資源描述:
《Ethereal 分析數(shù)據(jù)報文》由會員上傳分享��,免費在線閱讀�,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫���。
1、實驗二利用網(wǎng)絡(luò)嗅探工具Ethereal分析數(shù)據(jù)報文一�、實驗?zāi)康木W(wǎng)絡(luò)世界中,最基本的單元是數(shù)據(jù)包����。本實驗內(nèi)容作為將來各個實驗的基礎(chǔ),培養(yǎng)對網(wǎng)絡(luò)通訊協(xié)議底層的分析和認(rèn)識���,加強對網(wǎng)絡(luò)的理解���。實驗內(nèi)容主要關(guān)注ICMP���、HTTP包的檢驗。1.學(xué)習(xí)網(wǎng)絡(luò)嗅探工具Ethereal的使用�。2.利用抓包工具Ethereal,抓取ICMP包��,完成對ICMP包的分析工作�。明白ICMP包的結(jié)構(gòu)。結(jié)合TCP/IP的模型����,分析ICMP包各層的功能,以及各層通信使用的地址��,了解ICMP請求和響應(yīng)包的ICMP協(xié)議號���。3.利用抓包工具Ethereal����,抓取HTTP包�。了解HTTP協(xié)議請
2����、求���、響應(yīng)包類型����,結(jié)合課本學(xué)習(xí)知識完成的HTTP協(xié)議的剖析和掌握���。將來的課程實驗中���,需要使用該工具進行包分析,判斷大多數(shù)安全和網(wǎng)絡(luò)通訊問題�����。二����、實驗環(huán)境1.局域網(wǎng)環(huán)境2.Ethereal軟件Ethereal軟件介紹Ethereal是一個網(wǎng)絡(luò)數(shù)據(jù)包分析軟件�。網(wǎng)絡(luò)數(shù)據(jù)包分析軟件的功能是截取網(wǎng)絡(luò)數(shù)據(jù)包,并盡可能顯示出最為詳細的網(wǎng)絡(luò)數(shù)據(jù)包資料�。網(wǎng)絡(luò)數(shù)據(jù)包分析軟件的功能可想像成"電工技師使用電表來量測電流��、電壓�����、電阻"的工作——只是將場景移植到網(wǎng)絡(luò)上�����,并將網(wǎng)絡(luò)線替換成電線�。三���、實驗任務(wù)1.任務(wù)1:Ethereal軟件的基本功能使用2.任務(wù)2:ICMP數(shù)據(jù)報文的檢
3�、測與分析3.任務(wù)3:HTTP數(shù)據(jù)報文的檢測與分析四�����、實驗步驟首先安裝Ethereal和Winpcap���。任務(wù)1:Ethereal軟件的基本功能使用一����、打開Ethereal����,其界面如下圖:二�、在菜單的“capture”選項中設(shè)置抓包的相關(guān)參數(shù)��,如下圖:三����、選擇“interfaces”選項,對話框中顯示可操作的網(wǎng)絡(luò)適配器����,如下圖:四、通過“Prepare”或上級菜單“Option”選項��,可以設(shè)置抓包模式���、過濾器���、數(shù)據(jù)包限制字節(jié)、存檔文件模式��、停止規(guī)則和名字解析等參數(shù)���,如下圖:設(shè)置完畢�,就可以點擊“Capture”���,開始數(shù)據(jù)報文的捕獲�。任務(wù)2:ICMP數(shù)據(jù)報
4�����、文的檢測與分析一�����、ICMP原理介紹ICMP是“InternetControlMessageProtocol”(Internet控制消息協(xié)議)的縮寫�����。它是TCP/IP協(xié)議族的一個子協(xié)議����,用于在IP主機、路由器之間傳遞控制消息�。控制消息是指網(wǎng)絡(luò)通不通���、主機是否可達��、路由是否可用等網(wǎng)絡(luò)本身的消息�����。這些控制消息雖然并不傳輸用戶數(shù)據(jù)�����,但是對于用戶數(shù)據(jù)的傳遞起著重要的作用���。從技術(shù)角度來說�����,ICMP就是一個“錯誤偵測與回報機制”���,其目的就是能夠檢測網(wǎng)路的連線狀況,也能確保連線的準(zhǔn)確性�,其功能主要有:ò偵測遠端主機是否存在。ò建立及維護路由資料��。ò重導(dǎo)資料傳送路徑。
5、ò資料流量控制ICMP協(xié)議對于網(wǎng)絡(luò)安全具有極其重要的意義����。ICMP協(xié)議本身的特點決定了它非常容易被用于攻擊網(wǎng)絡(luò)上的路由器和主機����。例如����,在1999年8月海信集團“懸賞”50萬元人民幣測試防火墻的過程中,其防火墻遭受到的ICMP攻擊達334050次之多��,占整個攻擊總數(shù)的90%以上��!可見����,ICMP的重要性絕不可以忽視!比如�����,可以利用操作系統(tǒng)規(guī)定的ICMP數(shù)據(jù)包最大尺寸不超過64KB這一規(guī)定��,向主機發(fā)起“PingofDeath”(死亡之Ping)攻擊����?���!癙ingofDeath”攻擊的原理是:如果ICMP數(shù)據(jù)包的尺寸超過64KB上限時���,主機就會出現(xiàn)內(nèi)存分配錯誤
6�、�,導(dǎo)致TCP/IP堆棧崩潰,致使主機死機���。此外�����,向目標(biāo)主機長時間�����、連續(xù)���、大量地發(fā)送ICMP數(shù)據(jù)包,也會最終使系統(tǒng)癱瘓���。大量的ICMP數(shù)據(jù)包會形成“ICMP風(fēng)暴”����,使得目標(biāo)主機耗費大量的CPU資源處理,疲于奔命�����。二����、ICMP數(shù)據(jù)報文的檢測Step1:打開抓包軟件Ethereal�����,開始抓包��;打開運行->輸入cmd��,進入命令行窗口Step2:輸入被測試PC機的IP地址��,如本實驗中測試地址192.168.1.1�。Step3:停止抓包,在過濾框中鍵入icmp過濾icmp包�,輸入如下結(jié)果:Setp4:可以從上圖看到icmp的請求和響應(yīng)報文,現(xiàn)根據(jù)TCP/IP體系
7、結(jié)構(gòu)對抓取icmp請求報文分層進行分析:第二層參數(shù)分析:從你捕獲到的數(shù)據(jù)報文中選取一個數(shù)據(jù)幀(上圖僅是參考���,具體分析時采用實驗中捕獲的數(shù)據(jù)幀)�����,分析其列表中的EthernetII部分�,回答以下問題:1)寫出該數(shù)據(jù)幀MAC地址(源地址���、目的地址)�,并在http://standards.ieee.org/regauth/oui/網(wǎng)址上��,輸入該地址的前三個字節(jié)�����,如00-11-92�����,找出該網(wǎng)卡的生產(chǎn)廠商�����。(注:IEEE的注冊管理機構(gòu)RA負責(zé)向廠家分配MAC地址字段的前三個字節(jié)(即高位24位)。地址字段中的后三個字節(jié)(即低位24位)由廠家自行指派�,稱為擴展標(biāo)識
8、符���,必須保證生產(chǎn)出的適配器沒有重復(fù)地址��。因此我們可以在網(wǎng)上查到該網(wǎng)卡的生產(chǎn)廠商���,這對于網(wǎng)絡(luò)攻擊很有參考價值,
