下载文档原格式
网络分析工具Sniffer Pro一、训练目标1、了解常用网络分析工具2、会使用网络分析工具Sniffer Pro二、实训环境要求利用VMware软件虚拟出一台计算机(称为“虚拟机”或“虚拟系统”),与物理机组成一个最小的网络实验环境,作为网络攻击的目标计算机,物理机作为实施网络攻击的主机。
建议安装方式:在XP系统中,安装虚拟的windows2003/2000 Server系统三、实训内容任务1:网络分析工具Sniffer Pro的使用Sniffer Pro是一种很好的网络分析程序,允许管理员逐个数据包查看通过网络的实际数据,从而了解网络的实际运行情况。
它具有以下特点:1. 可以解码至少450种协议。
除了IP、IPX和其它一些“标准”协议外,Sniffer Pro还可以解码分析很多由厂商自己开发或者使用的专门协议,比如思科VLAN中继协议(ISL)。
2. 支持主要的局域网(LAN)、城域网(WAN)等网络技术(包括高速与超高速以太网、令牌环、802.11b无线网、SONET传递的数据包、T-1、帧延迟和ATM)。
3. 提供在位和字节水平上过滤数据包的能力。
4. 提供对网络问题的高级分析和诊断,并推荐应该采取的正确措施。
5. Switch Expert可以提供从各种网络交换机查询统计结果的功能。
6. 网络流量生成器能够以千兆的速度运行。
7. 可以离线捕获数据,如捕获帧。
因为帧通常都是用8位的分界数组来校准,所以SnifferPro只能以字节为单位捕获数据。
但过滤器在位或者字节水平都可以定义。
需要注意的是,使用Sniffer捕获数据时,由于网络中传输的数据量特别大,如果安装Sniffer的计算机内存太小,会导致系统交换到磁盘,从而使性能下降。
如果系统没有足够的物理内存来执行捕获功能,就很容易造成Sniffer系统死机或者崩溃。
因此,网络中捕获的流量越多,Sniffer系统就应该运行得更快、功能更强。
目录基本的TCP/IP协议介绍(IP/TCP/UDP) 1超级网络分析工具Sniffer Pro详解 6TCP/IP网络数据报分析26使用Sniffer工具进行TCP/IP、ICMP数据包分析32TCP协议分析实验37基本的TCP/IP协议介绍(IP/TCP/UDP)IP/IPv4:网际协议IP/IPv4:网际协议(IP/IPv4:Internet Protocol)网际协议(IP)是一个网络层协议,它包含寻址信息和控制信息,可使数据包在网络中路由。
IP 协议是TCP/IP 协议族中的主要网络层协议,与TCP 协议结合组成整个因特网协议的核心协议。
IP 协议同样都适用于LAN 和WAN 通信。
IP 协议有两个基本任务:提供无连接的和最有效的数据包传送;提供数据包的分割及重组以支持不同最大传输单元大小的数据连接。
对于互联网络中IP 数据报的路由选择处理,有一套完善的IP 寻址方式。
每一个IP 地址都有其特定的组成但同时遵循基本格式。
IP 地址可以进行细分并可用于建立子网地址。
TCP/IP 网络中的每台计算机都被分配了一个唯一的32 位逻辑地址,这个地址分为两个主要部分:网络号和主机号。
网络号用以确认网络,如果该网络是因特网的一部分,其网络号必须由InterNIC 统一分配。
一个网络服务器供应商(ISP)可以从InterNIC 那里获得一块网络地址,按照需要自己分配地址空间。
主机号确认网络中的主机,它由本地网络管理员分配。
当你发送或接受数据时(例如,一封电子信函或网页),消息分成若干个块,也就是我们所说的“包”。
每个包既包含发送者的网络地址又包含接受者的地址。
由于消息被划分为大量的包,若需要,每个包都可以通过不同的网络路径发送出去。
包到达时的顺序不一定和发送顺序相同,IP 协议只用于发送包,而TCP 协议负责将其按正确顺序排列。
除了ARP 和RARP ,其它所有TCP/IP 族中的协议都是使用IP 传送主机与主机间的通信。
实验八-网络性能监测分析工具Sniffer捕获高层协议数据包并分析实验目的: 使用Sniffer抓取ftp的数据报分析FTP的三次“握手”的过程。
分析FTP客户端和服务器端通信过程实验环境: Windows环境下常用的协议分析工具: sniffer 搭建Serv-U FTP Server, 在计算机上建立FTP服务器VMware虚拟机, 用虚拟机进行登录FTP。
实验内容和步骤:1. 建立网络环境。
用Serv-U FTP Server在计算机上建立一台FTP服务器, 设置IP地址为: 192.168.0.10。
在Serv-U FTP Server中已设定用户xyz, 密码123123。
