《實訓三-用WireShark分析IP、TCP、FTP.doc》由會員分享，可在線閱讀，更多相關《實訓三-用WireShark分析IP、TCP、FTP.doc（5頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、計算機學院網(wǎng)絡工程2013（3）班實訓三 用WireShark分析IP、TCP、FTP包一、實訓目的1. 用 Wireshark 捕獲和分析 FTP 通信數(shù)據(jù)。2. 了解主動模式與被動模式FTP的工作過程。二、實訓設備1. 接入Internet的計算機主機；2. FTP server；3. 抓包工具WireShark。三、實訓內容用 Wireshark 捕獲和分析 FTP通信。 使用 Web 瀏覽器和命令行 FTP 工具從 FTP 服務器下載數(shù)據(jù)。（一）捕獲用命令行FTP客戶端訪問FTP服務器的數(shù)據(jù)包1啟動 Wireshark，選擇本地物理網(wǎng)絡接口，開始捕獲。2單擊開始 運行，然后鍵入 CMD

2、 并單擊確定。3使用 Windows FTP 客戶端實用程序啟動主機計算機與 FTP 服務器的 FTP 會話，命令如下：ftp 10.21.9.107 。要進行身份驗證，請使用 anonymous 為用戶 ID。在響應口令提示時，按 。4FTP 客戶端提示為 ftp。這表示 FTP 客戶端正在等待命令發(fā)送到 FTP 服務器。要查看 FTP 客戶端命令的列表，請鍵入 help ：5進入某個目錄，下載一個文件，然后退出。步驟如下：ftp cd 目錄名ftp get 文件名 d:文件名ftpquit 6停止 Wireshark 捕獲，并將捕獲保存為 FTP_CMD_Client（二）捕獲用瀏覽器訪問

3、FTP服務器的數(shù)據(jù)包1. 再次開始 Wireshark 捕獲。2. 打開 Web 瀏覽器，然后鍵入ftp:/10.21.9.1073. 打開目錄，雙擊一個文件并保存文件。 4. 完成后，關閉 Web 瀏覽器。5. 停止 Wireshark 捕獲，并將捕獲保存為 FTP_Web_Browser_Client（三）分析捕獲的數(shù)據(jù)包1 . 打開 Wireshark 捕獲 的FTP_CMD_Client問題解答本機IP地址10.21.9.71FTP服務器IP地址10.21.9.107FTP會話的啟動方服務器FTP數(shù)據(jù)連接的啟動方客戶端FTP控制連接的源和目的端口21和15678FTP數(shù)據(jù)連接的源和目的

4、端口2781和15679FTP數(shù)據(jù)響應的220表示什么ftp服務器響應220表示服務就緒分析FTP會話建立的TCP連接包字段名稱報文段1（第一次握手）報文段2（第二次握手）報文段3（第三次握手）源端口156782115678目的端口211567821序號001確認號No11SYN110ACK011該連接何時釋放？客戶端發(fā)出quit指令后服務器發(fā)出221，然后四次握手斷開連接。字段名稱報文段1（第一次握手）報文段2（第二次握手）報文段3（第三次握手）報文段3（第四次握手）源端口21156781567821目的端口15678212115678序號3887979389確認號7938938980FIN

5、1010ACK1111分析FTP數(shù)據(jù)連接建立的TCP連接包字段名稱報文段1（第一次握手）報文段2（第二次握手）報文段3（第三次握手）源端口2781278115679目的端口15679156792781序號181確認號119SYN000ACK111該連接何時釋放？transfer complete ，傳輸結束時。2. 打開 Wireshark 捕獲 的FTP_Web_Browser_Client問題解答本機IP地址10.21.9.71FTP服務器IP地址10.21.9.107FTP會話的啟動方服務器FTP數(shù)據(jù)連接的啟動方客戶端FTP控制連接的源和目的端口21和1229FTP數(shù)據(jù)連接的源和目的端口

6、1242和2468FTP數(shù)據(jù)響應的220表示什么表示服務器ftp服務就緒FTP數(shù)據(jù)傳輸是明文傳輸?shù)膯幔渴菃栴}： Web 瀏覽器和命令行 FTP 工具從 FTP 服務器下載數(shù)據(jù)分別使用什么傳輸模式FTP（主動or被動）?答： web瀏覽器的ftp工具使用被動模式，命令行ftp工具使用主動模式【思考題】分析并了解主動式FTP和被動式FTP的差異，以及它們各自在實際情況中的應用。主動模式PORT：工作方式是：client選擇一個非特權端口N（N1024，小于1024的端口都是系統(tǒng)的保留端口）連接到FTP server的21端口。然后client就監(jiān)聽自己的數(shù)據(jù)端口N+1，并發(fā)送PORT命令“PORT

