实验八--网络性能监测分析工具Sniffer捕获高层协议数据包并分析

sniffer 实验报告Sniffer实验报告引言：在当今数字化时代，网络安全问题备受关注。

Sniffer作为一种网络安全工具，被广泛应用于网络流量监测、数据包分析和安全漏洞发现等领域。

本报告旨在介绍Sniffer的原理、应用以及实验结果，并探讨其在网络安全中的重要性。

一、Sniffer的原理与工作方式Sniffer是一种网络数据包嗅探器，它能够截获经过网络的数据包，并对其进行分析和解码。

其工作原理主要包括以下几个步骤：1. 网络接口监听：Sniffer通过监听网络接口，获取经过该接口的数据包。

这可以通过底层网络协议（如以太网、无线网络等）提供的API实现。

2. 数据包截获：一旦Sniffer监听到网络接口上的数据包，它会将其截获并保存在内存或磁盘中，以便后续分析。

3. 数据包解析：Sniffer对截获的数据包进行解析，提取其中的关键信息，如源IP地址、目标IP地址、协议类型、端口号等。

这些信息可以帮助分析人员了解网络流量的来源、目的和内容。

4. 数据包分析：通过对解析得到的数据包进行深入分析，Sniffer可以检测网络中的异常行为、安全漏洞以及潜在的攻击。

二、Sniffer的应用领域Sniffer作为一种功能强大的网络安全工具，在各个领域都有广泛的应用。

以下是几个典型的应用场景：1. 网络管理与监控：Sniffer可以用于监测网络流量，分析网络性能和带宽利用情况。

通过对数据包的分析，可以及时发现网络故障和异常，提高网络管理的效率。

2. 安全漏洞发现：Sniffer可以检测网络中的异常流量和未经授权的访问行为，帮助发现系统的安全漏洞。

它可以捕获潜在的攻击数据包，并通过分析判断是否存在安全威胁。

3. 网络流量分析：Sniffer可以对网络流量进行深入分析，了解用户的行为习惯、访问偏好以及网络应用的使用情况。

这对于网络服务提供商和广告商来说，有助于优化服务和精准投放广告。

4. 数据包调试与故障排查：在网络通信过程中，数据包传输可能会出现错误或丢失。

网络分析工具Sniffer Pro一、训练目标1、了解常用网络分析工具2、会使用网络分析工具Sniffer Pro二、实训环境要求利用VMware软件虚拟出一台计算机（称为“虚拟机”或“虚拟系统”），与物理机组成一个最小的网络实验环境，作为网络攻击的目标计算机，物理机作为实施网络攻击的主机。

建议安装方式：在XP系统中，安装虚拟的windows2003/2000 Server系统三、实训内容任务1：网络分析工具Sniffer Pro的使用Sniffer Pro是一种很好的网络分析程序，允许管理员逐个数据包查看通过网络的实际数据，从而了解网络的实际运行情况。

它具有以下特点：1. 可以解码至少450种协议。

除了IP、IPX和其它一些“标准”协议外，Sniffer Pro还可以解码分析很多由厂商自己开发或者使用的专门协议，比如思科VLAN中继协议(ISL)。

2. 支持主要的局域网(LAN)、城域网(WAN)等网络技术(包括高速与超高速以太网、令牌环、802.11b无线网、SONET传递的数据包、T-1、帧延迟和ATM)。

3. 提供在位和字节水平上过滤数据包的能力。

4. 提供对网络问题的高级分析和诊断，并推荐应该采取的正确措施。

5. Switch Expert可以提供从各种网络交换机查询统计结果的功能。

6. 网络流量生成器能够以千兆的速度运行。

7. 可以离线捕获数据，如捕获帧。

因为帧通常都是用8位的分界数组来校准，所以SnifferPro只能以字节为单位捕获数据。

但过滤器在位或者字节水平都可以定义。

需要注意的是，使用Sniffer捕获数据时，由于网络中传输的数据量特别大，如果安装Sniffer的计算机内存太小，会导致系统交换到磁盘，从而使性能下降。

如果系统没有足够的物理内存来执行捕获功能，就很容易造成Sniffer系统死机或者崩溃。

因此，网络中捕获的流量越多，Sniffer系统就应该运行得更快、功能更强。

实验八-网络性能监测分析工具Sniffer捕获高层协议数据包并分析实验目的: 使用Sniffer抓取ftp的数据报分析FTP的三次“握手”的过程。

分析FTP客户端和服务器端通信过程实验环境: Windows环境下常用的协议分析工具: sniffer 搭建Serv-U FTP Server, 在计算机上建立FTP服务器VMware虚拟机, 用虚拟机进行登录FTP。