(也可以自行设定其他帐号)2. 在此计算机上安装了sniffer。
3.启动该机器上的虚拟机作为一台FTP客户端, 设置IP地址为: 192.168.0.12。
4. 使用ping命令看是否连通。
记录结果。
5. 使用虚拟机登录FTP服务器。
6. 运行sniffer嗅探器, 并在虚拟机的“运行”中输入ftp://192.168.0.10, 点确定后出现如下图的登录窗口:在登录窗口中输入:用户名(xyz), 密码(123123)使用sniffer抓包, 再在sniffer软件界面点击“stop and display”, 选择“Decode”选项, 完成FTP命令操作过程数据包的捕获。
8.在sniffer嗅探器软件上点击Objects可看到下图, 再点击“DECODE(反解码)。
记录FTP三次握手信息, 写出判断这三个数据包的依据(如syn及ack)。
记录端口信息等内容。
9.找出数据包中包含FTPUSER命令的数据包, 记录显示的用户名。
10.捕获用户发送PASS命令的数据包, 记录显示的密码。
11. 找出FTP服务器端与客户端端口20进行三次握手打开数据传输。
记录数据信息。
实验二使用sniffer pro 分析IP 协议数据(一)实验目的Sniffer pro协议分析器能获取在同一网络内的所有数据流量,掌握sniffer pro的常用方法,能用sniffer分析器获取IP数据报,进行分析验证IP数据报格式。
(二)实验环境需要有sniffer pro的一个物理网络环境,sniffer pro可运行在局域网的任何一台主机上,如果是练习使用,网络最好接在用Hub且在一个子网上,这样能装到hub上每台机器传输的包(三)常用功能介绍1、Dashboard(网络流量表)在网络流量表中有三个表:①网络的使用率②网络每秒钟通过的包的数量③网络每秒的错误率2、Host table(主机列表)这里我们查看本网主机地址及连到外网的服务器地址。
3、Detail(协议列表)在此可以清楚的看到那台机器运行了哪些协议4、Bar流量表在该图中,显示的是整个网络中机器所用带宽前10名的情况。
可以按柱状图和饼图来显示。
5、Matrix(网络连接)绿线表示正在发生网络的连接,篮协表示过去发生的连接。
6、捕获报文查看Sniffer具有强大的分析能力和解码能力,对捕获的报文提供expert专家系统进行分析7、设置捕获条件基于捕获的条件有两种:①路层捕获②IP层捕获在Advanced条件下,我们还可以编辑协议捕获条件,如设置只捕获ICMP协议,还可以设置捕获的包的大小,包的类型等。
8.定义适配器为获取IP协议数据前,选择Capture菜单中的Defind Filter,选择图中ADDress项,在station和2中分别填写两台主机的IP地址,选择Advanced选项,选择IP/TCP,package size设置为Normal。
9.分析IP协议头信息4位的版本号4位的首部长度8位的服务类型16位的总长度16位的标识8位的生存时间8位的协议16位的首部检验和32位源IP地址和32位目的IP地址(四)实验步骤1、网络流量表在左边,我们可以选择索要显得信息,蓝线表示每秒通过的包的数目,绿线表示网络的使用率,红线表示错误率等2、查看主机列表在这里我们可以看见本网的主机以及连接到外网的主机。
、实验目的:1、理解协议分析仪的工作原理;2、学会使用Sniffer Pro捕获数据包;3、学会分析协议数据包。
二、实验设备硬件:PC机二台和交换机一台。
软件:作服务器的PC需安装Windows 2000 Server,另一台PC作客户机,可为Windows 2000/XP,并安装Sniffer Pro 4.7.5。
拓朴结构图:三、任务描述作为公司网络管理员需要熟悉网络协议,熟练使用协议分析仪。
使用协议分析仪,宏观上,可以进行统计以确定网络性能。
微观上,可以从数据包分析中了解协议的实现情况,是否存在网络攻击行为等,为制定安全策略及进行安全审计提供直接的依据。
四、实验内容和要求1、使用Sniffer Pro捕获数据包;2、定义过滤条件;3、分析数据包协议;4、截获HTTP网页内容(如手机号码)5、截获FTP客户名和密码。
五、实验步骤:1、设置IP地址:为了避免各组的IP地址发生冲突,各组将本组机的IP地址设为192.168.X.N,X为组号,N由组长指定,组内机要不相同。
服务器的IP地址: Sniffer Pro机的IP:2、新建文件夹和文件新建文件夹“D:\MyFTP”和文本文件:“test.txt”。
