使用用Sniffer_Pro网络分析器实验报告
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
使用Sniffer Pro网络分析器实验报告
一、实验目的
1、掌握Sniffer工具的安装和使用方法
2、理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构
3、掌握ICMP协议的类型和代码
二、实验内容
1、安装Sniffer Pro
2、捕捉数据包
3、分析捕捉的数据包
三、实验步骤
1、安装Sniffer Pro
Sniffer Pro安装过程并不复杂,setup后一直点击“确定”即可,第一次运行时需要选择网络适配器或网卡后才能正常工作。如下图所示:
选择好网络适配器或网卡后,即可进入主界面,如下图所示:
2、捕捉数据包
以抓FTP密码为例
步骤1:设置规则
选择Capture菜单中的Defind Filter出现图(1)界面,选择图(1)中的ADDress 项,在station1和2中分别填写两台机器的IP地址,选择Advanced选项,选择选IP/TCP/FTP ,将 Packet Size设置为 In Between 63 -71, Packet Type 设置为 Normal。如图(2)所示,选择Data Pattern项,点击箭头所指的Add Pattern按钮,出现图(3)界面,按图设置OFFset 为2F,方格内填入18,name可任意起。确定后如图(4)点击Add NOT按钮,再点击Add Pattern 按钮增加第二条规则,按图(5)所示设置好规则,确定后如图(6)所示。
图(1)
图(2)
图(3)
图(4)
图(5)
图(6)步骤2:抓包
按F10键出现下图界面,开始抓包。
图(7)
步骤3:运行FTP命令
本例使FTP到一台开有FTP服务的Linux机器上
D:/>ftp 192.168.113.50
Connected to 192.168.113.50.
220 test1 FTP server (Version wu-2.6.1(1) Wed Aug 9 05:54:50 EDT 2000) ready. User (192.168.113.50:(none)): test
331 Password required for test.
Password:
步骤4:察看结果
当下图中箭头所指的望远镜图标变红时,表示已捕捉到数据
图(8)
点击该图标出现下图所示界面,选择箭头所指的Decode选项即可看到捕捉到的所有包。可以清楚地看出用户名为test和密码为123456789。
图(9)
3、分析捕捉的数据包
将图(1)中Packet Size设置为 63 -71是根据用户名和口令的包大小来设置的,图(9)可以看出口令的数据包长度为70字节,其中协议头长度为:14+20+20=54,与telnet的头长度相同。Ftp的数据长度为16,其中关键字PASS占4个字节,空格占1个字节,密码占9个
字节,Od 0a(回车换行)占2个字节,包长度=54+16=70。如果用户名和密码比较长那么Packet Size的值也要相应的增长。
Data Pattern中的设置是根据用户名和密码中包的特有规则设定的,为了更好的说明这个问题,要在开着图(7)的情况下选择Capture菜单中的Defind Filter,如图(2)所示,选择Data Pattern项,点击箭头所指的Add Pattern按钮,出现图(10)界面,选择图中1所指然后点击2所指的Set Data按钮。OFFset、方格内、Name将填上相应的值。
同理图(11)中也是如此。
这些规则的设置都是根据要抓的包的相应特征来设置的,这些都需要对TCP/IP协议的深入了解,从图(12)中可以看出网上传输的都是一位一位的比特流,操作系统将比特流转换为二进制,Sniffer这类的软件又把二进制换算为16进制,然后又为这些数赋予相应的意思,图中的18指的是TCP协议中的标志位是18。OFFset指的是数据包中某位数据的位置,方格内填的是值。
图(10)
图(11)
图(12)
三、体会和总结
本次的实验,学习了Sniffer工具的安装和使用方法,通过使用Sniffer工具理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构,并且掌握了ICMP协议的类型和代码。在今后的实验中还需要加强对所抓包的分析理解,以更好的使用这一工具。