1、 太原理工大學學生實驗報告學院名稱計算機技術與應用學院專業班級計算機雙學位0901學號07101237學生姓名張炫實驗日期2010/12/4成績課程名稱網絡安全技術與應用實驗題目實驗三 網絡入侵跟蹤與分析一、Ethereal網絡協議分析軟件1. 簡介Ethereal是開放源碼的網絡分組捕獲與協議分析軟件，具有網絡分組捕獲及分組細節顯示功能。Ethereal不僅可協助網絡管理員、安全工程師、軟件開發人員解決各自所關心的網絡管理、安全威脅和協議調試等問題，也是深入學習網絡協議的優秀工具。可以從網站 User's Guide，Ethereal-0.10.14版本支持725種網絡協議。2. 主

2、界面Ethereal主界面采用分組跟蹤列表框、協議層次框和原始分組框的形式，顯示捕獲分組的詳細協議信息。分組跟蹤列表框按照分組捕獲的先后時間順序顯示分組跟蹤記錄號、捕獲時間、源IP地址、目標IP地址、協議等信息。選中分組跟蹤列表框中的一個分組后，協議層次框按照TCP/IP協議層次結構顯示指定分組的物理層、數據鏈路層、網絡層、傳輸層和應用層協議的詳細信息；原始分組框分別以十六進制和ASCII碼形式顯示指定分組的字節數據。3. 捕獲菜單簡要說明（Capture）啟動Ethereal，用Capture Options菜單命令設定分組捕獲參數。（1）捕獲框Capture frame（a）Interfa

3、ces： 在下拉菜單中選擇捕獲分組的網絡接口；（b）IP address：顯示設定網絡接口的IP地址；（c）Link-layer header type：在下拉菜單中選擇解析鏈路層首部類型的標準，除非有特殊要求，保持默認值Ethernet即可；（d）Buffer size：輸入捕獲分組時使用的操作系統緩沖區大小，Buffer size 只適用于Windows操作系統平臺；（e）Capture packets in promiscuous mode：混雜模式可以捕獲共享網絡上的所有分組；（f）Limit each packet to n bytes：將分組限制在n字節之內，如果不打算捕獲分組封裝

4、的數據，輸入分組首部字節數；（g）Capture Filter：分組捕獲過濾器，指定分組捕獲過濾規則，Ethereal只捕獲滿足過濾規則的分組。單擊Capture Filter按鈕，Ethereal將彈出捕獲規則對話框，方便用戶選擇或生成分組捕獲過濾規則。（2）捕獲文件框Capture File(s) frame（a）Capture Files：指定保存分組文件的名稱與路徑，單擊Browse按鈕可以選擇保存分組文件的路徑；（b）Use multiple files：將捕獲分組保存到多個文件；（c）Next file every：達到規定的byte(s)/kilobyte(s)/megabyte

5、(s)/gigabyte(s)后，切換到下一個文件，僅在Use multiple files下有效；（d）Next file every：達到規定的second(s)/minutes(s)/hours(s)/days(s)后，切換到下一個文件，僅在Use multiple files下有效；（e）Ring buffer with：使用環型緩沖，將分組捕獲到多個文件；僅在Use multiple files下有效；（f）Stop capture after：達到規定的n個文件之后停止捕獲，僅在Use multiple files下有效；（g）Stop capture after：n個文件之后停止

6、捕獲，僅在Use multiple files下有效；（3）停止捕獲框Stop Capture frame（a）after n packet(s)：達到指定的分組數目后，停止捕獲；（b）after n megabytes(s)：達到指定byte(s)/kilobyte(s)/megabyte(s)/gigabyte(s)容量后，停止捕獲；（c）after n minute(s)：達到規定的second(s)/minutes(s)/hours(s)/days(s)時間后，停止捕獲；（4）顯示選擇框Display Options frame（a）Update list of packets in

7、real time：實時更新顯示分組列表，否則，在停止捕獲以前，Ethereal不顯示任何分組；（b）Automatic scrolling in live capture：自動滾動顯示新捕獲的分組；（c）Hide capture info dialog：隱藏捕獲信息對話框；（5）名稱解析對話框Name Resolution frame（a）Enable MAC name resolution：解析MAC地址廠商名稱；（b）Enable network name resolution：解析網絡地址的域名或主機名稱；（c）Enable transport name resolution：將應用協