实验内容和步骤:1. 建立网络环境。

用Serv-U FTP Server在计算机上建立一台FTP服务器, 设置IP地址为: 192.168.0.10。

在Serv-U FTP Server中已设定用户xyz, 密码123123。

（也可以自行设定其他帐号）2. 在此计算机上安装了sniffer。

3．启动该机器上的虚拟机作为一台FTP客户端, 设置IP地址为: 192.168.0.12。

4. 使用ping命令看是否连通。

记录结果。

5. 使用虚拟机登录FTP服务器。

6. 运行sniffer嗅探器, 并在虚拟机的“运行”中输入ftp://192.168.0.10, 点确定后出现如下图的登录窗口:在登录窗口中输入：用户名（xyz）, 密码（123123）使用sniffer抓包, 再在sniffer软件界面点击“stop and display”, 选择“Decode”选项, 完成FTP命令操作过程数据包的捕获。

8.在sniffer嗅探器软件上点击Objects可看到下图, 再点击“DECODE(反解码)。

记录FTP三次握手信息, 写出判断这三个数据包的依据（如syn及ack）。

记录端口信息等内容。

9．找出数据包中包含FTPUSER命令的数据包, 记录显示的用户名。

10．捕获用户发送PASS命令的数据包, 记录显示的密码。

11. 找出FTP服务器端与客户端端口20进行三次握手打开数据传输。

记录数据信息。

惠州学院《计算机网络》实验报告实验08 Sniffer Pro数据包捕获与协议分析1。

实验目的（1）了解Sniffer的工作原理.(2）掌握SnifferPro工具软件的基本使用方法。

(3）掌握在非交换以太网环境下侦测、记录、分析数据包的方法。

2。

实验原理数据在网络上是以很小的被称为“帧"或“包”的协议数据单元（PDU)方式传输的.以数据链路层的“帧"为例，“帧"由多个部分组成，不同的部分对应不同的信息以实现相应的功能，例如，以太网帧的前12个字节存放的是源MAC地址和目的MAC地址，这些数据告诉网络该帧的来源和去处，其余部分存放实际用户数据、高层协议的报头如TCP／IP的报头或IPX报头等等.帧的类型与格式根据通信双方的数据链路层所使用的协议来确定，由网络驱动程序按照一定规则生成，然后通过网络接口卡发送到网络中，通过网络传送到它们的目的主机。

目的主机按照同样的通信协议执行相应的接收过程.接收端机器的网络接口卡一旦捕获到这些帧,会告诉操作系统有新的帧到达，然后对其进行校验及存储等处理.在正常情况下，网络接口卡读入一帧并进行检查，如果帧中携带的目的MAC地址和自己的物理地址一致或者是广播地址，网络接口卡通过产生一个硬件中断引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理，否则就将这个帧丢弃。

如果网络中某个网络接口卡被设置成“混杂"状态，网络中的数据帧无论是广播数据帧还是发向某一指定地址的数据帧,该网络接口卡将接收所有在网络中传输的帧，这就形成了监听。

如果某一台主机被设置成这种监听（Snfffing）模式，它就成了一个Sniffer.一般来说，以太网和无线网被监听的可能性比较高，因为它们是一个广播型的网络，当然无线网弥散在空中的无线电信号能更轻易地截获。

3. 实验环境与器材本实验在虚拟机中安装SnifferPro4。

7版本，要求虚拟机开启FTP、HTTP等服务，即虚拟机充当服务器,物理机充当工作站。

《防火墙技术》Sniffer协议分析实验报告姓名*****＿班级网工1 学号****** 机位号＿＿34＿上机目的：1、掌握使用sniffer软件捕获IP、TCP数据包；2、学会分析IP、TCP数据包格式；3、能在IP数据包中区分源目地址等字段；4、能在TCP封包格式中区别源端口地址和目标端口地址；5、掌握TCP的三次握手过程。

上机准备：1、运行Sniffer软件：2、操作步骤：单击开始－选择程序－选择Sniffer pro－单击Sniffer程序上机过程：一、复习TCP协议1、TCP封包格式2、以下表格体现了封包从传输层到网络接口层的封装过程,把以下几个选项写到下面的表格中。

A、以太网帧头部B、以太网帧尾部C、应用数据D、TCP 头E、IP 头所以一个帧的字节大小等于＿＿＿＿＿＿＿＿AEDCB＿＿＿的和3、TCP的传输服务遵循以下几个阶段：＿建立连接＿、＿传送数据＿、＿释放连接＿。

