計算機網(wǎng)絡(luò)實驗八 Sniffer Pro數(shù)據(jù)包捕獲與協(xié)議分析

1、惠州學(xué)院計算機網(wǎng)絡(luò)實驗報告實驗08 Sniffer Pro數(shù)據(jù)包捕獲與協(xié)議分析1. 實驗?zāi)康模?）了解Sniffer的工作原理。（2）掌握SnifferPro工具軟件的基本使用方法。（3）掌握在非交換以太網(wǎng)環(huán)境下偵測、記錄、分析數(shù)據(jù)包的方法。2. 實驗原理數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的被稱為“幀”或“包”的協(xié)議數(shù)據(jù)單元（PDU）方式傳輸?shù)摹Ｒ詳?shù)據(jù)鏈路層的“幀”為例，“幀”由多個部分組成，不同的部分對應(yīng)不同的信息以實現(xiàn)相應(yīng)的功能，例如，以太網(wǎng)幀的前12個字節(jié)存放的是源MAC地址和目的MAC地址，這些數(shù)據(jù)告訴網(wǎng)絡(luò)該幀的來源和去處，其余部分存放實際用戶數(shù)據(jù)、高層協(xié)議的報頭如TCPIP的報頭或IPX報頭等等。

2、幀的類型與格式根據(jù)通信雙方的數(shù)據(jù)鏈路層所使用的協(xié)議來確定，由網(wǎng)絡(luò)驅(qū)動程序按照一定規(guī)則生成，然后通過網(wǎng)絡(luò)接口卡發(fā)送到網(wǎng)絡(luò)中，通過網(wǎng)絡(luò)傳送到它們的目的主機。目的主機按照同樣的通信協(xié)議執(zhí)行相應(yīng)的接收過程。接收端機器的網(wǎng)絡(luò)接口卡一旦捕獲到這些幀，會告訴操作系統(tǒng)有新的幀到達，然后對其進行校驗及存儲等處理。在正常情況下，網(wǎng)絡(luò)接口卡讀入一幀并進行檢查，如果幀中攜帶的目的MAC地址和自己的物理地址一致或者是廣播地址，網(wǎng)絡(luò)接口卡通過產(chǎn)生一個硬件中斷引起操作系統(tǒng)注意，然后將幀中所包含的數(shù)據(jù)傳送給系統(tǒng)進一步處理，否則就將這個幀丟棄。如果網(wǎng)絡(luò)中某個網(wǎng)絡(luò)接口卡被設(shè)置成“混雜”狀態(tài)，網(wǎng)絡(luò)中的數(shù)據(jù)幀無論是廣播數(shù)據(jù)幀還是發(fā)向

3、某一指定地址的數(shù)據(jù)幀，該網(wǎng)絡(luò)接口卡將接收所有在網(wǎng)絡(luò)中傳輸?shù)膸?，這就形成了監(jiān)聽。如果某一臺主機被設(shè)置成這種監(jiān)聽（Snfffing）模式，它就成了一個Sniffer。一般來說，以太網(wǎng)和無線網(wǎng)被監(jiān)聽的可能性比較高，因為它們是一個廣播型的網(wǎng)絡(luò)，當(dāng)然無線網(wǎng)彌散在空中的無線電信號能更輕易地截獲。3. 實驗環(huán)境與器材本實驗在虛擬機中安裝SnifferPro4.7版本，要求虛擬機開啟FTP、HTTP等服務(wù)，即虛擬機充當(dāng)服務(wù)器，物理機充當(dāng)工作站。物理機通過Ping命令、FTP訪問及網(wǎng)頁訪問等操作實驗網(wǎng)絡(luò)數(shù)據(jù)幀的傳遞。4. 實驗內(nèi)容介紹最基本的網(wǎng)絡(luò)數(shù)據(jù)幀的捕獲和解碼，詳細功能請參閱本教材輔助材料。（1）Sniff

4、er Pro 4.7的安裝與啟動1）啟動Sniffer Pro 4.7。在獲取Sniffer Pro 4.7軟件的安裝包后，運行安裝程序，按要求輸入相關(guān)信息并輸入注冊碼，若有漢化包請在重啟計算機前進行漢化。完成后重啟計算機，點擊“開始”à“程序”à“Sniffer Pro”à“Sniffer”，啟動“Sniffer Pro 4.7”程序。2）選擇用于Sniffer的網(wǎng)絡(luò)接口。如果計算機有多個網(wǎng)絡(luò)接口設(shè)備，則可通過菜單“File”à“Select Settings”，選擇其中的一個來進行監(jiān)測。若只有一塊網(wǎng)卡，則不必進行此步驟。（2）監(jiān)測網(wǎng)絡(luò)中計算機的連接狀

