20199106 2019-2020-2 《网络攻防实践》第四周作业
作业说明
| 这个作业属于哪个课程 | 网络攻防实践 |
|---|---|
| 这个作业的要求在哪里 | 第四周作业:网络嗅探与协议分析 |
| 我在该课程的目标 | 对网络攻防技术有一个比较全面的认识,能够掌握基本的攻防操作。 |
| 这个作业在哪个具体方面帮助我实现目标 | 学习了网络嗅探和网络协议分析技术,用以截获并分析数据。 |
作业正文
实践内容
本周学习了网络嗅探和网络协议分析技术,用以截获并分析数据。
网络嗅探技术
1、定义:利用计算机的网络接口截获目的地址为其他计算机的数据报文,以监听数据流中所包含的私密信息。
2、实现网络嗅探技术的工具称为网络嗅探器。截获到的是经过封包的二进制数据,通常会结合网络协议分析技术来解析嗅探到的网络数据。
3、基本的检测防范方法包括:
1)网络嗅探的检测:如检查网卡是否运行在混杂模式下。也可以通过操作系统和协议栈对混杂模式的香型不同来判断。
2)网络嗅探的防范:采用安全的网络拓扑(交换式网络),用静态ARP代替动态,避免明文传输,重视网络集中节点的保护(路由器,交换机等)。
网络协议分析
1、定义:是网络嗅探器进一步解析与理解捕获数据包必须的技术手段。
2、原理:与主机的解包过程原理类似,需要从底向上逐层解析网络协议。不同的是,网络协议分析需要解析和保存各个网络层次上的所有包头字段信息,以及最高层的应用层数据
技术内容,并提供给用户用以了解网络数据包的全方位信息。
3、实现:在开源的软件如Tcpdump、Wireshark和Snort中都有相应源码实现。
实践过程
动手实践: tcpdump
使用tcpdump开源软件对在本机上访问www.tianya.cn网站过程进行嗅探,回答问题:你在访问www.tianya.cn网站首页时,浏览器将访问多少个Web服务器?他们的IP地址都是什么?
1、几个常用选项(更多更具体的选项用法,可直接man tcpdump进行参考):
| -D | 显示当前系统中所有可用的网卡接口 |
|---|---|
| -i | 指定用于嗅探的网卡接口 |
| -c | 后面跟上要抓包的个数[要抓几个包] |
| -s | 指定抓取的数据包长度,设置为0时,表示让tcpdump自行选择合适的长度进行抓取,务必加上,不然可能会抓不全 |
| -A | 以ASCII码的形式显示每个数据包,分析http类数据非常好用 |
| -vvv | 显示最详细的输出 |
| -w | 将数据包直接写到文件中而不直接输出,这种有利于我们后续可以直接包丢到wireshark中去人工分析 |
| -U | 将数据包的写入和保存同步,不用非等到缓冲区已满时才写入文件,通常配合 -w 一起使用 |
| -r | 可以把之前用 -w 写入的数据包文件,再用 -r 选项进行读取 |
| -xx / -XX | 以16进制显示数据包,分析学习各种协议时非常直观 |
| -q | 让输出的格式更为精简,有点儿类似安静模式 |
| -nn | 不解析端口和主机名,其实就是不把端口解析成服务名,比如21 => ftp |
2、常用几个过滤器关键字:
host,port 指定ip和端口
src,dst 指定数据流向,目的和源[可以是主机,端口]
net 指定网段
常用的几个过滤器运算符: and(且) ,or(或者),!(非)
学习中遇到的问题及解决
问题一:虚拟机中的火狐浏览器上不了网。
解决:问题还在解决中。。。