实验四--SnifferPro数据包捕获与协议分析上课讲义
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
实验四--
S n i f f e r P r o数据包捕获与协议分析
实验四 SnifferPro数据包捕获与协议分析
一. 实验目的
1.了解Sniffer的工作原理。
2.掌握SnifferPro工具软件的基本使用方法。
3.掌握在交换以太网环境下侦测、记录、分析数据包的方法。
二、实验原理
数据在网络上是以很小的被称为“帧”或“包”的协议数据单元(PDU)方式传输的。以数据链路层的“帧”为例,“帧”由多个部分组成,不同的部分对应不同的信息以实现相应的功能,例如,以太网帧的前12个字节存放的是源MAC地址和目的MAC地址,这些数据告诉网络该帧的来源和去处,其余部分存放实际用户数据、高层协议的报头如TCP/IP的报头或IPX报头等等。帧的类型与格式根据通信双方的数据链路层所使用的协议来确定,由网络驱动程序按照一定规则生成,然后通过网络接口卡发送到网络中,通过网络传送到它们的目的主机。目的主机按照同样的通信协议执行相应的接收过程。接收端机器的网络接口卡一旦捕获到这些帧,会告诉操作系统有新的帧到达,然后对其进行校验及存储等处理。
在正常情况下,网络接口卡读入一帧并进行检查,如果帧中携带的目的MAC地址和自己的物理地址一致或者是广播地址,网络接口卡通过产生一个硬件中断引起操作系统注意,然后将帧中所包含的数据传送给系统进一步处理,否则就将这个帧丢弃。
如果网络中某个网络接口卡被设置成“混杂”状态,网络中的数据帧无论是广播数据帧还是发向某一指定地址的数据帧,该网络接口卡将接收所有在网络中传输的帧,这就形成了监听。如果某一台主机被设置成这种监听(Snfffing)模式,它就成了一个Sniffer。一般来说,以太网和无线网被监听的可能性比较高,因为它们是一个广播型的网络,当然无线网弥散在空中的无线电信号能更轻易地截获。
三、实验内容及要求
要求:本实验在虚拟机中安装SnifferPro4.7版本,要求虚拟机开启FTP、Web、Telnet等服务,即虚拟机充当服务器,物理机充当工作站。物理机通过Ping命令、FTP访问及网页访问等操作实验网络数据帧的传递。
内容:
1.监测网络中计算机的连接状况
2.监测网络中数据的协议分布
3.监测分析网络中传输的ICMP数据
4.监测分析网络中传输的HTTP数据
5.监测分析网络中传输的FTP数据
四、实验步骤
介绍最基本的网络数据帧的捕获和解码,详细功能。
1.Sniffer Pro 4.7的安装与启动
1)启动Sniffer Pro 4.7。在获取Sniffer Pro 4.7软件的安装包后,运行安装程序,按要求输入相关信息并输入注册码,若有汉化包请在重启计算机前进行汉化。完成后重启计算机,点击“开始”→“程序”→“Sniffer Pro”→“Sniffer”,启动“Sniffer Pro 4.7”程序。
2)选择用于Sniffer的网络接口。如果计算机有多个网络接口设备,则可通过菜单“File”→“Select Settings”,选择其中的一个来进行监测。若只有一块网卡,则不必进行此步骤。
2.监测网络中计算机的连接状况
配置好服务器和工作站的TCP/IP设置并启动Sniffer Pro软件,选择“菜单”中“Monitor(监视器)”“Matrix(主机列表)”,从工作站访问服务器上的资源,如WWW、FTP等,观察检测到的网络中的连接状况,记录下各连接的IP地址和MAC地址。如图1-1所示。
图1-1 被监控计算机列表
3.监测网络中数据的协议分布
选择菜单“Monitor”→“Protocal distribution(协议分布)”,监测数据包中的使用的协议情况,如图1-2所示。记录下时间和协议分布情况。
图1-2 被监控网络协议分布
4.监测分析网络中传输的ICMP数据
1)定义过滤规则:点击菜单“Capture”→“Define Filter(定义过滤器)”,在在对话框中进行操作。
●点击“Address”(地址)选项卡,设置:“地址类型”为IP,“包含”本机地址,即在“位置1”输入本机IP地址,“方向”(Dir.)为
“双向”,“位置2”为“任意的”。
●点击“Advanced(高级)”选项卡,在该项下选择“IP”→“ICMP”。设置完成后点击菜单中“Capture(捕获)”→“Start”开始记录监测
数据。
显示如图1-3和图1-4所示。
图1-3 监控地址选择图1-4 监控协议选择
3)从工作站Ping服务器的IP地址。
4)观察监测到的结果:点击菜单中“Capture”→“Stop and display”,将进入记录结果的窗口。点击下方各选项卡可观察各项记录,可通过“File”→Save”保存监测记录。
5)记录监测到的ICMP传输记录:点击记录窗口下方的解码“Decode(解码)”选项,进入解码窗口,分析记录,找到工作站向服务器发出的请求命令并记录有关信息。结果如图1-5。
图1-5 ICMP数据包解码示例
5.监测分析网络中传输的HTTP数据
1)在服务器的Web目录下放置一个网页文件。
2)定义过滤规则:点击菜单“Capture” “Define Filter”,在对话框中点“Advanced”选项卡,在该项下选择“IP”→“TCP”→“HTTP”。设置完成后点击菜单中“Capture”→“Start'’开始记录监测数据。
3)从工作站用浏览器访问服务器上的网页文件。
4)观察监测到的结果:点击菜单中“Capture”→“Stop and display”,将进入记录结果的窗口,点击下方各选项卡可观察各项记录。点击“File”→Save”保存记录。
5)记录监测到的HTTP传输记录:点击记录窗口下方的解码“Decode”选项,进入解码窗口,分析记录,找到工作站向服务器发出的网页请求命令并记录有关信息。
6.监测分析网络中传输的FTP数据(课外完成)
1)启用服务器的Serv-U软件,在FTP服务目录下放置一个文本文件。
2)定义过滤规则:点击菜单“Capture”→“Define Filter”,在“Summary”选项卡下点击“Reset"按钮将过滤规则恢复到初始状态,然后在“Advanced”选项卡下选择“IP”→“TCP”→“FTP”。设置完成后点击菜单“Capture”→“Start”开始记录监测数据。
3)从工作站用FTP下载服务器上的文本文件。
4)观察监测到的结果:点击菜单“Capture”→“Stop and display”,进入记录结果的窗口,点击下方各选项卡观察各项记录并保存记录。监控显示如图1-6所示。可以看到登录密码也是明文显示的。
图1-6 FTP数据包解码结果
5)记录监测到的FTP传输记录:点击记录窗口下方的解码“Decode”选项,进入解码窗口,分析记录,找到工作站向服务器发出的FTP命令并记录。
五、拓展实验
根据上述的实验中介绍的功能,完成下面实验任务
利用sniffer捕获数据包并分析(要求在实验报告中写出抓取该数据包所采用的网络服务)
1.抓取IP数据包,分析IP数据包的头部信息;
2.抓取ICMP协议数据包,分析ICMP协议的头部信息。
3.抓取ARP协议数据包,分析ARP协议数据包的信息和封装情况。
4.抓取TCP协议数据包,分析TCP协议的头部信息
5.抓取UDP协议数据包,分析UDP协议的头部信息
6.思考:根据上述实验内容中FTP数据包捕获,
1)截取本地主机和telnet服务器之间传输的的用户名和密码,查看是否能截取到,如果能,数据包有什么特点;
2)截取其他主机与telnet服务器之间传输的用户名和密码,查看是否能截取到,如果不能分析原因)