二、TCP协议在建立连网时的三次握手。

TCP的数据包是靠IP协议来传输的。

但IP协议是只管把数据送到出去，但不能保证IP 数据报能成功地到达目的地，保证数据的可靠传输是靠TCP协议来完成的。

当接收端收到来自发送端的信息时，接受端详发送短发送一条应答信息，意思是：“我已收到你的信息了。

”第三组数据将能看到这个过程。

TCP是一个面向连接的协议。

无论哪一方向另一方发送数据之前，都必须先在双方之间建立一条连接。

建立连接的过程就是三次握手的过程。

这个过程就像要我找到了张三向他借几本书，第一步：我说：“你好，我是杜杜”，第二步：张三说：“你好，我是张三”，第三步：我说：“我找你借几本书。

”这样通过问答就确认对方身份，建立了联系。

下面来分析一下此例的三次握手过程。

1、图一表示第一次握手，请求端（客户端）即开启1161端口的机器发送一个初始序号（ISN）4027175139给开启80端口的服务器图一2、图二表示第二次握手，开启80端口的服务器收到这个序号后，将应答信号（ACK）和随机产生一个初始序号（ISN）4158117370发回到请求端（客户端），因为有应答信号和初始序号，所以标志位ACK和SYN都置为1。

sniffer实验报告实验报告：Sniffer实验引言：Sniffer是一种网络工具，用于捕获和分析网络数据包。

它可以帮助我们了解网络通信的细节，并帮助网络管理员识别和解决网络问题。

本实验旨在介绍Sniffer的原理和应用，以及通过实际操作来深入了解其功能和效果。

一、Sniffer的原理和工作机制Sniffer工作在网络的数据链路层，通过监听网络上的数据包来获取信息。

它可以在网络中的一个节点上运行，或者通过集线器、交换机等设备进行监测。

Sniffer通过网卡接口，将数据包拷贝到自己的缓冲区中，然后进行解析和分析。

二、Sniffer的应用领域1. 网络故障排查：Sniffer可以帮助管理员快速定位网络故障的原因，通过捕获数据包并分析其中的错误信息，找到导致网络中断或延迟的问题源。

2. 安全监测：Sniffer可以用于检测网络中的恶意行为，如入侵、数据泄露等。

通过分析数据包的内容和流量模式，管理员可以发现异常活动并采取相应措施。

3. 性能优化：Sniffer可以监测网络的吞吐量、延迟等性能指标，帮助管理员优化网络结构和配置，提高网络的传输效率和响应速度。

4. 协议分析：Sniffer可以解析各种网络协议，包括TCP/IP、HTTP、FTP等，帮助管理员了解网络通信的细节和流程，从而更好地管理和优化网络。

三、实验步骤与结果1. 硬件准备：连接电脑和网络设备，确保网络正常运行。

2. 软件安装：下载并安装Sniffer软件，如Wireshark等。

3. 打开Sniffer软件：选择合适的网卡接口，开始捕获数据包。

4. 分析数据包：通过过滤器设置，选择需要分析的数据包类型，如HTTP请求、FTP传输等。

5. 结果分析：根据捕获的数据包，分析网络通信的细节和问题，并记录相关信息。

6. 故障排查与优化：根据分析结果，定位网络故障的原因，并采取相应措施进行修复和优化。

实验结果显示，Sniffer软件成功捕获了网络中的数据包，并能够准确地分析其中的内容和流量模式。

实训报告一、sniffer的功能认知；1. 实时网络流量监控分析Sniffer Portable LAN能够对局域网网络流量进行实时监控和统计分析，对每个链路上的网络流量根据用户习惯，可以提供以表格或图形（条形图、饼状图和矩阵图等）方式显示的统计分析结果,内容包括：·网络总体流量实时监控统计：如当前和平均网络利用率、总的和当前的帧数、字节数、总网络节点数和激活的网络节点数、当前和总的平均帧长等。

·协议使用和分布统计：如协议类型、协议数量、协议的网络利用率、协议的字节数以及每种协议中各种不同类型的帧的数量等。

Sniffer包含通用的TCP和UDP网络应用协议如HTTP, Telnet, SNMP, FTP等。

同时，Sniffer 也具有特有的灵活性允许增加自定义的应用。

一旦应用协议加入Sniffer，针对应用的所有的监控、报警和报告便自动生效；·包尺寸分布统计：如某一帧长的帧所占百分比，某一帧长的帧数等。

·错误信息统计：如错误的CRC校验数、发生的碰撞数、错误帧数等；·主机流量实时监控统计：如进出每个网络节点的总字节数和数据包数、前x个最忙的网络节点等；话节点对等；·Sniffer还提供历史统计分析功能，可以使用户看到网络中一段时间内的流量运行状况，帮助用户更好的进行流量分析和监控。

2.应用响应时间监控和分析Sniffer 在监控网络流量和性能的同时，更加关注在网络应用的运行状况和性能管理，应用响应时间(ART)功能是Sniffer中重要的组成部分，不仅提供了对应用响应时间的实时监控，也提供对于应用响应时间的长期监控和分析能力。

