实验答案

来源:本站 作者:张志龙 更新时间:2008-5-14 阅读次数:4171

说明：如何观看本文中的清晰的插图？可将鼠标光标放在浏览器显示的插图上，点击右键，选择“图片另存为”一个图片文件放在桌面上。然后鼠标左键双击此图片文件，可自动启用多种显示工具显示出该插图的清晰图像，以便进行数据分析判读。

在一台网络计算机上安装网络协议分析软件Wireshark（即Ethereal），按照教材第7.2节的方法，捕获自己的计算机通过互联网发送电子邮件的全部数据。将捕获数据文件保存，并利用各种过滤器和统计分析工具，从捕获数据中得出以下答案：

1．自己的网络计算机的MAC地址是 00：0C：6E：7C：6B：DB

2．本地网络出口网关的MAC地址是（参看教材21页例） 00：0e：83：09：3e：80

（因为邮件服务器与自己的网络计算机并不在同一个局域网内，因此，发送的电子邮件以太网数据帧的目的MAC地址不是邮件服务器的，而是局域网出口网关的MAC地址。）

图1

3．自己的网络计算机的IP地址是 10.0.26.17

自己注册的电子邮件服务器的IP地址是 202.108.5.16 ，与客户机是否在同一个网段？ 答：不在同一个网段。

4．与邮件服务器建立TCP连接时本地主机的端口号是 4812 （客户端采用临时端口号，用于标识本次应用进程，参看教材第25页）。邮件服务器端的TCP端口号是 80 ，这个端口号的名字是什么？是电子邮件服务器的端口号SMTP吗？

答：这个端口号的名字是HTTP,不是电子邮件服务器的端口号SMTP。

图2

5．在三次握手建立了TCP连接后，本机的HTTP进程采用 POST 方法（教材表1.7）向邮件服发送本用户的注册用户名和口令。

从此请求数据段中可否读出自己的用户名？ 可以 ，能否获得登录密码？ 能 。

6．分析你的电子邮件服务商是否采用了什么方法保护你的用户名、密码和邮件内容？

答：电子邮件服务商采用了加密的方法保护了用户名、密码和邮件内容，以防止不法用户截获邮件的密码及邮件内容。

7． 当自己成功登录邮件服务器后，利用Wireshark（Ethereal）的Analyze工具栏中的Follow TCP Stream工具（教材2页），找出自己的主机发送给服务器的Cookies内容是什么？

答：Cookie: JSESSIONID=0C7E59FF0D95680E7B00D4D4346CA6; vjlast=1210056392;

NETEASE_SSN=zhangzhilong83; NETEASE_ADV=11&22&1210056368387; MAIL163_SSN=zhangzhilong83; vjuids=a8868d97c.1187ec6b09d.0.1e925251d6e9d;

_ntes_nnid=1834406c401b5f9244334ecae2c24344,0|photo|www|help|news|stock|digi|; NTES_UFC=39100011001000100000000000000010000000000000000000045320u6300000;

theaddr=%u4E91%u5357; NTES_adMenuNum=4; _ntes_nuid=1834406c401b5f9244334ecae2c24344; DftCity=open; setDftCity=false; Province=0870; City=0870;

NTES_SESS=15pZMQJSZ9wMQzIeN5_HnPb.bN0OWYhiJgd8x0jRLCSh7E3c5793oFzkqrkXj704iDJwK5n4eTk5EQfISPix7N77bl28pT8Eg; Coremail=lZamVzhfreyxI%HBKxqMHHKwTmrQhuCkHHSTNwyQlQsiHM;

wmsvr_domain=g6a56.mail.163.com; ntes_mail_truename=......; ntes_mail_province=56778;

ntes_mail_sex=0; mail_style=js3; USERTRACK=202.203.40.2.12100558793013;

NETEASE_AUTH_USERNAME=zhangzhilong83; NTESBLOGSI=9A74DEF0C4A13C44CBADC923033904AB.app-14; logType=-1; nts_mail_user=sankong83:-1:1

