实验四SnifferPro数据包捕获与协议分析
指导手册-SnifferPro 数据包捕获与协议分析
网络分析工具Sniffer Pro一、训练目标1、了解常用网络分析工具2、会使用网络分析工具Sniffer Pro二、实训环境要求利用VMware软件虚拟出一台计算机(称为“虚拟机”或“虚拟系统”),与物理机组成一个最小的网络实验环境,作为网络攻击的目标计算机,物理机作为实施网络攻击的主机。
建议安装方式:在XP系统中,安装虚拟的windows2003/2000 Server系统三、实训内容任务1:网络分析工具Sniffer Pro的使用Sniffer Pro是一种很好的网络分析程序,允许管理员逐个数据包查看通过网络的实际数据,从而了解网络的实际运行情况。
它具有以下特点:1. 可以解码至少450种协议。
除了IP、IPX和其它一些“标准”协议外,Sniffer Pro还可以解码分析很多由厂商自己开发或者使用的专门协议,比如思科VLAN中继协议(ISL)。
2. 支持主要的局域网(LAN)、城域网(WAN)等网络技术(包括高速与超高速以太网、令牌环、802.11b无线网、SONET传递的数据包、T-1、帧延迟和ATM)。
3. 提供在位和字节水平上过滤数据包的能力。
4. 提供对网络问题的高级分析和诊断,并推荐应该采取的正确措施。
5. Switch Expert可以提供从各种网络交换机查询统计结果的功能。
6. 网络流量生成器能够以千兆的速度运行。
7. 可以离线捕获数据,如捕获帧。
因为帧通常都是用8位的分界数组来校准,所以SnifferPro只能以字节为单位捕获数据。
但过滤器在位或者字节水平都可以定义。
需要注意的是,使用Sniffer捕获数据时,由于网络中传输的数据量特别大,如果安装Sniffer的计算机内存太小,会导致系统交换到磁盘,从而使性能下降。
如果系统没有足够的物理内存来执行捕获功能,就很容易造成Sniffer系统死机或者崩溃。
因此,网络中捕获的流量越多,Sniffer系统就应该运行得更快、功能更强。
实验4 Siniffer Pro的使用
专家分析 系统
捕获报文的 图形分析
捕获报文的其他 统计信息
专家分分析系统提供了一个智能的分析平台, 对网络上的流量进行了一些分析
双击此记录可以 查看详细信息
捕获的 报文
报文解 码
二进制 内容
报文解析界面
实验4 使用Sniffer Pro网络分析器
实验目的:
(1)掌握Sniffer工具的安装与使用方法。 (2)理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构。 (3)掌握ICMP协议的类型和代码 (4)理解网络中数据留流的封包格式与输出字段。 (5)掌握碎片的原理和重组过程。 (6)充分理解采用加密和不加密和技术数据的传播状态。
Sniffer Pro主界面
2)定义要捕捉的目的地址和数据包类型 在Capture菜单中选中Define Filter。 目的地址:Address选项 数据包类型 :Advanced选项
Sniffer的抓包过滤器设置完毕后,接下来就开始发送和接收数据包。 并使用Sniffer报文捕获命令捕获报文
3)报文捕获解析
报文捕获功能可以在报文捕获面板或Capture菜单中进行完成
捕获条件 编辑
选择捕获 条件
捕获开始
捕获暂停 捕获停止 捕获停止 并查看 捕获查看
网络性能监 视快捷键
捕获面板
定义要捕捉目的地址的另一种方法
选中Monitor菜单下的Matrix,可以查看网络中的Traffic Map视图
Sniffer Pro简介
Sniffer软件是NAI(美国网络联盟)公司推出 的功能强大的协议分析软件。 主要功能
– –
–
–
捕获网络流量进行详细分析 利用专家分析系统诊断问题 实时监控网络活动 收集网络利用率和错误等
实验四 使用Sniffer工具进行TCPIP、ICMP数据包分析
实验4 使用Sniffer工具进行TCP/IP、ICMP数据包分析1、实验目的通过实验掌握Sniffer工具的安装及使用,1)实现捕捉ICMP、TCP等协议的数据报;2)理解TCP/IP协议中TCP、IP、ICMP数据包的结构,会话连接建立和终止的过程,TCP序列号、应答序号的变化规律,了解网络中各种协议的运行状况;3)并通过本次实验建立安全意识,防止明文密码传输造成的泄密。
2、实验环境两台安装Windows2000/XP的PC机,其中一台上安装有Sniffer软件,两台PC是通过HUB或交换机处于联网状态。
3、实验任务1)了解Sniffer安装和基本使用方法,监测网络中的传输状态;2)定义过滤规则,进行广义的数据捕获,分析数据包结构;3)定义指定的捕获规则,触发并进行特定数据的捕获:●ping ip-address●ping –l 1000 ip-address●ping –l 2000 ip-address●ping –l 2000 –f ip-address●(在IE地址栏中,输入)4、实验步骤Sniffer主窗口详细信息警告日志Expert捕获的数据信息Ip文件头信息Hex窗口主机列表Ip标签选择协议选择过滤器5、实验总结:通过Sniffer Pro监控网络程序以进行网络和协议分析,需要先使Sniffer Pro捕获网络中的数据。
在工具栏上单击“Start”按钮,或者选择“Capture”菜单中的“Start”选项,显示如图9所示“Expert”对话框,此时,Sniffer便开始捕获局域网与外部网络所传输的所有数据。
