指導手冊SnifferPro數(shù)據(jù)包捕獲與協(xié)議分析

1、網(wǎng)絡分析工具sniffer pro一、訓練目標1、了解常用網(wǎng)絡分析工具2、會使用網(wǎng)絡分析工具sniffer pro二、實訓環(huán)境要求利用vmware軟件虛擬出一臺計算機(稱為“虛擬機”或“虛擬系統(tǒng)”)，與物理機組成一個 最小的網(wǎng)絡實驗環(huán)境，作為網(wǎng)絡攻擊的目標計算機，物理機作為實施網(wǎng)絡攻擊的主機。建議安裝方式：在xp系統(tǒng)中，安裝虛擬的windows2003/2000 server系統(tǒng)三、實訓內容任務1：網(wǎng)絡分析工具sniffer pro的使用sniffer pro是一種很好的網(wǎng)絡分析程序，允許管理員逐個數(shù)據(jù)包查看通過網(wǎng)絡的實際數(shù) 據(jù)，從而了解網(wǎng)絡的實際運行情況。它具有以下特點：1. 可以解碼至少4

2、50種協(xié)議。除了 ip、ipx和其它一些“標準”協(xié)議外，sniffer pro 還可以解碼分析很多由廠商自己開發(fā)或者使用的專門協(xié)議，比如思科vlan中繼協(xié)議(isl) o2. 支持主要的局域網(wǎng)(lan)、城域網(wǎng)(wan)等網(wǎng)絡技術(包括高速與超高速以太網(wǎng)、令牌環(huán)、 802. lib無線網(wǎng)、sonet傳遞的數(shù)據(jù)包、t-1、幀延遲和atm) °3. 提供在位和字節(jié)水平上過濾數(shù)據(jù)包的能力。4. 提供對網(wǎng)絡問題的高級分析和診斷，并推薦應該采取的正確措施。5. switch expert可以捉供從各種網(wǎng)絡交換機查詢統(tǒng)計結果的功能。6. 網(wǎng)絡流量生成器能夠以千兆的速度運行。7. 可以離線捕獲數(shù)據(jù)

3、，如捕獲幀。因為幀通常都是用8位的分界數(shù)組來校準，所以sniffer pro只能以字節(jié)為單位捕獲數(shù)據(jù)。但過濾器在位或者字節(jié)水平都可以定義。需要注意的是，使用sniffer捕獲數(shù)據(jù)時，由于網(wǎng)絡中傳輸?shù)臄?shù)據(jù)量特別大，如果安裝 sniffer的計算機內存太小，會導致系統(tǒng)交換到磁盤，從而使性能下降。如果系統(tǒng)沒有足夠的 物理內存來執(zhí)行捕獲功能，就很容易造成sniffer系統(tǒng)死 機或者崩潰。因此，網(wǎng)絡屮捕獲的 流量越多，sniffer系統(tǒng)就應該運行得更快、功能更強。因此，建議sniffer系統(tǒng)應該有一個 速度盡可能快的處理器，以及至少512mb的物理內存。1. sn辻fer pro計算機的連接要使snif

4、fer能夠正常捕獲到網(wǎng)絡中的數(shù)據(jù)，安裝sniffer的連接位置非常重要，必須 將它安裝在網(wǎng)絡屮合適的位置，才能捕獲到內、外部網(wǎng)絡之間數(shù)據(jù)的傳輸。如果隨意安裝在網(wǎng) 絡屮的任何一個地址段，sniffer就不能正確抓取數(shù)據(jù)，而且有可能丟失重要的通信內容。一 般來說，sniffer應該安裝在內部網(wǎng)絡與外部網(wǎng)絡通信的屮間位置，如代理服務器上，也可以 安裝在筆記本電腦上。當哪個網(wǎng)段出現(xiàn)問題時，直接帶著該筆記本電腦連接到交換機或者路 由器上，就可以檢測到網(wǎng)絡故障，非常方便。(1) 監(jiān)控internet連接共享如果網(wǎng)絡中使用代理服務器，局域網(wǎng)借助代理服務器實現(xiàn)internet連接共享，并且交換 機為傻瓜交換機