图3

8．邮件服务器向本机返回的Cookie的内容是什么？（对Cookie的内容分析方法见教材第211页） 答：Cookie: JSESSIONID=0C7E59FF0D95680E7B00D4D4346CA6; vjlast=1210056392;

NETEASE_SSN=zhangzhilong83; NETEASE_ADV=11&22&1210056368387; MAIL163_SSN=zhangzhilong83; vjuids=a8868d97c.1187ec6b09d.0.1e925251d6e9d;

_ntes_nnid=1834406c401b5f9244334ecae2c24344,0|photo|www|help|news|stock|digi|; NTES_UFC=39100011001000100000000000000010000000000000000000045320u6300000;

theaddr=%u4E91%u5357; NTES_adMenuNum=4; _ntes_nuid=1834406c401b5f9244334ecae2c24344; DftCity=open; setDftCity=false; Province=0870; City=0870;

NTES_SESS=15pZMQJSZ9wMQzIeN5_HnPb.bN0OWYhiJgd8x0jRLCSh7E3c5793oFzkqrkXj704iDJwK5n4eTk5EQfISPix7N77bl28pT8Eg; Coremail=lZamVzhfreyxI%HBKxqMHHKwTmrQhuCkHHSTNwyQlQsiHM;

wmsvr_domain=g6a56.mail.163.com; ntes_mail_truename=......; ntes_mail_province=56778; ntes_mail_sex=0; mail_style=js3; USERTRACK=202.203.40.2.12100558793013;

NETEASE_AUTH_USERNAME=zhangzhilong83; NTESBLOGSI=9A74DEF0C4A13C44CBADC923033904AB.app-14; logType=-1; nts_mail_user=sankong83:-1:1

图4

9．从捕获数据中能否获取自己的电子邮件内容？ 答：可以，但邮件内容被加密。

10．结合教材第1、6、10和11章的介绍，分析自己的电子邮件面临的以下安全问题：

（1）如果受到重放攻击时如何解决身份认证的问题，（2）用户名的保护问题，（3）登 录密码的保护问题，（4）邮件信息的保密问题，（5）邮件信息的防篡改问题，（6）采 用哪些措施防止垃圾邮件泛滥？

第3章 实验报告样本【1】

来源:本站 作者:张志龙 更新时间:2008-4-27 阅读次数:4260

实验3.1 以太网数据帧结构分析

说明：如何观看本文中的清晰的插图？可将鼠标光标放在浏览器显示的插图上，点击右键，选择“图片另存为”一个图片文件放在桌面上。然后鼠标左键双击此图片文件，可自动启用多种显示工具显示出该插图的清晰图像，以便进行数据分析判读。

利用Wireshark捕获局域网中的数据帧，从局域网数据帧中找出图3.2以太网数据帧中的各字段的内容。回答以下问题：

1． 此数据帧的线路上长度是多少字节？捕获了多少字节？二者在什么情况下数值是相同的？什么情况下二者的数值不同？

答：此数据帧的线路上长度是92个字节，捕获了92个字节。在默认的捕获参数下，Wireshark将网络线路上的每个数据帧完整地捕获下来，因此线路上的帧的字节数与捕获下来的帧的字节数相等。但是在有些情况下，我们只需要了解每个帧的前端部分各相关协议头部内的信息，而不需要知道封装在后部的应用层信息，我们就可以在教材第248页图7.19中的选项“Limit each packet to [ ] bytes”。在同样的捕获时间长度后，用这种办法捕获到的数据帧数量不变，但是整个捕获保存文件就较小。

2．此数据帧中的目的MAC地址是 00：0E：83：09：3E：80 ，源MAC地址是 00:0C:6E:7C:6B:DB 。

3.如何判断此数据帧是以太网帧还是IEEE802.3数据帧？

答：根据帧结构中的“长度或类型”值是否大于0600来判断，当其数值小于0600则是IEEE802.3数据帧，当其数值大于0600则是太网帧。而本题的类型值是0800>0600，所以此帧为以太网帧。

