HTTP抓包分析
一:实验目的:
1、学习使用网络数据抓包软件Ethereal,对互连网进行数据抓包,巩固对所学知识的
理解
二:实验内容:
1、分析http协议请求的响应过程。
2、分析TCP的处理过程,HTTP,TCp的报文格式。
三:实验环境及工具
1、虚拟主机XP,虚拟网卡NAT,TCP/IP参数自动获取
2、安装Wireshark抓包软件
四:实验步骤
1、安装Wireshark,简单描述安装步骤。
2、打开wireshark,选择接口选项列表。或单击“Capture”,配置“option”选项。
3、设置完成后,点击“start”开始抓包,显示结果。
4、选择某一行抓包结果,双击查看此数据包具体结构
五:网络协议包数据分析
1:http请求报文分析(第8个包)
请求行:方法字段:GET,版本是http/1.1.
首部行:主机host:https://www.doczj.com/doc/537186609.html,;Connection:Keep-Alive,即保持持久连接;Accept-language:zh-cn,即接收语言是中文。
2.http响应报文(第55个包)
状态行:http/1.1 200 OK;请求成功。
首部行:响应Date:sat,21,Apr 2012 04:58:18 GMT ;Content-Type:text/html 指示实体主体中的对象是text/html文本;Content-Length:35593 表明了被发送对象的字节数是35593个字节。
:3:TCP报文格式分析:
报文格式:
如截图可知:源端口号:80,目的端口号3968,序号:1,确认号:424,首部长度:20 bytes,Flags=0X10(URG=0,ACK=1,PSH=0,RST=0,SYN=0,FIN=0)接收窗口大小:65112;检验和:0x8a44。
4:TCP响应(3次握手)分析:
1)服务器应用启动,进入LISTEN状态;
2)客户端向服务器端发送一个TCP报文段,该段设置SYN标识,请求跟服务器端应用同步,之后进入SYN-SENT状态,等待服务器端的响应;(第5个包)
3)服务器端应用收到客户端的SYN 段之后,发送一个TCP段响应客户端,该段设置SYN和ACK标识,告知客户端自己接受它的同步请求,同时请求跟客户端同步。之后进入
SYN-RECEIVED状态;(第6个包)
4)客户端收到服务器端的SYN+ACK段之后,发送一个TCP段,该段设置ACK标识,告知服务器端自己接受它的同步请求。之后,进入ESTABLISHED状态;(第7个包)
5)服务器端应用收到客户端的ACK段之后,进入ESTABLISHED状态。
到此,客户端跟服务器端的TCP连接就建立起来了。
六:实践总结
通过这次试验,培养了自己动手的能力,另外,通过对wireshark抓包软件的使用,用其来抓取数据包,对http的请求、响应报文有了进一步的了解,对建立TCP连接时的三次握手有了切实的体会,通过对TCP报文首部格式的分析,并且把课本上多学的理论知识与实践结合起来,对以前的知识得到深化和巩固,为以后学习新的知识打下基础,也提高了学习的兴趣,收获很大。
课程设计II报告 (2011 / 2012 学年第一学期) 题目1:共享网络嗅探工具(如Sniffer Pro)的功能使用和结构分析 题目2:IP地址欺骗扫描工具Hping2的使用 专业 学生姓名 班级学号 指导教师 指导单位 日期年月日
指导教师成绩评定表 学生姓名刘铭菲班级学号08001019 专业信息安全 评分内容评分标准优秀良好中等差 平时成绩认真对待课程设计,遵守实验室规定,上机不迟到早退,不做和设计无关的事 设计成果设计的科学、合理性 功能丰富、符合题目要求界面友好、外观漂亮、大方程序功能执行的正确性 程序算法执行的效能 设计报告设计报告正确合理、反映系统设计流程文档内容详实程度 文档格式规范、排版美观 验收答辩 简练、准确阐述设计内容,能准确有条理回答各 种问题,系统演示顺利。 评分等级 指导教师 简短评语 指导教师签名日期 备注评分等级有五种:优秀、良好、中等、及格、不及格
实验一Sniffer Pro的使用 一.课题内容和要求 1) 熟练掌握Sniffer Pro对数据包捕获的使用方法。 2) 掌握利用Sniffer Pro进行数据包结构分析、进而理解协议对数据的封装。 重点:1) Sniffer Pro对数据包捕获的使用方法。 2) 利用Sniffer Pro进行数据包结构分析。 难点:Sniffer Pro进行数据包结构分析。 【实验环境】 Windows XP、2003 Server等系统,Sniffer Pro软件。 二、设计思路分析 打开snifeer 软件,出现下图,这个界面是用来选择要抓包得网卡,选择好了之后点击OK 常用功能介绍 1、Dashboard (网络流量表) 点击图1中①所指的图标,出现三个表,第一个表显示的是网络的使用率,第二个表显示的是网络的每秒钟通过的包数量,第三个表显示的是网络的每秒错误率。通过这三个表可以直观的观察到网络的使用情况,红色部分显示的是根据网络要求设置的上限。
计算机网络技术及应用实验报告开课实验室:南徐学院网络实验室
第一部分是菜单和工具栏,Ethereal提供的所有功能都可以在这一部分中找到。第二部分是被捕获包的列表,其中包含被捕获包的一般信息,如被捕获的时间、源和目的IP地址、所属的协议类型,以及包的类型等信息。 第三部分显示第二部分已选中的包的每个域的具体信息,从以太网帧的首部到该包中负载内容,都显示得清清楚楚。 第四部分显示已选中包的16进制和ASCII表示,帮助用户了解一个包的本来样子。 3、具体分析各个数据包 TCP分析:
源端口 目的端口序号 确认号 首部长度窗口大小值
