下载文档原格式
sniffer 实验报告Sniffer实验报告引言:在当今数字化时代,网络安全问题备受关注。
Sniffer作为一种网络安全工具,被广泛应用于网络流量监测、数据包分析和安全漏洞发现等领域。
本报告旨在介绍Sniffer的原理、应用以及实验结果,并探讨其在网络安全中的重要性。
一、Sniffer的原理与工作方式Sniffer是一种网络数据包嗅探器,它能够截获经过网络的数据包,并对其进行分析和解码。
其工作原理主要包括以下几个步骤:1. 网络接口监听:Sniffer通过监听网络接口,获取经过该接口的数据包。
这可以通过底层网络协议(如以太网、无线网络等)提供的API实现。
2. 数据包截获:一旦Sniffer监听到网络接口上的数据包,它会将其截获并保存在内存或磁盘中,以便后续分析。
3. 数据包解析:Sniffer对截获的数据包进行解析,提取其中的关键信息,如源IP地址、目标IP地址、协议类型、端口号等。
这些信息可以帮助分析人员了解网络流量的来源、目的和内容。
4. 数据包分析:通过对解析得到的数据包进行深入分析,Sniffer可以检测网络中的异常行为、安全漏洞以及潜在的攻击。
二、Sniffer的应用领域Sniffer作为一种功能强大的网络安全工具,在各个领域都有广泛的应用。
以下是几个典型的应用场景:1. 网络管理与监控:Sniffer可以用于监测网络流量,分析网络性能和带宽利用情况。
通过对数据包的分析,可以及时发现网络故障和异常,提高网络管理的效率。
2. 安全漏洞发现:Sniffer可以检测网络中的异常流量和未经授权的访问行为,帮助发现系统的安全漏洞。
它可以捕获潜在的攻击数据包,并通过分析判断是否存在安全威胁。
3. 网络流量分析:Sniffer可以对网络流量进行深入分析,了解用户的行为习惯、访问偏好以及网络应用的使用情况。
这对于网络服务提供商和广告商来说,有助于优化服务和精准投放广告。
4. 数据包调试与故障排查:在网络通信过程中,数据包传输可能会出现错误或丢失。
嗅探器(sniffer)在网络安全领域是一把双刃剑,一方面常被黑客作为网络攻击工具,从而造成密码被盗、敏感数据被窃等安全事件;另一方面又在协助网络管理员监测网络状况、诊断网络故障、排除网络隐患等方面有着不可替代的作用。
嗅探器是企业必不可少的网络管理工具。
本文以Linux平台下三个常用的网络嗅探器Tcpdump、Ethereal和EtherApe为例,介绍如何借助sniffer来诊断网络故障,从而保障网络高效安全地运行。
简介嗅探器(sniffer)又称为包嗅探器,是用来截获计算机网络通信数据的软件或硬件。
与电话电路不同,计算机网络是共享通信通道的,从而意味着每台计算机都可能接收到发送给其它计算机的信息,捕获在网络中传输的数据信息通常被称为监听(sniffing)。
嗅探器常常作为一种收集网络中特定数据的有效方法,是利用计算机的网络接口截获目的地为其它计算机数据报文的一种工具。
嗅探器工作在网络环境中的底层,可以拦截所有正在网络上传送的数据,从而成为网络安全的一个巨大威胁。
通过对网络进行嗅探,一些恶意用户能够很容易地窃取到绝密文档和敏感数据,因此嗅探器经常被黑客当作网络攻击的一种基本手段。
任何工具都有弊有利,嗅探器既可以作为黑客获得非法数据的手段,但同时对网络管理员来讲又是致关重要的。
通过嗅探器,管理员可以诊断出网络中大量的不可见模糊问题。
这些问题通常会涉及到多台计算机之间的异常通信,而且可能会牵涉到多种通信协议。
借助嗅探器,管理员还可以很方便地确定出哪些通信量属于某个特定的网络协议、占主要通信量的主机是哪台、各次通讯的目标是哪台主机、报文发送占用多少时间、各主机间报文传递的间隔时间等。
这些信息为管理员判断网络问题及优化网络性能,提供了十分宝贵的信息。
作为一种发展比较成熟的技术,嗅探器在协助监测网络数据传输、排除网络故障等方面有着不可替代的作用,倍受网络管理员的青睐。
可以通过分析网络流量来确定网络上存在的各种问题,如瓶颈效应或性能下降;也可以用来判断是否有黑客正在攻击网络系统。
