指導手冊SnifferPro數據包捕獲與協(xié)議分析

1、網絡分析工具sniffer pro一、訓練目標1、了解常用網絡分析工具2、會使用網絡分析工具sniffer pro二、實訓環(huán)境要求利用vmware軟件虛擬出一臺計算機(稱為“虛擬機”或“虛擬系統(tǒng)”)，與物理機組成一個 最小的網絡實驗環(huán)境，作為網絡攻擊的目標計算機，物理機作為實施網絡攻擊的主機。建議安裝方式：在xp系統(tǒng)中，安裝虛擬的windows2003/2000 server系統(tǒng)三、實訓內容任務1：網絡分析工具sniffer pro的使用sniffer pro是一種很好的網絡分析程序，允許管理員逐個數據包查看通過網絡的實際數 據，從而了解網絡的實際運行情況。它具有以下特點：1. 可以解碼至少4

2、50種協(xié)議。除了 ip、ipx和其它一些“標準”協(xié)議外，sniffer pro 還可以解碼分析很多由廠商自己開發(fā)或者使用的專門協(xié)議，比如思科vlan中繼協(xié)議(isl) o2. 支持主要的局域網(lan)、城域網(wan)等網絡技術(包括高速與超高速以太網、令牌環(huán)、 802. lib無線網、sonet傳遞的數據包、t-1、幀延遲和atm) °3. 提供在位和字節(jié)水平上過濾數據包的能力。4. 提供對網絡問題的高級分析和診斷，并推薦應該采取的正確措施。5. switch expert可以捉供從各種網絡交換機查詢統(tǒng)計結果的功能。6. 網絡流量生成器能夠以千兆的速度運行。7. 可以離線捕獲數據

3、，如捕獲幀。因為幀通常都是用8位的分界數組來校準，所以sniffer pro只能以字節(jié)為單位捕獲數據。但過濾器在位或者字節(jié)水平都可以定義。需要注意的是，使用sniffer捕獲數據時，由于網絡中傳輸的數據量特別大，如果安裝 sniffer的計算機內存太小，會導致系統(tǒng)交換到磁盤，從而使性能下降。如果系統(tǒng)沒有足夠的 物理內存來執(zhí)行捕獲功能，就很容易造成sniffer系統(tǒng)死 機或者崩潰。因此，網絡屮捕獲的 流量越多，sniffer系統(tǒng)就應該運行得更快、功能更強。因此，建議sniffer系統(tǒng)應該有一個 速度盡可能快的處理器，以及至少512mb的物理內存。1. sn辻fer pro計算機的連接要使snif

4、fer能夠正常捕獲到網絡中的數據，安裝sniffer的連接位置非常重要，必須 將它安裝在網絡屮合適的位置，才能捕獲到內、外部網絡之間數據的傳輸。如果隨意安裝在網 絡屮的任何一個地址段，sniffer就不能正確抓取數據，而且有可能丟失重要的通信內容。一 般來說，sniffer應該安裝在內部網絡與外部網絡通信的屮間位置，如代理服務器上，也可以 安裝在筆記本電腦上。當哪個網段出現問題時，直接帶著該筆記本電腦連接到交換機或者路 由器上，就可以檢測到網絡故障，非常方便。(1) 監(jiān)控internet連接共享如果網絡中使用代理服務器，局域網借助代理服務器實現internet連接共享，并且交換 機為傻瓜交換機

5、時，可以直接將sniffer pro安裝在代理服務器上，這樣，sniffer pro就可 以非常方便地捕獲局域網和internet之間傳輸的數據。如果核心交換機為智能交換機，那么最好的方式是采用端口映射的方式，將局域網出口(連 接 代理服務器或者路由器的端口)映射為另外一個端口，并將sniffer pro計算機連接至該映 射端口。例如，在交換機上，與外部網絡連接的端口設為a,連接筆記本電腦的端口設置為b, 將筆記本電腦的網卡與b端口連接，然后將a和b做端口映射，使得a端口傳輸的數據可以從 b端口監(jiān)測到，這樣，sniffer就可以監(jiān)測整個局域網屮的數據了。(2) 監(jiān)控某個vlan或者端口若欲監(jiān)控

6、某個vlan中的通信時，應將sniffer pro計算機添加至該vlan,使其成為該vlan 屮的一員，從而監(jiān)控該vlan屮的所有通信。若欲監(jiān)控某個或者幾個端口的通信時，可以釆用端口映射的方式，將被監(jiān)控的端口(或若 t端口)映射為sniffer pro計算機所連接的端口。2. 設置監(jiān)控網卡如果計算機上安裝了多個網卡，在首次運行sniffer pr。時，需要選擇要監(jiān)控的網卡，應 該選擇代理網卡或者連接交換機端口的網卡。當下次運行時，sniffer pro就會自動選擇同樣 的代理。(1)改變監(jiān)控網卡sniffer安裝完成以后，從“開始”菜單運行，顯示“settings”對話框，在"sel

7、ect settings for monitoring歹!j表框中單擊選擇要監(jiān)控的網卡,單擊"確定”按鈕,sniffer 就會監(jiān)控該網卡屮傳輸的數據。如果以后要改變監(jiān)控設置，可以選擇“f訂e”菜單屮的 “select settings選項，同樣會岀現該對話框，用來改變要監(jiān)控的網卡。如果在“settings”對話框中沒有顯示要監(jiān)控的網卡，可以將其它網卡添加到該列表框 屮。單擊“new”按鈕，彈出“new settings"對話框，可以設置新添加的網卡。(2)監(jiān)測網絡中計算機的連接狀況配置好服務器和工作站的tcp/ip設置并啟動smfier pro軟件，選擇“菜單”中“moni

