ARP地址欺骗实验报告
计算机科学与技术系
实验报告
专业名称网络工程
课程名称 TCP/IP协议
项目名称 ARP地址欺骗
班级 13网络工程2班
学号 1304032025
姓名王梦梦(E)
同组人员张奔、肖治才、张嫚嫚、杨中成、杨维维
实验日期 2015/12.7
一、实验目的与要求:
(简述本次实验要求达到的目的,涉及到的相关知识点,实验的具体要求及实验环境,实验环境中标明源主机、目的主机的IP地址及MAC地址)
1、实验目的
理解ARP协议的原理,掌握ARP地址欺骗的方法。
2、实验环境(标明拓扑结构、源主机、目的主机的IP地址及MAC地址)
发给A的包:数据链路层:源主机MAC:D 目的主机MAC:A
ARP报头格式:源主机IP:C 目的主机IP:A 源主机MAC:D 目的主机MAC:000000-000000
发给C的包:数据链路层:源主机MAC:D 目的主机MAC:C
ARP报头格式:源主机IP:A 目的主机IP:C 源主机MAC:D 目的主机MAC:000000-000000
二、实验内容
(根据本次实验项目的具体任务和要求,完成相关内容,可包括:实验原理、实验流程概述、实验具体步骤、关键技术分析、实验过程。)
1、实验原理
ARP协议是用来已知IP地址求MAC地址。在每台主机中都有一张ARP地址缓存表,当有ARP请求时,它不但会应答,还会将请求报文中ARP层的源IP和源MAC与本地缓存进行对比,若不一致,则更新。
2、实验流程概述
1)编辑ARP报文中的相关字段值
2)持续发送报文
3)各主机检查本地地ARP地址缓存表,观察D发包前后ARP缓存表的变化。
3、实验具体步骤
各主机打开工具区的“拓扑验证工具”,选择相应的网络结构,配置网卡后,进行拓扑验证,如果通过拓扑验证,关闭工具继续进行实验,如果没有通过,请检查网络连接。
本练习将主机A、C和D作为一组,主机B、E和F作为一组。现仅以主机A、C、D所在组为例,其它组的操作参考主机A、C、D所在组的操作。
1. 主机A和主机C使用“arp -a”命令察看并记录ARP高速缓存。
2. 主机A、C启动协议分析器开始捕获数据并设置过滤条件(提取ARP协议和ICMP协议)。
3. 主机A ping 主机C。观察主机A、C上是捕获到的ICMP报文,记录MAC
地址。
4. 主机D启动协议编辑器向主机A编辑ARP请求报文(暂时不发送)。其中:
MAC层:
源MAC地址:主机D的MAC地址。
目的MAC地址:主机A的MAC地址。
ARP层:
发送端MAC地址:主机D的MAC地址。
发送端IP地址:主机C的IP地址。
目的端MAC地址:000000-000000。
目的端IP地址:主机A的IP地址。
5. 主机D向主机C编辑ARP请求报文(暂时不发送)。其中:
MAC层:
源MAC地址:主机D的MAC地址。
目的MAC地址:主机C的MAC地址。
ARP层:
发送端MAC地址:主机D的MAC地址。
发送端IP地址:主机A的IP地址。
目的端MAC地址:000000-000000。
目的端IP地址:主机C的IP地址。
6. 同时发送第4步和第5步所编辑的数据包。
【注意】为防止主机A和主机C的ARP高速缓存表被其它未知报文更新,可以定时发送数据包(例如:每隔500ms发送一次)。
7. 观察并记录主机A和主机C的ARP高速缓存表。
8. 在主机D上启动静态路由服务(方法:在命令行方式下输入“staticrout e_config”),目的是实现数据转发。
9. 主机D禁用ICMP协议。
(1)在命令行下输入“mmc”,启动微软管理控制台。
4、实验过程(主要过程截图)
三、实验分析与小结:
(实验结果需有相关截图,分析实验结果;总结实验过程中遇到的问题并分析产生的原因及相关解决方法;附上个人心得体会)
1、实验结果(结果截图)
2、实验结果分析
当主机A收到ARP请求报文时,发现ARP层的源IP为C,源MAC(D)与自己的ARP缓存表不一致,于是便更新自己的ARP缓存表,将C的IP与D的MAC 映射在自己的ARP缓存表中。当A发包给C时,这个数据包实际上会被A转发给C。同理,主机C也会被D欺骗。这样,主机D(黑客)便可以查看到A与C之间的通信数据了。
3、实验中遇到的问题及解决法方法
对ARP地址欺骗的原理理解得不是很清楚,经过查阅教材、老师的讲解以及同同组成员的多次实验,最终有了深刻的理解。
4、心得体会
通过本次实验,我对ARP报头的格式理解得更加深入,对ARP地址欺骗的原理及过程掌握得更加透彻。在以太网中,ARP缓存表是IP地址和MAC地址的映射关系表,任何实现了IP协议栈的设备,一般情况下都通过该表维护IP地址和MAC 地址的对应关系,这是为了避免ARP解析而造成的广播数据报文占用过多的网络带宽。在一般情况下,ARP表是通过两个途径建立的:主动解析,如果一台计算机想与另外一台不知道MAC地址的计算机通信,则该计算机主动发ARP请求;被
动请求,如果一台计算机接收到了另一台计算机的ARP请求,则在本地建立请求
计算机的IP地址和MAC地址的对应表。在本次实验的过程中遇到很多难以解决的问题,比如ARP地址的欺骗原理不明白,实验过程中不知道该怎么进行,最后经过老师的讲解对ARP的欺骗有了深刻的理解,也能很顺利地进行实验了。同时也加深对ARP高速缓存的理解。了解ARP协议的缺陷,增强网络安全意识。四、其它
(思考题)
即使A手动添加了C的IP和MAC到自己的ARP缓存表,但当D有欺骗报文时,A 还是会被欺骗。C同理。
得分(百分制)
实验二 ARP欺骗实验
实验二ARP欺骗实验 【实验目的】 加深对ARP高速缓存的理解 了解ARP欺骗在网络攻击中的应用 【实验原理】 ARP欺骗是黑客常用的攻击手段之一,ARP欺骗分为二种,一种是对路由器ARP表的欺骗;另一种是对内网PC的网关欺骗。 第一种ARP欺骗的原理是——截获网关数据。它通过发送ARP应答包通知路由器一系列错误的内网MAC地址,并按照一定的频率不断进行,使真实的地址信息无法通过更新保存在路由器中,结果路由器的所有数据只能发送给错误的MAC地址,造成正常PC无法收到信息。第二种ARP欺骗的原理是——伪造网关。它的原理是建立假网关,让被它欺骗的PC向假网关发数据,而不是通过正常的路由器途径上网。在PC看来,就是上不了网了,―网络掉线了‖。 ARP表是IP地址和MAC地址的映射关系表,任何实现了IP协议栈的设备,一般情况下都通过该表维护IP地址和MAC地址的对应关系,这是为了避免ARP 解析而造成的广播数据报文对网络造成冲击。 【实验环境】 需要使用协议编辑软件进行数据包编辑并发送;IP地址分配参考如下表所示。 设备IP地址Mac地址后缀 HostA 10.28.23.112 44-37-e6-10-77-81 HostB 10.28.23.168 28-92-4a-56-15-c2 设备连接即两台个人电脑。