Sniffer功能和使用详解一Sniffer介绍Sniffer,中文翻译为嗅探器,是一种基于被动侦听原理的网络分析方式。
使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。
当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。
将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。
Sniffer技术常常被黑客们用来截获用户的口令,据说某个骨干网络的路由器网段曾经被黑客攻入,并嗅探到大量的用户口令。
但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络Sniffer的分类如果Sniffer运行在路由器上或有路由功能的主机上,就能对大量的数据进行监控,因为所有进出网络的数据包都要经过路由器。
二sniffer proSniffer软件是NAI公司推出的功能强大的协议分析软件。
Sniffer Pro - 功能●捕获网络流量进行详细分析●利用专家分析系统诊断问题●实时监控网络活动●收集网络利用率和错误等使用Sniffer捕获数据时,由于网络中传输的数据量特别大,如果安装Sniffer的计算机内存太小,会导致系统交换到磁盘,从而使性能下降。
如果系统没有足够的物理内存来执行捕获功能,就很容易造成Sniffer系统死机或者崩溃。
因此,网络中捕获的流量越多,建议Sniffer系统应该有一个速度尽可能快的计算机。
1. Sniffer Pro计算机的连接要使Sniffer能够正常捕获到网络中的数据,安装Sniffer的连接位置非常重要,必须将它安装在网络中合适的位置,才能捕获到内、外部网络之间数据的传输。
如果随意安装在网络中的任何一个地址段,Sniffer就不能正确抓取数据,而且有可能丢失重要的通信内容。
一般来说,Sniffer应该安装在内部网络与外部网络通信的中间位置,如代理服务器上,也可以安装在笔记本电脑上。
当哪个网段出现问题时,直接带着该笔记本电脑连接到交换机或者路由器上,就可以检测到网络故障,非常方便。
sniffer pro的工作原理
Sniffer Pro是一种网络分析工具,用于在计算机网络上捕获、分析和解码网络数据包。
它的工作原理主要包括以下几个步骤:
1. 捕获数据包:Sniffer Pro通过网络接口卡或者网络设备,如交换机、路由器等,实时监听网络通信流量,并捕获经过的数据包。
2. 数据包过滤:Sniffer Pro可以根据用户定义的过滤规则来筛选感兴趣的数据包。
例如,可以根据源IP地址、目标IP地址、协议类型、端口号等条件进行过滤,以便只关注特定的网络流量。
3. 解析和重组数据包:Sniffer Pro对捕获到的数据包进行解析和重组,将二进制数据转换成可读的格式,显示出数据包的各个字段和内容。
它可以支持多种协议解析,如TCP/IP、HTTP、FTP、DNS等。
4. 分析网络流量:Sniffer Pro提供了丰富的分析功能,可以对网络流量进行统计、绘图和报表生成。
用户可以通过这些分析结果来查找网络问题、检测安全漏洞、优化网络性能等。
5. 高级功能:除了基本的捕获和分析功能,Sniffer Pro 还提供了一些高级功能,如会话重建、流量重放、协议模拟等。
这些功能可以帮助用户更深入地了解网络通信过程,并
进行相关的测试和调试工作。
总之,Sniffer Pro通过捕获、分析和解码网络数据包,提供了一个全面的工具集,用于帮助用户监控和分析计算机网络中的数据流量,以实现网络故障排查、网络性能优化和网络安全等目的。
实验八-网络性能监测分析工具Sniffer捕获高层协议数据包并分析实验目的: 使用Sniffer抓取ftp的数据报分析FTP的三次“握手”的过程。
分析FTP客户端和服务器端通信过程实验环境: Windows环境下常用的协议分析工具: sniffer 搭建Serv-U FTP Server, 在计算机上建立FTP服务器VMware虚拟机, 用虚拟机进行登录FTP。