5、況配置好服務(wù)器和工作站的TCP/IP設(shè)置并啟動Sniffer Pro軟件，選擇“菜單”中“Monitor”“Matrix”，從工作站訪問服務(wù)器上的資源，如WWW、FTP等，觀察檢測到的網(wǎng)絡(luò)中的連接狀況，記錄下各連接的IP地址和MAC地址。如圖15-8所示。圖15-8 被監(jiān)控計算機列表（3）監(jiān)測網(wǎng)絡(luò)中數(shù)據(jù)的協(xié)議分布選擇菜單“Monitor”“Protocal distribution”，監(jiān)測數(shù)據(jù)包中的使用的協(xié)議情況，如圖15-9所示。記錄下時間和協(xié)議分布情況。圖15-9 被監(jiān)控網(wǎng)絡(luò)協(xié)議分布（4）監(jiān)測分析網(wǎng)絡(luò)中傳輸?shù)腎CMP數(shù)據(jù)1）定義過濾規(guī)則：點擊菜單“Capture”à“Define

6、 Filter”，在在對話框中進行操作。l 點擊“Address”（地址）選項卡，設(shè)置：“地址類型”為IP，“包含”本機地址，即在“位置1”輸入本機IP地址，“方向”（Dir.）為“雙向”，“位置2”為“任意的”。l 點擊“Advanced”選項卡，在該項下選擇“IP”“ICMP”。設(shè)置完成后點擊菜單中“Capture”“Start”開始記錄監(jiān)測數(shù)據(jù)。顯示如圖15-10和圖15-11所示。 圖15-10 監(jiān)控地址選擇 圖15-11 監(jiān)控協(xié)議選擇3）從工作站Ping服務(wù)器的IP地址。4）觀察監(jiān)測到的結(jié)果：點擊菜單中“Capture”“Stop and display”，將進入記錄結(jié)果的窗口。點擊

7、下方各選項卡可觀察各項記錄，可通過“File”Save”保存監(jiān)測記錄。5）記錄監(jiān)測到的ICMP傳輸記錄：點擊記錄窗口下方的解碼“Decode”選項，進入解碼窗口，分析記錄，找到工作站向服務(wù)器發(fā)出的請求命令并記錄有關(guān)信息。結(jié)果如圖15-12。圖15-12 ICMP數(shù)據(jù)包解碼示例（5）監(jiān)測分析網(wǎng)絡(luò)中傳輸?shù)腍TTP數(shù)據(jù)1）在服務(wù)器的Web目錄下放置一個網(wǎng)頁文件。2）定義過濾規(guī)則：點擊菜單“Capture”à“Define Filter”，在對話框中點“Advanced”選項卡，在該項下選擇“IP”“TCP”“HTTP”。設(shè)置完成后點擊菜單中“Capture”“Start'開始記錄監(jiān)

8、測數(shù)據(jù)。3）從工作站用瀏覽器訪問服務(wù)器上的網(wǎng)頁文件。4）觀察監(jiān)測到的結(jié)果：點擊菜單中“Capture”“Stop and display”，將進入記錄結(jié)果的窗口，點擊下方各選項卡可觀察各項記錄。點擊“File”Save”保存記錄。5）記錄監(jiān)測到的HTTP傳輸記錄：點擊記錄窗口下方的解碼“Decode”選項，進入解碼窗口，分析記錄，找到工作站向服務(wù)器發(fā)出的網(wǎng)頁請求命令并記錄有關(guān)信息。（6）監(jiān)測分析網(wǎng)絡(luò)中傳輸?shù)腇TP數(shù)據(jù)1）啟用服務(wù)器的Serv-U軟件，在FTP服務(wù)目錄下放置一個文本文件。最好在FTP中建立兩個用戶，即匿名用戶（anonymous）和一個授權(quán)用戶（用戶名、權(quán)限自定）。 2）定義過濾規(guī)則：點擊菜單“Capture”“Define Filter”，在“Summary”選項卡下點擊“Reset"按鈕將過濾規(guī)則恢復(fù)到初始狀態(tài)，然后在“Advanced”選項卡下選擇“IP”“TCP”“FTP”。設(shè)置完成后點擊菜單“Capture”“Start”開始記錄監(jiān)測數(shù)據(jù)。3）從工作站用FTP下載服務(wù)器上的文本文件。4）觀察監(jiān)測到的結(jié)果：點擊菜單“Capture”“Stop and display”，進入記錄結(jié)果的窗口，點擊下方