电子科技大学计算机科学与工程学院标准实验报告（实验）课程名称计算机系统与网络安全技术电子科技大学教务处制表---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---电孑斛挂尢学---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---学生姓名:学号:指导教师:---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---实验地点:一、实验室名称：信息安全实验室二、实验项目名称：网络嗅探与欺骗实验三、实验学时：4四、实验原理：网络嗅探器(NetworkSniffer)是一种黑客工具，用于窃听流经网络接口的信息，从而获取用户会话信息：如商业秘密、认证信息(用户名、口令等)。一般的计算机系统通常只接受目的地址指向自己的网络包。其他的包被忽略。但在很多情况下，一台计算机的网络接口可能收到目的地址并非指向自身的网络包。在完全的广播子网中，所有涉及局域网中任何一台主机的网络通信内容均可被局域网中所有的主机接收到，这就使得网络窃听变得十分容易。目前得网络嗅探器大部分使基于以太网得，其原因在于以太网广泛地应用于局域网。一般来说，网络嗅探器的工作流程如下：①打开文件描述字。打开网络接口、专用设备或网络套接字，得到一个文件描述字，以后所有的控制和读、写都针对该文件描述字。②设置杂模式。把以太网网络接口设置成杂模式，使之截获搜所有流经网络介质的信息包。③设置缓冲区。取样时间、抓取长度等。缓冲区用来存放从内核缓冲区拷贝过来的网络包，设置它的大小。取样时间的意思是：如果取样时间为零，那么一有数据，系统就会立刻向用户进程发送“就绪”同志，并由用户把数据虫内核缓冲区拷贝到用户缓冲区。这样可能造成过于频繁的通知和拷贝，增加系统处理能力的附加负担(Overhead),降低效率。如果适当地设置取样时间，在系统等待发送“就绪”通知期间，就可能有新的数据到来，这样多个网络包只需一次通知和一次拷贝，减少了系统处理能力的消耗。抓取长度定义从内核拷贝空间到用户空间的最大网络包长，超过该长度的包被截短，器目的额在宇提高处理效率。---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---实验时间:④设置过滤器：过滤器使内核只摄取那些攻击者感兴趣得网络包，而不是所有流经网络介质得网络包，可以减少不必要得拷贝和处理。⑤读取包：从文件描述字中读取数据，一般来说，就是数据链路层的帧，亦即以太网帧，⑥过滤、分析、解释、输出：如果内核没有提供过滤功能，只能把所有的网络包从内核空间拷贝到用户空间，然后有用户进程分析和过滤，主要是分析以太包头和TCP/IP包头中的信息，如据长度、源IP、Fl的IP、协议类型(TCP,UDP,ICMP)、源端口、目的断口等，选择初用户感兴趣的网络数据包，然后对应用层协议级的数据解释，把原是数据转化成用户课理解的方式输岀。五、实验目的：(1)了解网络嗅探与欺骗的原理；(2)掌握基本网络嗅探与欺骗工具的使用方法；六、实验内容：(1)安装并使用网络嗅探工具Iris；(2)使用Iris对局域网的特定主机进行网络嗅探；(3)使用his对局域网的特定主机进行ARP欺骗；七、实验器材(设备、元器件)：1、QuidwayAR28-31路由器一台。2、PC个人计算机三台，分别安装Windows2Kpro操作系统。3、Console口配置电缆三根。4、RJ45直通网线三根。5、网络嗅探工具Iris。八、实验步骤：1、在个人PC上安装安全网络嗅探工具Iris；2、运行Tris,配置过滤设置为ARP、ICMP、TCP、UDP；3、启动嗅探功能；4、分析捕获到的ARP、1CMI\TCI\UPD数据报的格式与内容;---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---5、使用his向局域网内特定PC发送虚假的ARP响应报文，实现ARP欺骗；九、实验数据及结果分析：1、通过iris可以获取网络上传输的ARP、ICMP、TCP、UDP等协议的数据报文;2、iris中各类协议报文的格式与RFC文档的格式兀配；3、iris中存在有本机发出/接受的数据报文，也包含其他主机通信的数据报文；4、通过iris向被攻击主机发送虚假的IP/MAC映射数据报文，将导致被攻击主机与其他主机的正常通信；十、实验结论：1、...