实验内容和步骤:1. 建立网络环境。
用Serv-U FTP Server在计算机上建立一台FTP服务器, 设置IP地址为: 192.168.0.10。
在Serv-U FTP Server中已设定用户xyz, 密码123123。
(也可以自行设定其他帐号)2. 在此计算机上安装了sniffer。
3.启动该机器上的虚拟机作为一台FTP客户端, 设置IP地址为: 192.168.0.12。
4. 使用ping命令看是否连通。
记录结果。
5. 使用虚拟机登录FTP服务器。
6. 运行sniffer嗅探器, 并在虚拟机的“运行”中输入ftp://192.168.0.10, 点确定后出现如下图的登录窗口:在登录窗口中输入:用户名(xyz), 密码(123123)使用sniffer抓包, 再在sniffer软件界面点击“stop and display”, 选择“Decode”选项, 完成FTP命令操作过程数据包的捕获。
8.在sniffer嗅探器软件上点击Objects可看到下图, 再点击“DECODE(反解码)。
记录FTP三次握手信息, 写出判断这三个数据包的依据(如syn及ack)。
记录端口信息等内容。
9.找出数据包中包含FTPUSER命令的数据包, 记录显示的用户名。
10.捕获用户发送PASS命令的数据包, 记录显示的密码。
11. 找出FTP服务器端与客户端端口20进行三次握手打开数据传输。
记录数据信息。
sniffer 教程
Sniffer是一个网络流量分析工具,用于截获和分析网络数据包。
它可以用于网络管理、网络安全监测、漏洞分析等目的。
下面是一些关于使用Sniffer的基本教程:
1. 安装Sniffer软件:首先,您需要从Sniffer官方网站或其他可靠的软件下载站点下载并安装Sniffer软件。
安装过程通常与常规软件安装类似,您只需按照安装向导的指示进行操作。
2. 启动Sniffer:安装完成后,在您的计算机上找到Sniffer 的快捷方式或应用程序图标,双击打开Sniffer。
3. 设置网络接口:在Sniffer界面上,您需要选择要监测的网络接口。
通常,您可以选择您的计算机上的网络接口(如以太网、Wi-Fi等)。
选择要监测的网络接口后,单击“开始”或类似的按钮以开始捕获网络数据包。
4. 监测网络流量:一旦Sniffer开始捕获网络数据包,它将显示经过所选网络接口的流量。
您可以在Sniffer界面上查
看捕获的数据包,并从中提取关键信息,如源地址、目的地址、协议类型等。
5. 分析网络流量:Sniffer还提供了一些分析工具,如过滤器、统计数据、图形化界面等,以帮助您分析捕获的网络流量。
您可以使用这些工具来过滤特定类型的数据包,生成统计报告,可视化网络流量数据等。
需要注意的是,使用Sniffer工具需要具备一定的网络知识和技能,以有效地利用捕获的数据包进行分析。
此外,出于安全和合法性的考虑,在使用Sniffer时,请确保遵守相关法律和规定,并仅在授权范围内使用该工具。
sniffer实验报告实验报告:Sniffer实验引言:Sniffer是一种网络工具,用于捕获和分析网络数据包。
它可以帮助我们了解网络通信的细节,并帮助网络管理员识别和解决网络问题。
本实验旨在介绍Sniffer的原理和应用,以及通过实际操作来深入了解其功能和效果。
一、Sniffer的原理和工作机制Sniffer工作在网络的数据链路层,通过监听网络上的数据包来获取信息。
它可以在网络中的一个节点上运行,或者通过集线器、交换机等设备进行监测。
Sniffer通过网卡接口,将数据包拷贝到自己的缓冲区中,然后进行解析和分析。
二、Sniffer的应用领域1. 网络故障排查:Sniffer可以帮助管理员快速定位网络故障的原因,通过捕获数据包并分析其中的错误信息,找到导致网络中断或延迟的问题源。
2. 安全监测:Sniffer可以用于检测网络中的恶意行为,如入侵、数据泄露等。
