实验4SnifferPro数据包捕获与协议分析.doc

Sniffer数据包捕获与协议分析 1. 实验目的 （1）了解Sniffer的工作原理。 （2）掌握Sniffer工具软件的基本使用方法。 （3）掌握侦测、记录、分析数据包的方法。 2. 实验原理 数据在网络上是以很小的被称为“帧”或“包”的协议数据单元（PDU）方式传输的。以数据链路层的“帧”为例，“帧”由多个部分组成，不同的部分对应不同的信息以实现相应的功能，例如，以太网帧的前12个字节存放的是源MAC地址和目的MAC地址，这些数据告诉网络该帧的来源和去处，其余部分存放实际用户数据、高层协议的报头如TCP／IP的报头或IPX报头等等。帧的类型与格式根据通信双方的数据链路层所使用的协议来确定，由网络驱动程序按照一定规则生成，然后通过网络接口卡发送到网络中，通过网络传送到它们的目的主机。目的主机按照同样的通信协议执行相应的接收过程。接收端机器的网络接口卡一旦捕获到这些帧，会告诉操作系统有新的帧到达，然后对其进行校验及存储等处理。 在正常情况下，网络接口卡读入一帧并进行检查，如果帧中携带的目的MAC地址和自己的物理地址一致或者是广播地址，网络接口卡通过产生一个硬件中断引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理，否则就将这个帧丢弃。 如果网络中某个网络接口卡被设置成“混杂”状态，网络中的数据帧无论是广播数据帧还是发向某一指定地址的数据帧，该网络接口卡将接收所有在网络中传输的帧，这就形成了监听。如果某一台主机被设置成这种监听（Snfffing）模式，它就成了一个Sniffer。 一般来说，以太网和无线网被监听的可能性比较高，因为它们是一个广播型的网络，当然无线网弥散在空中的无线电信号能更轻易地截获。 3. 实验环境与器材 本实验在虚拟机中安装SnifferPro4.7版本，要求虚拟机开启FTP、HTTP等服务，即虚拟机充当服务器，物理机充当工作站。 物理机通过Ping命令、FTP访问及网页访问等操作实验网络数据帧的传递。 4. 实验内容 介绍最基本的网络数据帧的捕获和解码，详细功能请参阅辅助材料。 （1）Sniffer Pro的安装 安装嗅探器英文软件: 输入安装密码SA154-2558Y-255T9-2LASH－安装中文补丁－重启计算机 （2）设置规则 1）sniffer—捕获（C）－定义过滤器（D）－地址（A）－输入源节点 station1 IP，目的节点 station2 IP 2）捕获（C）－定义过滤器（D）－高级（A）－IP－TCP－HTTP，FTP ，HTTPS，ICMP 3）显示--显示设置—解码字体-楷体-设为默认　 4 捕获（C）－开始（S）或单击开始按钮，显示如图1-1和图1-2所示。 图1-1 监控地址选择 图1-2 监控协议选择 （3）监测网络中计算机的连接状况 选择“菜单”中“Monitor（监视器）”“Matrix（主机列表）”，从工作站访问服务器上的资源，如WWW、FTP等，观察检测到的网络中的连接状况，记录下各连接的IP地址和MAC地址。如图1-3所示。 图1-3 被监控计算机列表 （4）监测网络中数据的协议分布 选择菜单“Monitor”→“Protocal distribution（协议分布）”，监测数据包中使用协议情况，如图1-4所示。记录下时间和协议分布情况。 图1-4 被监控网络协议分布 （5）监测分析网络中传输的ICMP数据及IP报文相关数据 1）从工作站Ping服务器的IP地址。 2）查看结果 a）左侧“Layer”黑色三角箭头，可在右侧窗口中显示所捕获数据的详细信息下方窗口解码 Decode 依次为：总结、详细资料和Hex窗口总结详细资料Hex窗口解码 Decode