实验四--SnifferPro数据包捕获与协议分析上课讲义

实训报告一、sniffer的功能认知；1. 实时网络流量监控分析Sniffer Portable LAN能够对局域网网络流量进行实时监控和统计分析，对每个链路上的网络流量根据用户习惯，可以提供以表格或图形（条形图、饼状图和矩阵图等）方式显示的统计分析结果,内容包括：·网络总体流量实时监控统计：如当前和平均网络利用率、总的和当前的帧数、字节数、总网络节点数和激活的网络节点数、当前和总的平均帧长等。

·协议使用和分布统计：如协议类型、协议数量、协议的网络利用率、协议的字节数以及每种协议中各种不同类型的帧的数量等。

Sniffer包含通用的TCP和UDP网络应用协议如HTTP, Telnet, SNMP, FTP等。

同时，Sniffer 也具有特有的灵活性允许增加自定义的应用。

一旦应用协议加入Sniffer，针对应用的所有的监控、报警和报告便自动生效；·包尺寸分布统计：如某一帧长的帧所占百分比，某一帧长的帧数等。

·错误信息统计：如错误的CRC校验数、发生的碰撞数、错误帧数等；·主机流量实时监控统计：如进出每个网络节点的总字节数和数据包数、前x个最忙的网络节点等；话节点对等；·Sniffer还提供历史统计分析功能，可以使用户看到网络中一段时间内的流量运行状况，帮助用户更好的进行流量分析和监控。

2.应用响应时间监控和分析Sniffer 在监控网络流量和性能的同时，更加关注在网络应用的运行状况和性能管理，应用响应时间(ART)功能是Sniffer中重要的组成部分，不仅提供了对应用响应时间的实时监控，也提供对于应用响应时间的长期监控和分析能力。

首先ART监控功能提供了整体的应用性能响应时间，让用户以多种方式把握当前网络通讯中的各类应用响应时间的对比情况，如客户机/服务器响应时间、服务器响应时间，最快响应时间、最慢响应时间、平均响应时间和90%的请求的响应时间等。

网络分析工具Sniffer Pro一、训练目标1、了解常用网络分析工具2、会使用网络分析工具Sniffer Pro二、实训环境要求利用VMware软件虚拟出一台计算机（称为“虚拟机”或“虚拟系统”），与物理机组成一个最小的网络实验环境，作为网络攻击的目标计算机，物理机作为实施网络攻击的主机。

建议安装方式：在XP系统中，安装虚拟的windows2003/2000 Server系统三、实训内容任务1：网络分析工具Sniffer Pro的使用Sniffer Pro是一种很好的网络分析程序，允许管理员逐个数据包查看通过网络的实际数据，从而了解网络的实际运行情况。

它具有以下特点：1. 可以解码至少450种协议。

除了IP、IPX和其它一些“标准”协议外，Sniffer Pro还可以解码分析很多由厂商自己开发或者使用的专门协议，比如思科VLAN中继协议(ISL)。

2. 支持主要的局域网(LAN)、城域网(WAN)等网络技术(包括高速与超高速以太网、令牌环、802.11b无线网、SONET传递的数据包、T-1、帧延迟和ATM)。

3. 提供在位和字节水平上过滤数据包的能力。

4. 提供对网络问题的高级分析和诊断，并推荐应该采取的正确措施。

5. Switch Expert可以提供从各种网络交换机查询统计结果的功能。

6. 网络流量生成器能够以千兆的速度运行。

7. 可以离线捕获数据，如捕获帧。

因为帧通常都是用8位的分界数组来校准，所以SnifferPro只能以字节为单位捕获数据。

但过滤器在位或者字节水平都可以定义。

需要注意的是，使用Sniffer捕获数据时，由于网络中传输的数据量特别大，如果安装Sniffer的计算机内存太小，会导致系统交换到磁盘，从而使性能下降。

如果系统没有足够的物理内存来执行捕获功能，就很容易造成Sniffer系统死机或者崩溃。

因此，网络中捕获的流量越多，Sniffer系统就应该运行得更快、功能更强。

目录基本的TCP/IP协议介绍(IP/TCP/UDP) 1超级网络分析工具Sniffer Pro详解 6TCP/IP网络数据报分析26使用Sniffer工具进行TCP/IP、ICMP数据包分析32TCP协议分析实验37基本的TCP/IP协议介绍(IP/TCP/UDP)IP/IPv4：网际协议IP/IPv4：网际协议（IP/IPv4：Internet Protocol）网际协议（IP）是一个网络层协议，它包含寻址信息和控制信息，可使数据包在网络中路由。