通过分析数据包的内容和流量模式,管理员可以发现异常活动并采取相应措施。
3. 性能优化:Sniffer可以监测网络的吞吐量、延迟等性能指标,帮助管理员优化网络结构和配置,提高网络的传输效率和响应速度。
4. 协议分析:Sniffer可以解析各种网络协议,包括TCP/IP、HTTP、FTP等,帮助管理员了解网络通信的细节和流程,从而更好地管理和优化网络。
三、实验步骤与结果1. 硬件准备:连接电脑和网络设备,确保网络正常运行。
2. 软件安装:下载并安装Sniffer软件,如Wireshark等。
3. 打开Sniffer软件:选择合适的网卡接口,开始捕获数据包。
4. 分析数据包:通过过滤器设置,选择需要分析的数据包类型,如HTTP请求、FTP传输等。
5. 结果分析:根据捕获的数据包,分析网络通信的细节和问题,并记录相关信息。
6. 故障排查与优化:根据分析结果,定位网络故障的原因,并采取相应措施进行修复和优化。
实验结果显示,Sniffer软件成功捕获了网络中的数据包,并能够准确地分析其中的内容和流量模式。
sniffer实验报告Sniffer实验报告引言:在现代信息技术高度发达的时代,网络安全问题日益突出。
为了保护个人隐私和网络安全,网络管理员和安全专家需要不断寻找新的方法和工具来监测和防止网络攻击。
Sniffer(嗅探器)作为一种常见的网络安全工具,可以帮助我们分析网络流量并检测潜在的威胁。
本实验旨在了解Sniffer的工作原理和应用,并通过实际操作来验证其有效性。
一、Sniffer的工作原理Sniffer是一种网络数据包分析工具,其基本原理是通过监听网络接口,捕获经过该接口的数据包,并对其进行解析和分析。
Sniffer可以在本地网络或互联网上的任何位置运行,以便监测和分析网络流量。
它可以截取各种类型的数据包,包括TCP、UDP、ICMP等,并提取其中的关键信息,如源IP地址、目标IP地址、端口号等。
二、Sniffer的应用场景1. 网络安全监测:Sniffer可以帮助网络管理员及时发现和分析潜在的网络攻击,如端口扫描、DDoS攻击等。
通过监测网络流量,Sniffer可以检测到异常的数据包,并对其进行分析,提供有关攻击者的信息和攻击方式的线索。
2. 网络故障排查:当网络出现故障时,Sniffer可以帮助我们快速定位问题所在。
通过捕获和分析数据包,我们可以了解网络中的通信情况,查找网络设备的故障点,并进行相应的修复。
3. 网络性能优化:Sniffer可以帮助我们监测和分析网络的性能瓶颈,并提供优化建议。
通过分析网络流量和延迟情况,我们可以找到网络中的瓶颈节点,并采取相应的措施来提高网络的性能和稳定性。
三、实验过程和结果为了验证Sniffer的有效性,我们在实验室环境中搭建了一个小型网络,并使用Sniffer来捕获和分析数据包。
实验中,我们使用了Wireshark作为Sniffer工具,并连接了一台电脑和一个路由器。
首先,我们启动Wireshark,并选择要监听的网络接口。
然后,我们开始捕获数据包,并进行一段时间的网络活动,包括浏览网页、发送电子邮件等。
Sniffer网络流量分析(讨论稿)Network General目录第一章从利用率看网络 (1)1.网络利用率(Utilization) (1)2.网络利用率和服务质量(QOS) (1)3.网络利用率的异常和网络异常 (3)4.如何监控网络利用率 (5)5.案例分析 (8)5.1.网络利用率异常导致网络丢包 (8)第二章从包大小分布看网络 (11)1.包大小分布(Packet Size Distribution) (11)2.包大小分布和网络效率 (11)3.包大小分布的异常和网络异常 (12)4.如何监控网络中包大小分布 (14)5.案例分析 (16)5.1.网络包大小分布异常导致网络异常 (16)第三章从协议分布看网络 (20)1.协议分布(Protocol Distribution) (20)2.协议分布和网络应用 (20)3.协议分布异常和网络异常 (20)4.