抓包软件，telnet嗅探与DOS攻击的学习

	一、 WireShark 抓包软件 1.安装： 首先安装Wincap，跟着向导一步步下去即可。 接着安装WireShark，跟着向导一步步下去即可。遇到提示安装WinPcap7的话，把打钩去掉。 2.Wireshark： wireshark安装成功后的主界面如下所示： 点击菜单栏的Caputre->Interfaces。出现下面对话框，选择正确的网卡。然后点击“Start”按钮, 开始抓包。 窗口介绍 3.过滤规则 表达式规则 1. 协议过滤 比如TCP，只显示TCP协议。 2. IP 过滤 比如 ip.src ==192.168.1.102 显示源地址为192.168.1.102， ip.dst==192.168.1.102, 目标地址为192.168.1.102 3. 端口过滤 tcp.port ==80,  端口为80的 tcp.srcport == 80,  只显示TCP协议的源端口为80的。 4. Http模式过滤 http.request.method=="GET",   只显示HTTP GET方法的。 4.封包信息 5.实验 5.1.抓取TCP三次握手数据包 通过浏览器访问百度：www.baidu.com来抓取 5.2.抓取ICMP数据包 Ping百度地址：ping www.baidu.com 二、telnet密码嗅探 实验环境： 虚拟机XP系统与真机能够互相PING通，可将XP系统设为NAT模式； 实验： 其中Windows 7系统做telnet的客户端，XP系统做服务端 Windows 7系统：开始----控制面板-----程序---打开和关闭windows程序，里面选择telnet客户端。 XP系统：命令行输入services.msc，找到telnet服务，选择启动。 新建一个系统账号（姓名缩写），赋予管理员权限 打开wirewark，设置只显示telnet相关数据包，点击 Apply 应用此规则 开始抓获网络数据包： 用Windows 7本机telnet远端的XP系统主机： telnet 192.168.41.131 连接成功将依次显示以下界面： 此时，wireshark抓到相关数据包如下： 选中某个数据包，右键选择“follow TCP stream”： 可查看到之前输入的密码： 三、DOS攻击 DoS是Denial of Service的简称，即拒绝服务，造成DoS的攻击行为被称为DoS攻击 其目的是使计算机或网络无法提供正常的服务。 这种攻击会导致资源的匮乏，无论计算机的处理速度多快、内存容量多大 网络带宽的速度多快都无法避免这种攻击带来的后果。 常见的DOS攻击有：UDP flood、ICMP flood、SYN flood等。 1.SYN泛洪DOS攻击 TCP三次握手： 2.ICMP泛洪DOS攻击 ICMP泛洪（ICMP flood）是利用ICMP报文进行攻击的一种方法。 如果攻击者向目标主机发送大量的ICMP ECHO报文，将产生ICMP泛洪目标主机会将 大量的时间和资源用于处理ICMP ECHO 报文，而无法处理正常的请求或响应，从而实现对目标主机的攻击。（死亡之Ping） 3.UDP泛洪DOS攻击 UDP泛洪（UDP flood）：攻击者向被攻击者的端口随机发送一个UDP报文。当被攻击者接收到这个 UDP报文时，它要确定哪个应用程序在这 个目的端口上监听。如果没有应用程序在这个端口上进行监听，它将产生一个ICMP目的不可达的 信息返回给这个源地址。如果向被攻击者的多 个端口发送足够多的UDP报文，系统将会崩溃。 4.实验 点击Caputre->Interfaces。出现下面对话框，选择正确的网卡。然后点击“Start”按钮, 开始抓包。 4.1.UDP泛洪DOS攻击 1.Windows XP 和 Windows Server 2003设为NAT模式 并设置在同一网段假设Windows XP为受害方。 2. 在攻击方的电脑上安装阿拉丁UDP攻击器V2.1.exe 3. 攻击方打开阿拉丁UDP攻击器V2.1.exe软件，输入目标IP，进行攻击。 4. 受害方打开wireshark软件，进行被攻击监测。 5. 通过WireShark软件可抓取大量的UDP数据包以及ICMP不可达数据包。 4.2.ICMP泛洪DOS攻击 1.使用幽幽防火墙压力测试系统，首先配置服务端。 2.服务端配置成功，在默认文件夹生成YD_Server。 3.为方便操作，直接将YD_Server 拷贝放置目标主机上，运行YD_Server  观测到它 的图标不见了接着在控制方上可以看到上线主机。 注意：上线的主机成了“肉鸡”，我们利用这些主机来攻击其他电脑。 4.选中测试任务1，改变目标地址为192.168.41.133（ 192.168.41.132 ）选择ICMP Flood攻击进行测试。 5.通过WireShark软件可抓取大量的ICMP数据包。 4.3.SYN泛洪DOS攻击 1.也是使用幽幽防火墙压力测试系统，操作和上面相同 2.SYN攻击通过WireShark软件可抓取大量的ACK数据包。 3.SYN攻击通过WireShark软件可抓取大量的异常ACK数据包。 最后，幽幽防火墙压力测试系统其实也可以做UDP泛洪DOS攻击，这里大家感兴趣可以自己演示下，这里就不演示了