首先ART监控功能提供了整体的应用性能响应时间，让用户以多种方式把握当前网络通讯中的各类应用响应时间的对比情况，如客户机/服务器响应时间、服务器响应时间，最快响应时间、最慢响应时间、平均响应时间和90%的请求的响应时间等。

sniffer实验报告Sniffer实验报告引言：在现代信息技术高度发达的时代，网络安全问题日益突出。

为了保护个人隐私和网络安全，网络管理员和安全专家需要不断寻找新的方法和工具来监测和防止网络攻击。

Sniffer（嗅探器）作为一种常见的网络安全工具，可以帮助我们分析网络流量并检测潜在的威胁。

本实验旨在了解Sniffer的工作原理和应用，并通过实际操作来验证其有效性。

一、Sniffer的工作原理Sniffer是一种网络数据包分析工具，其基本原理是通过监听网络接口，捕获经过该接口的数据包，并对其进行解析和分析。

Sniffer可以在本地网络或互联网上的任何位置运行，以便监测和分析网络流量。

它可以截取各种类型的数据包，包括TCP、UDP、ICMP等，并提取其中的关键信息，如源IP地址、目标IP地址、端口号等。

二、Sniffer的应用场景1. 网络安全监测：Sniffer可以帮助网络管理员及时发现和分析潜在的网络攻击，如端口扫描、DDoS攻击等。

通过监测网络流量，Sniffer可以检测到异常的数据包，并对其进行分析，提供有关攻击者的信息和攻击方式的线索。

2. 网络故障排查：当网络出现故障时，Sniffer可以帮助我们快速定位问题所在。

通过捕获和分析数据包，我们可以了解网络中的通信情况，查找网络设备的故障点，并进行相应的修复。

3. 网络性能优化：Sniffer可以帮助我们监测和分析网络的性能瓶颈，并提供优化建议。

通过分析网络流量和延迟情况，我们可以找到网络中的瓶颈节点，并采取相应的措施来提高网络的性能和稳定性。

三、实验过程和结果为了验证Sniffer的有效性，我们在实验室环境中搭建了一个小型网络，并使用Sniffer来捕获和分析数据包。

实验中，我们使用了Wireshark作为Sniffer工具，并连接了一台电脑和一个路由器。

首先，我们启动Wireshark，并选择要监听的网络接口。

然后，我们开始捕获数据包，并进行一段时间的网络活动，包括浏览网页、发送电子邮件等。

、实验目的：1、理解协议分析仪的工作原理；2、学会使用Sniffer Pro捕获数据包；3、学会分析协议数据包。

二、实验设备硬件：PC机二台和交换机一台。

软件：作服务器的PC需安装Windows 2000 Server，另一台PC作客户机，可为Windows 2000/XP，并安装Sniffer Pro 4.7.5。

拓朴结构图：三、任务描述作为公司网络管理员需要熟悉网络协议，熟练使用协议分析仪。

使用协议分析仪，宏观上，可以进行统计以确定网络性能。

微观上，可以从数据包分析中了解协议的实现情况，是否存在网络攻击行为等，为制定安全策略及进行安全审计提供直接的依据。

四、实验内容和要求1、使用Sniffer Pro捕获数据包；2、定义过滤条件；3、分析数据包协议；4、截获HTTP网页内容（如手机号码）5、截获FTP客户名和密码。

五、实验步骤：1、设置IP地址：为了避免各组的IP地址发生冲突，各组将本组机的IP地址设为192.168.X.N，X为组号，N由组长指定，组内机要不相同。

服务器的IP地址： Sniffer Pro机的IP：2、新建文件夹和文件新建文件夹“D：\MyFTP”和文本文件：“test.txt”。

test.txt中的内容为：Hello, everybody! Miss you!3、新建本地用户：右击“我的电脑”—>“管理”—>“计算机管理” —>“用户”，新建用户FTPuser，密码为ftpXXXX，XXXX为班号+组号，如一班三组为：0103。