如何监控网络中协议分布 (22)第四章流量产生的分析 (24)1.流量的产生 (24)2.异常流量的产生 (24)3.异常流量的分析 (25)3.1.发现异常的网络流量 (25)3.2.对异常网络流量的分析 (29)4.案例 (30)4.1.某网络的HTTP协议异常网络流量 (30)4.2.某IDC的网络异常流量分析 (36)4.3.某网络利用率异常的流量分析 (39)第五章网络应用流量评估 (44)1.应用流量特点 (44)1.1.不同应用的流量特征 (44)1.2.不同种类应用对网络系统性能的需求 (45)1.3.网络应用对网络的影响 (45)2.网络应用流量评估的目的 (46)3.网络应用流量评估实用方法 (47)3.1.网络应用流量的评估步骤 (47)3.2.网络应用流量评估内容 (49)4.案例 (52)4.1.对某办公自动化应用的流量评估 (52)4.2.对视频会议应用的流量评估 (55)第一章从利用率看网络1. 网络利用率(Utilization)网络利用率是网络中实际的网络流量同网络理论带宽的比率。
借助网络嗅探器Sniffer对网络流量进行分析
Sniffer是一个非常好的流量分析工具,利用它我们可以实际了解到当前网络中正在发生的具体流量,并且通过Sniffer的专家系统以及进一步对数据包的解码分析,我们可以很
快的定位网络故障,确认网络带宽的瓶颈,在故障发生前及时消除网络隐患,这样能给我们日常的维护工作带来很大的方便,也使得我们的维护工作处于主动地位,不会再只有接到用户故障投诉后才能处理故障,在时间和效率上都不能很好的让用户满意。
下面是借助Sniffer对我某地市分公司出口流量做的一个简单的流量分析,没有什么很深的技术含量,也并不需要太深的专业知识,希望能对大家日常的维护工作有一定启发。
分析目标:了解目前带宽实际利用率,检查有无网络隐患。
分析方法:
在核心交换机上做端口镜像,利用sniffer抓包。
测试时间:2005.5.17 10:00~10:10
测试地点:中心机房
抓包开始时间:5.17 10:20
抓包持续时间:16s
数据包个数:88865
平均带宽利用率:7%
1,首先我们了解一下网络中协议的分布情况,通过sniffer的Protocol Distribution 功能可以直观的看到当前网络流量中协议分布图:
从上面可以很明显看出,HTTP应用流量最大占63%,其次就是NetBios流量占35%。
了解协议分布情况以后,我们再找到网络中流量最大的主机,因为流量越大也就意味着对网络的影响也就越大,利用sniffer的Host Table的饼视图功能可以容易的找到流量最大的机器,如下图所示:
可以看到219.72.238.88,219.72.237.201这两台主机在目前我们网络内部流量较大,分别占16.52%和15.97%。
进一步利用HostTable功能的Outline视图,可以发现这两个地址流量的90%都是HTTP流量,如下图所示:
我们可以从上图注意到,219.73.238.88这个主机上行流量要明显小于下行的流量,而219.72.237.201这个主机则是上行流量明显大于下行流量,通过确认219.72.238.88为一台Web服务器,219,72,237,201则是其他公司托管我在我公司的一台服务器,所以到这一步我们就可以大致知道这两个主机当前正在进行的网络活动。
同时我们要注意的就是每个地址的收发包数量是否正常,即是否收发之间存在较大差异,如果只收不发或者只发不收,那很可能就意味着这个主机的当前流量有异常(例如受到SYN攻击),我们可以进一步通过sniffer提供的Decode功能对捕获的数据包进行解码,来分析具体的数据包内容。
比如我们通过定义一个过滤器来查看上面两个地址的具体数据流量,如下图所示:
我们可以看到在这些HTTP应用里面,TCP的三次握手都很完整,排除了恶意的SYN攻击行为,都是正常的HTTP流量。
附:也许从这次的例子看不出有什么异常,实际上在大部分的情况下一旦网络出现异常,可以在第一时间直观的通过HostTable功能找到问题的根源。