【实验内容】 搭建网络实现ARP地址欺骗过程 防范ARP地址欺骗 【实验步骤】 一、设定环境(在实验中应根据具体实验环境进行实验) (1)根据环境拓扑图设定网络环境,并测试连通性。 (2)需要使用协议编辑软件进行数据包编辑并发送。 二、主机欺骗 (1)获得设定网络中各主机的IP地址和MAC地址,Ping网关。如图2-1、图 2-2 图2-1 图2-2
网络安全期末复习题及答案解析
网络安全期末复习题及答案 选择题: 1. 计算机网络安全的目标不包括 (A) A. 可移植性 B. 保密性 C.可控性 D.可用性 2. SNMP 的中文含义为 (B) A. 公用管理信息协议 B . 简单网络管理协议 C.分布式安全管理协议 D.简单邮件传输 协议 C. 只能作为检查系统漏洞的工具 D.既可以作为攻击工具,也可以作为防御工具 4. 在以下人为的恶意攻击行为中,属于主动攻击的是 (A) A 、身份假冒 B 、数据解密 C 、数据流分析 D 、非法访问 5. 黑客利用 IP 地址进行攻击的方法有: (A) A.IP 欺骗 B.解密 C.窃取口令 D. 发送病毒 6. 使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常服务,这属 于什么攻击类型 ?(A) A 、拒绝服务 B 、文件共享 C 、BIN D 漏洞 D 、远程过程调用 7. 向有限的空间输入超长的字符串是哪一种攻击手段? (A) A 、缓冲区溢出 B 、网络监听 C 、拒绝服务 D 、IP 欺骗 8. 用户收到了一封可疑的电子邮件 ,要求用户提供银行账户及密码 , 这是属于何种攻击手段 (B) A 、缓存溢出攻击 B 、钓鱼攻击 C 、暗门攻击 D 、DDOS 攻击 9. WindowsNT 和 Windows2000系统能设置为在几次无效登录后锁定帐号 , 这可以防止: (B) A 、木马 B 、暴力攻击 C 、IP 欺骗 D 、缓存溢出攻击 10. 当你感觉到你的 Win2003 运行速度明显减慢, 当你打开任务管理器后发现 CPU 的使用率达到了 百分之百,你最有可能认为你受到了哪一种攻击。 (B) A 、特洛伊木马 B 、拒绝服务 C 、欺骗 D 、中间人攻击 11. 假如你向一台远程主机发送特定的数据包,却不想远程主机响应你的数据包。这时你使用哪一 种类型的进攻手段? (B) A 、缓冲区溢出 B 、地址欺骗 C 、拒绝服务 D 、暴力攻击 12. 小李在使用 superscan 对目标网络进行扫描时发现,某一个主机开放了 25 和 110 端口,此主 机最有可能是什么? (B) A 、文件服务器 B 、邮件服务器 C 、WEB 服务器 D 、 DNS 服务器 13. 你想发现到达目标网络需要经过哪些路由器,你应该使用什么命令? (C) A 、pingB 、nslookup C 、 tracertD 、ipconfig 14. 黑客要想控制某些用户,需要把木马程序安装到用户的机器中,实际上安装的是 (B) A .木马的控制端程序 B .木马的服务器端程序 C .不用安装 D .控制端、服务端程序都必需安装 15. 为了保证口令的安全,哪项做法是不正确的 (C) 3. 端口扫描技术 (D) A.只能作为攻击工具 B.只能作为防御工具 A 用户口令长度不少于 6 个字符 B 口令字符最好是数字、字母和其他字符的混合 C 口令显示在显示屏上 D 对用户口令进行加密 16. 以下说法正确的是 (B) A .木马不像病毒那样有破坏性 C .木马不像病毒那样是独立运行的程序 17. 端口扫描的原理是向目标主机 B .木马不像病毒那样能够自我复制 D .木马与病毒都是独立运行的程序 端口发送探测数据包,并记录目标主机的响应。 (C)
计算机网络实验-HTTP、FTP协议分析
实验二HTTP、FTP协议分析 1. 本次实验包括HTTP、FTP两个协议的分析(详见一、二)。 2. 参考文档所述步骤,完成数据包的捕获并进行分析; 3. 认真撰写实验报告,叙述实验过程要层次分明,对关键的过程或结果截图说明、分析,回答实验文档所提的思考题、问题。 一、超文本传输协议(HTTP)分析 【实验目的】 掌握HTTP协议的原理和报文格式; 了解HTTP协议的工作过程; 了解应用层协议与传输层协议的关系。 【实验内容】 用浏览器打开网页,捕获HTTP报文并进行分析 编辑一个HTTP数据报文并进行发送,并捕获该报文进行分析。 【实验步骤】 步骤一:使用浏览器打开网页,捕获HTTP数据包并分析: (1) 在主机上打开协议分析仪,点击工具栏上的“过滤器”,“类型过滤器”的下拉列表中 选择“HTTP协议”,确定后开始进行数据捕获:
(2) 使用实验室主机上的浏览器,例如IE,打开一个网页,如URL是 HTTP//https://www.360docs.net/doc/8b16365920.html, (3) 在协议分析器中找到捕获的数据包,观察HTTP请求报文和响应报文,以及其中所使用的命令:
【思考问题】 结合实验过程中的实验结果,问答下列问题: 1. 当实验主机上同时打开多个浏览器窗口并访问同一WEB站点的不同页面时,系统是根据什么把返回的页面正确地显示到相应窗口的?一个主页是否只有一个连接? 2. 请求主页后,返回的浏览器内容的字节长度是多少? 3. 如果请求一个不存在的网页,服务器将会应答什么? 答: 1. 当实验主机上同时打开多个浏览器窗口并访问同一WEB站点的不同页面时,系统是根据地址信息把返回的页面正确地显示到相应窗口的,一个主页是只有一个连接。 2. 请求主页后,返回的浏览器内容的字节长度是 3. 如果请求一个不存在的网页,服务器将会应答404错误。 二、FTP协议分析 【实验目的】 1、掌握FTP协议的工作原理; 2、了解FTP协议的常用命令,并领会其链路管理、理解FTP的主动模式和被动模式 3、了解应用层协议与传输层协议的关系; 【实验内容】 1. 登录FTP服务器,并捕获FTP报文进行分析;