4．此帧所携带传输的载荷数据属于什么协议？ 答：此帧所携带传输的载荷数据属于TCP协议。

5．此帧的校验和Checksum的数值是什么？它是怎么算出的？（校验和的计算方法和用途参看教材附录B）

答：此帧的校验和Checksum的数值是0x60e3。计算方法参看教材：第126页图4.21 IPv4头部校验和的计算举例。第144页图5.4 UDP校验和的计算举例。计算过程分三步： （1）将待检测的数据分割为16位长的分段，累加计算“部分和”。 （2）将计算结果中左边多出来的进位数移到最右边，再累加求“和”。 （3）取“和”的补码得到“校验和”。

6．从捕获的数据中能否找到一个以太网的广播帧？广播帧的目的MAC地址是什么？以太网广播帧中封装传输的数据可以是哪些上层协议？

答：从捕获的数据中能找到很多以太网的广播帧，此广播帧的目的MAC地址是ff:ff:ff:ff:ff:ff, 以太网广播帧经常用来传输地址解析协议ARP的广播查询请求。见教材82页图3.12（a）。

实验3.2 以太网ARP协议数据捕获与分析

在一台连接到以太网的计算机上，不要有任何上网的操作，此时通过DU meter可以看到计算机的网络接口仍然有少量数据的发送与接受，这些数据是以太网上自动运行的各种管理协议的数据。利用Wireshark捕获这些数据流，从中找出ARP的数据帧，也可利用捕获过滤器或显示过滤器。进行以下分析，并回答问题：

1． 从捕获到的ARP数据帧中读出教材82页的ARP数据包的每个字段的内容结构。从Wireshark的中部窗格中读出已经被解析翻译的数据含义，再从下部窗格中，读出ARP每个字段的十六进制数值。 2．捕获到的ARP数据包是封装在以太网帧中还是封装在IP数据包中？由此回答在TCP/IP参考模型的协议栈中，ARP协议层的下层协议是什么？ARP协议层的上层协议是什么？参看教材20页图1.14。 答：捕获到的ARP数据包是封装在以太网帧中。ARP协议层的下层协议是数据链路层协议，无上层协

议。

3．从捕获到的ARP数据包中，找出哪些是ARP的广播查询包？哪些包是ARP的应答包？ 答：在中部窗口的ARP协议旁边显示有request的是ARP的广播查询包，显示有reply的是ARP的应答包。

4．对照教材228页的ARP地址解析协议命令的操作，描述以太网计算机中本机ARP表的生成过程。 答：主机先向局域网发送一个有目的IP地址的arp request广播报文，而目的主机就会回应一个有MAC地址的arp reply的单播帧给源主机，最后源主机就将收到的应答中的mac地址保存在自己的arp缓存表里面。

5．以太网计算机在利用ARP协议自动生产ARP表的过程中，有没有防止欺骗的措施？如果教材82页图3.12中的主机B对主机A的应答是欺骗性的，主机A有什么方法进行判断吗？

答：没有防止欺骗的措施。主机A无法判断主机B的应答是否是欺骗性的，因为主机A并不对发回ARP响应的主机B进行身份认证，而这正是ARP协议的漏洞。

6．叙述ARP协议的作用。以太网中如果没有ARP协议，它能否传输IP数据包？

答：ARP协议的作用是确定对应IP地址的网卡物理地址，以便传输数据包，如果没有ARP协议就不能传输IP数据包。

第4章 实验报告样本【1】

来源:本站 作者:张志龙 更新时间:2008-5-14 阅读次数:4182

实验 4.1 IPv4地址的获取与分析

说明：如何观看本文中的清晰的插图？可将鼠标光标放在浏览器显示的插图上，点击右键，选择“图片另存为”一个图片文件放在桌面上。然后鼠标左键双击此图片文件，可自动启用多种显示工具显示出该插图的清晰图像，以便进行数据分析判读。