要想查看当前捕获的数据,可单击该对话框左侧“Layer”标签右侧的黑色三角箭头,即可在右侧窗口中显示所捕获数据的详细信息。
此时,在对话框下方还有一条横线,将鼠标移动到该横线上,当指针变成上下箭头时,向上拖动该横线,就可以看到所选择数据包的详细信息了。
“Decode”窗口中间的窗口部分显示所选择的协议的详细资料,如图12所示。
实验四snifferpro数据包捕获与协议分析
实验四SnifferPro数据包捕获与协议分析一. 实验目的1.了解Sniffer的工作原理。
2.掌握SnifferPro工具软件的基本使用方法。
3.掌握在交换以太网环境下侦测、记录、分析数据包的方法。
二、实验原理数据在网络上是以很小的被称为“帧”或“包”的协议数据单元(PDU)方式传输的。
以数据链路层的“帧”为例,“帧”由多个部分组成,不同的部分对应不同的信息以实现相应的功能,例如,以太网帧的前12个字节存放的是源MAC地址和目的MAC地址,这些数据告诉网络该帧的来源和去处,其余部分存放实际用户数据、高层协议的报头如TCP/IP的报头或IPX报头等等。
帧的类型与格式根据通信双方的数据链路层所使用的协议来确定,由网络驱动程序按照一定规则生成,然后通过网络接口卡发送到网络中,通过网络传送到它们的目的主机。
目的主机按照同样的通信协议执行相应的接收过程。
接收端机器的网络接口卡一旦捕获到这些帧,会告诉操作系统有新的帧到达,然后对其进行校验及存储等处理。
在正常情况下,网络接口卡读入一帧并进行检查,如果帧中携带的目的MAC地址和自己的物理地址一致或者是广播地址,网络接口卡通过产生一个硬件中断引起操作系统注意,然后将帧中所包含的数据传送给系统进一步处理,否则就将这个帧丢弃。
如果网络中某个网络接口卡被设置成“混杂”状态,网络中的数据帧无论是广播数据帧还是发向某一指定地址的数据帧,该网络接口卡将接收所有在网络中传输的帧,这就形成了监听。
如果某一台主机被设置成这种监听(Snfffing)模式,它就成了一个Sniffer。
一般来说,以太网和无线网被监听的可能性比较高,因为它们是一个广播型的网络,当然无线网弥散在空中的无线电信号能更轻易地截获。
三、实验内容及要求要求:本实验在虚拟机中安装SnifferPro4.7版本,要求虚拟机开启FTP、Web、Telnet等服务,即虚拟机充当服务器,物理机充当工作站。
物理机通过Ping命令、FTP访问及网页访问等操作实验网络数据帧的传递。
实验四 TCPUDP协议分析
实验四TCP/UDP协议分析【实验目的】1、理解与掌握TCP协议2、UDP协议通信机制【预习要求】1、复习课堂上所学习的TCP协议、UDP协议方面基本知识。
【工具软件】协议解码工具:wireshark(或sniffer pro)【实验原理】(一)TCP说明:(1)每个TCP段都包括源端和目的端的端口号,用于寻找发送端和接收端的应用进程。
这两个值加上IP首部的源端IP地址和目的端IP地址唯一确定一个TCP连接。
(2)序号用来标识从TCP发送端向接收端发送的数据字节流,它表示在这个报文段中的第一个数据字节。
如果将字节流看作在两个应用程序间的单向流动,则TCP用序号对每个字节进行计数。
(3)当建立一个新连接时,SYN标志变1。
序号字段包含由这个主机选择的该连接的初始序号ISN,该主机要发送数据的第一个字节的序号为这个ISN加1,因为SYN标志使用了一个序号。
(4)既然每个被传输的字节都被计数,确认序号包含发送确认的一端所期望收到的下一个序号。
因此,确认序号应当时上次已成功收到数据字节序号加1。
只有ACK标志为1时确认序号字段才有效。
(5)发送ACK无需任何代价,因为32位的确认序号字段和ACK标志一样,总是TCP 首部的一部分。
因此一旦一个连接建立起来,这个字段总是被设置,ACK标志也总是被设置为1。
(6)TCP为应用层提供全双工的服务。
因此,连接的每一端必须保持每个方向上的传输数据序号。
(7)TCP可以表述为一个没有选择确认或否认的华东窗口协议。
因此TCP首部中的确认序号表示发送方已成功收到字节,但还不包含确认序号所指的字节。
当前还无法对数据流中选定的部分进行确认。
(8)首部长度需要设置,因为任选字段的长度是可变的。
TCP首部最多60个字节。
(9)6个标志位中的多个可同时设置为1◆URG-紧急指针有效◆ACK-确认序号有效◆PSH-接收方应尽快将这个报文段交给应用层◆RST-重建连接◆SYN-同步序号用来发起一个连接◆FIN-发送端完成发送任务(10)TCP的流量控制由连接的每一端通过声明的窗口大小来提供。
sniffer pro数据包分析
、实验目的:1、理解协议分析仪的工作原理;2、学会使用Sniffer Pro捕获数据包;3、学会分析协议数据包。
二、实验设备硬件:PC机二台和交换机一台。
软件:作服务器的PC需安装Windows 2000 Server,另一台PC作客户机,可为Windows 2000/XP,并安装Sniffer Pro 4.7.5。
拓朴结构图:三、任务描述作为公司网络管理员需要熟悉网络协议,熟练使用协议分析仪。
使用协议分析仪,宏观上,可以进行统计以确定网络性能。
微观上,可以从数据包分析中了解协议的实现情况,是否存在网络攻击行为等,为制定安全策略及进行安全审计提供直接的依据。
四、实验内容和要求1、使用Sniffer Pro捕获数据包;2、定义过滤条件;3、分析数据包协议;4、截获HTTP网页内容(如手机号码)5、截获FTP客户名和密码。