arp欺骗原理及处理办法
故障原因 主要原因是在局域网中有人使用了ARP欺骗的木马程序,比如一些盗号的软件。 传奇外挂携带的ARP木马攻击,当局域网内使用外挂时,外挂携带的病毒会将该机器的MAC 地址映射到网关的IP地址上,向局域网内大量发送ARP包,致同一网段地址内的其它机器误将其作为网关,掉线时内网是互通的,计算机却不能上网。方法是在能上网时,进入MS-DOS窗口,输入命令:arp –a查看网关IP对应的正确MAC地址,将其记录,如果已不能上网,则先运行一次命令arp –d将arp缓存中的内容删空,计算机可暂时恢复上网,一旦能上网就立即将网络断掉,禁用网卡或拔掉网线,再运行arp –a。 如已有网关的正确MAC地址,在不能上网时,手工将网关IP和正确MAC绑定,可确保计算机不再被攻击影响。可在MS-DOS窗口下运行以下命令:arp –s 网关IP 网关MAC。如被攻击,用该命令查看,会发现该MAC已经被替换成攻击机器的MAC,将该MAC记录,以备查找。找出病毒计算机:如果已有病毒计算机的MAC地址,可使用NBTSCAN软件找出网段内与该MAC地址对应的IP,即病毒计算机的IP地址。 故障现象 当局域网内有某台电脑运行了此类ARP欺骗的木马的时候,其他用户原来直接通过路由器上网现在转由通过病毒主机上网,切换的时候用户会断一次线。 切换到病毒主机上网后,如果用户已经登陆了传奇服务器,那么病毒主机就会经常伪造断线的假像,那么用户就得重新登录传奇服务器,这样病毒主机就可以盗号了。 由于ARP欺骗的木马发作的时候会发出大量的数据包导致局域网通讯拥塞,用户会感觉上网速度越来越慢。当木马程序停止运行时,用户会恢复从路由器上网,切换中用户会再断一次线。 该机一开机上网就不断发Arp欺骗报文,即以假冒的网卡物理地址向同一子网的其它机器发送Arp报文,甚至假冒该子网网关物理地址蒙骗其它机器,使网内其它机器改经该病毒主机上网,这个由真网关向假网关切换的过程中其它机器会断一次网。倘若该病毒机器突然关机或离线,则其它机器又要重新搜索真网关,于是又会断一次网。所以会造成某一子网只要有一台或一台以上这样的病毒机器,就会使其他人上网断断续续,严重时将使整个网络瘫痪。这种病毒(木马)除了影响他人上网外,也以窃取病毒机器和同一子网内其它机器上的用户帐号和密码(如QQ和网络游戏等的帐号和密码)为目的,而且它发的是Arp报文,具有一定的隐秘性,如果占系统资源不是很大,又无防病毒软件监控,一般用户不易察觉。这种病毒开学初主要发生在学生宿舍,据最近调查,现在已经在向办公区域和教工住宅区域蔓延,而且呈越演越烈之势。 经抽样测试,学校提供的赛门铁克防病毒软件企业版10.0能有效查杀已知的Arp欺骗病毒(木马)病毒。恶意软件由于国际上未有明确界定,目前暂无一款防病毒软件能提供100%杜绝其发作的解决方案,需要借助某些辅助工具进行清理。 解决思路 不要把你的网络安全信任关系建立在IP基础上或MAC基础上。 设置静态的MAC-->IP对应表,不要让主机刷新你设定好的转换表。
网络安全简答题
网络安全简答题精选 一、简答题 1、简述物理安全包括那些内容? 防盗,防火,防静电,防雷击和防电磁泄漏 2、简述防火墙有哪些基本功能?(写出五个功能) 建立一个集中的监视点 隔绝内外网络,保护内部网络 强化网络安全策略 对网络存取和访问进行监控和审计 实现网络地址转换 3、简述无线局域网由那些硬件组成? 无线局域网由无线网卡、AP、无线网桥、计算机和有关设备组成。 4、简述网络安全的层次体系 从层次体系上,可以将网络安全分成四个层次上的安全:物理、逻辑、操作系统和联网安全 5、简述TCP/IP协议族的基本结构 ?TCP/IP协议族是一个四层协议系统,自底而上分别是数据链路层、网络层、传输层和应用层。 6、简述网络扫描的分类及每类的特点 扫描,一般分成两种策略:一种是主动式策略,另一种是被动式策略。 被动式策略是基于主机之上,对系统中不合适的设置、脆弱的口令及其他同安全规则抵触的对象进行检查,不会对系统造成破坏。 主动式策略是基于网络的,它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞,但是可能会对系统造成破坏。 7、简述常用的网络攻击手段 网络监听、病毒及密码攻击、欺骗攻击 拒绝服务攻击、应用层攻击、缓冲区溢出 8、简述后门和木马的概念并说明两者的区别
木马(Trojan),也称木马病毒,是指通过特定的程序木马程序来控制另一台计算机 后门:是绕过安全性控制而获取对程序或系统访问权的方法 本质上,木马和后门都是提供网络后门的功能,但是木马的功能稍微强大一些,一般还有远程控制的功能,后门程序则功能比较单一,只是提供客户端能够登录对方的主机 9、简述恶意代码的概念及长期存在的原因 恶意代码是一种程序,它通过把代码在不被察觉的情况下镶嵌到另一段程序中,从而达到破坏被感染电脑数据、运行具有入侵性或破坏性的程序、破坏被感染电脑数据的安全性和完整性的目的。 原因:在信息系统的层次结构中,包括从底层的操作系统到上层的网络应用在内的各个层次都存在着许多不可避免的安全问题和安全脆弱性。而这些安全脆弱性的不可避免,直接导致了恶意代码的必然存在。 10、简述安全操作系统的机制 安全操作系统的机制包括:硬件安全机制,操作系统的安全标识与鉴别,访问控制、最小特权管理、可信通路和安全审计。 11、简述密码学除机密性外还需提供的功能 鉴别、完整性、抗抵赖性 鉴别:消息的接收者应该能够确认消息的来源;入侵者不可能伪装成他人。 完整性:消息的接收者应该能够验证在传送过程中消息没有被修改;入侵者不可能用假消息代替合法消息。 抗抵赖性:发送者事后不可能虚假地否认他发送的消息。 12、简述入侵检测系统的概念及常用的3种入侵检测方法 入侵检测系统:是能够对入侵异常行为自动进行检测、监控和分析的软件与硬件的组合系统,是一种自动监测信息系统内、外入侵的安全设备 常用的方法有3种:静态配置分析、异常性检测方法,基于行为的检测方法和文件完整性检查。 13、简述网络安全框架包含的内容 网络安全策略 网络安全策略和标准 网络安全运作
