一、实验目的

理解TCP/IP协议各层的主要作用，掌握利用Wireshark获取数据包的方法，可以使用Wireshark从数据包中获取到有用的信息并找出主机被进行过网络扫描的证据以及对方的IP地址、MAC地址和扫描的方式。

二、实验工具

三、实验步骤

1、在kali上使用Wireshark程序并启动，然后访问Web网站、FTP站点、用客户端访问SMTP、IMAP、POP3邮箱、用Telnet连接远程端口；

访问web网站：

访问ftp站点：

访问SMTP

访问IMAP

访问POP3邮箱

用Telnet连接远程端口

2、以上每一次的操作分别各抓包一次，获取http网页中登陆用户名和密码的信息、FTP服务器登陆用户名和密码信息、POP邮箱用户名和密码信息，并追踪每次操作的完整TCP连接；

3、利用网络攻防环境中本机或Kali linux对Windows 7靶机分别进行主机活跃性检测、网络拓扑检测、端口、开放服务与系统识别（分别用TCP扫描方式、SYN扫描方式、ACK扫描方式和UDP扫描方式）；

Windows7的IP地址为192.168.1.5

检查主机活跃性

nmap -sP IP地址-----使用nmap -sn -PE IP地址也可以

TCP扫描方式：nmap -sT IP地址 -p 端口范围

-P 1-65535：扫描全端口

SYN扫描方式：nmap -sS IP地址

-T5：加快扫描速度，默认为T3

ACK扫描方式：nmap -sA IP地址（使用TCP的ACK进行扫描）

UDP扫描方式：nmap -sU IP地址

4、在第3步进行的过程中分别利用Windows 7的Wireshark抓包；活跃性检测抓包

TCP扫描抓包

SYN扫描抓包

ACK扫描抓包

UDP扫描抓包

5、利用Wireshark分析扫描者的IP地址是什么，MAC地址是什么？被扫描主机的IP地址是什么，MAC地址是什么？使用哪种扫描方式？分别扫描获取了哪些信息？以上均提供截图予以证明。

6、利用Wireshark对上述保存的数据包进行分析，分析扫描主机的IP地址是什么？被扫描主机的IP地址是什么？使用哪种扫描方式？分别扫描获取了哪些信息？以上均提供截图予以证明。