五、实验步骤:1、设置IP地址:为了避免各组的IP地址发生冲突,各组将本组机的IP地址设为192.168.X.N,X为组号,N由组长指定,组内机要不相同。
服务器的IP地址: Sniffer Pro机的IP:2、新建文件夹和文件新建文件夹“D:\MyFTP”和文本文件:“test.txt”。
test.txt中的内容为:Hello, everybody! Miss you!3、新建本地用户:右击“我的电脑”—>“管理”—>“计算机管理” —>“用户”,新建用户FTPuser,密码为ftpXXXX,XXXX为班号+组号,如一班三组为:0103。
4、创建一个FTP站点:a)单击“开始”—》“程序”—》“管理工具”—》“Internet信息服务”,打开“Internet信息服务”管理工具。
b)右键单击“默认FTP站点”,选择“属性”,进入“默认FTP站点属性”设置界面。
c)修改主目录:在“本地路径”输入自己站点所在的文件夹“D:\MyFtp”。
d)设置客户对文件的操作类型(见上图),允许的操作有“读取”、“写入“和“日志”。
SnifferPro数据包捕获与协议分析
四、实验总结
1)体会Sniffer的危险性; 2)学习使用Cain & Abel 4.9软件,并与 SnifferPro4.7进行比较
Sniffer Pro数据包捕获与协议分析
一、实验目的
(1)了解Sniffer的工作原理。 (2)掌握SnifferPro工具软件的基本使用 方法。 (3)掌握在非交换以太网环境下侦测、记 录、分析数据包的方法。
二、实验设备与器具
本实验在虚拟机中安装SnifferPro4.7版本, 要求虚拟机开启FTP、HTTP等服务。 物理机通过Ping命令、FTP访问及网页访 问等操作实验网络数据帧的传递。
三、实训内容和要求
(5)监测分析网络中传输的HTTP数据 1)在服务器的Web目录下放置一网页文件。 2)定义过滤规则:点击菜单“Capture”“Define Filter”,在对话框中点“Advanced”选项卡,在该项下 选择“IP”→“TCP”→“HTTP”。设置完成后点击菜单中 “Capture”→“Start'’开始记录监测数据。 3)从工作站用浏览器访问服务器上的网页文件。 4)观察监测到的结果:点击菜单中“Capture”→“Stop and display”,将进入记录结果的窗口,点击下方各选 项卡可观察各项记录。点击“File”→Save”保存记录。 5)记录监测到的HTTP传输记录:点击记录窗口下方的 解码“Decode”选项,进入解码窗口,分析记录,找到 工作站向服务器发出的网页请求命令并记录有关信息。
三、实训内容和要求
(6)监测分析网络中传输的FTP数据 1)启用服务器的Serv-U软件,在FTP服务目录下放置一个文本文件。 2)定义过滤规则:点击菜单“Capture”→“Define Filter”,在 “Summary”选项卡下点击“Reset"按钮将过滤规则恢复到初始状 态,然后在“Advanced”选项卡下选择“IP”→“TCP”→“FTP”。设 置完成后点击菜单“Capture”→“Start”开始记录监测数据。 3)从工作站用FTP下载服务器上的文本文件。 4)观察监测到的结果:点击菜单“Capture”→“Stop and display”,进入记录结果的窗口,点击下方各选项卡观察各项记录并 保存记录。 5)记录监测到的FTP传输记录:点击记录窗口下方的解码 “Decode”选项,进入解码窗口,分析记录,找到工作站向服务器 发出的FTP命令并记录。
网络安全技术实验报告实验4Sniffer网络检测实验
XX大学本科实验报告课程名称:网络安全技术1421351 学号:XXX姓名:网络工程专业:班级:网络B14-2 指导教师:课内实验目录及成绩信息技术学院2016年10 月9 日XX大学实验报告课程名称:计算机信息安全实验类型:演示、验证实验项目名称:实验四Sniffer网络检测实验实验地点:信息楼320 实验日期:2016 年10 月9 日Sniffer网络检测实验Sniffer软件是NAI公司推出的功能强大的协议分析软件。
使用这个工具,可以监视网络的状态、数据流动情况以及网络上传输的信息。
1. 实验目的利用Sniffer软件捕获网络信息数据包,然后通过解码进行检测分析。
学会利用网络安全检测工具的实际操作方法,具体进行检测并写出结论。
2. 实验要求及方法1. 实验环境1)硬件:三台PC计算机。
单机基本配置见表4-1。
2)软件:操作系统Windows 2003 Server SP4以上;Sniffer 软件。
注意:本实验是在虚拟实验环境下完成,如要在真实的环境下完成,则网络设备应该选择集线器或交换机。
如果是交换机,则在C机上要做端口镜像。
安装Sniffer软件需要时间。
2.实验方法三台PC机的IP地址及任务分配见表4-2所示。
实验用时:2学时(90-120分钟)。
表4-1 实验设备基本配置要求表4-2 三台PC机的IP地址及任务分配1)实验内容三台PC机,其中用户Zhao利用已建好的账号在A机上登录到B机已经搭建好的FTP 服务器,用户Tom在此机利用Sniffer软件捕获Zhao的账号和密码。
2)实验步骤(1)在C机上安装Sniffer软件。
启动Sniffer进入主窗口,如图1所示。
(2)在进行流量捕捉之前,首先选择网络适配器,确定从计算机的哪个适配器上接收数据,并将网卡设成混杂模式。
网卡混杂模式,就是将所有数据包接收下来放入内存进行分析。
设置方法:单击“File”→ “Select Settings”命令,在弹出的对话框中设置,如图2所示。
