实验四--SnifferPro数据包捕获与协议分析上课讲义

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

实验四--

S n i f f e r P r o数据包捕获与协议分析

实验四 SnifferPro数据包捕获与协议分析

一. 实验目的

1.了解Sniffer的工作原理。

2.掌握SnifferPro工具软件的基本使用方法。

3.掌握在交换以太网环境下侦测、记录、分析数据包的方法。

二、实验原理

数据在网络上是以很小的被称为“帧”或“包”的协议数据单元(PDU)方式传输的。以数据链路层的“帧”为例,“帧”由多个部分组成,不同的部分对应不同的信息以实现相应的功能,例如,以太网帧的前12个字节存放的是源MAC地址和目的MAC地址,这些数据告诉网络该帧的来源和去处,其余部分存放实际用户数据、高层协议的报头如TCP/IP的报头或IPX报头等等。帧的类型与格式根据通信双方的数据链路层所使用的协议来确定,由网络驱动程序按照一定规则生成,然后通过网络接口卡发送到网络中,通过网络传送到它们的目的主机。目的主机按照同样的通信协议执行相应的接收过程。接收端机器的网络接口卡一旦捕获到这些帧,会告诉操作系统有新的帧到达,然后对其进行校验及存储等处理。

在正常情况下,网络接口卡读入一帧并进行检查,如果帧中携带的目的MAC地址和自己的物理地址一致或者是广播地址,网络接口卡通过产生一个硬件中断引起操作系统注意,然后将帧中所包含的数据传送给系统进一步处理,否则就将这个帧丢弃。

如果网络中某个网络接口卡被设置成“混杂”状态,网络中的数据帧无论是广播数据帧还是发向某一指定地址的数据帧,该网络接口卡将接收所有在网络中传输的帧,这就形成了监听。如果某一台主机被设置成这种监听(Snfffing)模式,它就成了一个Sniffer。一般来说,以太网和无线网被监听的可能性比较高,因为它们是一个广播型的网络,当然无线网弥散在空中的无线电信号能更轻易地截获。

三、实验内容及要求

要求:本实验在虚拟机中安装SnifferPro4.7版本,要求虚拟机开启FTP、Web、Telnet等服务,即虚拟机充当服务器,物理机充当工作站。物理机通过Ping命令、FTP访问及网页访问等操作实验网络数据帧的传递。

内容:

1.监测网络中计算机的连接状况

2.监测网络中数据的协议分布

3.监测分析网络中传输的ICMP数据

4.监测分析网络中传输的HTTP数据

5.监测分析网络中传输的FTP数据

四、实验步骤

介绍最基本的网络数据帧的捕获和解码,详细功能。

1.Sniffer Pro 4.7的安装与启动

1)启动Sniffer Pro 4.7。在获取Sniffer Pro 4.7软件的安装包后,运行安装程序,按要求输入相关信息并输入注册码,若有汉化包请在重启计算机前进行汉化。完成后重启计算机,点击“开始”→“程序”→“Sniffer Pro”→“Sniffer”,启动“Sniffer Pro 4.7”程序。

2)选择用于Sniffer的网络接口。如果计算机有多个网络接口设备,则可通过菜单“File”→“Select Settings”,选择其中的一个来进行监测。若只有一块网卡,则不必进行此步骤。

2.监测网络中计算机的连接状况

配置好服务器和工作站的TCP/IP设置并启动Sniffer Pro软件,选择“菜单”中“Monitor(监视器)”“Matrix(主机列表)”,从工作站访问服务器上的资源,如WWW、FTP等,观察检测到的网络中的连接状况,记录下各连接的IP地址和MAC地址。如图1-1所示。