5、時，可以直接將sniffer pro安裝在代理服務器上，這樣，sniffer pro就可 以非常方便地捕獲局域網(wǎng)和internet之間傳輸?shù)臄?shù)據(jù)。如果核心交換機為智能交換機，那么最好的方式是采用端口映射的方式，將局域網(wǎng)出口(連 接 代理服務器或者路由器的端口)映射為另外一個端口，并將sniffer pro計算機連接至該映 射端口。例如，在交換機上，與外部網(wǎng)絡連接的端口設為a,連接筆記本電腦的端口設置為b, 將筆記本電腦的網(wǎng)卡與b端口連接，然后將a和b做端口映射，使得a端口傳輸?shù)臄?shù)據(jù)可以從 b端口監(jiān)測到，這樣，sniffer就可以監(jiān)測整個局域網(wǎng)屮的數(shù)據(jù)了。(2) 監(jiān)控某個vlan或者端口若欲監(jiān)控

6、某個vlan中的通信時，應將sniffer pro計算機添加至該vlan,使其成為該vlan 屮的一員，從而監(jiān)控該vlan屮的所有通信。若欲監(jiān)控某個或者幾個端口的通信時，可以釆用端口映射的方式，將被監(jiān)控的端口(或若 t端口)映射為sniffer pro計算機所連接的端口。2. 設置監(jiān)控網(wǎng)卡如果計算機上安裝了多個網(wǎng)卡，在首次運行sniffer pr。時，需要選擇要監(jiān)控的網(wǎng)卡，應 該選擇代理網(wǎng)卡或者連接交換機端口的網(wǎng)卡。當下次運行時，sniffer pro就會自動選擇同樣 的代理。(1)改變監(jiān)控網(wǎng)卡sniffer安裝完成以后，從“開始”菜單運行，顯示“settings”對話框，在"sel

7、ect settings for monitoring歹!j表框中單擊選擇要監(jiān)控的網(wǎng)卡,單擊"確定”按鈕,sniffer 就會監(jiān)控該網(wǎng)卡屮傳輸?shù)臄?shù)據(jù)。如果以后要改變監(jiān)控設置，可以選擇“f訂e”菜單屮的 “select settings選項，同樣會岀現(xiàn)該對話框，用來改變要監(jiān)控的網(wǎng)卡。如果在“settings”對話框中沒有顯示要監(jiān)控的網(wǎng)卡，可以將其它網(wǎng)卡添加到該列表框 屮。單擊“new”按鈕，彈出“new settings"對話框，可以設置新添加的網(wǎng)卡。(2)監(jiān)測網(wǎng)絡中計算機的連接狀況配置好服務器和工作站的tcp/ip設置并啟動smfier pro軟件，選擇“菜單”中“moni

8、tor”“matrix”，從工作站訪問服務器上的資源，如www、ftp等，觀察檢測到的網(wǎng)絡中的連接狀況, 記錄下各連接的ip地址和mac地址。如圖158所示。s00023fe918a6 呂 001958e68368 q01005e7ffffa ar»入塩數(shù)番包1岀塩數(shù)粥包子節(jié)i出境子帑i廣播多宜傳送1岀填楷誤£74,990112,62110|182 80123689.6800131304.630000圖15-8被監(jiān)控計算機列表（3）監(jiān)測網(wǎng)絡中數(shù)據(jù)的協(xié)議分布選擇菜單"monitor” “protocal distribution”，監(jiān)測數(shù)據(jù)包中的使用的協(xié)議情況，如圖

9、15-9 所示。記錄下時間和協(xié)議分布情況。|mac"入空 /亡悔議分布ipx協(xié)議!hii10860單位丫他亥峻伯0101x圖15-9被監(jiān)控網(wǎng)絡協(xié)議分布,lnl x|（4）監(jiān)測分析網(wǎng)絡中傳輸?shù)膇cmp數(shù)據(jù)1）定義過濾規(guī)則：點擊菜單“capture” t adefine filter,在在對話框中進行操作。 點擊“address”（地址）選項卡，設置'地址類型”為p “包含”本機地址，即在“位 置1”輸入本機ip地址，“方向”（dir.）為“雙向”，“位置2”為“任意的”。 點擊“advanced”選項卡，在該項下選擇“ip”一“icmp”。設置完成后點擊菜單中“capture”