网络协议分析软件的使用实验报告
实验报告 项目名称:网络协议分析工具的使用课程名称:计算机网络B 班级: 姓名: 学号: 教师: 信息工程学院测控系
一、实验目的 基于网络协议分析工具Wireshark(原为Ethereal),通过多种网络应用的实际操作,学习和掌握不同网络协议数据包的分析方法,提高TCP/IP协议的分析能力和应用技能。 二、实验前的准备 ● 二人一组,分组实验; ● 熟悉Ping、Tracert等命令,学习FTP、HTTP、SMTP和POP3协议; ● 安装软件工具Wireshark,并了解其功能、工作原理和使用方法; ● 安装任一种端口扫描工具; ● 阅读本实验的阅读文献; 三、实验内容、要求和步骤 3.1 学习Wireshark工具的基本操作 学习捕获选项的设置和使用,如考虑源主机和目的主机,正确设置Capture Filter;捕获后设置Display Filter。 3.2 PING命令的网络包捕获分析 PING命令是基于ICMP协议而工作的,发送4个包,正常返回4个包。以主机210.31.40.41为例,主要实验步骤为: (1)设置“捕获过滤”:在Capture Filter中填写host 210.31.38.94; (2)开始抓包; (3)在DOS下执行PING命令; (4)停止抓包。 (5)设置“显示过滤”: IP.Addr=210.31.38.94 (6)选择某数据包,重点分析其协议部分,特别是协议首部内容,点开所有带+号的内容。(7)针对重要内容截屏,并解析协议字段中的内容,一并写入WORD文档中。
分析:从这个数据包的分析结果来看我们可以得知: 数据包的到达时间为2013年11月28日14:43:15 帧的序号为20411 帧的长度为74bytes(592bits),同时抓取的长度也是74bytes,说明没有丢失数据 目的MAC地址为00:25:11::4b:7a:6e 源MAC地址为00:25:11:4b:7d:6e 使用的协议为Ipv4 网络层的首部长度为20bytes 目的Ip地址为222.31.38.94 源Ip地址为222.31.38.93 数据没有分片说明数据大小没有超过最大传输单元MUT,其中用到了ICMP协议,数据包的生存周期为128 头部校验和为0x01正确 ICMP的校验和为0x01序列号为2304 数据有32bytes 3.3 TRACERT命令数据捕获 观察路由跳步过程。分别自行选择校内外2个目标主机。比如, (1)校内:tracert 210.31.32.8 (2)校外:tracert https://www.360docs.net/doc/8b16365920.html,
利用wireshark分析HTTP协议实验报告
利用wireshark分析HTTP协议实验报告 姓名:杨宝芹 学号:2012117270 班级:电子信息科学与技术 时间:2014.12.26
利用wireshark分析HTTP协议实验报告 一、实验目的 分析HTTP协议。 二、实验环境 连接Internet的计算机,操作系统为windows8.1; Wireshark,版本为1.10.7; Google Chrome,版本为39.0.2171.65.m; 三、实验步骤 1.清空缓存 在进行跟踪之前,我们首先清空Web 浏览器的高速缓存来确保Web网页是从网络中获取的,而不是从高速缓冲中取得的。之后,还要在客户端清空DNS 高速缓存,来确保Web服务器域名到IP地址的映射是从网络中请求。 2.启动wireshare 3.开始俘获 1)在菜单中选择capture-options,选择网络,打开start。如下图:
2)在浏览器地址栏中输入https://www.360docs.net/doc/8b16365920.html,,然后结束俘获,得到如下结果: 3)在过滤器中选择HTTP,点击apply,得到如下结果:
在菜单中选择file-save,保存结果,以便分析。(结果另附) 四、分析数据 在协议框中选择“GET/HTTP/1.1”所在的分组会看到这个基本请求行后跟随 着一系列额外的请求首部。在首部后的“\r\n”表示一个回车和换行,以此将该 首部与下一个首部隔开。“Host”首部在HTTP1.1版本中是必须的,它描述了URL 中机器的域名,本实验中式https://www.360docs.net/doc/8b16365920.html,。这就允许了一个Web服务器在同一 时间支持许多不同的域名。有了这个数不,Web服务器就可以区别客户试图连接 哪一个Web服务器,并对每个客户响应不同的内容,这就是HTTP1.0到1.1版本 的主要变化。User-Agent首部描述了提出请求的Web浏览器及客户机器。接下 来是一系列的Accpet首部,包括Accept(接受)、Accept-Language(接受语言)、 Accept-Encoding(接受编码)、Accept-Charset(接受字符集)。它们告诉Web
网络安全期末复习题与答案解析
网络安全期末复习题及答案 一、选择题: 1.计算机网络安全的目标不包括( A ) A.可移植性 B.性 C.可控性 D.可用性 2.SNMP的中文含义为( B ) A.公用管理信息协议 B.简单网络管理协议 C.分布式安全管理协议 D.简单传输协议 3.端口扫描技术( D ) A.只能作为攻击工具 B.只能作为防御工具 C.只能作为检查系统漏洞的工具 D.既可以作为攻击工具,也可以作为防御工具 4.在以下人为的恶意攻击行为中,属于主动攻击的是( A ) A、身份假冒 B、数据解密 C、数据流分析 D、非法访问 5.黑客利用IP地址进行攻击的方法有:( A ) A. IP欺骗 B. 解密 C. 窃取口令 D. 发送病毒 6.使网络服务器中充斥着大量要求回复的信息,消耗带宽,导致网络或系统停止正常 服务,这属于什么攻击类型? ( A ) A、拒绝服务 B、文件共享 C、BIND漏洞 D、远程过程调用 7.向有限的空间输入超长的字符串是哪一种攻击手段?( A ) A、缓冲区溢出 B、网络监听 C、拒绝服务 D、IP欺骗 8.