运输层: 源端口:占2个字节。00 50(0000 0000 1001 0000) 目的端口:占2个字节。C0 d6(1100 0000 1101) 序号:占四个字节。b0 fe 5f 31(1011 0000 0101 1110 0011 0001) 确认号:占四个字节。cd 3e 71 46(1100 1101 0011 1110 0110 0001 0100 0110) 首部长度:共20个字节:50(0101 0001) 窗口大小值:00 10(0000 0000 0001 00000) 网络层: 不同的服务字段:20 (0010 0000)
总的长度:00 28(0000 0000 0010 10000) 识别:81 28(1000 0001 0010 10000) 片段抵消:40 00(0100 0000 0000 0000) 生存时间:34 (0011 0100) 协议: 06(0000 0110)
用Sniffer抓包分析以太网帧-抓包分析ICMP错误响应 2007-08-22 10:02 用sniffer抓icmp包来分析。 1。ping 192.168.1.1 -l 0 ping一个ip,指定携带的数据长度为0 抓包分析如图: 从图上的1处我们可以看到这个数据总大小是:60byte 从2处看到ip数据总长度:28byte ip数据为什么是28byte? 因为ip头部是20个字节(4处标记的),而icmp头部是8个字节,因为我们的ping是指定数据长度为0的,所以icmp里不带额外数据,即: 28=20+8 而我们知道以太网类型帧头部是6个字节源地址+6个字节目标地址+2个字节类型=14字节 以太网帧头部+ip数据总长度=14+28=42 注意3处标记的,填充了18个字节。 42+18=60 刚好等于总长度,其实这里我们需要注意到这里捕捉到帧不含4个字节的尾部校验,如果加
上4字节尾部校验,正好等于64! 64恰好是以太类型帧最小大小。 在图中我们还可以看到这个帧没有分割,flags=0x,因为不需要分割。第15个字节TOS的含义如下: 15 00 // TOS ( type of service, //bit 0 = 0, CE bit - no congestion; //bit1 = 0, ECT bit - transport protocol will ignore the CE bit; //bit 2 =0, normal reliability; //bit 3 = 0, normal throughtput; //bit 4 = 0, normal delay; //bit 5 ~ bit 7 = 000, routine. 再分析一个 ping 192.168.1.1 -l 64 数据大小106byte 106-14(以太类型帧头部)=92 刚好等于ip部分的显示大小 92-20(ip)-8(icmp头)=64 刚好等于我们指定的64字节ping 包
安徽农业大学 计算机网络原理课程设计 报告题目wireshark抓包分析了解相关协议工作原理 姓名学号 院系信息与计算机学院专业计算机科学与技术 中国·合肥 二零一一年12月
Wireshark抓包分析了解相关协议工作原理 学生:康谦班级:09计算机2班学号:09168168 指导教师:饶元 (安徽农业大学信息与计算机学院合肥) 摘要:本文首先ping同一网段和ping不同网段间的IP地址,通过分析用wireshark抓到的包,了解ARP地址应用于解析同一局域网内IP地址到硬件地址的映射。然后考虑访问https://www.doczj.com/doc/537186609.html,抓到的包与访问https://www.doczj.com/doc/537186609.html,抓到的包之间的区别,分析了访问二者网络之间的不同。 关键字:ping 同一网段不同网段 wireshark 协议域名服务器 正文: 一、ping隔壁计算机与ping https://www.doczj.com/doc/537186609.html,抓到的包有何不同,为什么?(1)、ping隔壁计算机 ARP包:
ping包: (2)ing https://www.doczj.com/doc/537186609.html, ARP包:
Ping包: (3)考虑如何过滤两种ping过程所交互的arp包、ping包;分析抓到的包有
何不同。 答:ARP地址是解决同一局域网上的主机或路由器的IP地址和硬件地址的映射问题,如果要找的主机和源主机不在同一个局域网上,就会解析出网 关的硬件地址。 二、访问https://www.doczj.com/doc/537186609.html,,抓取收发到的数据包,分析整个访问过程。(1)、访问https://www.doczj.com/doc/537186609.html, ARP(网络层): ARP用于解析IP地址与硬件地址的映射,本例中请求的是默认网关的硬件地址。源主机进程在本局域网上广播发送一个ARP请求分组,询问IP地址为192.168.0.10的硬件地址,IP地址为192.168.0.100所在的主机见到自己的IP 地址,于是发送写有自己硬件地址的ARP响应分组。并将源主机的IP地址与硬件地址的映射写入自己ARP高速缓存中。 DNS(应用层): DNS用于将域名解析为IP地址,首先源主机发送请求报文询问https://www.doczj.com/doc/537186609.html, 的IP地址,DNS服务器210.45.176.18给出https://www.doczj.com/doc/537186609.html,的IP地址为210.45.176.3