IP 协议是TCP/IP 协议族中的主要网络层协议，与TCP 协议结合组成整个因特网协议的核心协议。

IP 协议同样都适用于LAN 和WAN 通信。

IP 协议有两个基本任务：提供无连接的和最有效的数据包传送；提供数据包的分割及重组以支持不同最大传输单元大小的数据连接。

对于互联网络中IP 数据报的路由选择处理，有一套完善的IP 寻址方式。

每一个IP 地址都有其特定的组成但同时遵循基本格式。

IP 地址可以进行细分并可用于建立子网地址。

TCP/IP 网络中的每台计算机都被分配了一个唯一的32 位逻辑地址，这个地址分为两个主要部分：网络号和主机号。

网络号用以确认网络，如果该网络是因特网的一部分，其网络号必须由InterNIC 统一分配。

一个网络服务器供应商（ISP）可以从InterNIC 那里获得一块网络地址，按照需要自己分配地址空间。

主机号确认网络中的主机，它由本地网络管理员分配。

当你发送或接受数据时（例如，一封电子信函或网页），消息分成若干个块，也就是我们所说的“包”。

每个包既包含发送者的网络地址又包含接受者的地址。

由于消息被划分为大量的包，若需要，每个包都可以通过不同的网络路径发送出去。

包到达时的顺序不一定和发送顺序相同，IP 协议只用于发送包，而TCP 协议负责将其按正确顺序排列。

除了ARP 和RARP ，其它所有TCP/IP 族中的协议都是使用IP 传送主机与主机间的通信。

实验4 使用Sniffer工具进行TCP/IP、ICMP数据包分析1、实验目的通过实验掌握Sniffer工具的安装及使用，1)实现捕捉ICMP、TCP等协议的数据报；2)理解TCP/IP协议中TCP、IP、ICMP数据包的结构，会话连接建立和终止的过程，TCP序列号、应答序号的变化规律，了解网络中各种协议的运行状况；3)并通过本次实验建立安全意识，防止明文密码传输造成的泄密。

2、实验环境两台安装Windows2000/XP的PC机，其中一台上安装有Sniffer软件，两台PC是通过HUB或交换机处于联网状态。

3、实验任务1)了解Sniffer安装和基本使用方法，监测网络中的传输状态；2)定义过滤规则，进行广义的数据捕获，分析数据包结构；3)定义指定的捕获规则，触发并进行特定数据的捕获：●ping ip-address●ping –l 1000 ip-address●ping –l 2000 ip-address●ping –l 2000 –f ip-address●（在IE地址栏中，输入）4、实验步骤Sniffer主窗口详细信息警告日志Expert捕获的数据信息Ip文件头信息Hex窗口主机列表Ip标签选择协议选择过滤器5、实验总结：通过Sniffer Pro监控网络程序以进行网络和协议分析，需要先使Sniffer Pro捕获网络中的数据。

在工具栏上单击“Start”按钮，或者选择“Capture”菜单中的“Start”选项，显示如图9所示“Expert”对话框，此时，Sniffer便开始捕获局域网与外部网络所传输的所有数据。

要想查看当前捕获的数据，可单击该对话框左侧“Layer”标签右侧的黑色三角箭头，即可在右侧窗口中显示所捕获数据的详细信息。

此时，在对话框下方还有一条横线，将鼠标移动到该横线上，当指针变成上下箭头时，向上拖动该横线，就可以看到所选择数据包的详细信息了。

“Decode”窗口中间的窗口部分显示所选择的协议的详细资料，如图12所示。

实验四SnifferPro数据包捕获与协议分析一. 实验目的1.了解Sniffer的工作原理。

2.掌握SnifferPro工具软件的基本使用方法。

3.掌握在交换以太网环境下侦测、记录、分析数据包的方法。

二、实验原理数据在网络上是以很小的被称为“帧”或“包”的协议数据单元（PDU）方式传输的。

以数据链路层的“帧”为例，“帧”由多个部分组成，不同的部分对应不同的信息以实现相应的功能，例如，以太网帧的前12个字节存放的是源MAC地址和目的MAC地址，这些数据告诉网络该帧的来源和去处，其余部分存放实际用户数据、高层协议的报头如TCP／IP的报头或IPX报头等等。