图1-1 被监控计算机列表

3.监测网络中数据的协议分布

选择菜单“Monitor”→“Protocal distribution(协议分布)”,监测数据包中的使用的协议情况,如图1-2所示。记录下时间和协议分布情况。

图1-2 被监控网络协议分布

4.监测分析网络中传输的ICMP数据

1)定义过滤规则:点击菜单“Capture”→“Define Filter(定义过滤器)”,在在对话框中进行操作。

●点击“Address”(地址)选项卡,设置:“地址类型”为IP,“包含”本机地址,即在“位置1”输入本机IP地址,“方向”(Dir.)为

“双向”,“位置2”为“任意的”。

●点击“Advanced(高级)”选项卡,在该项下选择“IP”→“ICMP”。设置完成后点击菜单中“Capture(捕获)”→“Start”开始记录监测

数据。

显示如图1-3和图1-4所示。

图1-3 监控地址选择图1-4 监控协议选择

3)从工作站Ping服务器的IP地址。

4)观察监测到的结果:点击菜单中“Capture”→“Stop and display”,将进入记录结果的窗口。点击下方各选项卡可观察各项记录,可通过“File”→Save”保存监测记录。

5)记录监测到的ICMP传输记录:点击记录窗口下方的解码“Decode(解码)”选项,进入解码窗口,分析记录,找到工作站向服务器发出的请求命令并记录有关信息。结果如图1-5。

图1-5 ICMP数据包解码示例

5.监测分析网络中传输的HTTP数据

1)在服务器的Web目录下放置一个网页文件。

2)定义过滤规则:点击菜单“Capture” “Define Filter”,在对话框中点“Advanced”选项卡,在该项下选择“IP”→“TCP”→“HTTP”。设置完成后点击菜单中“Capture”→“Start'’开始记录监测数据。

3)从工作站用浏览器访问服务器上的网页文件。

4)观察监测到的结果:点击菜单中“Capture”→“Stop and display”,将进入记录结果的窗口,点击下方各选项卡可观察各项记录。点击“File”→Save”保存记录。

5)记录监测到的HTTP传输记录:点击记录窗口下方的解码“Decode”选项,进入解码窗口,分析记录,找到工作站向服务器发出的网页请求命令并记录有关信息。

6.监测分析网络中传输的FTP数据(课外完成)

1)启用服务器的Serv-U软件,在FTP服务目录下放置一个文本文件。

2)定义过滤规则:点击菜单“Capture”→“Define Filter”,在“Summary”选项卡下点击“Reset"按钮将过滤规则恢复到初始状态,然后在“Advanced”选项卡下选择“IP”→“TCP”→“FTP”。设置完成后点击菜单“Capture”→“Start”开始记录监测数据。

3)从工作站用FTP下载服务器上的文本文件。

4)观察监测到的结果:点击菜单“Capture”→“Stop and display”,进入记录结果的窗口,点击下方各选项卡观察各项记录并保存记录。监控显示如图1-6所示。可以看到登录密码也是明文显示的。

图1-6 FTP数据包解码结果

5)记录监测到的FTP传输记录:点击记录窗口下方的解码“Decode”选项,进入解码窗口,分析记录,找到工作站向服务器发出的FTP命令并记录。

五、拓展实验

根据上述的实验中介绍的功能,完成下面实验任务

利用sniffer捕获数据包并分析(要求在实验报告中写出抓取该数据包所采用的网络服务)

1.抓取IP数据包,分析IP数据包的头部信息;

2.抓取ICMP协议数据包,分析ICMP协议的头部信息。

3.抓取ARP协议数据包,分析ARP协议数据包的信息和封装情况。

4.抓取TCP协议数据包,分析TCP协议的头部信息

5.抓取UDP协议数据包,分析UDP协议的头部信息

6.思考:根据上述实验内容中FTP数据包捕获,

1)截取本地主机和telnet服务器之间传输的的用户名和密码,查看是否能截取到,如果能,数据包有什么特点;

2)截取其他主机与telnet服务器之间传输的用户名和密码,查看是否能截取到,如果不能分析原因)

相关文档
最新文档