Sniffer抓包分数据包分析手册 前言 现在大家在一线解决故障过程中,经常会利用sniffer软件来分析网络中的数据包,从而为故障的解决及相关的部门(如研发)提供更有说服力的数据。应该来说,sniffer的包文对于解决问题确实起到了很大的作用,但很多时候有些人所提供的sniffer数据包什么数据都抓,很混,要花很大的力气才能对看明白该数据包,另外,很多时候没有给出相应的抓包的网络拓扑图,数据包中的源端口、目的端口、IP地址等方面的说明,这样不利于相关人员的分析和定位。为此,我做个这方面的case,供大家参考,望大家能够提供更有价值的数据给相关的人员。
认证客户端与NAS 设备(交换机)报文交互 一、捕获数据包拓扑图: 1、 捕获认证客户端电脑(192.168.0.241/24)与S2126G 交换机交互的报文; 2、 捕获S2126G 交换机与SAMII 服务器(192.168.0.232)交互的报文; 三、所捕获得到的sniffer 报文的文件命名:请尽可能采用一目了然的文件名,即从文件名即 可以大概知道该sniffer 的报文的内容;同时,对于每个sniffer 文件,请用一个readme.txt 简短地说明,这样便于相关的人员能够更好地知道sniffer 报文的内容; 四、交换机的配置: show run Building configuration... Current configuration : 633 bytes version 1.0 hostname Switch radius-server host 192.168.0.232 aaa authentication dot1x aaa accounting server 192.168.0.232
Sniffer嗅探、抓包实验 实验目的 通过实验,掌握常用嗅探工具的安装与使用方法,理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构,了解FTP、HTTP等协议明文传输的特性,建立安全意识,防止此类协议传输明文造成的泄密。 建议实验工具 Sniffer Pro、FsSniffer或SQLServerSniffer等、至少两台安装了Windows 2000或XP的PC机,其中一台安装Sniffer软件,两台PC机互联。 实验用时 3学时(约120分钟) 实验原理 Sniffer即网络嗅探器,用于监听网络中的数据包,分析网络性能和故障,主要用于网络管理和维护,通过它,可以诊断处通过常规工具难以解决的疑难问题,包括计算机之间的异常通信,不同网络协议的通信流量,每个数据包的源地址和目的地址等,可以提供非常详细的信息。 实验步骤: 1、首先安装Sniffer软件。安装过程有关图片如下:如果此过程速度比较缓慢,一般与电脑速度较慢有关。安装完成后重新启动计算机。注意:需要重新启动才可以使用sniffer。 2、启动Sniffer。可以看到它的 界面如下:包括工具栏、网络监视面 板、多种视图等,其中,Dashboard可以监控网络的利用率、流量、及错误报文等内容,从Host table可以直观的看出连接的主机,用其IP显示。 3、获取被监视方机器的IP,假设A机监视B机的活动,A应知道B机的IP 地址,在实验环境下,操作B机的同学可以输入Ipconfig命令查询自己的IP 地址,并告之操作A机的同学。 4、选中Monitor菜单下的Matirx或直接点击网络性能监视快捷键,可以看到网络中的Traffic Map视图,单击左下角的MAC地址,IP地址或IPX使视图
IPV6协议抓包分析 一、实践名称: 在校园网配置使用IPv6,抓包分析IPv6协议 二、实践内容和目的 内容:网络抓包分析IPv6协议。 目的:对IPv6协议的更深层次的认识,熟悉IPv6数据报文的格式。 三、实践器材: PC机一台,网络抓包软件Wireshark 。 四、实验数据及分析结果: 1.IPv6数据报格式: 2. 网络抓包截获的数据:
3. 所截获的IPv6 的主要数据报为:? Internet Protocol Version 6?0110 .... = Version: 6?. (0000) 0000 .... .... .... .... .... = Traffic class: 0x00000000?.... .... .... 0000 0000 0000 0000 0000 = Flowlabel: 0x00000000 Payload length: 93 Next header: UDP (0x11)?Hop limit: 1?Source: fe80::c070:df5a:407a:902e (fe80::c070:df5a:407a:902e) Destination: ff02::1:2 (ff02::1:2) 4. 分析报文: 根据蓝色将报文分成三个部分:
第一部分: 33 33 00 01 00 02,目的组播地址转化的mac地址, 以33 33 00表示组播等效mac;00 26 c7 e7 80 28, 源地址的mac地址;86 dd,代表报文类型为IPv6 (0x86dd); 第二部分: 60,代表包过滤器"ip.version == 6"; 00 00 00,Traffic class(通信类别): 0x00000000; 00 5d,Payload length(载荷长度,即报文的最后一部分,或者说是报文携带的信息): 32; 11,Next header(下一个封装头): ICMPv6 (17); 01,Hop limit(最多可经历的节点跳数): 1; fe 80 00 00 00 00 00 00 c0 70 df 5a 40 7a 90 2e,源ipv6地址; ff 02 00 00 00 00 00 00 00 00 00 00 00 01 00 02,目的ipv6地址; 第三部分(报文携带的信息): 02,表示类型为Neighbor Solicitation (2); 22,表示Code: 38; 02 23是Checksum(校验和): 0x6faa [correct]; 00 5d 36 3a,Reserved(保留位): 00000000; fe 80 00 00 00 00 00 00 76 d4 35 ff fe 03 56 b0,是组播地址中要通信的那个目的地址; 01 01 00 23 5a d5 7e e3,表示