4、创建一个FTP站点：a）单击“开始”—》“程序”—》“管理工具”—》“Internet信息服务”，打开“Internet信息服务”管理工具。

b）右键单击“默认FTP站点”，选择“属性”，进入“默认FTP站点属性”设置界面。

c）修改主目录：在“本地路径”输入自己站点所在的文件夹“D:\MyFtp”。

d）设置客户对文件的操作类型（见上图），允许的操作有“读取”、“写入“和“日志”。

在设计系统的时候我们就考虑到了这个问题，所以 SnifferFox 本身就是支持多语言的， 我们很容易对它进行扩展，只需要把 Lang/english 翻译成响应的语言就可以，不需要进行 任何的程序更改。系统中已经提供了中英两中语言的支持，可以很容易的切换。 4. 有比较好的扩展性
我们在语言，界面，协议方面都充分考虑到了其可扩展性。所以，要在这个版本的基 础上开发新的版本相对来说还是不难的。这样可以很好的复用现在的代码。 5. 操作方便
实验报告
学生姓名：
学 号：
一、实验室名称：软件实验室
二、实验项目名称：数据包捕获实验
三、SnifferFox 工作原理：
软件首先把网卡设置为混杂模式，然后获得网卡接收到的数据，按 TCP/IP 协议对数据包进 行分析，按照用户的要求把一部分包过滤掉，然后再把这些等剩下的数据包写入缓冲区（一块 指定大小的内存块，可以根据用户计算机的内存大小手工设置），显示在用户界面上，当缓冲 区满了的时候，系统会自动把缓冲区的数据写入到外存中去。
报告评分：
指导教师签字：
下图是一个简单的说明。
图表 1 SnifferFox Data Flow Diagram
SnifferFox 是一个多线程的系统，大致可以分成 3 个线程(实现的时候实际只用了 2 个)，抓 包线程(Sniffer Thread)，协议分析和过滤的线程，用户界面。工作在数据链路层，因此可以获 得原始的数据帧，所以 SnifferFox 可以支持 ARP，RARP 等底层协议。
这是我们考虑得比较多的一个问题，我们在尽量地让系统的操作方式符合人们的习惯， 使得用户觉得它方便好用。 6. 支持了比较多的协议
以太网中，SnifferFox 分析了 TCP/IP 族的几乎应用层以下的所有协议，应用层的协议 能够识别 112 个。

四、实验总结
1）体会Sniffer的危险性； 2）学习使用Cain & Abel 4.9软件，并与 SnifferPro4.7进行比较

Sniffer Pro数据包捕获与协议分析
一、实验目的
(1)了解Sniffer的工作原理。 (2)掌握SnifferPro工具软件的基本使用 方法。 (3)掌握在非交换以太网环境下侦测、记 录、分析数据包的方法。

二、实验设备与器具
本实验在虚拟机中安装SnifferPro4.7版本， 要求虚拟机开启FTP、HTTP等服务。 物理机通过Ping命令、FTP访问及网页访 问等操作实验网络数据帧的传递。
三、实训内容和要求



（5）监测分析网络中传输的HTTP数据 1）在服务器的Web目录下放置一网页文件。 2）定义过滤规则：点击菜单“Capture”“Define Filter”，在对话框中点“Advanced”选项卡，在该项下 选择“IP”→“TCP”→“HTTP”。设置完成后点击菜单中 “Capture”→“Start'’开始记录监测数据。 3）从工作站用浏览器访问服务器上的网页文件。 4）观察监测到的结果：点击菜单中“Capture”→“Stop and display”，将进入记录结果的窗口，点击下方各选 项卡可观察各项记录。点击“File”→Save”保存记录。 5）记录监测到的HTTP传输记录：点击记录窗口下方的 解码“Decode”选项，进入解码窗口，分析记录，找到 工作站向服务器发出的网页请求命令并记录有关信息。
三、实训内容和要求





（6）监测分析网络中传输的FTP数据 1）启用服务器的Serv-U软件，在FTP服务目录下放置一个文本文件。 2）定义过滤规则：点击菜单“Capture”→“Define Filter”，在 “Summary”选项卡下点击“Reset"按钮将过滤规则恢复到初始状 态，然后在“Advanced”选项卡下选择“IP”→“TCP”→“FTP”。设 置完成后点击菜单“Capture”→“Start”开始记录监测数据。 3）从工作站用FTP下载服务器上的文本文件。 4）观察监测到的结果：点击菜单“Capture”→“Stop and display”，进入记录结果的窗口，点击下方各选项卡观察各项记录并 保存记录。 5）记录监测到的FTP传输记录：点击记录窗口下方的解码 “Decode”选项，进入解码窗口，分析记录，找到工作站向服务器 发出的FTP命令并记录。

2、点击 “开始”按钮，进行监听。 3、监听到报文后的界面。选择左侧的 Object，查看其内容。
4 如果监听到满足要求的协议比如 HTTP 协议、比如 Telnet 等协议则单击 F9 或 者 CaptureStop and Play 菜单。
5、选择符合要求的协议，然后点击下面的”Decode”选项。
捕获的 报文
报文解 码
二进制 内容
4、基本捕获条件 基本的捕获条件有两种： 1、链路层捕获，按源 MAC 和目的 MAC 地址进行捕获，输入方式为十六进制连 续输入，如：00E0FC123456。 2、IP 层捕获，按源 IP 和目的 IP 进行捕获。输入方式为点间隔方式，如： 10.107.1.1。如果选择 IP 层捕获条件则 ARP 等报文将被过滤掉。
利用 Sniffer 软件1、学习 Sniffer 软件的使用 2、通过 Sniffer 分析网络协议执行过程以及报文结构 3、计算机网络协议分析
二、实验内容：
1、Sniffer 软件的使用 2、通过 Sniffer 分析网络协议执行过程以及报文结构 3、计算机网络协议分析
三、实验步骤： (一)Sniffer 软件的使用
1、打开 Sniffer 软件，选择具体的网卡型号。
2、报文捕获工具栏介绍。
捕获条件 编辑
选择捕获 条件
捕获开始 捕获暂停
捕获停止
捕获停止 并查看
捕获查看
3、捕获报文查看
专家分析 系统
专家分析 系统
捕获报文的 图形分析
捕获报文的其他 统计信息
双击此记录可以 查看详细信息
6、查看具体内容。
(三)请同学们分别监测及分析 Telnet、HTTP、ARP 等，并分析 TCP 协议连接建 立、传输、关闭的过程。并将结果反应到实验报告中。 五、思考题