test.txt中的内容为:Hello, everybody! Miss you!3、新建本地用户:右击“我的电脑”—>“管理”—>“计算机管理” —>“用户”,新建用户FTPuser,密码为ftpXXXX,XXXX为班号+组号,如一班三组为:0103。
4、创建一个FTP站点:a)单击“开始”—》“程序”—》“管理工具”—》“Internet信息服务”,打开“Internet信息服务”管理工具。
b)右键单击“默认FTP站点”,选择“属性”,进入“默认FTP站点属性”设置界面。
c)修改主目录:在“本地路径”输入自己站点所在的文件夹“D:\MyFtp”。
d)设置客户对文件的操作类型(见上图),允许的操作有“读取”、“写入“和“日志”。
实验二网络抓包——sniffer pro的使用实验目的:1.了解网络嗅探的原理;2.掌握Sniffer Pro嗅探器的使用方法;实验学时:2课时实验形式:上机实验器材:联网的PC机实验环境:操作系统为Windows2000/XP实验内容:任务一熟悉Sniffer Pro工具的使用任务二使用Sniffer Pro抓获数据包实验步骤:任务一熟悉Sniffer Pro工具的使用1. Sniffer Pro工具简介Sniffer软件是NAI公司推出的功能强大的协议分析软件,具有捕获网络流量进行详细分析、利用专家分析系统诊断问题、实时监控网络活动和收集网络利用率和错误等功能,实验中使用Sniffer Pro4.7.5来截获网络中传输的FTP和HTTP数据包,并进行分析。
2. 使用说明在sniffer pro初次启动时,可能会提示选择一个网络适配器进行镜像,如图1所示,此时正确选择接入网络的网卡,这样sniffer pro才可以把网卡设置为混杂(Promiscuous)模式,以接收在网络上传输的数据包。
图1 网卡设置Sniffer Pro运行后的主界面如图2所示。
图2 sniffer pro主界面(1)工具栏简介如图3所示。
快捷键的含义如图4所示。
(2)网络监视面板简介在捕获过程中可以通过Capture Panel 查看网络的利用率、捕获报文的数量和缓冲区的利用率,如图5所示。
(3)捕获数据包窗口简介Sniffer 软件提供了强大的分析能力和解码功能。
如图6所示,对于捕获的报文提供了一个Expert 专家分析系统进行分析,还有解码选项及图形和表格的统计信息。
图3工具栏捕获停止捕获条件选择捕获捕获开始捕获暂停捕获停止并查看捕获查看编辑条件图4 快捷键含义图5 Capture Panel图6 捕获数据窗口●专家分析专家分析系统提供了一个智能的分析平台,对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。
惠州学院《计算机网络》实验报告
实验08 Sniffer Pro数据包捕获与协议分析
1. 实验目的
(1)了解Sniffer的工作原理。
(2)掌握SnifferPro工具软件的基本使用方法。
(3)掌握在非交换以太网环境下侦测、记录、分析数据包的方法。
2. 实验原理
数据在网络上是以很小的被称为“帧”或“包”的协议数据单元(PDU)方式传输的。
以数据链路层的“帧”为例,“帧”由多个部分组成,不同的部分对应不同的信息以实现相应的功能,例如,以太网帧的前12个字节存放的是源MAC地址和目的MAC地址,这些数据告诉网络该帧的来源和去处,其余部分存放实际用户数据、高层协议的报头如TCP/IP 的报头或IPX报头等等。
帧的类型与格式根据通信双方的数据链路层所使用的协议来确定,由网络驱动程序按照一定规则生成,然后通过网络接口卡发送到网络中,通过网络传送到它们的目的主机。
目的主机按照同样的通信协议执行相应的接收过程。
接收端机器的网络接口卡一旦捕获到这些帧,会告诉操作系统有新的帧到达,然后对其进行校验及存储等处理。
在正常情况下,网络接口卡读入一帧并进行检查,如果帧中携带的目的MAC地址和自己的物理地址一致或者是广播地址,网络接口卡通过产生一个硬件中断引起操作系统注意,然后将帧中所包含的数据传送给系统进一步处理,否则就将这个帧丢弃。
如果网络中某个网络接口卡被设置成“混杂”状态,网络中的数据帧无论是广播数据帧还是发向某一指定地址的数据帧,该网络接口卡将接收所有在网络中传输的帧,这就形成了监听。
如果某一台主机被设置成这种监听(Snfffing)模式,它就成了一个Sniffer。
一般来说,以太网和无线网被监听的可能性比较高,因为它们是一个广播型的网络,当然无线网弥散在空中的无线电信号能更轻易地截获。
3. 实验环境与器材
本实验在虚拟机中安装SnifferPro4.7版本,要求虚拟机开启FTP、HTTP等服务,即虚拟机充当服务器,物理机充当工作站。