10、 -“start”開始記錄監(jiān)測數(shù)據(jù)。顯示如圖1510和圖1511所示。s?畳艾件圖15-10監(jiān)控地址選擇酣e包含 c齢99任個 馭"處送tit為m所有的大水解i it址|觸段？：砌|躋|trrrrfrr- rp魯jb包關型）pi1回3b.r,蚯 i m i比數(shù)件圖1511監(jiān)控協(xié)議選擇3）從工作站ping服務器的ip地址。4）觀察監(jiān)測到的結果:點擊菜單中"capture” -* " stop and display ”，將進入記錄結果的窗 口。點擊下方各選項卡可觀察各項記錄，可通過“file” 一save”保存監(jiān)測記錄。5）記錄監(jiān)測到的icmp傳輸記錄：點擊記錄窗口

11、下方的解碼“decode”選項，進入解碼窗 口，分析記錄，找到工作站向服務器發(fā)出的請求命令并記錄有關信息。結果如圖1512。icmp. icmp： icmp: icmp- icmp.(50j10 1.3.25010 1.3 15010 1.3 25050目n衛(wèi) tt tloa 3.250:篇訶.1/8以太網(wǎng)報1013.1501013.2501013.iso1013.250hohoaececec氐1icncmr sempmpmpmp一 melic瓦瓦ic一ichp headex type 8 (echo)code a 0checksum 485c (correct

12、)內春碼03 96 uelqq 48 5c04 00 01 00 61 62 63 64 65 66167 68 696a 6b 6c6d 6e 6f 70 71 72 73 74 75 7663 64 65gimel皿0000001000 3c 67 6b 00 00 80 01 b7 c4 0a 01 第3 fa oa 01 <gk c00000020;00000030:00000040:圖15-12 icmp數(shù)據(jù)包解碼示例（5）監(jiān)測分析網(wǎng)絡中傳輸?shù)膆ttp數(shù)據(jù)1）在服務器的web目錄下放置一個網(wǎng)頁文件。2）定義過濾規(guī)則：點擊菜單"capture” -> "

13、definefilter”,在對話框中點"advanced”選項 卡，在該項下選擇“ip” - “tcp” 一 “http”。設置完成后點擊菜單中"capture" - “start" 開始記錄監(jiān)測數(shù)據(jù)。3）從工作站用瀏覽器訪問服務器上的網(wǎng)頁文件。4）觀察監(jiān)測到的結果:點擊菜單中"capture” -* “stop and display”,將進入記錄結果的窗 口，點擊下方各選項卡可觀察各項記錄。點擊“file” ->save”保存記錄。5）記錄監(jiān)測到的http傳輸記錄：點擊記錄窗口下方的解碼“decode”選項，進入解碼窗 口，分析記錄

14、，找到工作站向服務器發(fā)出的網(wǎng)頁請求命令并記錄有關信息。（6）監(jiān)測分析網(wǎng)絡中傳輸?shù)膄tp數(shù)據(jù)1）啟用服務器的serv-u軟件，在ftp服務目錄下放置一個文本文件。最好在ftp中建立兩 個用戶，即匿名用戶（anonymous）和一個授權用戶（用戶名、權限自定）。2）定義過濾規(guī)則：點擊菜單“ capture ° -449421 (ftp-ctrl) < 1205445112 “define filter ",在“ summary "選項卡下點擊“reset" 按鈕將過濾規(guī)則恢復到初始狀態(tài)，然后在“advanced”選項卡下選擇“ip” 一 “tcp” 一

15、 “ftp”。 設置完成后點擊菜單“capture” 一 “start”開始記錄監(jiān)測數(shù)據(jù)。3）從工作站用ftp下載服務器上的文本文件。4）觀察監(jiān)測到的結果：點擊菜單"capture” ustop and display進入記錄結果的窗口， 點擊下方各選項卡觀察各項記錄并保存記錄。監(jiān)控顯示如圖1513所示。可以看到登錄密碼也是 明文顯示的。在jsyi i以太冋帙10.1 3.25010 1 j 1510 1 3 250 50ftp r port-4494ftp c port4494ftp r port-4494331 passwordftp c port-4494fs fasuser220 microsof t ftp|lenr|relitia 上jftp醫(yī)颯的用戶名uu1 .hpx図的登錄童 j11tcp source porttcp destination porttcp sequence口號00000000:00000010:00000020:00000030;00000040:00oc29fdabab00023f003c6a7f40008006740396116e001547d9a