一、实验目的：练习sniffer工具的基本使用方法，用sniffer捕获报文并进行分析。

二、实验环境：通过集线器连接的多台PC，预装Windows 2000 Professional。

三、实验内容：
1、捕获数据包
（1）选择Monitor|Matrix命令，此时可看到网络中的Traffic Map 视图。

（2）选择Capture|Define Filter命令，然后在Advanced选项卡中选中IP，从而定义要捕捉的数据包类型。

（3）回到Traffic Map视图中，选中要捕捉的主机IP地址，然后单击鼠标右键，选择Capture命令，sniffer则开始捕捉指定IP地址的主机的数据包。

2、分析捕获的数据包
（1）从Capture Panel中看到捕获的数据包达到一定数量后，停止
捕捉，单击Stop and Display按钮，就可以停止捕获包。

（2）窗口中列出了捕捉到的数据，选中某一条数据后，下面分别
显示出相应的数据分析和原始的数据包。

单击窗口中的某一条数
据，可以看到下面相应的地方的背景变成灰色，表明这些数据与
之对应。

四、实验界面：
五、结论
sniffer软件是NAI公司推出的功能强大的协议分析软件。

Sniffer支持的协议丰富，解码分析速度快。

其中sniffer pro版可以运行在各种windows平台上。

Sniffer是一种常用的收集有用数据的方法，这些数据可以是用户的帐号和密码，还可以是一些商用机密数据等。

Sniffer工具使用实验报告学院：计算机科学与工程学院班级：专业：学生姓名：学号：目录实验目的 .................................. 错误!未定义书签。