使用Sniffer工具分析以太网帧和IP数据报 一、实验目的 通过使用Sniffer Pro软件掌握Sniffer(嗅探器)工具的使用方法,实现捕捉FTP、HTTP等协议的数据包,以理解TCP/IP协议中多种协议的数据结构。 二、实验原理 Sniffer即网络嗅探器,用于监听网络中的数据包,分析网络性能和故障。Sniffer 主要用于网络管理和网络维护,系统管理员通过Sniffer可以诊断出通过常规工具难以解决的网络疑难问题,包括计算机之间的异常通信、不同网络协议的通信流量、每个数据包的源地址和目的地址等,它将提供非常详细的信息。 通常每个网络接口都有一个互不相同的硬件地址(MAC地址),同时,每个网段有一个在此网段中广播数据包的广播地址(代表所有的接口地址)。一般情况下,一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧,并由操作系统进一步进行处理,同时丢弃不是发给自己的数据帧。 通过Sniffer工具,可以将网络接口设置为“混杂”(promiscuous)模式。在这种模式下,网络接口就处于一个对网络进行“监听”的状态,它可以监听此网络中传输的所有数据帧-而不管数据帧的目标地址是广播地址还是自己或者其它网络接口的地址了。它将对遭遇的每一个数据帧产生硬件中断.交由操作系统对这个帧进行处理,比如截获这个数据帧,进而实现实时分析数据帧中包含的容。 当然,如果一个数据帧没有发送到目标主机的网络接口,则目标主机将无法监听到该帧。所以Sniffer所能监听到的信息将仅限于在同一个物理网络传送的数据帧.就是说和监听的目标中间不能有路由(交换)或其它屏蔽广播包的设备。因此。当Sniffer工作在由集线器(hub)构建的广播型局域网时,它可以监听到此物理网络所有传送的数据;而对于由交换机(switch)和路由器(router)构建的网络中,由于这些网络设备只根据目标地址分发数据帧,所以在这种网络中,Sniffer工具就只能监测到目标地址是自己的数据帧再加上针对广播地址的数据帧了。 Sniffer工作在OSI模型中的第2层,它一般在已经进入对方系统的情况下使用。实验中要注意,虽然Sniffer能得到在局域网中传送的大量数据,但是不加选择的接收所有的数据包,并且进行长时间的监听,那么你需要分析的数据量将是非常巨大的,并且会浪费大量硬盘空间。 Sniffer工具分为软件和硬件两大类,在这里我们主要以Sniffer Pro软件为例对Sniffer工具的使用方法和功能进行简单的介绍。当然,Sniffer软件工具还有很多种,例如 SQLServerSniffer、FsSniffer等,它们的功能和使用的环境有所不同,如果读者感兴趣,可以自己进行深入探索。 对于Sniffer工具的防可以从以下几个方面进行:首先,如果通过网管工具发现在局域网存在长时间占用较大带宽的计算机,这台计算机可能在进行嗅探:其次,Sniffer 的记录文件增长很快,通过分析文件系统大小的变换情况,可以找到这个文件;最后,如果计算机的网络接口处于混杂模式下(在Unix环境下通过ifconfig -a命令查看网络接口状态),则它很可能运行了Sniffer。通过上面的几种方法,可以对Sniffer进行分析监测。除了这些间接分析方法外,还可以利用AntiSniff工具,它具有直接检测Sniffer的功能,从而可以对Sniffer进行有效防。
1捕获面板 报文捕获功能可以在报文捕获面板中进行完成,如下是捕获面板的功能图:图中显示的是处于开始状态的面板 2捕获过程报文统计 在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。 3捕获报文查看
Sniffer软件提供了强大的分析能力和解码功能。如下图所示,对于捕获的报文提供了一个Expert专家分析系统进行分析,还有解码选项及图形和表格的统计信息。 专家分析 专家分分析系统提供了一个只能的分析平台,对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。 在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容,可以方便了解网络中高层协议出现故障的可能点。 对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因。
解码分析 下图是对捕获报文进行解码的显示,通常分为三部分,目前大部分此类软件结构都采用这种结构显示。对于解码主要要求分析人员对协议比较熟悉,这样才能看懂解析出来的报文。使用该软件是很简单的事情,要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。工具软件只是提供一个辅助的手段。因涉及的内容太多,这里不对协议进行过多讲解,请参阅其他相关资料。 对于MAC地址,Snffier软件进行了头部的替换,如00e0fc开头的就替换成Huawei,这样有利于了解网络上各种相关设备的制造厂商信息。