用户收到了一封可疑的电子,要求用户提供银行账户及密码,这是属于何种攻击手段 ( B ) A、缓存溢出攻击 B、钓鱼攻击 C、暗门攻击 D、DDOS攻击 9.Windows NT 和Windows 2000系统能设置为在几次无效登录后锁定,这可以防止: ( B ) A、木马 B、暴力攻击 C、IP欺骗 D、缓存溢出攻击 10.当你感觉到你的Win2003运行速度明显减慢,当你打开任务管理器后发现CPU的使 用率达到了百分之百,你最有可能认为你受到了哪一种攻击。( B ) A、特洛伊木马 B、拒绝服务 C、欺骗 D、中间人攻击 11.假如你向一台远程主机发送特定的数据包,却不想远程主机响应你的数据包。这时 你使用哪一种类型的进攻手段?( B ) A、缓冲区溢出 B、地址欺骗 C、拒绝服务 D、暴力攻击 12.小在使用super scan对目标网络进行扫描时发现,某一个主机开放了25和110端 口,此主机最有可能是什么?( B ) A、文件服务器 B、服务器 C、WEB服务器 D、DNS服务器 13.你想发现到达目标网络需要经过哪些路由器,你应该使用什么命令?( C ) A、ping B、nslookup C、tracert D、ipconfig 14.黑客要想控制某些用户,需要把木马程序安装到用户的机器中,实际上安装的是 ( B ) A.木马的控制端程序B.木马的服务器端程序 C.不用安装D.控制端、服务端程序都必需安装 15.为了保证口令的安全,哪项做法是不正确的( C ) A 用户口令长度不少于6个字符 B 口令字符最好是数字、字母和其他字符的混
使用wireshark进行协议分析实验报告
1 深圳大学实验报告 实验课程名称:计算机网络 实验项目名称:使用wireshark进行协议分析 学院:计算机与软件学院专业:计算机科学与技术 报告人:邓清津学号:2011150146 班级:2班同组人:无 指导教师:杜文峰 实验时间:2013/6/10 实验报告提交时间:2013/6/10 教务处制
一、实验目的与要求 学习使用网络数据抓包软件.学习使用网络数据抓包软件wireshark,并对一些协议进行分析。 二、实验仪器与材料 Wireshark抓包软件 三、实验内容 使用wireshark分析各层网络协议 1.HTTP协议 2.ARP协议,ICMP协议 3.IP协议 4.EthernetII层数据帧 为了分析这些协议,可以使用一些常见的网络命令。例如,ping等。 四、实验步骤 1、安装Wireshark,简单描述安装步骤: 2、打开wireshark,选择接口选项列表。或单击“Capture”,配置“option” 选项。
3.点击start后,进行分组捕获,所有由选定网卡发送和接收的分组都将被捕获。 4. 开始分组捕获后,会出现如图所示的分组捕获统计窗口。该窗口统计显示各类已捕获分组的数量。在该窗口中有一个“stop”按钮,可以停止分组的捕获。
一、分析HTTP协议 1.在浏览器地址栏中输入某网页的URL,如:https://www.360docs.net/doc/8b16365920.html,。为显示该网页,浏览器需要连接https://www.360docs.net/doc/8b16365920.html,的服务器,并与之交换HTTP消息,以下载该网页。包含这些HTTP消息的以太网帧(Frame)将被WireShark捕获。 2. 在显示筛选编辑框中输入“http”,单击“apply”,分组列表窗口将只显示HTTP消息。 3.点击其中一个http协议包
网络安全知识答题
1、ARP欺骗攻击发生在什么网络范围内( 单选题) B 因特网 局域网 广域网 以上全部 请问下面哪一项属于端口扫描工具( 单选题)B Dnsmap Nmap Nessus lpconfig 一机两用在本地客户端开了什么端口( 单选题) C 444 235 22105 1324 如何防范ICMP FLOOD攻击( 不定项选择题) 使用防火墙 禁止ping请求 关闭不用的tcp端口 过滤ICMP报文 下面哪一种攻击方式最常用于破解口令( 单选题) A 字典攻击 WinNuk 哄骗 拒绝服务
从此处下载的rar加密文件文件内容是什么( 填空题) 4444 请点击下载文件 word 加密文件内容是2222 共享式网络通过什么网络设备连接( 单选题) C 防火墙 交换机 集线器 Ip欺骗是指数据包中哪个字段被篡改( 单选题) B 目的mac地址 源ip地址 目的ip地址 源mac地址 交换式网络通过什么网络设备连接( 单选题) D 防火墙 路由器 集线器 交换机 Ip地址为10.2.64.111的主机操作系统是什么( 单选题) A windows linux dns欺骗攻击什么设备将没有效果( 不定项选择题) dns服务器 防火墙 路由器 交换机
NMAP是什么( 单选题) C 攻击工具 防范工具 扫描工具 网络协议 Ip地址为10.2.64.111的主机是否存活( 单选题) B 不存活 存活 以下哪种加密算法不与其他三种相同( 单选题) A RSA IDEA 3DES RC5 Ip地址为10.2.64.112的主机开了什么服务( 单选题) C web ftp 以上两个都开了 以上两个都没开 RSA与DSA相比的优点是什么( 不定项选择题) A 它可以提供数字签名和加密功能 它使用一次性密码本 前者是分组加密后者是流加密 由于使用对称密钥它使用的资源少加密速度快 UDP Flood攻击发送udp包来攻击服务器,请问哪种服务器会响应udp请求,被UDP Flood 攻击成功( 不定项选择题)
协议分析综合实验报告
协议分析综合实验报告 专业:电子信息科学与技术(1)班 组员: 学号: 时间:2014-12-01 一、实验目的:利用wireshark 抓包工具,结合课本,分析分层的网络结构协议体系: 二、基本步骤: 一、利用任意一台能够访问互联网的主机,安装wireshark抓包工具。 二、关闭所有应用层程序。如qq,ie浏览器,pptv等。 三、打开抓包工具,开始抓包。 四、打开IE浏览器,输入新浪WEB服务器的域名:https://www.360docs.net/doc/8b16365920.html,,回车。 五、访问新浪主页成功后,立即停止抓包。 六、分析所抓的数据包,找出主机跟新浪WEB服务器之间通信的数据包,按应用层、运输 层、网络层、数据链路层这四个层次,分析其具体工作过程,分别各层用到了哪些协议。 (新浪WEB服务器的IP地址是58.67.149.250) 三、实验分析过程 下图是用Wireshark软件进行抓包数据分析的截图,下面将选取1906号帧来进行相应的层次与过程分析:
1.数据链路层分析 PPPoE会话阶段以太网帧的协议填充为Ox8864.代码填充Ox00,整个会话的过程就是PPP的会话过程,但在PPPOE数据内的PPP数据帧是冲协议域开始的。此过程所用到的协议是IP协议。 2.网络层分析 该层所涉及的协议是IP协议,源地址是121.14.1.190,目的地址是119.124.31.253,区分服务字段为Ox00(DSCP:Ox00:Default;ECN:Ox00),默认的DSCP的值是0,相当于尽力传送。IP包的总长度为64,标志字段为Ox91d5,标记字段为Ox00,没有分片,其偏移量为0,生存时间为57,当减少为0时,该数据包将被丢弃以保证数据包不会无限制的循环,因为 wireshark不自动做TCP校验和的检验,所以显示为validation disabled
利用wireshark分析HTTP协议实验报告
用wireshark分析HTTP协议实验报告
利用wireshark分析HTTP协议实验报告 一、实验目的 分析HTTP协议。 二、实验环境 连接Internet的计算机,操作系统为windows8.1; Wireshark,版本为1.10.7; Google Chrome,版本为39.0.2171.65.m; 三、实验步骤 1.清空缓存 在进行跟踪之前,我们首先清空Web 浏览器的高速缓存来确保Web网页是从网络中获取的,而不是从高速缓冲中取得的。之后,还要在客户端清空DNS 高速缓存,来确保Web服务器域名到IP地址的映射是从网络中请求。 2.启动wireshare 3.开始俘获 1)在菜单中选择capture-options,选择网络,打开start。如下图:
2)在浏览器地址栏中输入https://www.360docs.net/doc/8b16365920.html,,然后结束俘获,得到如下结果: 3)在过滤器中选择HTTP,点击apply,得到如下结果:
在菜单中选择file-save,保存结果,以便分析。(结果另附) 四、分析数据 在协议框中选择“GET/HTTP/1.1”所在的分组会看到这个基本请求行后跟随 着一系列额外的请求首部。在首部后的“\r\n”表示一个回车和换行,以此将该 首部与下一个首部隔开。“Host”首部在HTTP1.1版本中是必须的,它描述了URL 中机器的域名,本实验中式https://www.360docs.net/doc/8b16365920.html,。这就允许了一个Web服务器在同一 时间支持许多不同的域名。有了这个数不,Web服务器就可以区别客户试图连接 哪一个Web服务器,并对每个客户响应不同的内容,这就是HTTP1.0到1.1版本 的主要变化。User-Agent首部描述了提出请求的Web浏览器及客户机器。接下 来是一系列的Accpet首部,包括Accept(接受)、Accept-Language(接受语言)、 Accept-Encoding(接受编码)、Accept-Charset(接受字符集)。它们告诉Web
实验三:ARP欺骗工具及原理分析
实验三:ARP欺骗工具及原理分析 一、实验目的 1.熟悉ARP欺骗攻击工具的使用 2.熟悉ARP欺骗防范工具的使用 3.熟悉ARP欺骗攻击的原理 二、实验准备 1.要求实验室内网络是连通的,组内每台计算机均可以访问另外一台计算机。 2.下载相关工具和软件包(ARP攻击检测工具,局域网终结者,网络执法官,ARPsniffer 嗅探工具)。 三、实验说明 本实验所介绍的工具软件使用起来都比较方便,操作起来也不是很难,但是功能或指令却不止一种,所以实验中只介绍其中的某一种用法。其他的则可"触类旁通"。 四、实验涉及到的相关软件下载: ARP攻击检测工具 局域网终结者 网络执法官 ARPsniffer嗅探工具 五、实验原理 1、ARP及ARP欺骗原理: ARP(Address Resolution Protocol)即地址解析协议,是一种将IP地址转化成物理地址的协议。不管网络层使用什么协议,在网络链路上传送数据帧时,最终还是必须使用硬件地址的。而每台机器的MAC地址都是不一样的,具有全球唯一性,因此可以作为一台主机或网络设备的标识。目标主机的MAC地址就是通过ARP协议获得的。 ARP欺骗原理则是通过发送欺骗性的ARP数据包致使接收者收到数据包后更新其ARP 缓存表,从而建立错误的IP与MAC对应关系,源主机发送数据时数据便不能被正确地址接收。 2、ARPsniffer使用原理: 在使用该工具时,它会将网络接口设置为混杂模式,该模式下工具可以监听到网络中传输的所有数据帧,而不管数据帧的目的地是自己还是其他网络接口的地址。嗅探器会对探测到的每一个数据帧产生硬件数据中断,交由操作系统处理,这样就实现了数据截获。 3、局域网终结者使用原理: 一个主机接收到与自已相同IP发出的ARP请求就会弹出一个IP冲突框来。利用局域网终结者可以伪造任一台主机的IP向局域网不停地发送ARP请求,同时自已的MAC也是伪造的,那么被伪造IP的主机便会不停地收到IP冲突提示,致使该主机无法上网。这便构成了局域网终结者的攻击原理。 4、网络执法官使用原理: 网络执法官原理是通过ARP欺骗发给某台电脑有关假的网关IP地址所对应的MAC地
网络安全实验报告 - ARP欺骗