1． 在一台联网的计算机上，从“网络连接”的“属性”栏中获取本机的IP地址等参数。（1）此地址是公网地址还是私网地址？（2）子网掩码是多少？（3）此IP地址中的网络号是多少？主机号是多少？（4）请将此IP地址写成CIDR格式。（5）请将此IP地址写成二进制形式。（6）请将此IP地址写成十进制形式。参看教材附录C。如果你的计算机的IP地址是自动获取的，可以用教材230页第7章介绍的ipconfig /all 命令，得到本机的所有IP参数配置数据。

答：（1）此地址是私网地址。 （2）255.255.255.0

（3）此IP地址中的网络号是10.0.26，主机号是17 （4）10.0.26/24

（5）00001010 00000000 00011010 00010001 （6）10.0.26.5

图1

2． 你的网络计算机的IP地址有几个层次？各层的数值是多少？

答：无子网时有两个层次，网络号10.0.26，主机号5。有子网划分时可实现3个以上的层次。3． 简述网络地址转换NAT技术在提高IPv4地址的利用效率，以及保护内网安全方面的作用。

答：网络地址转换NAT技术减少了IP 地址注册的费用以及节省了目前越来越缺乏的地址空间，再者它对外隐藏了内部管理的 IP 地址，也就隐藏了内部网络结构，从而降低了内部网络受到攻击的风险。

4． 如果你是一个单位的局域网管理员，如何利用无类地址划分实现内网的子网划分，以及各子网之间的安全隔离？

答：参看教材第105～109页的案例。

实验4.2 从捕获的网络数据中分析IPv4数据包的结构，以及各字段信息

1． 用Wireshark捕获网络上的数据包，解剖与分析一个IP包的结构，参照教材119页图4.15 IPv4头部和数据报格式，从Wireshark界面的下部窗格的16进制数据中，分别读出该IP包中的所有字段，并将这些16进制数表示的各字段内容，与Wireshark中部窗格中翻译解析的各字段信息进行比较，二者是否一致？请练习使用附录F的ASCII编码表。

答：二者一致。如在下图中部窗格中总长度是69，对应的下部窗格的16进制数据是0045。

图2

2． 重复教材122页的例4-1，例4-2，例4-3和例4-4的解答与分析，能否在你捕获的网络数据中找到相同的案例？为什么？提示：网络交换机和路由器的默认设置是抛弃出错的数据包。 答：不能，因为出错的数据包被交换机和路由器抛弃了。

3. 捕获一个IP包，读出其中的校验和的数值，按照126页图4.21的十六进制算法计算与核对此校验和，再按照1441图5.4的二进制算法，计算与核对此校验和。方法是：从Wireshark的下部数据窗口找到所要计算的字段范围，按照教材中的上述方法进行计算，然后与捕获的IP包头部中的校验和进行比较。 答：捕获的IP包头部中的校验和为0x247b，计算方法参看教材126页图4.21（十六进制算法），144

页图5.4（二进制算法），以及附录B。

图3

第6章 实验报告样本【1】

来源:本站 作者:杜俊 更新时间:2008-6-3 阅读次数:59

说明：如何观看本文中的清晰的插图？可将鼠标光标放在浏览器显示的插图上，点击右键，选择“图片另存为”一个图片文件放在桌面上。然后鼠标左键双击此图片文件，可自动启用多种显示工具显示出该插图的清晰图像，以便进行数据分析判读。

实验6.1 域名系统DNS数据分析：

捕获访问一个Web网站时的DNS域名解答过程，即获取教材中第29页图1.21和27页图1.19中的第1和第2步的数据帧。这是客户机浏览器与本地DNS服务器之间的域名-IP地址查询过程。回答以下问题：

1．你的DNS服务器的IP地址是什么？ 解答：DNS服务器IP地址是202.203.208.33。

2．你的浏览器与DNS服务器之间使用传输层的什么协议进行通信？ 解答：浏览器与DNS服务器之间使用UDP协议进行通信。

3．你查询的Web服务器的域名有几个层次（参看教材180页）？Web服务器的IP地址是什么？ 解答： web服务器（www.yahoo.com.cn ，IP:132.151.6.75），其域名分4层，从高到低依次为www. 、yahoo. 、com. 、cn 。

