《實(shí)訓(xùn)三-用WireShark分析IP、TCP、FTP.doc》由會(huì)員分享，可在線閱讀，更多相關(guān)《實(shí)訓(xùn)三-用WireShark分析IP、TCP、FTP.doc（5頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、計(jì)算機(jī)學(xué)院網(wǎng)絡(luò)工程2013（3）班實(shí)訓(xùn)三 用WireShark分析IP、TCP、FTP包一、實(shí)訓(xùn)目的1. 用 Wireshark 捕獲和分析 FTP 通信數(shù)據(jù)。2. 了解主動(dòng)模式與被動(dòng)模式FTP的工作過(guò)程。二、實(shí)訓(xùn)設(shè)備1. 接入Internet的計(jì)算機(jī)主機(jī)；2. FTP server；3. 抓包工具WireShark。三、實(shí)訓(xùn)內(nèi)容用 Wireshark 捕獲和分析 FTP通信。 使用 Web 瀏覽器和命令行 FTP 工具從 FTP 服務(wù)器下載數(shù)據(jù)。（一）捕獲用命令行FTP客戶端訪問(wèn)FTP服務(wù)器的數(shù)據(jù)包1啟動(dòng) Wireshark，選擇本地物理網(wǎng)絡(luò)接口，開始捕獲。2單擊開始 運(yùn)行，然后鍵入 CMD

2、 并單擊確定。3使用 Windows FTP 客戶端實(shí)用程序啟動(dòng)主機(jī)計(jì)算機(jī)與 FTP 服務(wù)器的 FTP 會(huì)話，命令如下：ftp 10.21.9.107 。要進(jìn)行身份驗(yàn)證，請(qǐng)使用 anonymous 為用戶 ID。在響應(yīng)口令提示時(shí)，按 。4FTP 客戶端提示為 ftp。這表示 FTP 客戶端正在等待命令發(fā)送到 FTP 服務(wù)器。要查看 FTP 客戶端命令的列表，請(qǐng)鍵入 help ：5進(jìn)入某個(gè)目錄，下載一個(gè)文件，然后退出。步驟如下：ftp cd 目錄名ftp get 文件名 d:文件名ftpquit 6停止 Wireshark 捕獲，并將捕獲保存為 FTP_CMD_Client（二）捕獲用瀏覽器訪問(wèn)

3、FTP服務(wù)器的數(shù)據(jù)包1. 再次開始 Wireshark 捕獲。2. 打開 Web 瀏覽器，然后鍵入ftp:/10.21.9.1073. 打開目錄，雙擊一個(gè)文件并保存文件。 4. 完成后，關(guān)閉 Web 瀏覽器。5. 停止 Wireshark 捕獲，并將捕獲保存為 FTP_Web_Browser_Client（三）分析捕獲的數(shù)據(jù)包1 . 打開 Wireshark 捕獲 的FTP_CMD_Client問(wèn)題解答本機(jī)IP地址10.21.9.71FTP服務(wù)器IP地址10.21.9.107FTP會(huì)話的啟動(dòng)方服務(wù)器FTP數(shù)據(jù)連接的啟動(dòng)方客戶端FTP控制連接的源和目的端口21和15678FTP數(shù)據(jù)連接的源和目的

4、端口2781和15679FTP數(shù)據(jù)響應(yīng)的220表示什么ftp服務(wù)器響應(yīng)220表示服務(wù)就緒分析FTP會(huì)話建立的TCP連接包字段名稱報(bào)文段1（第一次握手）報(bào)文段2（第二次握手）報(bào)文段3（第三次握手）源端口156782115678目的端口211567821序號(hào)001確認(rèn)號(hào)No11SYN110ACK011該連接何時(shí)釋放？客戶端發(fā)出quit指令后服務(wù)器發(fā)出221，然后四次握手?jǐn)嚅_連接。字段名稱報(bào)文段1（第一次握手）報(bào)文段2（第二次握手）報(bào)文段3（第三次握手）報(bào)文段3（第四次握手）源端口21156781567821目的端口15678212115678序號(hào)3887979389確認(rèn)號(hào)7938938980FIN

5、1010ACK1111分析FTP數(shù)據(jù)連接建立的TCP連接包字段名稱報(bào)文段1（第一次握手）報(bào)文段2（第二次握手）報(bào)文段3（第三次握手）源端口2781278115679目的端口15679156792781序號(hào)181確認(rèn)號(hào)119SYN000ACK111該連接何時(shí)釋放？transfer complete ，傳輸結(jié)束時(shí)。2. 打開 Wireshark 捕獲 的FTP_Web_Browser_Client問(wèn)題解答本機(jī)IP地址10.21.9.71FTP服務(wù)器IP地址10.21.9.107FTP會(huì)話的啟動(dòng)方服務(wù)器FTP數(shù)據(jù)連接的啟動(dòng)方客戶端FTP控制連接的源和目的端口21和1229FTP數(shù)據(jù)連接的源和目的端口

6、1242和2468FTP數(shù)據(jù)響應(yīng)的220表示什么表示服務(wù)器ftp服務(wù)就緒FTP數(shù)據(jù)傳輸是明文傳輸?shù)膯?？是?wèn)題： Web 瀏覽器和命令行 FTP 工具從 FTP 服務(wù)器下載數(shù)據(jù)分別使用什么傳輸模式FTP（主動(dòng)or被動(dòng)）?答： web瀏覽器的ftp工具使用被動(dòng)模式，命令行ftp工具使用主動(dòng)模式【思考題】分析并了解主動(dòng)式FTP和被動(dòng)式FTP的差異，以及它們各自在實(shí)際情況中的應(yīng)用。主動(dòng)模式PORT：工作方式是：client選擇一個(gè)非特權(quán)端口N（N1024，小于1024的端口都是系統(tǒng)的保留端口）連接到FTP server的21端口。然后client就監(jiān)聽自己的數(shù)據(jù)端口N+1，并發(fā)送PORT命令“PORT