8、tor”“matrix”，從工作站訪問服務器上的資源，如www、ftp等，觀察檢測到的網絡中的連接狀況, 記錄下各連接的ip地址和mac地址。如圖158所示。s00023fe918a6 呂 001958e68368 q01005e7ffffa ar»入塩數番包1岀塩數粥包子節(jié)i出境子帑i廣播多宜傳送1岀填楷誤£74,990112,62110|182 80123689.6800131304.630000圖15-8被監(jiān)控計算機列表（3）監(jiān)測網絡中數據的協(xié)議分布選擇菜單"monitor” “protocal distribution”，監(jiān)測數據包中的使用的協(xié)議情況，如圖

9、15-9 所示。記錄下時間和協(xié)議分布情況。|mac"入空 /亡悔議分布ipx協(xié)議!hii10860單位丫他亥峻伯0101x圖15-9被監(jiān)控網絡協(xié)議分布,lnl x|（4）監(jiān)測分析網絡中傳輸的icmp數據1）定義過濾規(guī)則：點擊菜單“capture” t adefine filter,在在對話框中進行操作。 點擊“address”（地址）選項卡，設置'地址類型”為p “包含”本機地址，即在“位 置1”輸入本機ip地址，“方向”（dir.）為“雙向”，“位置2”為“任意的”。 點擊“advanced”選項卡，在該項下選擇“ip”一“icmp”。設置完成后點擊菜單中“capture”

10、 -“start”開始記錄監(jiān)測數據。顯示如圖1510和圖1511所示。s?畳艾件圖15-10監(jiān)控地址選擇酣e包含 c齢99任個 馭"處送tit為m所有的大水解i it址|觸段？：砌|躋|trrrrfrr- rp魯jb包關型）pi1回3b.r,蚯 i m i比數件圖1511監(jiān)控協(xié)議選擇3）從工作站ping服務器的ip地址。4）觀察監(jiān)測到的結果:點擊菜單中"capture” -* " stop and display ”，將進入記錄結果的窗 口。點擊下方各選項卡可觀察各項記錄，可通過“file” 一save”保存監(jiān)測記錄。5）記錄監(jiān)測到的icmp傳輸記錄：點擊記錄窗口

11、下方的解碼“decode”選項，進入解碼窗 口，分析記錄，找到工作站向服務器發(fā)出的請求命令并記錄有關信息。結果如圖1512。icmp. icmp： icmp: icmp- icmp.(50j10 1.3.25010 1.3 15010 1.3 25050目n衛(wèi) tt tloa 3.250:篇訶.1/8以太網報1013.1501013.2501013.iso1013.250hohoaececec氐1icncmr sempmpmpmp一 melic瓦瓦ic一ichp headex type 8 (echo)code a 0checksum 485c (correct

12、)內春碼03 96 uelqq 48 5c04 00 01 00 61 62 63 64 65 66167 68 696a 6b 6c6d 6e 6f 70 71 72 73 74 75 7663 64 65gimel皿0000001000 3c 67 6b 00 00 80 01 b7 c4 0a 01 第3 fa oa 01 <gk c00000020;00000030:00000040:圖15-12 icmp數據包解碼示例（5）監(jiān)測分析網絡中傳輸的http數據1）在服務器的web目錄下放置一個網頁文件。2）定義過濾規(guī)則：點擊菜單"capture” -> "

13、definefilter”,在對話框中點"advanced”選項 卡，在該項下選擇“ip” - “tcp” 一 “http”。設置完成后點擊菜單中"capture" - “start" 開始記錄監(jiān)測數據。3）從工作站用瀏覽器訪問服務器上的網頁文件。4）觀察監(jiān)測到的結果:點擊菜單中"capture” -* “stop and display”,將進入記錄結果的窗 口，點擊下方各選項卡可觀察各項記錄。點擊“file” ->save”保存記錄。5）記錄監(jiān)測到的http傳輸記錄：點擊記錄窗口下方的解碼“decode”選項，進入解碼窗 口，分析記錄

14、，找到工作站向服務器發(fā)出的網頁請求命令并記錄有關信息。（6）監(jiān)測分析網絡中傳輸的ftp數據1）啟用服務器的serv-u軟件，在ftp服務目錄下放置一個文本文件。最好在ftp中建立兩 個用戶，即匿名用戶（anonymous）和一個授權用戶（用戶名、權限自定）。2）定義過濾規(guī)則：點擊菜單“ capture ° -449421 (ftp-ctrl) < 1205445112 “define filter ",在“ summary "選項卡下點擊“reset" 按鈕將過濾規(guī)則恢復到初始狀態(tài)，然后在“advanced”選項卡下選擇“ip” 一 “tcp” 一

15、 “ftp”。 設置完成后點擊菜單“capture” 一 “start”開始記錄監(jiān)測數據。3）從工作站用ftp下載服務器上的文本文件。4）觀察監(jiān)測到的結果：點擊菜單"capture” ustop and display進入記錄結果的窗口， 點擊下方各選項卡觀察各項記錄并保存記錄。監(jiān)控顯示如圖1513所示。可以看到登錄密碼也是 明文顯示的。在jsyi i以太冋帙10.1 3.25010 1 j 1510 1 3 250 50ftp r port-4494ftp c port4494ftp r port-4494331 passwordftp c port-4494fs fasuser220 microsof t ftp|lenr|relitia 上jftp醫(yī)颯的用戶名uu1 .hpx図的登錄童 j11tcp source porttcp destination porttcp sequence口號00000000:00000010:00000020:00000030;00000040:00oc29fdabab00023f003c6a7f40008006740396116e001547d9a