编号:_______________本资料为word版本,可以直接编辑和打印,感谢您的下载实验四SnifferPro数据包捕获与协议分析甲方:___________________乙方:___________________日期:___________________一、实验目的1. 了解Sniffer的工作原理。
2. 掌握SnifferPro工具软件的基本使用方法。
3. 掌握在交换以太网环境下侦测、记录、分析数据包的方法。
二、实验原理数据在网络上是以很小的被称为“帧”或“包”的协议数据单元(PDU)方式传输的。
以数据链路层的“帧”为例,“帧”由多个部分组成,不同的部分对应不同的信息以实现相应的功能,例如,以太网帧的前12个字节存放的是源MAC地址和目的MAC地址,这些数据告诉网络该帧的来源和去处,其余部分存放实际用户数据、高层协议的报头如TCP/ IP的报头或IPX报头等等。
帧的类型与格式根据通信双方的数据链路层所使用的协议来确定,由网络驱动程序按照一定规则生成,然后通过网络接口卡发送到网络中,通过网络传送到它们的目的主机。
目的主机按照同样的通信协议执行相应的接收过程。
接收端机器的网络接口卡一旦捕获到这些帧,会告诉操作系统有新的帧到达,然后对其进行校验及存储等处理。
在正常情况下,网络接口卡读入一帧并进行检查,如果帧中携带的目的MAC地址和自己的物理地址一致或者是广播地址,网络接口卡通过产生一个硬件中断引起操作系统注意,然后将帧中所包含的数据传送给系统进一步处理,否则就将这个帧丢弃。
如果网络中某个网络接口卡被设置成“混杂”状态,网络中的数据帧无论是广播数据帧还是发向某一指定地址的数据帧,该网络接口卡将接收所有在网络中传输的帧,这就形成了监听。
如果某一台主机被设置成这种监听(Snfffing)模式,它就成了一个Sniffer。
一般来说,以太网和无线网被监听的可能性比较高,因为它们是一个广播型的网络,当然无线网弥散在空中的无线电信号能更轻易地截获。
三、实验内容及要求要求:本实验在虚拟机中安装SnifferPro4.7版本,要求虚拟机开启FTP、Web、Telnet等服务,即虚拟机充当服务器,物理机充当工作站。
物理机通过Ping命令、FTP访问及网页访问等操作实验网络数据帧的传递。
内容:1.监测网络中计算机的连接状况2.监测网络中数据的协议分布3.监测分析网络中传输的ICMP数据4.监测分析网络中传输的HTTP数据5.监测分析网络中传输的FTP数据四、实验步骤介绍最基本的网络数据帧的捕获和解码,详细功能。
I.Sniffer Pro 4.7的安装与启动1)启动Sniffer Pro 4.7。
在获取Sniffer Pro 4.7软件的安装包后,运行安装程序,按要求输入相关信息并输入注册码,若有汉化包请在重启计算机前进行汉化。
完成后重启计算机,点击“开始”“程序”“Sniffer Pro”"Sniffer”,启动“Sniffer Pro 4.7”程序。
2)选择用于Sniffer的网络接口。
如果计算机有多个网络接口设备,则可通过菜单“File”“Select Setting^,选择其中的一个来进行监测。
若只有一块网卡,则不必进行此步骤。
2.监测网络中计算机的连接状况配置好服务器和工作站的TCP/IP设置并启动Sniffer Pro软件,选择“菜单”中“ Monitor (监视器)” “Matrix (主机歹U表)”,从工作站访问服务器上的资源,如WWW、FTP等,观察检测到的网络中的连接状况,记录下各连接的IP地址和MAC地址。
如图1-1 所示。
kMM A IP XFX /图1-1被监控计算机列表3. 监测网络中数据的协议分布选择菜单" Monitor” t " Protocal distribution (协议分布)”,监测数据包中的使用的协议情况,如图 1-2所示。
记录下时间和协议分布情况。
-lc XIK MAC A P A FX /图1-2被监控网络协议分布4. 监测分析网络中传输的ICMP 数据1)定义过滤规则:点击菜单" Capture”"Define Filter (定义过滤器)”,在在对话框中进行操作。
点击“AddresS'(地址)选项卡,设置:“地址类型”为IP, “包含”本机地址,即在“位置 1”输入本机IP 地址,“方向” (Dir.)为“双向”,“位置2”为“任意的”。
点击“Advanced (高级)”选项卡,在该项下选择“ IP” t “ICMP ”。
设置完成后点击菜单中“ Capture (捕获)” t “Start”开 始记录监测数据。
显示如图1-3和图1-4所示。
图1-3监控地址选择图1-4监控协议选择3) 从工作站Ping 服务器的IP 地址。