帧的类型与格式根据通信双方的数据链路层所使用的协议来确定，由网络驱动程序按照一定规则生成，然后通过网络接口卡发送到网络中，通过网络传送到它们的目的主机。

目的主机按照同样的通信协议执行相应的接收过程。

接收端机器的网络接口卡一旦捕获到这些帧，会告诉操作系统有新的帧到达，然后对其进行校验及存储等处理。

在正常情况下，网络接口卡读入一帧并进行检查，如果帧中携带的目的MAC地址和自己的物理地址一致或者是广播地址，网络接口卡通过产生一个硬件中断引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理，否则就将这个帧丢弃。

如果网络中某个网络接口卡被设置成“混杂”状态，网络中的数据帧无论是广播数据帧还是发向某一指定地址的数据帧，该网络接口卡将接收所有在网络中传输的帧，这就形成了监听。

如果某一台主机被设置成这种监听（Snfffing）模式，它就成了一个Sniffer。

一般来说，以太网和无线网被监听的可能性比较高，因为它们是一个广播型的网络，当然无线网弥散在空中的无线电信号能更轻易地截获。

三、实验内容及要求要求：本实验在虚拟机中安装SnifferPro4.7版本，要求虚拟机开启FTP、Web、Telnet等服务，即虚拟机充当服务器，物理机充当工作站。

物理机通过Ping命令、FTP访问及网页访问等操作实验网络数据帧的传递。

、实验目的：1、理解协议分析仪的工作原理；2、学会使用Sniffer Pro捕获数据包；3、学会分析协议数据包。

二、实验设备硬件：PC机二台和交换机一台。

软件：作服务器的PC需安装Windows 2000 Server，另一台PC作客户机，可为Windows 2000/XP，并安装Sniffer Pro 4.7.5。

拓朴结构图：三、任务描述作为公司网络管理员需要熟悉网络协议，熟练使用协议分析仪。

使用协议分析仪，宏观上，可以进行统计以确定网络性能。

微观上，可以从数据包分析中了解协议的实现情况，是否存在网络攻击行为等，为制定安全策略及进行安全审计提供直接的依据。

四、实验内容和要求1、使用Sniffer Pro捕获数据包；2、定义过滤条件；3、分析数据包协议；4、截获HTTP网页内容（如手机号码）5、截获FTP客户名和密码。

五、实验步骤：1、设置IP地址：为了避免各组的IP地址发生冲突，各组将本组机的IP地址设为192.168.X.N，X为组号，N由组长指定，组内机要不相同。

服务器的IP地址： Sniffer Pro机的IP：2、新建文件夹和文件新建文件夹“D：\MyFTP”和文本文件：“test.txt”。

test.txt中的内容为：Hello, everybody! Miss you!3、新建本地用户：右击“我的电脑”—>“管理”—>“计算机管理” —>“用户”，新建用户FTPuser，密码为ftpXXXX，XXXX为班号+组号，如一班三组为：0103。

4、创建一个FTP站点：a）单击“开始”—》“程序”—》“管理工具”—》“Internet信息服务”，打开“Internet信息服务”管理工具。

b）右键单击“默认FTP站点”，选择“属性”，进入“默认FTP站点属性”设置界面。

c）修改主目录：在“本地路径”输入自己站点所在的文件夹“D:\MyFtp”。

d）设置客户对文件的操作类型（见上图），允许的操作有“读取”、“写入“和“日志”。

sniffer pro (学习笔记)边学边记系列~~~好戏马上就开始喽~~~一:sniffer pro问题集锦1.为什么SNIFFER4.75在我的机子上用不了？4.7.5 With SP5以上支持千兆以太网,一般我们从网络上下载的4.75不支持千M 网卡2.如何导入导出snifferPro定义的过滤器的过滤文件?方法一、强行覆盖法C:\Program Files\NAI\SnifferNT\Program\下面有很多Local打头的目录，对应select settings里各个profile，进入相应的local目录，用sniffer scan.csf 去覆盖Sniffer.csf(捕获过滤）或者snifferdisplay.csf（显示过滤）方法二、声东击西法C:\Program Files\NAI\SnifferNT\Program\下面有个文件Nxsample.csf，备份。