7、 N+1”到FTP server。接著FTP server會(huì)從自己的20數(shù)據(jù)端口主動(dòng)連接到client的N+1數(shù)據(jù)端口。被動(dòng)模式PASV：為了解決服務(wù)器發(fā)起到客戶端的連接的問(wèn)題，人們開發(fā)了一種不同的FTP連接方式。這就是所謂的被動(dòng)方式，或者叫做PASV，當(dāng)客戶端通知服務(wù)器它處于被動(dòng)模式時(shí)才啟用。在被動(dòng)方式FTP中，命令連接和數(shù)據(jù)連接都由客戶端發(fā)起，此時(shí)服務(wù)器是被動(dòng)接受或拒絕的。工作方式是：client打開兩個(gè)非特權(quán)端口N和N+1（N 1024），其中N端口連接FTP server的21端口，但與主動(dòng)模式PORT不同，client不會(huì)提交PORT命令并允許FTP server來(lái)回連它的數(shù)據(jù)端口，

8、而是提交 PASV命令。這樣做的結(jié)果是FTP server會(huì)開啟一個(gè)的非特權(quán)端口M（M 1024），并發(fā)送PORT M命令給client。然后client從本地?cái)?shù)據(jù)端口N+1到server的數(shù)據(jù)端口M的連接用來(lái)傳送數(shù)據(jù)。主動(dòng)模式的主要問(wèn)題來(lái)自客戶端。因?yàn)榭蛻舳瞬](méi)有實(shí)際建立一個(gè)到服務(wù)器數(shù)據(jù)端口的連接，它只是告訴服務(wù)器自己監(jiān)聽的數(shù)據(jù)端口，服務(wù)器再回來(lái)連接客戶端這個(gè)指定的數(shù)據(jù)端口，而這個(gè)數(shù)據(jù)端口很有可能被客戶端的防火墻阻塞掉了，從而造成ftp無(wú)法正常傳送數(shù)據(jù)。被動(dòng)模式的主要問(wèn)題產(chǎn)生于服務(wù)器端。因?yàn)榭蛻舳艘c服務(wù)器建立兩個(gè)連接，其中的數(shù)據(jù)連接要連接到服務(wù)器的高位隨機(jī)端口，而這個(gè)端口很有可能被服務(wù)器端

9、的防火墻阻塞掉了。被動(dòng)模式解決了客戶端的許多問(wèn)題，但卻給服務(wù)器帶來(lái)了很大的危險(xiǎn)性，因?yàn)槿魏慰蛻舳硕伎梢赃B接到服務(wù)器的高位端口。一般說(shuō)來(lái)，如果考慮FTP服務(wù)器的安全性，還是使用主動(dòng)模式PORT好些。如果FTP服務(wù)器需要支持最多的客戶連接，那么必須支持被動(dòng)模式PASV。這時(shí)為了提高FTP server的安全，減少攻擊危險(xiǎn)，可以通過(guò)為FTP server指定有限的端口范圍來(lái)減小服務(wù)器高位端口的暴露。這樣，不在這個(gè)范圍的任何高位端口會(huì)被服務(wù)器的防火墻阻塞分析FTP數(shù)據(jù)在傳輸時(shí)是否安全？ftp采用明文傳輸，不安全。參考：1. 關(guān)于FTP協(xié)議FTP 的主要功能如下： 提供文件的共享（計(jì)算機(jī)程序 / 數(shù)據(jù)）

10、； 支持間接使用遠(yuǎn)程計(jì)算機(jī)； 使用戶不因各類主機(jī)文件存儲(chǔ)器系統(tǒng)的差異而受影響； 可靠且有效的傳輸數(shù)據(jù)。 FTP服務(wù)器可以直接被終端用戶使用，也可以使用FTP客戶端程序訪問(wèn)。大多數(shù) FTP 控制幀是簡(jiǎn)單的 ASCII 文本，可以分為 FTP 命令或 FTP 消息。 FTP命令可在FTP命令模式下用“？”或“help”進(jìn)行學(xué)習(xí)，F(xiàn)TP消息是對(duì) FTP 命令的響應(yīng)，它由帶有解釋文本的應(yīng)答代碼構(gòu)成。從信息安全的角度來(lái)看，了解兩種模式之間的差異非常重要，因?yàn)閭鬏斈Ｊ酱_定了數(shù)據(jù)端口的配置方式。 在主動(dòng)傳輸模式中，客戶端在公認(rèn)的 TCP 端口 21 上啟動(dòng)與服務(wù)器的 FTP 會(huì)話。在數(shù)據(jù)傳輸時(shí)，服務(wù)器啟動(dòng)從公認(rèn) TCP 端口 20 到客戶端的高位端口（1023 以上的端口號(hào)）的連接。在被動(dòng)傳輸模式中，客戶端在公認(rèn)的 TCP 端口 21 上啟動(dòng)與服務(wù)器的 FTP 會(huì)話，使用的連接與主動(dòng)傳輸模式中相同。但在數(shù)據(jù)傳輸時(shí)，有兩個(gè)重要變化：第一，客戶端啟動(dòng)到服務(wù)器的數(shù)據(jù)連接；第二，連接的兩端都使用高位端口。IP報(bào)文格式TCP報(bào)文格式5