实验四 网络嗅探实验
实验四网络嗅探实验实验四:网络嗅探实验一、实验目的1. 掌握Sniffer〔嗅探器〕工具的使用方法,实现FTP、数据包的捕捉。
2. 掌握对捕获数据包的分析方法,了解FTP、数据包的数据结构和连接过程,了解FTP、协议明文传输的特性,以建立平安意识。
二、实验环境1. 实验室所有机器安装了Windows操作系统,并组成了一个局域网,并且都安装了SnifferPro软件。
2. 每两个学生为一组:其中学生A进行或者Ftp连接,学生B运行SnifferPro软件监听学生A主机产生的网络数据包。
完成实验后,互换角色重做一遍。
三、实验内容任务一:熟悉SnifferPro工具的使用任务二:捕获FTP数据包并进行分析任务三:捕获数据包并分析四、实验步骤任务一:熟悉SnifferPro的使用网络监控面板Dashboard使用Dashboard作为网络状况快速浏览Detail〔协议列表〕Matrix 〔网络连接〕设置实验原理:〔1〕网卡有几种接收数据帧的状态:unicast〔接收目的地址是本级硬件地址的数据帧〕,Broadcast〔接收所有类型为播送报文的数据帧〕,multicast〔接收特定的组播报文〕,promiscuous〔目的硬件地址不检查,全部接收〕〔2〕以太网逻辑上是采用总线拓扑结构,采用播送通信方式,数据传输是依靠帧中的MAC地址来寻找目的主机。
〔3〕每个网络接口都有一个互不相同的硬件地址〔MAC地址〕,同时,每个网段有一个在此网段中播送数据包的播送地址〔4〕一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的播送地址的数据帧,丢弃不是发给自己的数据帧。
但网卡工作在混杂模式下,那么无论帧中的目标物理地址是什么,主机都将接收〔5〕通过Sniffer工具,将网络接口设置为“混杂〞模式。
可以监听此网络中传输的所有数据帧。
从而可以截获数据帧,进而实现实时分析数据帧的内容。
任务二:捕获FTP数据包并进行分析分组角色:学生A进行FTP连接,学生B使用Sniffer监视A的连接。
利用Sniffer软件进行网络协议分析
2、点击 “开始”按钮,进行监听。 3、监听到报文后的界面。选择左侧的 Object,查看其内容。
4 如果监听到满足要求的协议比如 HTTP 协议、比如 Telnet 等协议则单击 F9 或 者 CaptureStop and Play 菜单。
5、选择符合要求的协议,然后点击下面的”Decode”选项。
捕获的 报文
报文解 码
二进制 内容
4、基本捕获条件 基本的捕获条件有两种: 1、链路层捕获,按源 MAC 和目的 MAC 地址进行捕获,输入方式为十六进制连 续输入,如:00E0FC123456。 2、IP 层捕获,按源 IP 和目的 IP 进行捕获。输入方式为点间隔方式,如: 10.107.1.1。如果选择 IP 层捕获条件则 ARP 等报文将被过滤掉。
利用 Sniffer 软件1、学习 Sniffer 软件的使用 2、通过 Sniffer 分析网络协议执行过程以及报文结构 3、计算机网络协议分析
二、实验内容:
1、Sniffer 软件的使用 2、通过 Sniffer 分析网络协议执行过程以及报文结构 3、计算机网络协议分析
三、实验步骤: (一)Sniffer 软件的使用
1、打开 Sniffer 软件,选择具体的网卡型号。
2、报文捕获工具栏介绍。
捕获条件 编辑
选择捕获 条件
捕获开始 捕获暂停
捕获停止
捕获停止 并查看
捕获查看
3、捕获报文查看
专家分析 系统
专家分析 系统
捕获报文的 图形分析
捕获报文的其他 统计信息
双击此记录可以 查看详细信息
6、查看具体内容。
(三)请同学们分别监测及分析 Telnet、HTTP、ARP 等,并分析 TCP 协议连接建 立、传输、关闭的过程。并将结果反应到实验报告中。 五、思考题
网络抓包--sniffer-pro的使用
实验二网络抓包——sniffer pro的使用实验目的:1.了解网络嗅探的原理;2.掌握Sniffer Pro嗅探器的使用方法;实验学时:2课时实验形式:上机实验器材:联网的PC机实验环境:操作系统为Windows2000/XP实验内容:任务一熟悉Sniffer Pro工具的使用任务二使用Sniffer Pro抓获数据包实验步骤:任务一熟悉Sniffer Pro工具的使用1. Sniffer Pro工具简介Sniffer软件是NAI公司推出的功能强大的协议分析软件,具有捕获网络流量进行详细分析、利用专家分析系统诊断问题、实时监控网络活动和收集网络利用率和错误等功能,实验中使用Sniffer Pro4.7.5来截获网络中传输的FTP和HTTP数据包,并进行分析。
2. 使用说明在sniffer pro初次启动时,可能会提示选择一个网络适配器进行镜像,如图1所示,此时正确选择接入网络的网卡,这样sniffer pro才可以把网卡设置为混杂(Promiscuous)模式,以接收在网络上传输的数据包。
图1 网卡设置Sniffer Pro运行后的主界面如图2所示。
图2 sniffer pro主界面(1)工具栏简介如图3所示。
快捷键的含义如图4所示。
(2)网络监视面板简介在捕获过程中可以通过Capture Panel 查看网络的利用率、捕获报文的数量和缓冲区的利用率,如图5所示。
(3)捕获数据包窗口简介Sniffer 软件提供了强大的分析能力和解码功能。
