网络抓包--sniffer pro的使用

实验二 网络抓包——sniffer pro 的使用

实验目的：

1. 了解网络嗅探的原理；

2. 掌握Sniffer Pro 嗅探器的使用方法；

实验学时：2课时

实验形式：上机

实验器材： 联网的PC 机

实验环境：操作系统为Windows2000/XP

实验内容：

任务一 熟悉Sniffer Pro 工具的使用

任务二 使用Sniffer Pro 抓获数据包

实验步骤：

任务一 熟悉Sniffer Pro 工具的使用

1. Sniffer Pro 工具简介

Sniffer 软件是NAI 公司推出的功能强大的协议分析软件，具有捕获网络流量进行详细分析、利用专家分析系统诊断问题、实时监控网络活动和收集网络利用率和错误等功能，实验中使用Sniffer Pro4.7.5来截获网络中传输的FTP 和HTTP 数据包，并进行分析。

2. 使用说明

在sniffer pro 初次启动时，可能会提示选择一个网络适配器进行镜像，如图1所示，此时正确选择接入网络的网卡，这样sniffer pro 才可以把网卡设置为混杂（Promiscuous ）模式，以接收在网络上传输的数据包。

Sniffer Pro 运行后的主界面如图2所示。

（1

）工具栏简介如图3所示。

图1 网卡设置

图2 sniffer pro 主界面

图3工具栏

快捷键的含义如图4所示。

（2

）网络监视面板简介

在捕获过程中可以通过Capture Panel 查看网络的利用率、捕获报文的数量和缓冲区的利用率,如图

5所示。

（3）捕获数据包窗口简介

Sniffer 软件提供了强大的分析能力和解码功能。如图6所示，对于捕获的报文提供了一个Expert 专家分析系统进行分析，还有解码选项及图形和表格的统计信息。

专家分析

专家分析系统提供了一个智能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。

在图7中显示出在网络中WINS 查询失败的次数及TCP 重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。

捕获停止

捕获条件

选择捕获捕获开始

捕获暂停

捕获停止并查看捕获查看

编辑条件

图4 快捷键含义

图5 Capture Panel

图6 捕获数据窗口

对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解产生的原因。

●

解码分析

如图8所示，对捕获报文进行解码，窗口分为三部分，第一部分时捕捉到的数据包列表，每一行代表一个数据包；第二部分是针对第一部分被选取数据包加以分析的结果；第三部分则是第一部分被选取数据包的原始内容。 ● 统计分析

对于Matrix ，Host Table ，Portocol Dist. Statistics 等提供了丰富的按照地址，协议等内容做了丰富的组合统计，比较简单，可以通过操作很快掌握。 （6）过滤规则定义

Sniffer 提供了捕获数据包前的过滤规则的定义，过滤规则包括2、3层地址的定义和几百种协议的定义。定义过滤规则的做法一般如下：

和Display->Define Filter 。 过滤器可以根据物理地址或IP 地址和协议选择进行组合筛选。在主界面选择Capture->Define Filter 选项打开对话框如图9所示。

① “address ”是最常用的定义。其中包括MAC 地址、ip 地址和ipx 地址的定义。以定义IP 地址过滤为例，如图9所示。

图7 专家分析

双击此记录可以

查看详细信息

捕获的

报文解

二进制

报文

码

内容

图8 解码分析

图9 定义地址规则

例如，现在要捕获地址为10.1.30.100的主机与其他主机通信的信息，在Mode 选项卡中，选Include(选Exclude 选项，是表示捕获除此地址外所有的数据包)；在station 选项中，在任意一栏填上10.1.30.100,另外一栏填上any （any 表示所有的IP 地址）。这样就完成了地址的定义。注意到Dir.栏的图标：

表示，捕获station1收发的数据包；最后，选取

将定义

的规则保存下来，供以后使用。

② “advanced ”定义捕获的相关协议的数据包。如图10所示。 例如，想捕获FTP 、NETBIOS 、DNS 、HTTP 的数据包，那么说首先打开TCP 选项卡，再进一步选协议；还要明确DNS 、NETBIOS 的数据包有些是属于UDP 协议，故需在UDP 选项卡做类似TCP 选项卡的工作，否则捕获的数据包将不全。如果不选任何协议，则捕获所有协议的数据包。PacketSize 选项中，可以定义捕获的包大小。

③ “buffer ”定义捕获数据包的缓冲区。如图11所示。

Buffer size 选项卡，将其设为最大40M 。Capture buffer 选项卡，将设置缓冲区文件存放的位置。

④

最后，需将定义的过滤规则应用于捕获中，在主界面选择Capture->Define Filter 选项打开对话框如图12所示。

图11 定义缓冲区大小 图10 定义协议规则

图12 应用定义的规则

任务二捕获HTTP数据包并分析

1. 单击菜单中的Capture－>Define Filter－>Address，定义过滤的地址规则。

2. 单击菜单中的Capture－>Define Filter－>Advanced,再选中

IP->TCP->HTTP，定义过滤的协议规则，然后单击“确定”。

3.单击“捕获开始”按钮，Sniffer则开始捕获主机的有关HTTP协议的数据包。

4. 开始捕捉之后，单击工具栏中的Capture Panel按钮，图中显示出捕捉的Packet的数量。

5. 主机登陆一个Web站点，并输入自己的邮箱地址和密码。

6. 此时，从Capture Panel中看到捕获数据包已达到一定数量，单击“捕获停止并查看”按钮，停止抓包，系统自动打开捕获数据包窗口。

7. 单击捕获数据包窗口左下角的Decode选项，窗中会显示所捕获的数据，并分析捕获的数据包。

8. 通过报文解码窗口分析TCP和IP包头结构。

思考：

本实验是在交换式环境下进行的，因此抓获的数据包具有什么特点？如果在共享式环境下进行抓获的数据包又有什么特点？