4．浏览器向DNS服务器发送的查询语句是什么？按照183页图6.6分析DNS查询报文的结构。 解答：浏览器向DNS服务器发送的查询语句是“Standard query A wwww.yahoo.com.cn ”。

DNS查询报文结构如下图所示：

图1 DNS查询报文

5．DNS服务器向浏览器返回的响应语句是什么？按照183页图6.6分析DNS响应报文的结构。

解答：DNS服务器向浏览器返回的响应语句是“Standard query response A 202.165.102.205”。 DNS响应报文的结构：

图2 DNS响应报文结构

6．该域名与IP地址的对应关系有效时间是多长？ 解答：此对应关系有效时间是1 minute,27seconds。

实验6.2按照教材186页的介绍，分析捕获的DNS查询数据，回答以下问题：

1．向你提供DNS服务的服务器采用的是递归解答方式还是迭代解答方式（教材186页）？

解答：递归方式，因为作出响应的域名服务器的地址为本地服务器地址。

2．在什么情况下DNS服务采用UDP传输层协议？什么情况下采用TCP传输层协议（187页）？

解答：由于大部分UDP协议数据单元的最大尺寸是512字节，因此当响应报文少于512字节时，就封装在UDP中发送。当响应报文的大小超过了512字节，就需要建立一个TCP连接。

3．你的客户机使用的端口号是多少？DNS服务器使用的端口号是多少？ 解答：客户机的端口号是1031，DNS服务器使用的端口是53。

图3 发送电子邮件时捕获的用户登录数据

图4 捕获数据中的用户发送的电子邮件内容

实验6.4 登录你的电子邮件服务器，接收一封电子邮件。根据捕获的通信数据回答以下问题： 1．回答以上实验6.3中的3个问题。

1.1 注册的电子邮件服务器的IP地址是202.165.102.5 。

1.2 客户机和服务器经过三次握手，建立连接的数据流。然后客户机向Web服务器发出的Get访问连接请求，服务器向客户机返回的响应，最后是服务器向客户机返回的web页面内容。

1.3 如下图示，在登陆过程能够获得邮件的用户名、邮件内容加密，但邮箱口令加密。

图5 对接收邮件的通信数据的 FOLLOW TCP STREAM

2．如果邮件中含有照片，分析其编码方法。叙述电子邮件传输系统如何将各种二进制数据文件编码转换为文本文件进行传输，到达接收方后再解码还原（教材196页）。

解析：Base-编码时，将要用邮件传输的非ASCⅡ码的二进制文件划分为24bit的数据块，每块分为4部分，每部分有6bit。因此每部分可出现的bit组合有2^6=种，用个ASCⅡ字符分别代表种组合。然后使用一个Base-编码对照表，将每个部分的6bit数据映射转化为8bit的ASCⅡ编码字符。然后将形成的ASCⅡ文件送SMTP传输。

实验6.5 学习使用Base-进行编码和解码。

阅读教材第196页的Base-的编码和解码过程。利用浏览器登录网络安全网站 http://www.securitystats.com/tools/base.php 登录此网页后进行如下操作： 1．编码“加密”过程：在文字窗口中输入短语：my friends，然后选择Encode（编码），点击Submit。获得了Base编码后的字符串：bXkgZnJpZW5kcw== 如下图：

（与第6章的实验课题插图相同，大家也可以加密其他的文字内容） 图4

2．解码“解密”过程：在文字窗口中输入字符串：bXkgZnJpZW5kcw==，选择Decode，点击Submit，获得了解码后的文字串：my friends 如下图：

（与第6章的实验课题插图相同，也可以对其他的文字进行“加密”和“解密”） 图5

通过上述Base的编码和解码过程，可以了解MIME多功能互联网电子邮件扩展技术，如何在只能传输文本的电子邮件系统中传输各种非文本的二进制数据文件，例如：利用电子邮件传输照片，传输音乐（教材197页），传输测控数据等。