信息与通信工程学院网络管理实验报告专业信息工程班级姓名学号实验四计算机与网络资源的探测和扫描一、实验目的熟悉Sniffer界面并掌握Sniffer工具的使用方法，学习Sniffer监控网络的模式，实现网络性能监控、节点状态查看，掌握Sniffer数据包过滤的基本设置方法。

并且掌握Sniffer工具的使用方法，实现广播风暴的监控，HTTP、SNMP等协议数据包的捕获，以理解TCP/IP协议族中多种协议的数据结构、会话建立和终止的过程、TCP序号、应答序号的变化规律。

并且，通过实验了解HTTP等协议明文传输的特性，以建立安全意识，防止HTTP等协议由于传输明文密码造成的泄密。

二、实验内容1.监控网络性能；2.查看节点状态；3.捕获数据包；4.监控广播风暴。

三、实验工具Sniffer工具四、实验步骤1.熟悉Sniffer Portabl e工具的使用；2.监控网络性能；3.使用主机列表模式，矩阵模式，应用响应模式，协议分布模式，全局统计模式查看Sniffer监控网络的模式；4.查看节点状态。

新建或搜索监控主机，然后查看监控网络的主机列表，并查看所有监控站点的通信矩阵分布图；5.设置数据包捕获过滤；6.监控网络风暴；7.捕获HTTP数据包并进行分析；8.SNMP数据包的捕获与分析。

五、实验报告1.观察并统计网络中各个协议的分布情况，统计当前通信量最大的5种协议以及各种协议所占的比重，完成表4-1。

答：表4-1网络中存在的协议HTTP NetBIOS_NS_U NetBIOS_DGM_U DNS Bollopc 各种协议的比重80.19% 10.48% 4.64% 2.95% 0.78%2.试设置Sniffer监控过滤器，过滤ARP协议包，具体如下：(1)打开主机列表监控窗口，选择Detail模式查看监控数据，并记录列表中捕获到的协议与相应信息。

(2)设置Sniffer的Monitor过滤器，使其仅检测ARP协议，观察此时的主机列表窗口显示内容与(1)中显示信息的区别，说明使用Monitor过滤器的作用和优点。

答：(1)可以看到列表中既有IP协议，也有IP_ARP协议。

(2)可以看到，与(1)中图的区别是，设置过滤器后，仅能检测到IP_ARP包。

这说明，使用Monitor过滤器可以让我们得到我们希望关注的数据包，屏蔽掉大量的我们不关注数据包，使得监控变得更加有效。

3.试监控本网络内是否存在广播风暴。

答：由图可以看出，网络中只有正常的广播数据，并未产生广播风暴。

在快速以太网中，数据的传输带宽为100Mbp/S,通过换算约为12.5MBps*1024=12800Byte/S.每秒交换线路的每节点最高能承受12800Byte/S的数据通过，而现在广播数据量远远低于这个数字，并未发生“网络风暴”。

4.试设置Sniffer过滤器，捕获FTP数据包并进行分析。

答：(1)捕获从sielab18到BUPTHP3701的FTP数据包(2)分析捕获到的FTP数据包【FTP包数据部分】可以看到，FTP包的数据部分和由Sniffer译码出的结果是一致的，能够从其数据部分得到源端口，目的端口，序列号等一系列信息。

5.任务二中嗅探HTTP信息所得到的数据包太多，不仅占用主机的硬盘资源，也给分析带来很大麻烦，其实可以选择“Define Filter”选项中的“Data Pattern”，这个功能可以进行更加详细的过滤设置，从而可以通过捕获更少的数据包获取最有用的数据，请研究如何设置这些选项，并写出设置的详细步骤及最终的捕获结果。

答：(1)过滤要求：滤出所有445 端口的流量；(2)过滤特征(pattern)：port为445(3)过滤方法：采用偏移量（offset）的方式，如下图所示，445 是目的端口，用16 进制表示为0x01bd，那么pattern 就是01bd（hex）。

从以太网帧开始数，01bd 所在的位置偏移量为0x24(十进制为36)（注：第一个字节的偏移量是0）。

(4)data pattern描述：从以太网帧开始，偏移量=0x24，pattern=0x01bd 的数据包。

(5)设置步骤a)指定端口号b)选择菜单上capture->define filterc)给新的过滤器命名为port_445d)选择data pattern过滤，并添加新的patterne)选中目的端口=445 所在行，按一下set data，可以看到offset =0x24,pattern=01bdf)From的作用from后面可以选择packet 和protocol，主要决定是偏移量从哪里开始算。