实验平台 .................................. 错误!未定义书签。

实验内容 .................................. 错误!未定义书签。

实验1：抓ping和回应包................. 错误!未定义书签。

实验要求：.......................... 错误!未定义书签。

实验过程与分析...................... 错误!未定义书签。

实验2 ：捕获内网发往外网的重要数据..... 错误!未定义书签。

实验要求：.......................... 错误!未定义书签。

实验过程与分析：.................... 错误!未定义书签。

实验3 ：Arp包编辑发送 ................. 错误!未定义书签。

实验要求：.......................... 错误!未定义书签。

实验过程与分析：.................... 错误!未定义书签。

实验4 ：ARP欺骗 ....................... 错误!未定义书签。

实验要求：.......................... 错误!未定义书签。

实验过程与分析...................... 错误!未定义书签。

实验深入分析：...................... 错误!未定义书签。

实验5：交换机端口镜像的简单配置........ 错误!未定义书签。

实验要求：.......................... 错误!未定义书签。

实验过程与分析：.................... 错误!未定义书签。

sniffer实验报告sniffer实验报告ParseTPLayer( BuffRevnIpHeaderLen*4] ); break; aseHI_UDP: ParseUDPLayer( BuffRevnIpHeaderLen*4] ); 0, (strut break; } ut***************************************************************************** endl endl; } // 关闭套接字lsesket( SkRa ); // 卸载insk库 SAleanup(); return 0; } // 解析IP层，获得上层协议类型 int ParseIPLayer( har* Buff ){ unsigned int usIp1=0, usIp2=0, usIp3=0, usIp4=0; unsigned int nIpHiType=0; epy( usIp1, BuffIP_SADDR], sizef(har) ); epy( usIp2, BuffIP_SADDR+1], sizef(har) ); epy( usIp3, BuffIP_SADDR+2], sizef(har) ); epy( usIp4, BuffIP_SADDR+3], sizef(har) ); ut *************** IP Layer **************** endl; ut 源IP地址： usIp1 . usIp2 . usIp3 . usIp4 epy( usIp1, BuffIP_DADDR], sizef(har) ); epy( usIp2, BuffIP_DADDR+1], sizef(har) ); epy( usIp3, BuffIP_DADDR+2], sizef(har) );epy( usIp4, BuffIP_DADDR+3], sizef(har) ); ut 目的IP地址：usIp1 . usIp2 . usIp3 . usIp4 epy( nIpHiType, BuffIP_HITYPE], sizef(har) ); sith ( nIpHiType) { ase 1: ut IP高层协议类型: nIpHiType (IP) endl; return HI_IP; ase 2: ut IP高层协议类型: nIpHiType (IGP) endl; return HI_IGP; ase 6: ut IP高层协议类型: nIpHiType (TP) endl; return HI_TP; ase 17: ut IP高层协议类型: nIpHiType (UDP) endl; return HI_UDP; ase 89: ut IP高层协议类型: nIpHiType (SPF) endl; return HI_SPF; default: ut IP高层协议类型: nIpHiType (未知的类型) endl; return HI_UNKN; } } // 解析IP数据包，获得IP类型 vid ParseIPLayer( har* Buff ) { unsigned int nIpType=0;epy( nIpType, BuffIP_TYPE], sizef(har) ); ut**************** IP Layer *************** endl; sith( nIpType ) { ase 3: ut IP类型： nIpType (终点不可达) endl;break; ase 4: ut IP类型： nIpType (源点抑制) endl; break; ase 11: ut IP类型： nIpType (超时) endl; break; ase 12: ut IP 类型： nIpType (参数问题) endl; break; ase 5: ut IP类型：nIpType (改变路由) endl; break; ase 8: ut IP类型： nIpType (回送请求) endl; break; ase 0: ut IP类型： nIpType (回送回答) endl; break; ase 13: ut IP类型： nIpType (时间戳请求) endl; break; ase 14: ut IP类型： nIpType (时间戳回答) endl; break; ase 17: ut IP类型： nIpType (地址掩码请求) endl; break; ase 18: ut IP类型： nIpType (地址掩码回答) endl; break; ase 10: ut IP类型： nIpType (路由器询问) endl; break; ase 9: ut IP 类型： nIpType (路由器通告) endl; break; default: ut IP类型： nIpType (未知的IP类型) endl; } } // 解析TP数据包，获得源、目的端口对 vid ParseTPLayer( har* Buff ) { unsigned shrt usSPrt=0; unsigned shrt usDPrt=0; ut ***************** TP Layer *************** endl; epy( usSPrt, BuffTP_SPRT],2*sizef(har) ); usSPrt = htns( usSPrt );//将证书转换成络字节序 sith ( usSPrt ) { ase : ut TP源端口： usSPrt (FTP 数据) break; ase : ut TP源端口： usSPrt (FTP 控制) break; ase 23: ut TP源端口： usSPrt (TELNET) break; ase : ut TP源端口： usSPrt (STP) break; ase 80: ut TP源端口： usSPrt (HTTP) break; ase 110: ut TP源端口： usSPrt (PP3) break; ase 1: ut TP源端口： usSPrt (IAP) break; default: ut TP源端口： usSPrt break; } epy( usDPrt, BuffTP_DPRT], 2*sizef(har) ); usDPrt = htns( usDPrt ); sith ( usDPrt ) { ase : ut TP目的端口： usDPrt (FTP 数据) endl; break; ase : ut TP目的端口： usDPrt (FTP 控制) endl; break; ase 23: ut TP目的端口： usDPrt (TELNET) endl; break; ase : ut TP目的端口： usDPrt (STP) endl; break; ase 80: ut TP目的端口： usDPrt (HTTP) endl; break; ase 110: ut TP目的端口： usDPrt (PP3) endl; break; ase 1: ut TP目的端口： usDPrt (Iap) endl; break; default: ut TP目的端口： usDPrt endl; break; } } // 解析UDP数据包，获得源、目的端口对 vidParseUDPLayer( har* Buff ) { unsigned shrt usSPrt=0; unsigned shrt usDPrt=0; ut ********************** UDP Layer******************** endl; epy( usSPrt, BuffUDP_SPRT],2*sizef(har) ); usSPrt = htns( usSPrt ); sith ( usSPrt ) { ase 161: ut UDP源端口： usSPrt (SNP) break; ase 67: ut UDP源端口： usSPrt (DHP) break; ase 68: ut UDP源端口： usSPrt (DHP) break; ase : ut UDP源端口： usSPrt (DNS) break; ase 5: ut UDP源端口： usSPrt (RIP) break; ase 138: ut UDP源端口： usSPrt (NetBis) break; ase 139: } ut UDP源端口： usSPrt (SB) break; ase 137: ut UDP源端口： usSPrt (INS) break; default: ut UDP 源端口： usSPrt break; } epy( usDPrt, BuffUDP_DPRT],2*sizef(har) ); usDPrt = htns( usDPrt ); sith ( usDPrt ) { ase 161: ut UDP目的端口： usDPrt (SNP) endl; break; ase 67: ut UDP目的端口： usDPrt (DHP) endl; break; ase 68: ut UDP目的端口： usDPrt (DHP) endl; break; ase : ut UDP目的端口： usDPrt (DNS) endl; break; ase 5: ut UDP目的端口： usDPrt (RIP) endl; break; ase 138: ut UDP目的端口： usDPrt (NetBis) endl; break; ase 139: ut UDP目的端口： usDPrt (SB) endl; break; ase 137: ut UDP目的端口： usDPrt (INS) endl; break; default: ut UDP 目的端口： usDPrt endl; break; } 实验结果：实验心得：通过本次实验，明白了络连接还有络嗅探的基本原理。