7、 N+1”到FTP server。接著FTP server會從自己的20數(shù)據(jù)端口主動連接到client的N+1數(shù)據(jù)端口。被動模式PASV：為了解決服務器發(fā)起到客戶端的連接的問題，人們開發(fā)了一種不同的FTP連接方式。這就是所謂的被動方式，或者叫做PASV，當客戶端通知服務器它處于被動模式時才啟用。在被動方式FTP中，命令連接和數(shù)據(jù)連接都由客戶端發(fā)起，此時服務器是被動接受或拒絕的。工作方式是：client打開兩個非特權端口N和N+1（N 1024），其中N端口連接FTP server的21端口，但與主動模式PORT不同，client不會提交PORT命令并允許FTP server來回連它的數(shù)據(jù)端口，

8、而是提交 PASV命令。這樣做的結果是FTP server會開啟一個的非特權端口M（M 1024），并發(fā)送PORT M命令給client。然后client從本地數(shù)據(jù)端口N+1到server的數(shù)據(jù)端口M的連接用來傳送數(shù)據(jù)。主動模式的主要問題來自客戶端。因為客戶端并沒有實際建立一個到服務器數(shù)據(jù)端口的連接，它只是告訴服務器自己監(jiān)聽的數(shù)據(jù)端口，服務器再回來連接客戶端這個指定的數(shù)據(jù)端口，而這個數(shù)據(jù)端口很有可能被客戶端的防火墻阻塞掉了，從而造成ftp無法正常傳送數(shù)據(jù)。被動模式的主要問題產(chǎn)生于服務器端。因為客戶端要與服務器建立兩個連接，其中的數(shù)據(jù)連接要連接到服務器的高位隨機端口，而這個端口很有可能被服務器端

9、的防火墻阻塞掉了。被動模式解決了客戶端的許多問題，但卻給服務器帶來了很大的危險性，因為任何客戶端都可以連接到服務器的高位端口。一般說來，如果考慮FTP服務器的安全性，還是使用主動模式PORT好些。如果FTP服務器需要支持最多的客戶連接，那么必須支持被動模式PASV。這時為了提高FTP server的安全，減少攻擊危險，可以通過為FTP server指定有限的端口范圍來減小服務器高位端口的暴露。這樣，不在這個范圍的任何高位端口會被服務器的防火墻阻塞分析FTP數(shù)據(jù)在傳輸時是否安全？ftp采用明文傳輸，不安全。參考：1. 關于FTP協(xié)議FTP 的主要功能如下： 提供文件的共享（計算機程序 / 數(shù)據(jù)）

10、； 支持間接使用遠程計算機； 使用戶不因各類主機文件存儲器系統(tǒng)的差異而受影響； 可靠且有效的傳輸數(shù)據(jù)。 FTP服務器可以直接被終端用戶使用，也可以使用FTP客戶端程序訪問。大多數(shù) FTP 控制幀是簡單的 ASCII 文本，可以分為 FTP 命令或 FTP 消息。 FTP命令可在FTP命令模式下用“？”或“help”進行學習，F(xiàn)TP消息是對 FTP 命令的響應，它由帶有解釋文本的應答代碼構成。從信息安全的角度來看，了解兩種模式之間的差異非常重要，因為傳輸模式確定了數(shù)據(jù)端口的配置方式。 在主動傳輸模式中，客戶端在公認的 TCP 端口 21 上啟動與服務器的 FTP 會話。在數(shù)據(jù)傳輸時，服務器啟動從公認 TCP 端口 20 到客戶端的高位端口（1023 以上的端口號）的連接。在被動傳輸模式中，客戶端在公認的 TCP 端口 21 上啟動與服務器的 FTP 會話，使用的連接與主動傳輸模式中相同。但在數(shù)據(jù)傳輸時，有兩個重要變化：第一，客戶端啟動到服務器的數(shù)據(jù)連接；第二，連接的兩端都使用高位端口。IP報文格式TCP報文格式5