如图6所示,对于捕获的报文提供了一个Expert 专家分析系统进行分析,还有解码选项及图形和表格的统计信息。
图3工具栏捕获停止捕获条件选择捕获捕获开始捕获暂停捕获停止并查看捕获查看编辑条件图4 快捷键含义图5 Capture Panel图6 捕获数据窗口●专家分析专家分析系统提供了一个智能的分析平台,对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。
Sniffer分析协议实验报告
密码与网络安全课程设计报告题目:利用Sniffer分析协议系(部):理学院专业:信息与计算科学姓名:任业乔杨坤学号:090111104 090111107指导教师:邢朝辉2012年6月目录前言 21.Sniffer技术概括41.1 Sniffer的定义 51.2Sniffer的工作原理 51.3Sniffer技术应用现状 51.4Sniffer技术发展状况52.monitor功能介绍62,1 dashboard仪表盘的使用62.2 Host table的使用 62.3Matrix矩阵的应用82.4 ART的使用93. Sniffer抓包实例93.1 抓取10.20.1.3这台机器的所有数据包94.抓取邮箱密码账号104.1 设置规则104.2 抓包开始134.3 登录邮箱144,4 对包分析154.5 查找获取账号密码155.谢辞166.参考文献17前言简介数据在网络上是以很小的称为帧(Frame)的单位传输的,帧由几部分组成,不同的部分执行不同的功能。
帧通过特定的称为网络驱动程序的软件进行成型,然后通过网卡发送到网线上,通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。
接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧已到达,然后对其进行存储。
就是在这个传输和接收的过程中,嗅探器会带来安全方面的问题。
每一个在局域网(LAN)上的工作站都有其硬件地址,这些地址惟一地表示了网络上的机器(这一点与Internet地址系统比较相似)。
当用户发送一个数据包时,这些数据包就会发送到LAN上所有可用的机器。
如果使用Hub/即基于共享网络的情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的数据包则不予响应(换句话说,工作站A不会捕获属于工作站B的数据,而是简单地忽略这些数据)。
如果某个工作站的网络接口处于混杂模式(关于混杂模式的概念会在后面解释),那么它就可以捕获网络上所有的数据包和帧。
协议分析和网络嗅探_2
• 如图20所示,选择Data Pattern项,点击箭 头所指的Add Pattern按钮
图-20
• 出现图21界面,按图设置OFFset为2F,方格内填入18,name可任意 起。确定后如图22点击Add NOT按钮,再点击Add Pattern按钮增加第 二条规则
图-21
图-22
• 安装非常简单,setup后一路确定即可,第 一次运行时需要选择你的网卡。
图-1
图-2
图-3
图-4
图-5
图-6
图-7
图-8
图-9
图-10
图-11
例:192.168.113.208 这台机器telnet到192.168.113.50,用 Sniff Pro抓到用户名和密码
步骤1:设置规则
Wed Aug 9 05:54:50 EDT 2000) ready. • User (192.168.113.50:(none)): test • 331 Password required for test. • Password:
• 步骤4:察看结果
• 图16中箭头所指的望远镜图标变红时,表示已捕捉到数据,点击该图 标出现图25界面,选择箭头所指的Decode选项即可看到捕捉到的所 有包。可以清楚地看出用户名为test密码为123456789。
协议,而另一些可能能够分析几百种协议。 • 一般情况下,大多数的嗅探器至少能够分析下面的协议: • A.标准以太网 • B.TCP/IP • C.IPX 4.DECNet
• 4.各种Sniffer • A. Network General. • Network General开发了多种产品。最重要的是Expert
Sniffer,它不仅仅可以sniff , 还能够通过高性能的专门 系统发送/接收数据包,帮助诊断故障。
计算机网络-实验4应用层数据包的捕获和分析报告
淮海工学院计算机工程学院实验报告书课程名:《计算机网络》题目:应用层数据报捕获和分析班级:Z计121学号:2014140093姓名:薛慧君1.目的与要求熟悉网络数据包捕获与分析工具SNIFFER的操作和使用方法,掌握数据包捕获和分析的基本过程;掌握协议过滤器的设定方法,能够捕获并分析常见的网络层和运输层数据包。
2.实验内容(1)运行SNIFFER软件并设定过滤器,将捕获数据包的范围缩小为常见的协议;(2)开始捕获数据包,同时制造特定协议的数据;(3)对捕获的数据包进行分析,解析出常见的网络层和运输层数据包的格式,重点要求解析出DNS、FTP、Telnet的数据包。
3.实验步骤①打开Sniffer Pro程序后,选择Capture(捕获)—Start(开始),或者使用F10键,或者是工具栏上的开始箭头。
②一小段时间过后,再次进入Capture(捕获)菜单,然后选择Stop(停止)或者按下F10键,还可以使用工具栏。
③还可以按F9键来执行“停止并显示”的功能,或者可以进入Capture(捕获)菜单,选择“停止并显示”。
