程二.网络层实作1:熟悉 IP ...
wireshark 之 kafka协议分析1
文章目录协议基本数据类型固定宽度类型变长数据类型数组类型请求响应结构请求格式响应格式协议基本数据类型固定宽度类型 int8, int16, int32, int64 , 采用大端字节 ...
利用WireShark进行DNS协议分析
一.准备工作系统是Windows 8.1Pro 分析工具是WireShark1.10.8 Stable Version 使用系统Ping命令发送ICMP报文. 二.开始工作打开CMD.exe键入: ...
WireShark实战笔记之DNS协议分析
DNS协议分析 DNS协议概述 DNS工作机理概述 dns报文 WireSahrk分析DNS协议查看第一个包: 查看第四个包(响应包) DNS协议概述 DNS协议也可以称为DNS服务,全称是Doma ...
工业协议分析1——攻防世界
工业协议分析1 工具: wireshark 原理:协议分析题目: 题解: 首先拿到一个流量包,分析流量包的异常.从长度分析,发现在某一处的长度异常. 里面藏有png图片,并且是经过了base64加密 ...
计算机网络实验报告实验4 TCP协议分析
实验4 TCP协议分析 1.实验目的了解运输层TCP协议基本概念.报文结构分析TCP报文头部分析TCP连接建立过程.TCP连接释放掌握利用tcpdump和wireshark进行tcp协议分析技 ...

Wireshark嗅探和协议分析