功能是按照过滤器设置的过滤规则进行数据的捕获或显示。在菜单上的位置分别为 Capture->Define Filter和Display->Define Filter。过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。 统计分析 对于Matrix,Host Table,Portocol Dist. Statistics等提供了丰富的按照地址,协议等内容做了丰富的组合统计,比较简单,可以通过操作很快掌握这里就不再详细介绍了。 4设置捕获条件 基本捕获条件 基本的捕获条件有两种: 1、链路层捕获,按源MAC和目的MAC地址进行捕获,输入方式为十六进制连续输入,如:00E0FC123456。 2、IP层捕获,按源IP和目的IP进行捕获。输入方式为点间隔方式,
中国矿业大学《网络协议》 姓名:李程 班级:网络工程2009-2 学号:08093672
实验一:抓数据链路层的帧 一、实验目的 分析MAC层帧结构 二、准备工作 本实验需要2组试验主机,在第一组上安装锐捷协议分析教学系统,使用其中的协议数据发生器对数据帧进行编辑发送,在第二组上安装锐捷协议分析教学系统,使用其中的网络协议分析仪对数据帧进行捕获分析。 三、实验内容及步骤 步骤一:运行ipconfig命令
步骤二:编辑LLC信息帧并发送 步骤三:编辑LLC监控帧和无编号帧,并发送和捕获:步骤四:保存捕获的数据帧 步骤五:捕获数据帧并分析 使用iptool进行数据报的捕获: 报文如下图: 根据所抓的数据帧进行分析: (1)MAC header 目的物理地址:00:D0:F8:BC:E7:06 源物理地址:00:16:EC:B2:BC:68 Type是0x800:意思是封装了ip数据报 (2)ip数据报
由以上信息可以得出: ①版本:占4位,所以此ip是ipv4 ②首部长度:占4 位,可表示的最大十进制数值是15。此ip数据报没有选项,故它的最大十进制为5。 ③服务:占8 位,用来获得更好的服务。这里是0x00 ④总长度:总长度指首都及数据之和的长度,单位为字节。因为总长度字段为16位,所以数据报的最大长度为216-1=65 535字节。 此数据报的总长度为40字节,数据上表示为0x0028。 ⑤标识(Identification):占16位。IP软件在存储器中维持一个计数器,每产生一个数据报,计数器就加1,并将此值赋给标识字段。但这个“标识”并不是序号, 因为IP是无连接的服务,数据报不存在按序接收的问题。当数据报由于长度超过网络的MTU 而必须分片时,这个标识字段的值就被复制到所有的数据报的标识字段中。相同的标识字段的值使分片后的各数据报片最后能正确地重装成为原来的数据报。 在这个数据报中标识为18358,对应报文16位为47b6 ⑥标志(Flag):占3 位,但目前只有2位有意义。标志字段中的最低位记为MF (More Fragment)。MF=1即表示后面“还有分片”的数据报。MF=0表示这已是若干数据报片中的最后一个。标志字段中间的一位记为DF(Don't Fragment),意思是“不能分片”。只有当DF=0时才允许分片。这个报文的标志是010,故表示为不分片!对应报文16位为0x40。 ⑦片偏移:因为不分片,故此数据报为0。对应报文16位为0x00。 ⑧生存时间:占8位,生存时间字段常用的英文缩写是TTL (Time To Live),其表明数据报在网络中的寿命。每经过一个路由器时,就把TTL减去数据报在路由器消耗掉的一段时间。若数据报在路由器消耗的时间小于1 秒,就把TTL值减1。当TTL值为0时,就丢弃这个数据报。经分析,这个数据报的的TTL为64跳!对应报文16位为0x40。 ⑨协议:占8 位,协议字段指出此数据报携带的数据是使用何种协议,以便使目的主机的IP层知道应将数据部分上交给哪个处理过程。这个ip数据报显示使用得是TCP协议对
实验三 网络数据包的捕获与分析 一、实验目的和要求 通过本次实验,了解sniffer 的基本作用,并能通过sniffer 对指定的网络行为所产生的数据包进行抓取,并分析所抓取的数据包。 二、实验内容 A :1、首先打开sniffer 软件,对所要监听的网卡进行选择 2、选择网卡按确定后,进入sniffer 工作主界面,对主界面上的操作按钮加以熟悉。 B :设置捕获条件进行抓包 基本的捕获条件有两种: 1、链路层捕获,按源MAC 和目的MAC 地址进行捕获,输入方式为十六进制连续输入,如:00E0FC123456。 2、IP 层捕获,按源IP 和目的IP 进行捕获。输入方式为点间隔方式,如:10.107.1.1。如果选择IP 层捕获条件则ARP 等报文将被过滤掉。 任意捕协议捕缓冲区基本捕获条件数据流链路层捕获获条件编辑 获编辑 编辑 链路层捕获IP 层捕获 方向 地址条件 高级捕获条件
在“Advance ”页面下,你可以编辑你的协议捕获条件,如图: 选择要捕捕获帧长错误帧是保存过滤获的协议 度条件 否捕获 规则条件 高级捕获条件编辑图 在协议选择树中你可以选择你需要捕获的协议条件,如果什么都不选,则表示忽略该条件,捕获所有协议。 在捕获帧长度条件下,你可以捕获,等于、小于、大于某个值的报文。 在错误帧是否捕获栏,你可以选择当网络上有如下错误时是否捕获。 在保存过滤规则条件按钮“Profiles ”,你可以将你当前设置的过滤规则,进行保存,在捕获主面板中,你可以选择你保存的捕获条件。 C :捕获报文的察看: Sniffer 软件提供了强大的分析能力和解码功能。如下图所示,对于捕获的报文提供了一个Expert 专家分析系统进行分析,还有解码选项及图形和表格的统计信息。 专家分析专家分析捕获报文的捕获报文的其他 系统 系统图形分析 统计信息 专家分析 专家分分析系统提供了一个只能的分析平台,对网络上的流量进行了一些分析对于分析出的
TCP协议分析实验 学号: 姓名: 院系: 专业:
一.实验目的 学会使用Sniffer抓取ftp的数据报,截获ftp账号及密码,并分析TCP 头的结构、分析TCP的三次“握手”和四次“挥手”的过程,熟悉TCP 协议工作方式。 二.实验(软硬件以及网络)环境 利用VMware虚拟机建立网络环境,并用Serv-U FTP Server在计算机上建立FTP服务器,用虚拟机进行登录。 三.实验工具 sniffer嗅探器,VMware虚拟机,Serv-U FTP Server。 四.实验基本配置 Micrsoft Windows XP操作系统 五.实验步骤 1.建立网络环境。 用Serv-U FTP Server在计算机上建立一台FTP服务器,设置IP地址 为:,并在其上安装sniffer嗅探器。再并将虚拟机作为一台FTP客户 端,设置IP地址为:。设置完成后使用ping命令看是否连通。 2.登录FTP 运行sniffer嗅探器,并在虚拟机的“运行”中输入,点确定后出现 如下图的登录窗口: 在登录窗口中输入:用户名(hello),密码(123456)【在Serv-U FTP Server中已设定】,就登录FTP服务器了。再输入“bye”退出FTP 3.使用sniffer嗅探器抓包 再sniffer软件界面点击“stop and display”,选择“Decode”选 项,完成FTP命令操作过程数据包的捕获。 六.实验结果及分析 1.在sniffer嗅探器软件上点击Objects可看到下图:
再点击“DECODE(反解码)”按钮进行数据包再分析,我们一个一个的分析数据包,会得到登录用户名(hello)和密码(123456)。如下图: 2. TCP协议分析 三次握手: 发报文头——接受报文头回复——再发报文(握手)开始正式通信。
南京信息工程大学实验(实习)报告 实验名称使用用Sniffer Pro网络分析器实验日期 2014.12.21 得分指导教师朱节中 系计算机专业软件工程年级 2012 班次 1 姓名董上琦学号 20122344001 一、实验目的 1、掌握Sniffer工具的安装和使用方法 2、理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构 3、掌握ICMP协议的类型和代码 二、实验内容 1、安装Sniffer Pro 2、捕捉数据包 3、分析捕捉的数据包 三、实验步骤 1、安装Sniffer Pro Sniffer Pro安装过程并不复杂,setup后一直点击“确定”即可,第一次运行时需要选择 网络适配器或网卡后才能正常工作。如下图所示: 选择好网络适配器或网卡后,即可进入主界面,如下图所示: 2、捕捉数据包
以抓FTP密码为例 步骤1:设置规则 选择Capture菜单中的Defind Filter出现图(1)界面,选择图(1)中的ADDress 项,在station1和2中分别填写两台机器的IP地址,选择Advanced选项,选择选IP/TCP/FTP ,将 Packet Size设置为 In Between 63 -71, Packet Type 设置为 Normal。如图(2)所示,选择Data Pattern项,点击箭头所指的Add Pattern按钮,出现图(3)界面,按图设置OFFset 为2F,方格内填入18,name可任意起。确定后如图(4)点击Add NOT按钮,再点击Add Pattern 按钮增加第二条规则,按图(5)所示设置好规则,确定后如图(6)所示。 图(1) 图(2)
实验二 网络抓包——sniffer pro 的使用 实验目的: 1. 了解网络嗅探的原理; 2. 掌握Sniffer Pro 嗅探器的使用方法; 实验学时:2课时 实验形式:上机 实验器材: 联网的PC 机 实验环境:操作系统为Windows2000/XP 实验内容: 任务一 熟悉Sniffer Pro 工具的使用 任务二 使用Sniffer Pro 抓获数据包 实验步骤: 任务一 熟悉Sniffer Pro 工具的使用 1. Sniffer Pro 工具简介 Sniffer 软件是NAI 公司推出的功能强大的协议分析软件,具有捕获网络流量进行详细分析、利用专家分析系统诊断问题、实时监控网络活动和收集网络利用率和错误等功能,实验中使用Sniffer Pro4.7.5来截获网络中传输的FTP 和HTTP 数据包,并进行分析。 2. 使用说明 在sniffer pro 初次启动时,可能会提示选择一个网络适配器进行镜像,如图1所示,此时正确选择接入网络的网卡,这样sniffer pro 才可以把网卡设置为混杂(Promiscuous )模式,以接收在网络上传输的数据包。 Sniffer Pro 运行后的主界面如图2所示。 (1 )工具栏简介如图3所示。 图1 网卡设置 图2 sniffer pro 主界面 图3工具栏
快捷键的含义如图4所示。 (2 )网络监视面板简介 在捕获过程中可以通过Capture Panel 查看网络的利用率、捕获报文的数量和缓冲区的利用率,如图 5所示。 (3)捕获数据包窗口简介 Sniffer 软件提供了强大的分析能力和解码功能。如图6所示,对于捕获的报文提供了一个Expert 专家分析系统进行分析,还有解码选项及图形和表格的统计信息。 专家分析 专家分析系统提供了一个智能的分析平台,对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。 在图7中显示出在网络中WINS 查询失败的次数及TCP 重传的次数统计等内容,可以方便了解网络中高层协议出现故障的可能点。 捕获停止 捕获条件 选择捕获捕获开始 捕获暂停 捕获停止并查看捕获查看 编辑条件 图4 快捷键含义 图5 Capture Panel 图6 捕获数据窗口