④停止捕获后,在对话框最下角增加了一组窗口卷标,包括高级、解码、矩阵、主机表单、协议分布和统计信息。
⑤选择解码卷标,可以看到Sniffer Pro缓冲器中的所有实际“数据”。
分析该卷标结构及其内容。
具体结构:分割为上中下三个相连接的窗口,分别用于显示不同信息内容;内容:1)最上面得窗口显示的是捕获各帧的数量和主要信息(包括帧编号,帧状态,源地址与目的地址,摘要等信息);2)中间的窗口显示的是所选取帧的协议信息(DLC,IP,UDP及TCP协议等的协议内容);3)最下面得窗口显示的是帧中协议各项内容对应的位置和机器码(默认以ASCII码显示)。
4. 测试数据与实验结果实验1捕获DNS协议数据包(1)设定过滤器,将捕获数据包的范围缩小为DNS协议;(2)ping ,接着用浏览器打开新网站,捕获数据包。
网络实验四:sniffer实验
Sniffer Pro的基本使用和实例一、运行环境及安装Sniffer Pro可运行在局域网的任何一台机器上,如果是练习使用,网络连接最好用Hub且在一个子网,这样能抓到连到Hub上每台机器传输的包。
本文用的版本是4.6,Sniffer Pro软件的获取可在或 中输入Sniffer Pro 4.6,查找相应的下载站点来下载。
该版本是不要序列号的。
安装非常简单,setup后一路确定即可,第一次运行时需要选择你的网卡。
最好在win2000下运行,在win2003下运行网络流量表有问题。
二、常用功能介绍1、Dashboard (网络流量表)点击图1中①所指的图标,出现三个表,第一个表显示的是网络的使用率(Utilization),第二个表显示的是网络的每秒钟通过的包数量(Packets),第三个表显示的是网络的每秒错误率(Errors)。
通过这三个表可以直观的观察到网络的使用情况,红色部分显示的是根据网络要求设置的上限。
选择图1中②所指的选项将显示如图2所示的更为详细的网络相关数据的曲线图。
每个子项的含义无需多言,下面介绍一下测试网络速度中的几个常用单位。
在TCP/IP协议中,数据被分成若干个包(Packets)进行传输,包的大小跟操作系统和网络带宽都有关系,一般为64、128、256、512、1024、1460等,包的单位是字节。
很多初学者对Kbps、KB、Mbps 等单位不太明白,B 和 b 分别代表Bytes(字节) 和bits (比特),1比特就是0或1。
1 Byte = 8 bits 。
1Mbps (megabits per second兆比特每秒),亦即1 x 1024 / 8 = 128KB/sec(字节/秒),我们常用的ADSL下行512K指的是每秒512K比特(Kb),也就是每秒512/8=64K字节(KB)图1图22、Host table(主机列表)如图3所示,点击图3中①所指的图标,出现图中显示的界面,选择图中②所指的IP选项,界面中出现的是所有在线的本网主机地址及连到外网的外网服务器地址,此时想看看192.168.113.88这台机器的上网情况,只需如图中③所示单击该地址出现图4界面。
Sniffer Pro抓包报告
Sniffer Pro抓包报告信研104 唐路 s2*******所用软件:Sniffer Pro v4.90.102使用ipconfig/all查看本机的基本信息如下:一、捕获TCP数据包传输控制协议TCP是网络上最常用的协议,本次使用平时较典型的HTTP 协议对TCP报文进行分析。
首先定义TCP过滤器,然后用本机(115.25.13.148)登陆北科大网站(202.204.60.28)进行HTTP测试。
图1显示了HTTP客户端与HTTP服务器之间在测试阶段的所有帧。
图1 TCP通讯的过程1、TCP三次握手(1)第一行表示TCP三次握手的起点。
在第一个数据包中,本机即HTTP客户端(115.25.13.148)向北科大服务器(202.204.60.28)发送了一个数据包,该数据包的目的端口D=80即是HTTP端口,源端口(2357)是网站从非保留端口范围中随机选择的。
SYN是TCP/IP建立连接时使用的握手信号,可以识别第一次握手。
序号SEQ=4106320857也是随机选择的,用来识别这次TCP对话。
(2)第二行表示TCP第二次握手。
服务器通过发送带有回执号ACK=4106320858的帧来发送回执对话,这个帧比上一个序号大1。
同时,服务器还在帧中包含了一个新的随机序号SEQ=2280077526,用来识别这次对话。
(3)第三行是三次握手的最后一帧。
本机发送了一个回执数据报ACK=2280077527,确认收到了来自服务器的帧。
这样就建立了对话。
现在本机和服务器就可以交换数据了。
2、以太网报文结构如图2所示,这是TCP第一次握手时的数据帧,在Sniffer的解码表中分别对每一个层次协议进行解码分析。
链路层对应“DLC”;网络层对应“IP”;传输层对应“TCP”;应用层对应的是“HTTP”等高层协议(由于TCP第一次握手时还未产生HTTP高层协议,所以下图不存在“HTTP”)。
Sniffer可以针对众多协议进行详细结构化解码分析,并利用树形结构良好的表现出来。
实验四SnifferPro数据包捕获与协议分析(2)报告
8)“00 50 56 C0 00 03”表示源主机MAC地址为:
9)“C0 A8 01 64”表示目的主机主机IP地址为:192.168.1.100
以下是ARP数据包头中部分的分析:
(4)抓取TCP协议数据包,分析TCP协议的头部信息
实验步骤及内容:
一、规划IP地址,使得虚拟机与主机通信(自定义模式)主机使用虚拟网卡1,主机IP为192.168.1.100子网掩码255.255.255.0,共享的VMNET1虚拟机IP为192.168.1.4子网掩码255.255.255.0默认网关为192.168.1.4,首选DNS为114.114.114.114。
在往前看,可知以太网首部(14字节)如下
往最后看,为18字节的填充位:
可知,该ARP数据包并没有填充位。
结合上面抓包信息以及ARP报头结构,可将28字节的ARP帧结构进行如下详细地分析:
00 01
08 00 06 04 00 02 00 0C 29 1F 3E D3 C0 A8 01 04
00 50 56 C0 00 03 C0 A8 01 64
以下截取的是TP头部的部分对应的详细信息。
(2)抓取ICMP协议数据包,分析ICMP协议的头部信息。
由上抓包截图可知,ICMP的报头头为:08 00 42 5E 02 00 0B 00 41 42……
参照以上图并结合ICMP报文头部格式可以进行详细的ICMP数据报格式分析;
1)“08”表示一个8位类型字段,表示ICMP数据包类型。
注:一般主机都有默认的TTL值,不同系统的默认值不一样。比如WINDOWS为128。不过,一般Ping得到的都不是默认值,这是因为每次IP数据包经过一个路由器的时候TTL就减一,当减到0时,这个数据包就消亡了。这也时Tracert的原理。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
编号:_______________本资料为word版本,可以直接编辑和打印,感谢您的下载实验四SnifferPro数据包捕获与协议分析甲方:___________________乙方:___________________日期:___________________一、实验目的1. 了解Sniffer的工作原理。
2. 掌握SnifferPro工具软件的基本使用方法。
3. 掌握在交换以太网环境下侦测、记录、分析数据包的方法。
二、实验原理数据在网络上是以很小的被称为“帧”或“包”的协议数据单元(PDU)方式传输的。
以数据链路层的“帧”为例,“帧”由多个部分组成,不同的部分对应不同的信息以实现相应的功能,例如,以太网帧的前12个字节存放的是源MAC地址和目的MAC地址,这些数据告诉网络该帧的来源和去处,其余部分存放实际用户数据、高层协议的报头如TCP/ IP的报头或IPX报头等等。
帧的类型与格式根据通信双方的数据链路层所使用的协议来确定,由网络驱动程序按照一定规则生成,然后通过网络接口卡发送到网络中,通过网络传送到它们的目的主机。
目的主机按照同样的通信协议执行相应的接收过程。
接收端机器的网络接口卡一旦捕获到这些帧,会告诉操作系统有新的帧到达,然后对其进行校验及存储等处理。
在正常情况下,网络接口卡读入一帧并进行检查,如果帧中携带的目的MAC地址和自己的物理地址一致或者是广播地址,网络接口卡通过产生一个硬件中断引起操作系统注意,然后将帧中所包含的数据传送给系统进一步处理,否则就将这个帧丢弃。
如果网络中某个网络接口卡被设置成“混杂”状态,网络中的数据帧无论是广播数据帧还是发向某一指定地址的数据帧,该网络接口卡将接收所有在网络中传输的帧,这就形成了监听。
如果某一台主机被设置成这种监听(Snfffing)模式,它就成了一个Sniffer。
一般来说,以太网和无线网被监听的可能性比较高,因为它们是一个广播型的网络,当然无线网弥散在空中的无线电信号能更轻易地截获。
三、实验内容及要求要求:本实验在虚拟机中安装SnifferPro4.7版本,要求虚拟机开启FTP、Web、Telnet等服务,即虚拟机充当服务器,物理机充当工作站。
物理机通过Ping命令、FTP访问及网页访问等操作实验网络数据帧的传递。
内容:1.监测网络中计算机的连接状况2.监测网络中数据的协议分布3.监测分析网络中传输的ICMP数据4.监测分析网络中传输的HTTP数据5.监测分析网络中传输的FTP数据四、实验步骤介绍最基本的网络数据帧的捕获和解码,详细功能。
I.Sniffer Pro 4.7的安装与启动1)启动Sniffer Pro 4.7。
在获取Sniffer Pro 4.7软件的安装包后,运行安装程序,按要求输入相关信息并输入注册码,若有汉化包请在重启计算机前进行汉化。
完成后重启计算机,点击“开始”“程序”“Sniffer Pro”"Sniffer”,启动“Sniffer Pro 4.7”程序。
2)选择用于Sniffer的网络接口。
如果计算机有多个网络接口设备,则可通过菜单“File”“Select Setting^,选择其中的一个来进行监测。
若只有一块网卡,则不必进行此步骤。
2.监测网络中计算机的连接状况配置好服务器和工作站的TCP/IP设置并启动Sniffer Pro软件,选择“菜单”中“ Monitor (监视器)” “Matrix (主机歹U表)”,从工作站访问服务器上的资源,如WWW、FTP等,观察检测到的网络中的连接状况,记录下各连接的IP地址和MAC地址。
如图1-1 所示。
kMM A IP XFX /图1-1被监控计算机列表3. 监测网络中数据的协议分布选择菜单" Monitor” t " Protocal distribution (协议分布)”,监测数据包中的使用的协议情况,如图 1-2所示。
记录下时间和协议分布情况。