实验报告填写时间：图1（2）捕获报文Sniffer软件提供了两种最基本的网络分析操作，即报文捕获和网络性能监视（如图2）。

在这里我们首先对报文的捕获加以分析，然后再去了解如何对网络性能进行监视。

图2捕获面板报文捕获可以在报文捕获面板中进行，如图2中蓝色标注区所示即为开始状态的报文捕获面板，其中各按钮功能如图3所示图3捕获过程的报文统计在报文统计过程中可以通过单击Capture Panel 按钮来查看捕获报文的数量和缓冲区的利用率（如图4、5）。

图4图5三、Sniffer菜单及功能简介Sniffer进入时，需要设置当前机器的网卡信息。

进入Sniffer软件后，会出现如图2的界面，可以看到Sniffer软件的中文菜单，下面是一些常用的工具按钮。

在日常的网络维护中，使用这些工具按钮就可以解决问题了。

1、主机列表按钮：保存机器列表后，点击此钮，Sniffer会显示网络中所有机器的信息，其中，Hw地址一栏是网络中的客户机信息。

网络中的客户机一般都有惟一的名字，因此在Hw地址栏中，可以看到客户机的名字。

对于安装Sniffer的机器，在Hw地址栏中用“本地”来标识；对于网络中的交换机、路由器等网络设备，Sniffer只能显示这些网络设备的MAC 地址。

入埠数据包和出埠数据包，指的是该客户机发送和接收的数据包数量，后面还有客户机发送和接收的字节大小。

可以据此查看网络中的数据流量大小。

2、矩阵按钮：矩阵功能通过圆形图例说明客户机的数据走向，可以看出与客户机有数据交换的机器。

使用此功能时，先选择客户机，然后点击此钮就可以了。

3、请求响应时间按钮：请求响应时间功能，可以查看客户机访问网站的详细情况。

当客户机访问某站点时，可以通过此功能查看从客户机发出请求到服务器响应的时间等信息。

4、警报日志按钮：当Sniffer监控到网络的不正常情况时，会自动记录到警报日志中。

所以打开Sniffer软件后，首先要查看一下警报日志，看网络运行是否正常。

网络监听实验报告一、实验目的利用Sniffer软件捕获网络信息数据包，然后通过解码进行分析。

通过实验，了解网络监听原理和过程。

二、实验环境及设备硬件：可以用三台真机：三台PC、一台集线器或交换机、网线若干；或也可以用三台虚拟机：一台内存不少于2GB的PC，用VMware虚拟机软件建立三台虚拟机，要求能流畅运行。

软件：Windows XP Professional SP3，IIS组件包（用于搭建FTP服务器），Sniffer软件。

三、实验内容将三台PC组建成一个局域网；将其中的A机搭建为FTP服务器，并将服务器设置为要求用户名和密码登录；B机作为A机FTP服务的访问者，知道A机FTP服务的用户名和密码；C机作为监听者，装有Sniffer软件，监听A、B两机的通信，以监听到A机的FTP 服务用户名和密码为最终目标。

四、实验详细步骤本实验内容分为三个过程：1、准备三台PC，将三台PC组建成一个局域网，以能互相ping通为成功标志。

（1）物理连接：若用三台实体PC，用交换机连接成网络；若用三台虚拟机，则都使用“桥接”方式连接成网络，操作方法为：选定需设置的虚拟机→“虚拟机”菜单→“设置”命令→“硬件”选项卡→“Network Adapter”→“桥接：直接连接到物理网络”。

（2）分配IP地址设置三台电脑IP地址在同一个网段，IP地址分配如下表。

设备IP 地址任务分配A机IP地址:192.168.1.1子网掩码：255.255.255.0FTP服务器B机IP地址:192.168.1.2子网掩码：255.255.255.0FTP服务访问者C机IP地址:192.168.1.3子网掩码：255.255.255.0监听者，利用Sniffer监听，捕获登录账号和密码IP地址设置好后，关闭防火墙，测试三台电脑能否互相ping通。

关闭防火墙方法：右击桌面“网上邻居”→属性→右击“本地连接”→属性→“高级”选项卡→“设置”按钮→“常规”选项卡→选中“关闭（不推荐）”。