在漏洞选项中可以看到扫描主机的用户名和口令 admin/123。
缓冲区溢出:
16
任务四 sniffer网络监视工具的使用
实训目的
1.掌握网络监视工具Sniffer Pro的基本使用方法 2.了解协议分析在网络安全中的重要性
实训内容
1.使用sniffer进行网络监视 2.使用sniffer捕获报文 3.分析捕获的数据包
实训要求:
? 硬件环境:机房基本设备,且各机器均能互联。(最好是通过集线器连接的多台PC) ? 软件环境:Windows 2000、sniffer pro 4.7.5
实训原理
Sniffer是一种常用的收集有用数据方法。运行Sniffer 程序的主机和被监听的主机必须在同一个以太网段上,故而在外部主机上运行sniffer是没有效果的。再者,必须以root的身份使用sniffer 程序,才能够监听到以太网段上的数据流。 1. sniffer的工作原理
通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力,而每个网络接口都有一个硬件地址,该硬件地址不同于网络中存在的其他网络接口的硬件地址,同时,每个网络至少还要一个广播地址。(代表所有的接口地址),在正常情况下,一个合法的网络接口应该只响应这样的两种数据帧:
17
(1)帧的目标区域具有和本地网络接口相匹配的硬件地址。 (2)帧的目标区域具有\广播地址\。
在接受到上面两种情况的数据包时,网络接口通过cpu产生一个硬件中断,该中断能引起操作系统注意,然后将帧中所包含的数据传送给系统进一步处理。
而sniffer就是一种能将本地网络接口状态设成(promiscuous)状态的软件,当网络接口处于这种\混杂\方式时,该网络接口具备\广播地址\,它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。
可见,sniffer工作在网络环境中的底层,它会拦截所有的正在网络上传送的数据,并且通过相应的软件处理,可以实时分析这些数据的内容,进而分析所处的网络状态和整体布局。 2. Sniffer的分类
Sniffer分为软件和硬件两种,软件的Sniffer有 Sniffer Pro、Network Monitor、PacketBone等,其优点是易于安装部署,易于学习使用,同时也易于交流;缺点是无法抓取网络上所有的传输,某些情况下也就无法真正了解网络的故障和运行情况。硬件的Sniffer通常称为协议分析仪,一般都是商业性的,价格也比较昂贵,但会具备支持各类扩展的链路捕获能力以及高性能的数据实时捕获分析的功能。 3.以太网帧
所有的数据信息都以帧的形式在物理介质中传输,并且物理介质在源和目标间传输数据所需的信息也是在帧中指定的。
源地址 目标地 数据 类型 CRC
图 24 以太网帧格式
图 25 Sniffer捕获到的帧格式
4.ARP协议
TCP/IP参考模型规定:数据在网络层传输时使用IP地址,在物理网络中仍使用物理地址进行主机的识别。这样网络中就同时存在两套地址,两套地址之间必须建立映射关系。因此引入了ARP协议。
ARP :IP地址到物理地址的影射
18
图 26 ARP工作示意图
图 27 ARP协议报文结构
图 28 Sniffer捕获到的ARP报文格式
5.ICMP协议
用来报告传输数据时出现的错误。它向数据传输过程中使用的传输层协议报告错误,但该协议仅能用于故障隔离而不能用于错误纠正。
ICMP报文不能直接发给网络接口层进行传输,它们必须封装在IP数据报中,然后传给下一层。
ICMP报文格式包括:错误报文和查询报文 ? 错误报文:用来报告网络中存在的问题。 ? 查询报文:用来排除故障。
19
图 29 ICMP报文格式
其中:
? 类型:标识生成的数据报文
? 代码:进一步限定生成的数据报文。该字段用来查找产生错误的原因
? 检验和:存储了ICMP所使用的校验和值。使用与IP相同的算法计算校验和如图4所示,列出了所有ICMP报文类型、代码字段的组合。
图 30 ICMP报文类型、代码字段描述
20
网络安全实训题目 - 图文