无线网络抓包不再愁新版sniffer讲解 企业无线网络的实施往往都是请专业的无线网络系统集成商来完成,当然专业团队有专业的工具,很多都是硬件的,通过这些硬件设备实现无线信号的扫描与定位,帮助企业无线网络实现无盲点实施。然而当集成商将无线网络实施完毕后我们该如何维护呢?能够像维护有线网络一样进行管理呢?其实无线和有线在管理方面还是存在一定差别的,特别是在无线网络抓包方面,而下面笔者介绍的软件则可以将这种差别彻底消除。 一,无线网络后期维护为什么让网络管理员头疼: 企业内部无线网络建立后的后期维护也相当关键。以往网络管理员使用的网络管理工具大多都不支持无线网络的管理,例如sniffer这种数据包扫描和监听工具就只对有线网络有用,一旦无线网络出现时断时续,网络不稳定的故障时网络管理员将没有有效办法。不过最近这个问题被有效解决了。新版sniffer 可以支持针对无线网络数据包的扫描和监听了。下面我们就在第一时间体验下新版sniffer如何让我们无线网络抓包不再愁。 二,sniffer的安装: 我们可以到IT168的下载专区找到最新版sniffer 4.9英文版,接下来就是解压缩并安装。 第一步:运行sniffer 4.9安装程序,欢迎界面点“NEXT”下一步按钮继续。(如图1) 第二步:sniffer自解压缩完成安装工作。(如图2)
第三步:根据提示开始安装必须文件到本地硬盘,在这之前程序会扫描当前计算机硬件配置,如果符合要求才容许继续下面的安装操作。(如图3) 第四步:默认sniffer 4.9会安装到c:program filesnetwork generalsniffer portable目录中,我们可以通过浏览按钮修改,建议大家使用默认值。(如图4)
Sniffer工具使用实验报告 学院:计算机科学与工程学院 班级: 专业: 学生姓名: 学号:
目录 实验目的 (3) 实验平台 (3) 实验内容 (3) 实验1:抓ping和回应包 (3) 实验要求: (3) 实验过程与分析 (3) 实验2 :捕获内网发往外网的重要数据 (4) 实验要求: (4) 实验过程与分析: (5) 实验3 :Arp包编辑发送 (6) 实验要求: (6) 实验过程与分析: (6) 实验4 :ARP欺骗 (7) 实验要求: (7) 实验过程与分析 (8) 实验深入分析: (11) 实验5:交换机端口镜像的简单配置 (11) 实验要求: (11) 实验过程与分析: (12) 实验心得 (13)
实验目的 了解著名协议分析软件sniffer的主要功能,以及sniffer能处理什么网络问题 实验平台 Sniffer软件是NAI公司推出的功能强大的协议分析软件。 与Netxray比较,Sniffer支持的协议更丰富,如Netxray不支持PPPOE协议,但Sniffer能快速解码分析;Netxray不能在Windows 2000和Windows XP上正常运行,而SnifferPro 4.6可以运行在各种Windows平台上。 缺点:运行时需要的计算机内存比较大,否则运行比较慢 功能: 1)捕获网络流量进行详细分析 2)利用专家分析系统诊断问题 3)实时监控网络活动 4)收集网络利用率和错误等 实验内容 实验1:抓ping和回应包 实验要求: Ping xxxx–t 观察icmp:echo和icmp:echo(reply)包信息 实验过程与分析 1)设置过滤器过滤ICMP协议 2)让Sniffer开始抓包 Ping 222.201.146.92 –t 截获包如下
1.DNS全称为Domain Name System,中文为计算机域名系统,它是由解析器和域名服务 器组成的,域名服务器是指保存有该网络中所有主机的域名和对应IP地址,并具有将域名转换为IP地址,并具有将域名转换为IP地址功能的服务器的服务器。其中域名必须对应一个IP地址,而IP地址不一定有域名。将域名映射为IP地址的过程就称为“域名解析”。在Internet上域名与IP地址之间是一对一(或者多对一)的,域名和IP地址之间的转换过程称为域名解析,域名解析需要由专门的域名解析服务器来完成,DNS 就是进行域名解析的服务器。DNS命名用于Internet等TCP/IP网络中,通过用户友好的名称查找计算机和服务。域名的最终指向是IP 2.DNS解析过程 (1)当客户机提出查询请求时,首先在本地计算机的缓存中查找,如果在本地无法查询信息,则将查询请求发给DNS服务器 (2)首先客户机将域名查询请求发送到本地DNS服务器,当本地DNS服务器接到查询后,首先在该服务器管理的区域的记录中查找,如果找到该记录,则进行此记录进行解析,如果没有区域信息可以满足查询要求,服务器在本地缓存中查找 (3)如果本地服务器不能在本地找到客户机查询的信息,将客户机请求发送到根域名DNS服务器 (4)根域名服务器负责解析客户机请求的根域名部分,它将包含下一级域名信息的DNS 服务器地址地址返回给客户机的DNS服务器地址 (5)客户机的DNS服务器利用根域名服务器解析的地址访问下一级DNS服务器,得到再下一级域名的DNS服务器地址 (6)按照上述递归方法逐级接近查询目标,最后在有目标域名的DNS服务器上找到相应IP地址信息 (7)客户机的本地DNS服务器将递归查询结构返回客户机 (8)客户机利用从本地DNS服务器查询得到的IP访问目标主机,就完成了一个解析过程 (9)同时客户机本地DNS服务器更新其缓存表,客户机也更新期缓存表,方便以后查询3.DNS处于IP分层结构的应用层,是一种应用层协议,DNS协议数据单元封装在UDP 数据报文中,DNS服务器端使用公用端口号为53(使用UDP协议0x11) 4.DNS协议报文结构:
实验八-网络性能监测分析工具Sniffer捕获高层协议数据包并分析 实验目的:使用Sniffer抓取ftp的数据报 分析FTP的三次“握手”的过程。 分析FTP客户端和服务器端通信过程 实验环境:Windows环境下常用的协议分析工具:sniffer 搭建Serv-U FTP Server,在计算机上建立FTP服务器 VMware虚拟机,用虚拟机进行登录FTP。 实验内容和步骤: 1.建立网络环境。用Serv-U FTP Server在计算机上建立一台FTP服务器,设置IP地址为:192.168.0.10。在Serv-U FTP Server中已设定用户xyz,密码123123。(也可以自行设定其他帐号) 2.在此计算机上安装了sniffer。 3.启动该机器上的虚拟机作为一台FTP客户端,设置IP地址为:192.168.0.12。 4.使用ping命令看是否连通。记录结果。 5.使用虚拟机登录FTP服务器。 6.运行sniffer嗅探器,并在虚拟机的“运行”中输入ftp://192.168.0.10,点确定后出现如下图的登录窗口: 在登录窗口中输入:用户名(xyz),密码(123123) 7.使用sniffer抓包,再在sniffer软件界面点击“stop and display”,选择“Decode”选项,完成FTP命令操作过程数据包
的捕获。 8.在sniffer嗅探器软件上点击Objects可看到下图,再点击“DECODE(反解码)。 记录FTP三次握手信息,写出判断这三个数据包的依据(如syn及ack)。记录端口信息等内容。 9.找出数据包中包含FTPUSER命令的数据包,记录显示的用户名。10.捕获用户发送PASS命令的数据包,记录显示的密码。 11.找出FTP服务器端与客户端端口20进行三次握手打开数据传输。记录数据信息。
南昌航空大学实验报告 课程名称:计算机网络实验名称:数据包捕获与协议分析 班级:090451班学生姓名:杨望学号:09045131 指导教师评定:签名: 一、实验目的 (1)了解抓包软件工作原理和使用方法。 (2)掌握在非交换以太网环境下侦测、记录、分析数据包的方法 二、实验内容 (1)安装启动抓包软件 (2)监测网络中计算机的连接状况 (3)监测网络中数据的协议分布 (4)监测分析网络中传输的ICMP数据 (5)监测分析网络中传输的HTTP数据 三、实验步骤 1、安装iptool 2、协议过滤
只接受U D P,ICMP和TCP协议的报文 3、UDP报文分析 可以看出数据外依次加上UDP的首部,IP首部和MAC帧的首部,以下报文类似。 TCP报文分析 ARP报文分析
由此可看出各种首部的格式和首部各位所代表的意义。 在操作者未发出联网命令之时便会有UDP类型的数据出现,是因为主机路由表发出的路由信息交换数据,以及各种广播及探测信息数据,这些数据是基于无连接和不可靠的UDP 传输的。 3、ICMP报文分析 使用ping命令可以得到ICMP报文,ICMP的一个重要应用就是分组接探测ping,用来测试两个主机之间的连通性。Ping使用了ICMP回送请求与回送回答报文。Ping是应用层直接使用网络层的一个例子。 4、HTTP报文分析 浏览器与网页服务器之间使用的应用层协议就是HTTP协议。虽然HTTP协议可以建立在任何可靠传输的协议之上,但是就我们所见到的,HTTP还是建立在TCP之上的。首先客户机与服务器需要建立连接。只要单击某个超级链接,HTTP的工作就开始了。建立连接后,客户机发送一个请求给服务器,请求方式的格式为:统一资源标识符(URL)、协议版本号,后边是MIME信息包括请求修饰符、客户机信息和可能的内容。服务器接到请求后,给予相应的响应信息,其格式为一个状态行,包括信息的协议版本号、一个成功或错误的代码,后边是MIME信息包括服务器信息、实体信息和可能的内容。客户端接收服务器所返回的信息通过浏览器显示在用户的显示屏上,服务器关闭连接。 四、实验小结 通过本次实验,了解抓包软件工作原理和使用方法。掌握在非交换以太网环境下侦测、记录、分析数据包的方法掌握了一些抓包软件工作原理和使用方法以及在非交换以太网环境下侦测、记录、分析数据包的方法。
IGMP IGMP 是Internet Group Management Protocol(互联网组管理协议)的简称。它是TCP/IP 协议族中负责IP 组播成员管理的协议,用来在IP 主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系。 到目前为止,IGMP 有三个版本: 1、IGMPv1(由RFC 1112 定义) 2、IGMPv2(由RFC 2236 定义) 3、IGMPv3(由RFC 3376定义) 一、IGMPv1 1.1报文格式 1、版本: 版本字段包含IGMP版本标识,因此设置为1。 2、类型: 成员关系查询(0x11) 成员关系报告(0x12) 3、校验和 4、组地址: 当一个成员关系报告正被发送时,组地址字段包含组播地址。 当用于成员关系查询时,本字段为0,并被主机忽略。 1.2组成员加入过程 当一个主机希望接收一个组播组的数据,则发送成员加入报告给组播组。
IGMPv1 join包如下:
1.3查询与响应过程 路由器RTA(IGMP查询器)周期性地(默认60秒)向子网内所有主机(224.0.0.1代表子网内所有主机)发送成员关系查询信息。 所有主机收到IGMPv1成员关系查询信息,一主机首先向组播组发送IGMPv1成员关系报告。 组的其他成员监听到报告后抑制自己的成员关系报告发送。 1.4 抑制机制 当主机收到IGMP成员关系查询时,对它已经加入的每个组播组启动一个倒计数报告计时器。各个报告计时器初始值为从0到最大响应之间一个随机数,默认值是10秒。 计时器到时的主机则主动发送成员关系报告,目的地为该主机所属的组地址。 其它主机收到该成员关系报告,则抑制成员关系报告的发送,并删除计时器。