用Sniffer scan.csf替换nxsample.csf启动Sniffer新建过滤器在新建过滤器对话框的sample选择里选择相应的过滤器，建立新过滤。

反复新建，直到全部加入3.sniffer的警报日志是些做什么用的??sniffer警报日志也是sniffer专家系统的一部分,通常不正常的TCP/IP通讯会产生警报和日志.比如: ping 的反映时间太长, 某一个会话中丢包或者重传数过多,单位时间产生的广播/多播数过多等等.4.利用ARP检测混杂模式的节点文章很长,原贴位于:/viewthread.php?tid=1605.sniffer 中，utilization是按什么计算的？Octect就是字节的意思。

Sniffer表盘的利用率是根据你的网卡的带宽来计算的，如果要监测广域网带宽的话，需要使用Sniffer提供的相应的广域网接口设备：比如 Snifferbook用来接入E1、T1、RS/V等链路，这时它所显示出的带宽就是正确的广域网带宽（如非信道化E1它会显示2.048Mbs）。

淮海工学院计算机工程学院实验报告书课程名：《计算机网络》题目：应用层数据报捕获和分析班级：Z计121学号：2014140093姓名：薛慧君1．目的与要求熟悉网络数据包捕获与分析工具SNIFFER的操作和使用方法，掌握数据包捕获和分析的基本过程；掌握协议过滤器的设定方法，能够捕获并分析常见的网络层和运输层数据包。

2．实验内容（1）运行SNIFFER软件并设定过滤器，将捕获数据包的范围缩小为常见的协议；（2）开始捕获数据包，同时制造特定协议的数据；（3）对捕获的数据包进行分析，解析出常见的网络层和运输层数据包的格式，重点要求解析出DNS、FTP、Telnet的数据包。

3．实验步骤①打开Sniffer Pro程序后，选择Capture(捕获)—Start(开始)，或者使用F10键，或者是工具栏上的开始箭头。

②一小段时间过后，再次进入Capture(捕获)菜单，然后选择Stop(停止)或者按下F10键，还可以使用工具栏。

③还可以按F9键来执行“停止并显示”的功能，或者可以进入Capture(捕获)菜单，选择“停止并显示”。

④停止捕获后，在对话框最下角增加了一组窗口卷标，包括高级、解码、矩阵、主机表单、协议分布和统计信息。

⑤选择解码卷标，可以看到Sniffer Pro缓冲器中的所有实际“数据”。

分析该卷标结构及其内容。

具体结构：分割为上中下三个相连接的窗口，分别用于显示不同信息内容；内容：1）最上面得窗口显示的是捕获各帧的数量和主要信息（包括帧编号，帧状态，源地址与目的地址，摘要等信息）；2）中间的窗口显示的是所选取帧的协议信息（DLC，IP，UDP及TCP协议等的协议内容）；3）最下面得窗口显示的是帧中协议各项内容对应的位置和机器码（默认以ASCII码显示）。

4. 测试数据与实验结果实验1捕获DNS协议数据包（1）设定过滤器，将捕获数据包的范围缩小为DNS协议；（2）ping ,接着用浏览器打开新网站，捕获数据包。

实验二网络抓包——sniffer pro的使用实验目的：1.了解网络嗅探的原理；2.掌握Sniffer Pro嗅探器的使用方法；实验学时：2课时实验形式：上机实验器材：联网的PC机实验环境：操作系统为Windows2000/XP实验内容：任务一熟悉Sniffer Pro工具的使用任务二使用Sniffer Pro抓获数据包实验步骤：任务一熟悉Sniffer Pro工具的使用1. Sniffer Pro工具简介Sniffer软件是NAI公司推出的功能强大的协议分析软件，具有捕获网络流量进行详细分析、利用专家分析系统诊断问题、实时监控网络活动和收集网络利用率和错误等功能，实验中使用Sniffer Pro4.7.5来截获网络中传输的FTP和HTTP数据包，并进行分析。

2. 使用说明在sniffer pro初次启动时，可能会提示选择一个网络适配器进行镜像，如图1所示，此时正确选择接入网络的网卡，这样sniffer pro才可以把网卡设置为混杂（Promiscuous）模式，以接收在网络上传输的数据包。