-lc XIK MAC A P A FX /图1-2被监控网络协议分布4. 监测分析网络中传输的ICMP 数据1)定义过滤规则:点击菜单" Capture”"Define Filter (定义过滤器)”,在在对话框中进行操作。
点击“AddresS'(地址)选项卡,设置:“地址类型”为IP, “包含”本机地址,即在“位置 1”输入本机IP 地址,“方向” (Dir.)为“双向”,“位置2”为“任意的”。
点击“Advanced (高级)”选项卡,在该项下选择“ IP” t “ICMP ”。
设置完成后点击菜单中“ Capture (捕获)” t “Start”开 始记录监测数据。
显示如图1-3和图1-4所示。
图1-3监控地址选择图1-4监控协议选择3) 从工作站Ping 服务器的IP 地址。
4) 观察监测到的结果:点击菜单中“ Capture” t “Stop and display/',将进入记录结果的窗口。
点击下方各选项卡可观察各项记 录,可通过“ File” tSave 保存监测记录。
5) 记录监测到的ICMP 传输记录:点击记录窗口下方的解码" Decode (解码)”选项,进入解码窗口,分析记录,找到工作站向 服务器发出的请求命令并记录有关信息。
结果如图1-5。
5. 监测分析网络中传输的HTTP 数据91 愤—a=s P 也含叩r 瞒引己虫顺JtdnWld 黔棺要 地址懊膈式I 醐 ]锡冲I 增址勉也)忌flOOQ23FEJ18^i6昌如195BE643B& gmO(5E7FFFFA 吕「»,Ilo ®fl岂惴司| V^lua U1,1) 在服务器的 Web 目录下放置一个网页又件。
2) 定义过滤规则:点击菜单" Capture”“Define Filter ”,在对话框中点“ Advanced”选项卡,在该项下选择“ IP” t “TCP” t“HTTP ”。
设置完成后点击菜单中“ Capture” t “Start"开始记录监测数据。
3) 从工作站用浏览器访问服务器上的网页文件。
4) 观察监测到的结果:点击菜单中“ Capture” t “Stop and display/',将进入记录结果的窗口,点击下方各选项卡可观察各项记 录。
点击 “ File” tSave 保存记录。
5) 记录监测到的HTTP 传输记录:点击记录窗口下方的解码" Decode”选项,进入解码窗口,分析记录,找到工作站向服务器 发出的网页请求命令并记录有关信息。
6. 监测分析网络中传输的FTP 数据(课外完成)1) 启用服务器的Serv-U 软件,在FTP 服务目录下放置一个文本文件。
2) 定义过滤规则:点击菜单" Capture” t “Define Filter ”,在“Summary”选项卡下点击“ Reset,按钮将过滤规则恢复到初始状 态,然后在“ Advanced”选项卡下选择“ IP” t “TCP” t “FTP”。
设置完成后点击菜单" Capture” t “Start”开始记录监测数据。
3) 从工作站用FTP 下载服务器上的文本文件。
4) 观察监测到的结果:点击菜单" Capture” t “Stop and display^ ,进入记录结果的窗口,点击下方各选项卡观察各项记录并保 存记录。
监控显示如图1-6所示。
可以看到登录密码也是明文显示的。
cist 人查毛蜕计表为归 划对活/图1-6 FTP 数据包解码结果5)记录监测到的FTP 传输记录:点击记录窗口下方的解码" Decode”选项,进入解码窗口,分析记录,找到工作站向服务器发 出的FTP 命令并记录。
五、拓展实验根据上述的实验中介绍的功能,完成下面实验任务利用sniffer 捕获数据包并分析(要求在实验报告中写出抓取该数据包所采用的网络服务)1. 抓取IP 数据包,分析IP 数据包的头部信息;2. 抓取ICMPB 议数据包,分析 ICMPB 议的头部信息。
3. 抓取ARPB 议数据包,分析 ARP&议数据包的信息和封装情况4. 抓取TCPB 议数据包,分析 TCPB 议的头部信息5. 抓取UDP&议数据包,分析 UDP >议的头部信息6. 思考:根据上述实验内容中 FTP 数据包捕获,I 序号|目标地址|捕妥I TCP: D-21 S*4X94I FTP: R FORT*4494 FTP: C FORE494 FTP:R FORE 两 FTP: CFORT*"4CK-26339SB371耻川|一的由n 厘220 MierasoEt FTP.首FTP® 录割用『*331 Pa»vard requiredHP GL - . --------------------- FTP 对成的登录宅r Ba ■ .J__________________ I 2J腐 TCF :Source port0 TCP. DEStination port 图j TCPScqucrLcc number< I —449421 (FTP-ctrl) < 1205445112HPW 端口号001000000 OiOODOOlO 0OIDD002ID 00000030 000000-40b Q 5 o 4 a o 1 Q 7 n- o o 1 d 4 D o G d- f B & 2 f n.' a d 7 9 a 1 6 4 2 R- L L 7c c 6 4 3 o 3 01- & 7 o o 3 f 9. o o o £ -b.b 1 f 1 a Q f 6 Ba cu1。
9z 3 b a 2a B a f 5 o1)截取本地主机和telnet服务器之间传输的的用户名和密码,查看是否能截取到,如果能,数据包有什么特点;。