网络管理实验二

信息与通信工程学院

网络管理

实验报告

专业信息工程

班级

姓名

学号

实验四计算机与网络资源的探测和扫描

一、实验目的

熟悉Sniffer界面并掌握Sniffer工具的使用方法，学习Sniffer监控网络的模式，实现网络性能监控、节点状态查看，掌握Sniffer数据包过滤的基本设置方法。

并且掌握Sniffer工具的使用方法，实现广播风暴的监控，HTTP、SNMP等协议数据包的捕获，以理解TCP/IP协议族中多种协议的数据结构、会话建立和终止的过程、TCP序号、应答序号的变化规律。并且，通过实验了解HTTP等协议明文传输的特性，以建立安全意识，防止HTTP等协议由于传输明文密码造成的泄密。

二、实验内容

1.监控网络性能；

2.查看节点状态；

3.捕获数据包；

4.监控广播风暴。

三、实验工具

Sniffer工具

四、实验步骤

1.熟悉Sniffer Portabl e工具的使用；

2.监控网络性能；

3.使用主机列表模式，矩阵模式，应用响应模式，协议分布模式，全局统计模式查看Sniffer

监控网络的模式；

4.查看节点状态。新建或搜索监控主机，然后查看监控网络的主机列表，并查看所有监控

站点的通信矩阵分布图；

5.设置数据包捕获过滤；

6.监控网络风暴；

7.捕获HTTP数据包并进行分析；

8.SNMP数据包的捕获与分析。

五、实验报告

1.观察并统计网络中各个协议的分布情况，统计当前通信量最大的5种协议以及各种协

议所占的比重，完成表4-1。

答：

表4-1

网络中存在的协议HTTP NetBIOS_NS_U NetBIOS_DGM_U DNS Bollopc 各种协议的比重80.19% 10.48% 4.64% 2.95% 0.78%

2.试设置Sniffer监控过滤器，过滤ARP协议包，具体如下：

(1)打开主机列表监控窗口，选择Detail模式查看监控数据，并记录列表中捕获到的协议与

相应信息。

(2)设置Sniffer的Monitor过滤器，使其仅检测ARP协议，观察此时的主机列表窗口显示

内容与(1)中显示信息的区别，说明使用Monitor过滤器的作用和优点。

答：

(1)

可以看到列表中既有IP协议，也有IP_ARP协议。

(2)

可以看到，与(1)中图的区别是，设置过滤器后，仅能检测到IP_ARP包。这说明，使用Monitor过滤器可以让我们得到我们希望关注的数据包，屏蔽掉大量的我们不关注数据包，使得监控变得更加有效。

3.试监控本网络内是否存在广播风暴。

答：

由图可以看出，网络中只有正常的广播数据，并未产生广播风暴。

在快速以太网中，数据的传输带宽为100Mbp/S,通过换算约为

12.5MBps*1024=12800Byte/S.每秒交换线路的每节点最高能承受12800Byte/S的数据通

过，而现在广播数据量远远低于这个数字，并未发生“网络风暴”。

4.试设置Sniffer过滤器，捕获FTP数据包并进行分析。

答：

(1)捕获从sielab18到BUPTHP3701的FTP数据包

(2)分析捕获到的FTP数据包

【FTP包数据部分】

可以看到，FTP包的数据部分和由Sniffer译码出的结果是一致的，能够从其数据部分得到源端口，目的端口，序列号等一系列信息。

5.任务二中嗅探HTTP信息所得到的数据包太多，不仅占用主机的硬盘资源，也给分析带

来很大麻烦，其实可以选择“Define Filter”选项中的“Data Pattern”，这个功能可以进行更加详细的过滤设置，从而可以通过捕获更少的数据包获取最有用的数据，请研究如何设置这些选项，并写出设置的详细步骤及最终的捕获结果。

答：

(1)过滤要求：滤出所有445 端口的流量；

(2)过滤特征(pattern)：port为445

(3)过滤方法：采用偏移量（offset）的方式，如下图所示，445 是目的端口，用16 进

制表示为0x01bd，那么pattern 就是01bd（hex）。从以太网帧开始数，01bd 所在的位置偏移量为0x24(十进制为36)（注：第一个字节的偏移量是0）。

(4)data pattern描述：从以太网帧开始，偏移量=0x24，pattern=0x01bd 的数据包。

(5)设置步骤

a)指定端口号

b)选择菜单上capture->define filter

c)给新的过滤器命名为port_445

d)选择data pattern过滤，并添加新的pattern

e)选中目的端口=445 所在行，按一下set data，可以看到offset =0x24,

pattern=01bd

f)From的作用

from后面可以选择packet 和protocol，主要决定是偏移量从哪里开始算。Packet 表示从2 层的头开始计算偏移量，protocol 表示从3 层的头开始计算偏移量。

这个功能的目的是考虑到数据包结构有些不同导致的偏移量不同。

比如以太网帧：如果没有vlan 标记，那目的端口的偏移量就是0x24，但如果有802.1Q 的标记那就不一样了。

所以如果网络中有的数据包有标记，有的数据包没有标记，那这样过滤就有问题。在这种情况下，使用用protocol，从第三层开始计算偏移量，就不会有这种问题了。

g)Format的作用

Format 后面的选项表示pattern 的格式，可以是十进制、二进制等。