图1 网卡设置Sniffer Pro运行后的主界面如图2所示。

图2 sniffer pro主界面（1）工具栏简介如图3所示。

快捷键的含义如图4所示。

（2）网络监视面板简介在捕获过程中可以通过Capture Panel 查看网络的利用率、捕获报文的数量和缓冲区的利用率,如图5所示。

（3）捕获数据包窗口简介Sniffer 软件提供了强大的分析能力和解码功能。

如图6所示，对于捕获的报文提供了一个Expert 专家分析系统进行分析，还有解码选项及图形和表格的统计信息。

图3工具栏捕获停止捕获条件选择捕获捕获开始捕获暂停捕获停止并查看捕获查看编辑条件图4 快捷键含义图5 Capture Panel图6 捕获数据窗口●专家分析专家分析系统提供了一个智能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。

本节主要介绍Sniffer Pro软件的报文捕获及解码分析功能。

1. 选择网络接口⑴在计算机A上，依次单击“开始”→“程序”→“Sniffer Pro”→“Sniffer”菜单，打开Sniffer Pro软件主窗口，如图3-5所示。

图3-5 Sniffer Pro主窗口⑵在主窗口中，依次点击“文件”→“选定设置”，弹出“当前设置”窗口，如图3-6所示。

如果本地主机具有多个网络接口，且需要监听的网络接口不在列表中，可以单击“新建”按钮添加。

图3-6 “当前设置”窗口⑶选择正确的网络接口后，单击“确定”按钮。

2. 报文捕获与分析⑴在Sniffer Pro主窗口（如图3-5）中，依次单击“捕获”→“开始”菜单或直接单击工具栏中的“开始”按钮，开始捕获经过选定网络接口的所有数据包。

⑵打开IE浏览器，登录Web服务器（如），同时在主窗口观察数据捕获情况。

⑶依次单击主窗口中“捕获”→“停止并显示”菜单或直接单击工具栏中的“停止并显示”按钮，在弹出的窗口中选择“解码”选项卡，如图3-7所示。

图3-7 “解码”选项卡⑷在上侧的窗格中，选中向Web服务器请求网页内容的HTTP报文，在中间的窗格中选中一项，在下方的窗格将有相应的十六进制和ASCII码的数据与之相对应。

⑸从图3-7中间窗格的TCP报文段描述中可以看出，数据偏移为20字节，即TCP报文段的首部长度为20字节。

对照图3-3所示的TCP报文段的格式，可以清楚地分析捕获的报文段的十六进制代码，如图3-8所示。

z“源端口”字段的值0420，即为客户端（IP地址为222.24.21.129）进程使用的端口号；z“目的端口”字段的值0050（十进制表示为80），表示Web服务器（IP地址为202.117.128.8）使用了HTTP的默认端口；z“数据偏移”字段的值5，指出了TCP报文段首部的长度为20字节。

