实验四SnifferPro数据包捕获与协议分析
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
编号:_______________本资料为word版本,可以直接编辑和打印,感谢您的下载
实验四SnifferPro数据包捕获与协议分析
甲方:___________________
乙方:___________________
日期:___________________
一、实验目的
1. 了解Sniffer的工作原理。
2. 掌握SnifferPro工具软件的基本使用方法。
3. 掌握在交换以太网环境下侦测、记录、分析数据包的方法。
二、实验原理
数据在网络上是以很小的被称为“帧”或“包”的协议数据单元(PDU)方式传输的。以数据链路层的“帧”为例,“帧”由多
个部分组成,不同的部分对应不同的信息以实现相应的功能,例如,以太网帧的前12个字节存放的是源MAC地址和目的MAC地
址,这些数据告诉网络该帧的来源和去处,其余部分存放实际用户数据、高层协议的报头如TCP/ IP的报头或IPX报头等等。帧的
类型与格式根据通信双方的数据链路层所使用的协议来确定,由网络驱动程序按照一定规则生成,然后通过网络接口卡发送到网络中,通过网络传送到它们的目的主机。目的主机按照同样的通信协议执行相应的接收过程。接收端机器的网络接口卡一旦捕获到这些帧,会告诉操作系统有新的帧到达,然后对其进行校验及存储等处理。
在正常情况下,网络接口卡读入一帧并进行检查,如果帧中携带的目的MAC地址和自己的物理地址一致或者是广播地址,网络
接口卡通过产生一个硬件中断引起操作系统注意,然后将帧中所包含的数据传送给系统进一步处理,否则就将这个帧丢弃。
如果网络中某个网络接口卡被设置成“混杂”状态,网络中的数据帧无论是广播数据帧还是发向某一指定地址的数据帧,该网络
接口卡将接收所有在网络中传输的帧,这就形成了监听。如果某一台主机被设置成这种监听(Snfffing)模式,它就成了一个Sniffer。
一般来说,以太网和无线网被监听的可能性比较高,因为它们是一个广播型的网络,当然无线网弥散在空中的无线电信号能更轻易地截获。
三、实验内容及要求
要求:本实验在虚拟机中安装SnifferPro4.7版本,要求虚拟机开启FTP、Web、Telnet等服务,即虚拟机充当服务器,物理机充当工作站。物理机通过Ping命令、FTP访问及网页访问等操作实验网络数据帧的传递。
内容:
1.监测网络中计算机的连接状况
2.监测网络中数据的协议分布
3.监测分析网络中传输的ICMP数据
4.监测分析网络中传输的HTTP数据
5.监测分析网络中传输的FTP数据
四、实验步骤
介绍最基本的网络数据帧的捕获和解码,详细功能。
I.Sniffer Pro 4.7的安装与启动
1)启动Sniffer Pro 4.7。在获取Sniffer Pro 4.7软件的安装包后,运行安装程序,按要求输入相关信息并输入注册码,若有汉化
包请在重启计算机前进行汉化。完成后重启计算机,点击“开始”“程序”“Sniffer Pro”"Sniffer”,启动“Sniffer Pro 4.7”
程序。
2)选择用于Sniffer的网络接口。如果计算机有多个网络接口设备,则可通过菜单“File”“Select Setting^,选择其中的一个
来进行监测。若只有一块网卡,则不必进行此步骤。
2.监测网络中计算机的连接状况
配置好服务器和工作站的TCP/IP设置并启动Sniffer Pro软件,选择“菜单”中“ Monitor (监视器)” “Matrix (主机歹U表)”,从工作站访问服务器上的资源,如WWW、FTP等,观察检测到的网络中的连接状况,记录下各连接的IP地址和MAC地址。如图1-1 所示。
kMM A IP XFX /
图1-1被监控计算机列表
3. 监测网络中数据的协议分布
选择菜单" Monitor” t " Protocal distribution (协议分布)”,监测数据包中的使用的协议情况,如图 1-2所示。记录下时间和协
议分布情况。
-lc XI
K MAC A P A FX /
图1-2被监控网络协议分布
4. 监测分析网络中传输的ICMP 数据
1)定义过滤规则:点击菜单" Capture”
"Define Filter (定义过滤器)”,在在对话框中进行操作。
点击“AddresS'(地址)选项卡,设置:“地址类型”为IP, “包含”本机地址,即在“位置 1”输入本机IP 地址,“方向” (Dir.)为“双向”,“位置2”为“任意的”。
点击“Advanced (高级)”选项卡,在该项下选择“ IP” t “ICMP ”。设置完成后点击菜单中“ Capture (捕获)” t “Start”开 始记录监测数据。 显示如图1-3和图1-4所示。
图1-3监控地址选择
图1-4监控协议选择
3) 从工作站Ping 服务器的IP 地址。
4) 观察监测到的结果:点击菜单中“ Capture” t “Stop and display/',将进入记录结果的窗口。点击下方各选项卡可观察各项记 录,可通过“ File” tSave 保存监测记录。
5) 记录监测到的ICMP 传输记录:点击记录窗口下方的解码" Decode (解码)”选项,进入解码窗口,分析记录,找到工作站向 服务器发出的请求命令并记录有关信息。结果如图
1-5。
5. 监测分析网络中传输的HTTP 数据
91 愤—
a=s P 也含叩
r 瞒引
己虫顺JtdnWld 黔
棺要 地址
懊膈式I 醐 ]锡冲I 增址勉也)忌
flOOQ23FEJ18^i6
昌如195BE643B& gmO(5E7FFFFA 吕「»
,I
lo ®fl
岂惴司
| V^lua U1
,