4) 观察监测到的结果:点击菜单中“ Capture” t “Stop and display/',将进入记录结果的窗口。
点击下方各选项卡可观察各项记 录,可通过“ File” tSave 保存监测记录。
5) 记录监测到的ICMP 传输记录:点击记录窗口下方的解码" Decode (解码)”选项,进入解码窗口,分析记录,找到工作站向 服务器发出的请求命令并记录有关信息。
结果如图1-5。
5. 监测分析网络中传输的HTTP 数据91 愤—a=s P 也含叩r 瞒引己虫顺JtdnWld 黔棺要 地址懊膈式I 醐 ]锡冲I 增址勉也)忌flOOQ23FEJ18^i6昌如195BE643B& gmO(5E7FFFFA 吕「»,Ilo ®fl岂惴司| V^lua U1,1) 在服务器的 Web 目录下放置一个网页又件。
2) 定义过滤规则:点击菜单" Capture”“Define Filter ”,在对话框中点“ Advanced”选项卡,在该项下选择“ IP” t “TCP” t“HTTP ”。
设置完成后点击菜单中“ Capture” t “Start"开始记录监测数据。
3) 从工作站用浏览器访问服务器上的网页文件。
4) 观察监测到的结果:点击菜单中“ Capture” t “Stop and display/',将进入记录结果的窗口,点击下方各选项卡可观察各项记 录。
点击 “ File” tSave 保存记录。
5) 记录监测到的HTTP 传输记录:点击记录窗口下方的解码" Decode”选项,进入解码窗口,分析记录,找到工作站向服务器 发出的网页请求命令并记录有关信息。
6. 监测分析网络中传输的FTP 数据(课外完成)1) 启用服务器的Serv-U 软件,在FTP 服务目录下放置一个文本文件。
2) 定义过滤规则:点击菜单" Capture” t “Define Filter ”,在“Summary”选项卡下点击“ Reset,按钮将过滤规则恢复到初始状 态,然后在“ Advanced”选项卡下选择“ IP” t “TCP” t “FTP”。
设置完成后点击菜单" Capture” t “Start”开始记录监测数据。
3) 从工作站用FTP 下载服务器上的文本文件。
4) 观察监测到的结果:点击菜单" Capture” t “Stop and display^ ,进入记录结果的窗口,点击下方各选项卡观察各项记录并保 存记录。
监控显示如图1-6所示。
可以看到登录密码也是明文显示的。
cist 人查毛蜕计表为归 划对活/图1-6 FTP 数据包解码结果5)记录监测到的FTP 传输记录:点击记录窗口下方的解码" Decode”选项,进入解码窗口,分析记录,找到工作站向服务器发 出的FTP 命令并记录。
五、拓展实验根据上述的实验中介绍的功能,完成下面实验任务利用sniffer 捕获数据包并分析(要求在实验报告中写出抓取该数据包所采用的网络服务)1. 抓取IP 数据包,分析IP 数据包的头部信息;2. 抓取ICMPB 议数据包,分析 ICMPB 议的头部信息。
3. 抓取ARPB 议数据包,分析 ARP&议数据包的信息和封装情况4. 抓取TCPB 议数据包,分析 TCPB 议的头部信息5. 抓取UDP&议数据包,分析 UDP >议的头部信息6. 思考:根据上述实验内容中 FTP 数据包捕获,I 序号|目标地址|捕妥I TCP: D-21 S*4X94I FTP: R FORT*4494 FTP: C FORE494 FTP:R FORE 两 FTP: CFORT*"4CK-26339SB371耻川|一的由n 厘220 MierasoEt FTP.首FTP® 录割用『*331 Pa»vard requiredHP GL - . --------------------- FTP 对成的登录宅r Ba ■ .J__________________ I 2J腐 TCF :Source port0 TCP. DEStination port 图j TCPScqucrLcc number< I —449421 (FTP-ctrl) < 1205445112HPW 端口号001000000 OiOODOOlO 0OIDD002ID 00000030 000000-40b Q 5 o 4 a o 1 Q 7 n- o o 1 d 4 D o G d- f B & 2 f n.' a d 7 9 a 1 6 4 2 R- L L 7c c 6 4 3 o 3 01- & 7 o o 3 f 9. o o o £ -b.b 1 f 1 a Q f 6 Ba cu1。
9z 3 b a 2a B a f 5 o1)截取本地主机和telnet服务器之间传输的的用户名和密码,查看是否能截取到,如果能,数据包有什么特点;。