3. 定义过滤器有时我们并不关心经过网络接口的所有数据，可以通过定义过滤器来捕获指定的数据包。

计算机四级网络工程师：一段解析sniffer过程的对话；数据捕获备注：文中是关于S、L、Y、W之间的对话，让你更好的掌握sniffer请根据显示的信息回答下列的问题(1)该主机的正在访问的www服务器的IP地址是【16】(2)根据图中“No.”栏中标号，表示TCP连接三次握手过程开始的数据包标号是【17】(3)标号为“7”的数据包的源端口应为【18】，该数据包TCP Flag的ACK位应为【19】(4)标号为“7”的数据包“Summary”栏中被隐去的信息中包括ACK的值，这个值应为【20】S 21:06:45dhcp你把书融会贯通其实也简单S 21:07:01交换机配置路由器配置纯粹记忆S 21:07:15ip分类子网划分多算算嗯嗯，都不怎么难的L 21:07:31关键是要思路清晰S21:57:28针对这道题，首先下面部分的图是上半部分图的第6行内容，可能会造成误导，所以下面的图先别看上半部分图是：域名解析和TCP（三次握手）连接过程S 21:59:43先来1到4行的域名解析S 22:01:11先申明，summary内的分析有的是我个人认为S 22:03:37首先来个猜测吧：c代表client表示客户机，r表示reply（响应）第1行：源地址：202.113.64.166访问目的地址：211.81.20.200（dns服务器）恩，申明一点summary的第一个单词只是告诉我们这一步在做什么，4个dns并不表示4个服务器继续，源地址访问目的地址请求查询S 22:15:20第2行，dns服务器在缓存中找到了与IP地址的对应关系，所以STA T=OK S 22:16:21DNS工作过程请看书吧，书上有讲，如果缓存没有的话，还会有下一步，下一步没有，还有再下一步S 22:17:26但是这题一步搞定，3，4步不看了，和1,2步差不多S 22:17:37域名解析完毕S 22:18:585,6行建立tcp连接：源地址：202.113.64.166，目的地址： S 22:19:355,6，7即为三次握手过程S 22:20:05现在开始回答问题S 22:20:58正在访问的www服务器域名我们知道是S 22:21:46第5行是三次握手的开始S 22:22:28三次握手的过程请参考资料或三级网络技术，我就直接说过程了S 22:24:27握手第一步，发送syn同步包，产生一个随机值S 22:24:52即SYN SEQ=143086951W 22:26:17第二次握手，那个ACK?Y 22:26:35抢我台词我刚打算问S 22:26:56第6行，被访问的网站作回应说明收到了包，并产生确定值SYN ACK=143086952 W 22:27:06呵呵，咱们都们学生嘛，没有先后的~~S 22:27:53ACK表示确认字符S 22:28:21W，难道你忘了DHCP那题S 22:28:54ACK值则是上一步的SEQ加1W 22:28:57哦，可以这样理解吗，第五行是202.113.64.166请求访问WWW,第六行是WWW,发给202.113.64.166确认消息~~S 22:29:12正确W 22:29:51第六行SEQ值变了，怎么理解~~Y 22:30:01ACK是前面的SEQ加1Y 22:30:14我刚才居然没有发现那两行不同我靠W 22:30:17没忘啊~~S 22:30:30第6行在产生确定值时，同时也产生一个随机值，故SEQ=3056467584S 22:31:02因为三次握手味为的是彼此确认W 22:31:11哦，随机值啊，明白了W 22:31:28第七行，TCP是空的？S 22:31:54对，所以我也要产生一个一个随机值让你确定，空就让你填S 22:32:21是不是有一个空让你填ACK值S 22:32:44你说是多少呢？W 22:33:12143086952 +1 ？3056467585Y 22:33:27这个是不是第七的ACK？sdxs1(759175412) 22:33:28Y正确Y (396759192) 22:33:44我居然正解了W 22:33:45S 22:33:55确定是上一步的随机值加1雨之泪(396759192) 22:34:57 D跟S呢Y (396759192) 22:35:02D跟S是什么S 22:37:22Sourece port看到没S 22:40:54ACK位，这个你要看相关内容，置1，表示确认S 22:43:195,6之所以D=和S=颠倒是因为什么？W 22:43:37不晓得~~S 22:43:58因为三次握手是一个交互过程端口号对主机是固定的S 22:45:45目的主机和源主机这个概念是相对的W 22:47:36源端口 1101目的端口 8080?S 22:47:48正确S 22:50:05S 22:50:33图的下半部分是不是有这个内容W 22:50:41对啊~~S 22:51:00S=8080,D=1101恩~~S 22:51:14但这是针对第六行第七行必然源地址和目的地址必然要调换S 22:53:08我访问你，你访问我，我再访问你S 22:53:19这就是三次握手S 22:59:09不是，对于一台机器，端口号是定的目的端口WWW,是8080S 23:03:24正确，到了第6行，sourece address和dest address是不是变了S 23:03:41但是还是202.113.64.166的端口号为1101，端口号为8080S 23:04:27只是前面的是dest address，后面的是source addressS 23:04:34现在懂了没W 23:04:48是访问202.113.64.166这时，源端口是WWW的8080,目的端口是202.123的1101W 23:04:54懂了~~S 23:13:19比如说，他问你这台机器有什么用，我看有dnsS 23:13:29那就域名解析呗S 23:13:46有smtp，那就是邮件服务器被S 23:14:13有TCP，那就考三次握手啊Y 23:14:47DCHP？是什么S 23:15:09动态主机配置Y 23:16:10先别打扰，传授经验呢~~S 23:16:29呵呵，经验吗，我随便说说吧当然是按冲优的的标准S 23:16:55虽然我没有W 23:17:16对，居高则可能中，居中则可能低，居下你就挂了~~W 23:17:44心态，就是要居高~~W 23:17:52继续~~S 23:18:33大纲不变，研究真题S 23:18:50应试S 23:19:21选择题没方法，背S 23:19:31说背，其实是看W 23:19:32这个发现了，比如IPV6年年都考，不外乎就双冒号，128位什么的，别的感觉就挺广了~~S 23:19:56正确，他什么都能考S 23:20:11而且是越来越偏W 23:20:17对，感觉有的时候考的有点扯淡~~S 23:20:37我考的时候好像有一道蓝牙的W 23:20:41你继续，不要让我打扰你了~~W 23:21:223月份也有，好像是蓝牙的标准802**怎么的S 23:21:23书先看一遍或两遍，然后结合一套真题S 23:21:48开始看书S 23:22:14其余真题最好能留着练手W 23:22:47看了一遍了，3个月前为了研究DNS 邮件服务器，我还做了WIN2003 SERER系统~~综合题题型固定，40分吧，目标至少34S 23:23:36呵呵，选修课选的网页制作，还搞过文件服务器，邮件服务器S 23:23:45不过很业余W 23:24:09TCP IP 考的内容太多了，你有这方面的资料没，我也从网上下了不少，全都看了一遍，到做题的时候发现又不会做了~~S 23:24:33考得多吗S 23:24:48ip主要就是计算和划分子网W 23:25:163月份和历年的考试，不管是选择还是综合，我感觉TCP/IP至少25分~~W 23:26:03TCP/IP理论上好像都懂了，但做起题来超费劲~~S 23:26:21恩，是计算方面的S 23:26:32又困难吗?S 23:27:45计算的多算算，路由汇聚什么的要掌握，现在不用太急S 23:27:56最后就差不多了W 23:28:25做题的时候还是感觉挺费尽的，说简单的划分几个子网，知道从主机位借几位，主机位数就成了2借的位数的次方等等这些知识，但感觉真题上的东西好复杂啊~~W 23:28:40还有路由器和交换机的配置，你是怎么拿分的~~S 23:29:17先反复看W 23:29:47有实践软件没有，我感觉眼过千遍，不如手过一遍~~S 23:30:13有的，不过不好玩W 23:30:57还有路由器和交换机的配置，你是怎么拿分的~~S 23:31:47我当初把书上的自己综合起来写在笔记本上S 23:32:07考试前做的一件事就是背这个该死的东西选择题很简单的，只要你看了，基本都能选出来S 23:33:24综合题，应用题要拿分S 23:33:32你必须熟练记忆按考试的题目，把书上零散的东西自己综合在一起记忆S 23:37:51这样你会觉得简单一些。