首先使用“快照X”恢复Windows/Linux系统环境。 一.ARP欺骗攻击 实验需求: (1)本实验使用交换网络结构(参见附录B),组一、二和三间通过交换模块连接(主机A、C、E通过交换模块连接,主机B、D、F也通过交换模块连接)。因此,正常情况下,主机C无法以嗅探方式监听到主机A与主机E间通信数据,同样主机D也无法监听到主机B与主机F间的通信数据。 (2)主机C要监听主机A和主机E间的通信数据;主机D要监听主机B与主机F间的通信数据。 分析: 黑客主机通过对目标主机进行ARP欺骗攻击,获取目标主机间的通信数据。1.正常通信 (1)目标主机二单击工具栏“UDP工具”按钮,启动UDP连接工具,创建2513/udp服务端。 (2)目标主机一启动UDP连接工具,将“目标机器”IP地址指定为目标主机二的地址,目标端口与服务器一致。在“数据”文本框中输入任意内容,单击“发送”按钮,向服务端发送数据。服务端确定接收到数据。 (3)黑客主机单击工具栏“控制台”按钮,切换至/opt/ExpNIS/NetAD-Lab/Tools/ids/目录(Snort目录),执行如下命令:通过上述命令snort仅会监听源IP地址为目标主机一的、传输协议类型为UDP的网络数据 (4)目标主机一再次向目标主机二发送消息,黑客主机停止snort监听(Ctrl+C),观察snort监听结果,是否监听到目标主机间的通信数据。为什么? 没有监听到结果,目标主机不在同一个共享设备上,正常状态下目标主机一和二间的通信,黑客主机监听不到它们之间的信息。 (5)目标主机一查看ARP缓存表,确定与目标主机二的IP相映射的MAC 地址是否正常。
TCP协议实验报告
学生实验报告 姓名:_________ 学号:____________ 班级:________________ 指导老师:_______________ 内容摘要 该实验报告了TCP协议分析实验相关分析; TCP协议分析是通过Wireshark分析TCP协议的报文格式,如理解TCP报文段首部各字段的含义,理解TCP建立连接的三次握手机制,了解TCP的确认机制,了解TCP的流量控制和拥塞控制 实验目的 1. 通过协议分析软件掌握TCP协议的报文格式; 2. 理解TCP报文段首部各字段的含义; 3. 理解TCP建立连接的三次握手机制; 4. 了解TCP的确认机制,了解TCP的流量控制和拥塞控制; 实验原理 连上in ternet的PC机,并且安装有协议分析软件Wireshark 实验原理及概况 TCP是因特网中最主要的运输层协议,它能够在两个应用程序章提供可靠的、有序的数据流传输,能够检测传输过程中分组是否丢失、失序和改变,并利用重传机制保证分组可 靠地传输到接收方; TCP首部格式如下图所示: 位U 3 16 24 31 首先是源端口和目的端口,服务器提供服务的端口号是固定的,比如:Web服务端口 号是80,而客户端的端口号是由操作系统随机分配一个用户端口号。TCP提供字节流服务, 它为分组中的每个字节编号,首部中的序号表示分组中第一个字节的编号。接收方用确认号 表示它期望接收的数据流中下一个字节编号,表明确认号之前的字节接收方都已经正确接收 了。数据偏移字段表示报文段的首部长度。标志部分包含6个标志位,ACK位表明确认号 字段是否有效;PUSH位表示发送端应用程序要求数据立即发送;SYN、FIN、RESET三位 用来建立连接和关闭连接;URG和紧急指针通常较少使用。接收端利用窗口字段通知发送 方它能够接收多大数据量。检验和字段是接收方用来检验接收的报文是否在传输过程中出
网络安全实验2 ARP欺骗实验
实验1 ARP地址欺骗 声明:本实验教程仅限于实验室教学和实验用,不能用于其他非法用途,否则后果自负。 1、实验目的 1、掌握常见ARP欺骗类型和手段 2、掌握ARP协议工作原理和格式 3、掌握防范ARP地址欺骗的方法和措施 4、掌握Sniffer Pro软件的使用 2、实验环境 硬件:交换机1台、路由器1台、计算机数台 软件:Sinfffer pro
Heinaen和Govindan RFC1735 对上进行了进一步的讨论 W.Richard Stenvens TCP/IP协议详解卷1:协议 [日]村上公保TCP/IP网络实验程序篇科学出版社 4、实验原理 数据封装过程 1)、ARP协议简介 ARP(Address Resolve Protocol)地址请求解析协议,用于寻找和IP地址相对应的MAC 地址。在RFC 826中定义了ARP协议的数据格式和类型。ARP协议属于在网络层的下部,可看作为网络层和数据链路层的接口,主要用于IPv4以太网。 ARP消息类型有2种: ARP request :ARP 请求 ARP response :ARP应答 ARP协议格式
ARP报文格式 以太网帧的格式:
ü源MAC地址:发送方的MAC地址 ü源IP地址:发送方的IP地址 ü目的MAC地址:ARP请求中该字段没有意义;ARP响应中为接收方的MAC地址 ü目的IP地址:ARP请求中为请求解析的IP地址;ARP响应中为接收方的IP地址 ARP协议的改进 高速缓存技术 高速缓冲区中ARP表项新鲜性的保持:计时器 目的主机接收到ARP请求后将源主机的IP地址与物理地址映射关 系存入自己的高速缓冲区 主机启动时主动广播自己的IP地址与物理地址的映射关系 5、实验步骤 1)掌握常用的ARP常用命令 ARP命令: 功能:用于查看、添加和删除高速缓存区中的ARP表项 高速缓冲区中的ARP表项 表项添加后两分钟内没有被再次使用:删除 表项被再次使用:增加2分钟的生命周期
最全的ARP欺骗攻击原理深入分析
1、ARP协议概述 IP数据包常通过以太网发送。以太网设备并不识别32位IP地址:它们是以48位以太网地址传输以太网数据包的。因此,IP驱动器必须把IP目的地址转换成以太网网目的地址。在这两种地址之间存在着某种静态的或算法的映射,常常需要查看一张表。地址解析协议(Address Resolution Protocol,ARP)就是用来确定这些映象的协议。 ARP工作时,送出一个含有所希望的IP地址的以太网广播数据包。目的地主机,或另一个代表该主机的系统,以一个含有IP和以太网地址对的数据包作为应答。发送者将这个地址对高速缓存起来,以节约不必要的ARP通信。 如果有一个不被信任的节点对本地网络具有写访问许可权,那么也会有某种风险。这样一台机器可以发布虚假的ARP报文并将所有通信都转向它自己,然后它就可以扮演某些机器,或者顺便对数据流进行简单的修改。ARP机制常常是自动起作用的。在特别安全的网络上,ARP映射可以用固件,并且具有自动抑制协议达到防止干扰的目的。 图1是一个用作IP到以太网地址转换的ARP报文的例子。在图中每一行为32位,也就是4个八位组表示,在以后的图中,我们也将遵循这一方式。 硬件类型字段指明了发送方想知道的硬件接口类型,以太网的值为1。协议类型字段指明了发送方提供的高层协议类型,IP为0806(16进制)。硬件地址长度和协议长度指明了硬件地址和高层协议地址的长度,这样ARP报文就可以在任意硬件和任意协议的网络中使用。操作字段用来表示这个报文的目的,ARP请求为1,ARP响应为2,RARP请求为3,RARP响应为4。 当发出ARP请求时,发送方填好发送方首部和发送方IP地址,还要填写目标IP地址。当目标机器收到这个ARP广播包时,就会在响应报文中填上自己的48位主机地址。