2,查看sniffer的专家系统,发现存在大量的Local Routing(本地路由)告警,sniffer中对此告警的解释为:Two DLC stations on the same segment are communicating via a router. Packets are being transmitted via the router rather than directly from one DLC station to the other(大致意思是两个属于同一网段的主机之间通过路由器通信,数据包通过路由器发送而不是直接在两主机间转发)。
并提示可能原因为路由表设置不当。
(如下图所示)
通过查看告警来源,发现流量均为来自私网地址的139端口连接,通过sniffer的Protocol Distribution的Packet排序可以看出Netbios协议流量占所有流量的80%,即当前网络中80%的数据包都是Netbios协议数据包。
如下图所示:
很明显出现这种现象是不正常的,我们可以在所捕获的数据包里定义过滤器,选择只查看Netbios协议,进一步了解具体的数据包内容(如下图所示):
发现存在大量网内的私网地址发起的139端口连接请求,而且全都是TCP的SYN请求,TCP的三次握手只有一次,很可能受到了SYN攻击。
数据包大小都是62字节,而且每个数据包之间发送间隔都在1ms内,排除人为发起TCP请求的可能。
通过观察数据包的源,目的IP地址,发现源地址很分散,目的地址均为实际并不存在的IP地址,但根据我公司IP地址规划都属于某地市分公司私网地址段。
根据流量的特征,初步判断为私网用户感染蠕虫病毒,病毒通过139端口与大量虚假IP地址建立连接,造成网络中存在大量短数据包,严重降低网络运行效率。
同时我们还发现当前网络对每一个TCP连接请求进行不断的重传,直到TTL值过期之后才被丢弃。
通过跟踪查看某个地址的重传数据包,发现一个奇怪的现象:
上面两幅截图是Sniffer捕获的172.17.60.126对172.17.46.14发起TCP连接请求的两个数据包,可以看到在数据包的网络层里面有两个选项:Identification,Time to live (TTL)。
Identification是用来唯一标识主机发出的每个数据包的,正常情况下每个数据包的ID都不一样,而TTL是用来限制数据包在网络中经过的跳数的,每经过一跳TTL值就减1,直到TTL值为0的时候数据包就被丢弃,主要是防止当网络中出现环路时数据包的循环传送。
而在上图可以看到,这两个数据包的Identification是一样,只是TTL值相差1。
这就表示这两个数据包实际上是同一个数据包(因为ID一样),只不过被发出去以后又被送回来了。
到了这里,我们可以初步怀疑是否出现了路由环路。
进一步在中心机房尝试tracert172.17.46.14这个IP地址跟踪路由,发现路由在中心机房交换机和地市交换机之间形成环路,数据包在环路不断往返,直到TTL值过期才被丢弃。
通过查看中心机房交换机路由表,发现配置了静态路由,将172.17.44.0/22这段地址指向了地市分公司交换机,而在分公司交换机配置的私网地址池里面只配置了
172.17.44.0/23,并没有包括172.17.46.0这段地址,所以在里面找不到对应的路由,故将流量通过默认路由又传回至中心机房,从而形成环路。
检查针对其他网段的异常流量时同样出现这种情况。
所以,当感染蠕虫病毒的机器与大量实际并不存在的地址建立139连接时,借助静态路由设置不当的漏洞,这些数据包在网络中循环传送,消耗了大量网络带宽,降低了网络的运行效率。
所以针对以上流量分析,我们可以得出以下结论:
⑴目前网络中存在大量中毒机器,并且正在试图通过局域网感染其他主机,最好能及时通知客户做杀毒处理,消除网络隐患。
⑵出于安全方面的考虑,建议拒绝基于139端口的流量。
⑶中心机房交换机上需要更改静态路由,取消路由环路。
