实验四SnifferPro数据包捕获与协议分析

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

编号:_______________本资料为word版本,可以直接编辑和打印,感谢您的下载

实验四SnifferPro数据包捕获与协议分析

甲方:___________________

乙方:___________________

日期:___________________

一、实验目的

1. 了解Sniffer的工作原理。

2. 掌握SnifferPro工具软件的基本使用方法。

3. 掌握在交换以太网环境下侦测、记录、分析数据包的方法。

二、实验原理

数据在网络上是以很小的被称为“帧”或“包”的协议数据单元(PDU)方式传输的。以数据链路层的“帧”为例,“帧”由多

个部分组成,不同的部分对应不同的信息以实现相应的功能,例如,以太网帧的前12个字节存放的是源MAC地址和目的MAC地

址,这些数据告诉网络该帧的来源和去处,其余部分存放实际用户数据、高层协议的报头如TCP/ IP的报头或IPX报头等等。帧的

类型与格式根据通信双方的数据链路层所使用的协议来确定,由网络驱动程序按照一定规则生成,然后通过网络接口卡发送到网络中,通过网络传送到它们的目的主机。目的主机按照同样的通信协议执行相应的接收过程。接收端机器的网络接口卡一旦捕获到这些帧,会告诉操作系统有新的帧到达,然后对其进行校验及存储等处理。

在正常情况下,网络接口卡读入一帧并进行检查,如果帧中携带的目的MAC地址和自己的物理地址一致或者是广播地址,网络

接口卡通过产生一个硬件中断引起操作系统注意,然后将帧中所包含的数据传送给系统进一步处理,否则就将这个帧丢弃。

如果网络中某个网络接口卡被设置成“混杂”状态,网络中的数据帧无论是广播数据帧还是发向某一指定地址的数据帧,该网络

接口卡将接收所有在网络中传输的帧,这就形成了监听。如果某一台主机被设置成这种监听(Snfffing)模式,它就成了一个Sniffer。

一般来说,以太网和无线网被监听的可能性比较高,因为它们是一个广播型的网络,当然无线网弥散在空中的无线电信号能更轻易地截获。

三、实验内容及要求

要求:本实验在虚拟机中安装SnifferPro4.7版本,要求虚拟机开启FTP、Web、Telnet等服务,即虚拟机充当服务器,物理机充当工作站。物理机通过Ping命令、FTP访问及网页访问等操作实验网络数据帧的传递。

内容:

1.监测网络中计算机的连接状况

2.监测网络中数据的协议分布

3.监测分析网络中传输的ICMP数据

4.监测分析网络中传输的HTTP数据

5.监测分析网络中传输的FTP数据

四、实验步骤

介绍最基本的网络数据帧的捕获和解码,详细功能。

I.Sniffer Pro 4.7的安装与启动

1)启动Sniffer Pro 4.7。在获取Sniffer Pro 4.7软件的安装包后,运行安装程序,按要求输入相关信息并输入注册码,若有汉化

包请在重启计算机前进行汉化。完成后重启计算机,点击“开始”“程序”“Sniffer Pro”"Sniffer”,启动“Sniffer Pro 4.7”

程序。

2)选择用于Sniffer的网络接口。如果计算机有多个网络接口设备,则可通过菜单“File”“Select Setting^,选择其中的一个

来进行监测。若只有一块网卡,则不必进行此步骤。

2.监测网络中计算机的连接状况

配置好服务器和工作站的TCP/IP设置并启动Sniffer Pro软件,选择“菜单”中“ Monitor (监视器)” “Matrix (主机歹U表)”,从工作站访问服务器上的资源,如WWW、FTP等,观察检测到的网络中的连接状况,记录下各连接的IP地址和MAC地址。如图1-1 所示。

kMM A IP XFX /

图1-1被监控计算机列表

3. 监测网络中数据的协议分布

选择菜单" Monitor” t " Protocal distribution (协议分布)”,监测数据包中的使用的协议情况,如图 1-2所示。记录下时间和协

议分布情况。

-lc XI

K MAC A P A FX /

图1-2被监控网络协议分布

4. 监测分析网络中传输的ICMP 数据

1)定义过滤规则:点击菜单" Capture”

"Define Filter (定义过滤器)”,在在对话框中进行操作。

点击“AddresS'(地址)选项卡,设置:“地址类型”为IP, “包含”本机地址,即在“位置 1”输入本机IP 地址,“方向” (Dir.)为“双向”,“位置2”为“任意的”。

点击“Advanced (高级)”选项卡,在该项下选择“ IP” t “ICMP ”。设置完成后点击菜单中“ Capture (捕获)” t “Start”开 始记录监测数据。 显示如图1-3和图1-4所示。

图1-3监控地址选择

图1-4监控协议选择

3) 从工作站Ping 服务器的IP 地址。

4) 观察监测到的结果:点击菜单中“ Capture” t “Stop and display/',将进入记录结果的窗口。点击下方各选项卡可观察各项记 录,可通过“ File” tSave 保存监测记录。

5) 记录监测到的ICMP 传输记录:点击记录窗口下方的解码" Decode (解码)”选项,进入解码窗口,分析记录,找到工作站向 服务器发出的请求命令并记录有关信息。结果如图

1-5。

5. 监测分析网络中传输的HTTP 数据

91 愤—

a=s P 也含叩

r 瞒引

己虫顺JtdnWld 黔

棺要 地址

懊膈式I 醐 ]锡冲I 增址勉也)忌

flOOQ23FEJ18^i6

昌如195BE643B& gmO(5E7FFFFA 吕「»

,I

lo ®fl

岂惴司

| V^lua U1

相关文档
最新文档