Sniffer Pro抓包报告信研104 唐路 s2*******所用软件：Sniffer Pro v4.90.102使用ipconfig/all查看本机的基本信息如下：一、捕获TCP数据包传输控制协议TCP是网络上最常用的协议，本次使用平时较典型的HTTP 协议对TCP报文进行分析。

首先定义TCP过滤器，然后用本机(115.25.13.148)登陆北科大网站(202.204.60.28)进行HTTP测试。

图1显示了HTTP客户端与HTTP服务器之间在测试阶段的所有帧。

图1 TCP通讯的过程1、TCP三次握手(1)第一行表示TCP三次握手的起点。

在第一个数据包中，本机即HTTP客户端(115.25.13.148)向北科大服务器(202.204.60.28)发送了一个数据包，该数据包的目的端口D=80即是HTTP端口，源端口(2357)是网站从非保留端口范围中随机选择的。

SYN是TCP/IP建立连接时使用的握手信号，可以识别第一次握手。

序号SEQ=4106320857也是随机选择的，用来识别这次TCP对话。

(2)第二行表示TCP第二次握手。

服务器通过发送带有回执号ACK=4106320858的帧来发送回执对话，这个帧比上一个序号大1。

同时，服务器还在帧中包含了一个新的随机序号SEQ=2280077526，用来识别这次对话。

(3)第三行是三次握手的最后一帧。

本机发送了一个回执数据报ACK=2280077527，确认收到了来自服务器的帧。

这样就建立了对话。

现在本机和服务器就可以交换数据了。

2、以太网报文结构如图2所示，这是TCP第一次握手时的数据帧，在Sniffer的解码表中分别对每一个层次协议进行解码分析。

链路层对应“DLC”；网络层对应“IP”；传输层对应“TCP”；应用层对应的是“HTTP”等高层协议(由于TCP第一次握手时还未产生HTTP高层协议，所以下图不存在“HTTP”)。

Sniffer可以针对众多协议进行详细结构化解码分析，并利用树形结构良好的表现出来。