8、議翻譯成端口號；（6）啟動分組捕獲如果對捕獲選項（Capture Options）對話框中的捕獲參數設定不熟悉，在多數情況下可以使用Ethereal的默認值。單擊OK按鈕啟動分組捕獲，單擊Cancel 按鈕取消分組捕獲。4. 統計菜單簡要說明（Statistics）（1）匯總統計Summary匯總統計窗口顯示有關文件（File）、時間（Time）、捕獲（Capture）、流量（Traffic）方面的一般統計信息。（a）File：捕獲文件的一般信息；（b）Time：捕獲第一個分組、最后一個分組以及兩者之間的時間；（c）Capture：捕獲分組時的接口、丟失分組和捕獲過濾器信息，僅在網絡捕獲分組時

9、有效；（d）Traffic：網絡流量統計信息；（2）協議層次統計Protocol Hierarchy協議層次統計窗口以樹狀結構顯示有關協議名稱（Protocol）、協議分組百分比（% Packets）、協議分組數（Packets）、字節數（Bytes）、帶寬（MBit/s）等方面的統計信息。（3）會話統計Conversations網絡會話泛指兩個特定端點（MAC address、IP address、TCP ports、UDP ports）之間的流量，例如，IP會話就是兩個IP地址之間的網絡流量。會話統計窗口以協議選項卡方式顯示網絡會話統計信息。（4）端點統計Endpoints端點統計窗口以協

10、議選項卡方式顯示捕獲端點的統計信息。例如，Ethernet:5表示捕獲了5個MAC 地址端點。（5）IO圖示統計IO GraphsIO圖示統計窗口按照用戶定義的色彩顯示捕獲分組的統計信息。二、實驗內容1. ethereal-setup-0.10.14.exe軟件安裝注意事項：ethereal-setup-0.10.14.exe將自動安裝WinPcap分組捕獲庫，不必事先安裝WinPcap 分組捕獲庫。2. 沖擊波蠕蟲病毒攻擊分析（1）沖擊波蠕蟲病毒攻擊原理沖擊波蠕蟲病毒W32.Blaster.Worm利用Windows 2000/XP/2003等操作系統中分布式組件對象模型DCOM（Distr

11、ibuted Component Object Model）和遠程過程調用 (RPC（Remote Procedure Call）通信協議漏洞進行攻擊，感染沖擊波蠕蟲病毒的計算機隨機生成多個目標IP地址掃描TCP/135（epmap）、UDP/135（epmap）、TCP/139、UDP/139、TCP/445、UDP/445、TCP/593、UDP/593端口尋找存在DCOM RPC漏洞的系統。感染沖擊波蠕蟲病毒的計算機具有系統無故重啟、網絡速度變慢、Office軟件異常等癥狀，有時還對Windows自動升級（）進行拒絕服務攻擊，防止感染主機獲得DCOM RPC漏洞補丁。根據沖擊波蠕蟲病毒攻

12、擊原理可知，計算機感染沖擊波蠕蟲病毒需要具備三個基本條件。一是存在隨機生成IP地址的主機；二是Windows 2000/XP/2003操作系統開放了RPC調用的端口服務；三是操作系統存在沖擊波蠕蟲病毒可以利用的DCOM RPC漏洞。（2）沖擊波蠕蟲病毒攻擊過程分析用Ethereal打開沖擊波蠕蟲病毒捕獲文件Win2000-blaster.cap，通過協議分析回答下列問題（僅限于所捕獲的沖擊波蠕蟲病毒）：（a）感染主機每次隨機生成多少個目標IP地址？答：每次生成20個（b）掃描多個端口還是一個端口？如果掃描一個端口，是那一個RPC調用端口？（c）分別計算第二組與第一組掃描、第三組與第二組掃描之間的間隔時間，掃描間隔時間有規律嗎？（d）共發送了多少個試探攻擊分組？（提示：端點統計或規則tcp.flags.syn=1顯示SYN=1的分組）（e）有試探攻