物理机通过Ping命令、FTP访问及网页访问等操作实验网络数据帧的传递。
4. 实验内容
介绍最基本的网络数据帧的捕获和解码,详细功能请参阅本教材辅助材料。
(1)Sniffer Pro 4.7的安装与启动
1)启动Sniffer Pro 4.7。
在获取Sniffer Pro 4.7软件的安装包后,运行安装程序,按要求输入相关信息并输入注册码,若有汉化包请在重启计算机前进行汉化。
完成后重启计算机,点击“开始”→“程序”→“Sniffer Pro”→“Sniffer”,启动“Sniffer Pro 4.7”程序。
2)选择用于Sniffer的网络接口。
如果计算机有多个网络接口设备,则可通过菜单“File”→“Select Settings”,选择其中的一个来进行监测。
若只有一块网卡,则不必进行此步骤。
(2)监测网络中计算机的连接状况
配置好服务器和工作站的TCP/IP设置并启动Sniffer Pro软件,选择“菜单”中“Monitor”“Matrix”,从工作站访问服务器上的资源,如WWW、FTP等,观察检测到的网络中的连接状况,记录下各连接的IP地址和MAC地址。
如图15-8所示。
图15-8 被监控计算机列表
(3)监测网络中数据的协议分布
选择菜单“Monitor”→“Protocal distribution”,监测数据包中的使用的协议情况,如图15-9所示。
记录下时间和协议分布情况。
图15-9 被监控网络协议分布
(4)监测分析网络中传输的ICMP数据
1)定义过滤规则:点击菜单“Capture”→“Define Filter”,在在对话框中进行操作。
●点击“Address”(地址)选项卡,设置:“地址类型”为IP,“包含”本机地址,即
在“位置1”输入本机IP地址,“方向”(Dir.)为“双向”,“位置2”为“任意的”。
●点击“Advanced”选项卡,在该项下选择“IP”→“ICMP”。
设置完成后点击菜单
中“Capture”→“Start”开始记录监测数据。
显示如图15-10和图15-11所示。
图15-10 监控地址选择图15-11 监控协议选择
3)从工作站Ping服务器的IP地址。
4)观察监测到的结果:点击菜单中“Capture”→“Stop and display”,将进入记录结果的窗口。
点击下方各选项卡可观察各项记录,可通过“File”→Save”保存监测记录。
5)记录监测到的ICMP传输记录:点击记录窗口下方的解码“Decode”选项,进入解码窗口,分析记录,找到工作站向服务器发出的请求命令并记录有关信息。
结果如图15-12。
图15-12 ICMP数据包解码示例
(5)监测分析网络中传输的HTTP数据
1)在服务器的Web目录下放置一个网页文件。
2)定义过滤规则:点击菜单“Capture” “Define Filter”,在对话框中点“Advanced”选项卡,在该项下选择“IP”→“TCP”→“HTTP”。
设置完成后点击菜单中“Capture”→“Start'’开始记录监测数据。
3)从工作站用浏览器访问服务器上的网页文件。
4)观察监测到的结果:点击菜单中“Capture”→“Stop and display”,将进入记录结果的窗口,点击下方各选项卡可观察各项记录。
点击“File”→Save”保存记录。
5)记录监测到的HTTP传输记录:点击记录窗口下方的解码“Decode”选项,进入解码窗口,分析记录,找到工作站向服务器发出的网页请求命令并记录有关信息。
(6)监测分析网络中传输的FTP数据
1)启用服务器的Serv-U软件,在FTP服务目录下放置一个文本文件。
最好在FTP中建立两个用户,即匿名用户(anonymous)和一个授权用户(用户名、权限自定)。
2)定义过滤规则:点击菜单“Capture”→“Define Filter”,在“Summary”选项卡下点击“Reset"按钮将过滤规则恢复到初始状态,然后在“Advanced”选项卡下选择“IP”→“TCP”→“FTP”。
设置完成后点击菜单“Capture”→“Start”开始记录监测数据。
3)从工作站用FTP下载服务器上的文本文件。
4)观察监测到的结果:点击菜单“Capture”→“Stop and display”,进入记录结果的窗口,点击下方各选项卡观察各项记录并保存记录。
监控显示如图15-13所示。
可以看到登录密码也是明文显示的。
图15-13 FTP数据包解码结果
5)记录监测到的FTP传输记录:点击记录窗口下方的解码“Decode”选项,进入解码窗口,分析记录,找到工作站向服务器发出的FTP命令并记录。
实验图片。