1、HTTP协议分析
开放式课题 实验报告 实验名称:基于Wireshark软件的HTTP协议分析 学号: 姓名: 指导教师:宫婧 指导单位:理学院
目录 实验目的..........................................................错误!未定义书签。 1) 掌握Wireshark软件使用方法............. 错误!未定义书签。 2)理解HTTP协议工作原理..................................... 错误!未定义书签。 实验任务.................................... 错误!未定义书签。 1) 抓取数据包........................... 错误!未定义书签。 2)分析数据包........................... 错误!未定义书签。实验环境.............................. 错误!未定义书签。软件介绍 (2) 1) wireshark软件简介 (2) 2) wireshark软件的应用 (2) 3) wireshark软件的价值 (2) 4) wireshark软件的操作简介 (3) HTTP协议详解............................... 错误!未定义书签。 1) HTTP协议基础概念....................... 错误!未定义书签。 2) HTTP协议工作流程....................... 错误!未定义书签。 3) HTTP协议请求响应信息 (6) HTTP请求报文信息....................................6 HTTP响应报文信息....................................7HTTP数据包分析 (8) 1)网络接口层信息 (10) 2)网络层信息 (11) 3)传输层信息 (12) 4)应用层信息 (13) 总结........................................ 错误!未定义书签。参考文献.. (14)
网络安全习题及答案
第5章 1判断题 1-1 TCP/IP是ARPAnet中最早使用的通信协议。(×) 1-2 TCP/IP最早应用在ARPAnet中。(√) 1-3 由于在TCP协议的传输过程中,传输层需要将从应用层接收到的数据以字节为组成单元划分成多个字节段,然后每个字节段单独进行路由传输,所以TCP是面向字节流的可靠的传输方式。(√) 1-4 ARP缓存只能保存主动查询获得的IP和MAC的对应关系,而不会保存以广播形式接收到的IP和MAC的对应关系。(×) 1-5 ARP欺骗只会影响计算机,而不会影响交换机和路由器等设备。(×) 1-6 DHCP服务器只能给客户端提供IP地址和网关地址,而不能提供DNS的IP地址。(×) 1-7 TCP和UDP一样都是面向字节流的数据传输方式。(×) 1-8 在使用DNS的网络中,只能使用域名来访问网络,而不能使用IP地址。(×) 1-9 DNS缓存中毒是修改了用户端计算机缓存中的解析记录,将域名指向错误的IP地址。(×) 1-10 在DNSSEC系统中,只要在DNS服务器之间进行安全认证,而不需要在DNS客户端进行安全认证。(×)2 填空题 2-1 在网络接口层,将添加了网络首部的协议数据单元称网络组分组或数据帧。 2-2 用户在通过ADSL拨号方式上网时,IP地址及相关参数是DHCP服务器分配的。 2-3 TCP SYN泛洪攻击属于一种典型的DOS 攻击。 2-4 DNS同时调用了TCP和UDP的53端口,其中UTP 53 端口用于DNS客户端与DNS服务器端的通信,而TCP 53 端口用于DNS区域之间的数据复制。 3 选择题 3-1 下面关于IP协议的描述,不正确的是(B ) A. 提供一种“尽力而为”的服务 B. 是一种面向连接的可靠的服务 C. 是TCP/IP体系网络层唯一的一个协议 D. 由于IP协议的PDU称为分组,所以IP网络也称为分组网络 3-2 下面关于ARP工作原理的描述,不正确的是(C ) A. 是通过IP地址查询对应的MAC地址 B. ARP缓存中的数据是动态更新的 C. ARP请求报文可以跨网段传输 D. ARPA是通过AMC查询对应的IP地址 3-3 ARP欺骗的实质是(A ) A. 提供虚拟的MAC与IP地址的组合 B. 让其他计算机知道自己的存在 C. 窃取用户在网络中传输的数据 D. 扰乱网络的正常运行 3-4 在Windows操作系统中,对网关IP和MAC地址进行绑定的操作为(C ) A. ARP –a 192.168.0.1 00-0a-03-aa-5d-ff B. ARP –d 192.168.0.1 00-0a-03-aa-5d-ff C. ARP –s 192.168.0.1 00-0a-03-aa-5d-ff D. ARP –g 192.168.0.1 00-0a-03-aa-5d-ff 3-5 无法提供DHCP服务的设备可能是( C ) A. 无线路由器 B. 交换机 C. 集线器 D. 运行Windows 2008操作系统的计算机 3-6 DHCP Snooping的功能是(B ) A. 防止ARP欺骗 B. 防止DHCP欺骗 C. 进行端口与MAC地址的绑定 D. 提供基于端口的用户认证 3-7 TCP SYN泛洪攻击的原理是利用了(A ) A. TCP三次握手过程 B. TCP面向流的工作机制 C. TCP数据传输中的窗口技术 D. TCP连接终止时的FIN报文 3-8 在Windows操作系统中,如果要显示当前TCP和UDP的详细通信情况,可以运行( D ) A. ARP –a B. ipconfig/all C. netstat –nab D. ne -ab 3-9 DNS的功能是( B ) A. 建立应用进程与端口之间的对应关系 B. 建立IP地址与域名之间的对应关系