Packet 表示从2 层的头开始计算偏移量，protocol 表示从3 层的头开始计算偏移量。

这个功能的目的是考虑到数据包结构有些不同导致的偏移量不同。

比如以太网帧：如果没有vlan 标记，那目的端口的偏移量就是0x24，但如果有802.1Q 的标记那就不一样了。

所以如果网络中有的数据包有标记，有的数据包没有标记，那这样过滤就有问题。

在这种情况下，使用用protocol，从第三层开始计算偏移量，就不会有这种问题了。

g)Format的作用Format 后面的选项表示pattern 的格式，可以是十进制、二进制等。

h)给pattern命名为TCP:DP=445i)data pattern设置完成j)用同样的方法设置TCP:SP=445，即过滤出所有从445端口出的数据包；选择OR 关系(6)过滤结果a)过滤前b)过滤后实验五HP Open View NNM的配置和使用一、实验目的学习HP OpenView NNM（Network Node Manager）网络工具的配置和使用，掌握HP OpenView NNM的主要功能，并利用它进行基本的网络管理。

熟悉HP OpenView NNM管理信息库（MIB）的结构，学习使用NNM MIB查询悲观设备的各项信息，并学习使用NNM工具查看网络配置。

二、实验内容1.浏览网络拓扑视图；2.查看网络管理系统告警日志；3.配置过滤器得到特定网络的告警；4.使用该系统自带的基本测试工具；5.查看网络设备与网络配置。

三、实验工具HP OpenView NNM B.06.40版本网络管理软件四、实验步骤1.配置设备的SNMP代理；2.HP OpenView NNM的使用；3.利用NNM的MIB浏览器查询主机的信息；4.查看网络配置。

五、实验报告1.利用HP OpenView NNM画出某网络从根视图到本机的分层拓扑视图。

答：Internet59.64.182Segment1sielab19BUPT370159.64.182.12.利用HP OpenView NNM记录网络中任意两个节点的主机名、IP地址、子网掩码和网络接口物理地址。

答：1)主机名：sielab19IP地址：59.64.182.96子网掩码：255.255.255.0网络接口卡物理地址：0x0088998058A32)主机名：59.64.182.1IP地址：59.64.182.1子网掩码：255.255.255.0网络接口卡物理地址：0x00E0FC68FF7D3.利用HP OpenView NNM的Ping工具测试两个不同工作状态节点的连通性，记录于表7-1。

颜色节点测试结果该颜色的含义红SIELAB39 通当前网络节点出现故障，返回错误信息绿59.64.182.101 不通当前网络节点工作正常，能够返回应答信息1)ping SIELAB392)ping 59.64.182.1014.记录网络中管理站受到的级别为Major的告警信息，并对其中的一条信息进行解释。

答：Severity: MajorData/Time: 星期五五月14 21:06:42Source: 59.64.182.1Message: SIELAB 32 reports a different physical address for 59.64.182.1 than reported by sielab19.R1121, changing from 0x00E0FC68FF7D to 0x00A3B24858FF6D。

解释：警告等级为Major，发生时间在5月14日（周五）21:06:42，警告源是59.64.182.1,警告内容是SIELAB32报告的59.64.182.1的物理地址0x00E0FC68FF7D与sielab19.R1121报告的59.64.182.1的物理地址0x00A3B24858FF6D不一致。

5.举例说明如何使用HP OpenView网管软件管理宿舍的网络，发现问题并解决问题。

答：可以使用HP OpenView网管软件查看宿舍网络的拓扑视图，可以发现宿舍网络的故障节点，并可以使用Ping工具，tracert工具测试节点的连通性，从而可以定位故障节点，并解决问题。

6.试用HP OpenView NNM查看网络中某节点的接口属性及路由信息，并进行分析。

答：1）接口属性由上图可知，SIELAB36的接口有3个。

a)序号：1 接口：MS 状态：up 类型：回环能力：10Mbps解释：此接口是网卡的回环接口，处于工作状态，其传输能力为10Mbps。

b)序号：2 接口：Broadcom 状态：down 类型：以太网能力：1Gbps解释：此接口为Broadcom网卡的以太网接口，处于不工作状态，其传输能力是1Gbps。

c)序号：65540 接口：Realtek 状态：up 类型：以太网能力：100Mbps解释：此接口为Realtek网卡的以太网接口，处于工作状态，其传输能力为100Mbps。

2）路由信息从路由信息中可以得到关于本地路由表信息，每一个条目包括目的地址，下一跳，路由类型，年龄，掩码，协议，跳数等信息。

7.在HP OpenView NNM中，以图形方式检测某节点5分钟内成功递交的输入IP（ipInDelivers）数据包数的情况。