计算机网络实验八-Sniffer-Pro数据包捕获与协议分析.doc

1、惠州学院计算机网络实验报告实验08 Sniffer Pro数据包捕获与协议分析1。 实验目的（1）了解Sniffer的工作原理.(2）掌握SnifferPro工具软件的基本使用方法。(3）掌握在非交换以太网环境下侦测、记录、分析数据包的方法。2。 实验原理数据在网络上是以很小的被称为“帧或“包”的协议数据单元（PDU)方式传输的.以数据链路层的“帧为例，“帧由多个部分组成，不同的部分对应不同的信息以实现相应的功能，例如，以太网帧的前12个字节存放的是源MAC地址和目的MAC地址，这些数据告诉网络该帧的来源和去处，其余部分存放实际用户数据、高层协议的报头如TCPIP的报头或IPX报头等等.帧的类

2、型与格式根据通信双方的数据链路层所使用的协议来确定，由网络驱动程序按照一定规则生成，然后通过网络接口卡发送到网络中，通过网络传送到它们的目的主机。目的主机按照同样的通信协议执行相应的接收过程.接收端机器的网络接口卡一旦捕获到这些帧,会告诉操作系统有新的帧到达，然后对其进行校验及存储等处理.在正常情况下，网络接口卡读入一帧并进行检查，如果帧中携带的目的MAC地址和自己的物理地址一致或者是广播地址，网络接口卡通过产生一个硬件中断引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理，否则就将这个帧丢弃。如果网络中某个网络接口卡被设置成“混杂状态，网络中的数据帧无论是广播数据帧还是发向某一指定

3、地址的数据帧,该网络接口卡将接收所有在网络中传输的帧，这就形成了监听。如果某一台主机被设置成这种监听（Snfffing）模式，它就成了一个Sniffer.一般来说，以太网和无线网被监听的可能性比较高，因为它们是一个广播型的网络，当然无线网弥散在空中的无线电信号能更轻易地截获。3. 实验环境与器材本实验在虚拟机中安装SnifferPro4。7版本，要求虚拟机开启FTP、HTTP等服务，即虚拟机充当服务器,物理机充当工作站。物理机通过Ping命令、FTP访问及网页访问等操作实验网络数据帧的传递。4。 实验内容介绍最基本的网络数据帧的捕获和解码，详细功能请参阅本教材辅助材料。(1）Sniffer P

4、ro 4.7的安装与启动1）启动Sniffer Pro 4.7。在获取Sniffer Pro 4。7软件的安装包后,运行安装程序,按要求输入相关信息并输入注册码，若有汉化包请在重启计算机前进行汉化。完成后重启计算机，点击“开始“程序”“Sniffer Pro”“Sniffer”，启动“Sniffer Pro 4.7”程序。2）选择用于Sniffer的网络接口.如果计算机有多个网络接口设备，则可通过菜单“File”“Select Settings”，选择其中的一个来进行监测。若只有一块网卡，则不必进行此步骤.（2）监测网络中计算机的连接状况配置好服务器和工作站的TCP/IP设置并启动Sniffe

5、r Pro软件,选择“菜单”中“Monitor”“Matrix”，从工作站访问服务器上的资源，如WWW、FTP等，观察检测到的网络中的连接状况，记录下各连接的IP地址和MAC地址。如图158所示。图15-8 被监控计算机列表（3）监测网络中数据的协议分布选择菜单“Monitor“Protocal distribution，监测数据包中的使用的协议情况,如图159所示.记录下时间和协议分布情况。图159 被监控网络协议分布(4）监测分析网络中传输的ICMP数据1）定义过滤规则：点击菜单“Capture”“Define Filter”，在在对话框中进行操作。l 点击“Address（地址）选项卡，

6、设置:“地址类型”为IP，“包含”本机地址，即在“位置1”输入本机IP地址,“方向”（Dir.）为“双向,“位置2为“任意的”。l 点击“Advanced”选项卡，在该项下选择“IP”“ICMP。设置完成后点击菜单中“Capture”“Start”开始记录监测数据。显示如图1510和图1511所示。图1510 监控地址选择 图1511 监控协议选择3）从工作站Ping服务器的IP地址。4)观察监测到的结果:点击菜单中“Capture”“Stop and display”，将进入记录结果的窗口.点击下方各选项卡可观察各项记录，可通过“FileSave”保存监测记录。5）记录监测到的ICMP传输记

7、录：点击记录窗口下方的解码“Decode选项,进入解码窗口,分析记录，找到工作站向服务器发出的请求命令并记录有关信息。结果如图1512.图15-12 ICMP数据包解码示例（5)监测分析网络中传输的HTTP数据1)在服务器的Web目录下放置一个网页文件。2）定义过滤规则：点击菜单“Capture”“Define Filter”,在对话框中点“Advanced”选项卡，在该项下选择“IP”“TCP”“HTTP。设置完成后点击菜单中“Capture“Start开始记录监测数据.3)从工作站用浏览器访问服务器上的网页文件。4)观察监测到的结果：点击菜单中“Capture”“Stop and disp

8、lay，将进入记录结果的窗口，点击下方各选项卡可观察各项记录。点击“File”Save”保存记录。5）记录监测到的HTTP传输记录：点击记录窗口下方的解码“Decode”选项,进入解码窗口，分析记录,找到工作站向服务器发出的网页请求命令并记录有关信息.（6）监测分析网络中传输的FTP数据1)启用服务器的ServU软件，在FTP服务目录下放置一个文本文件。最好在FTP中建立两个用户,即匿名用户(anonymous)和一个授权用户(用户名、权限自定）。 2）定义过滤规则:点击菜单“Capture”“Define Filter”，在“Summary”选项卡下点击“Reset”按钮将过滤规则恢复到初始状态，然后在“Advanced”选项卡下选择“IP”“TCP“FTP”。设置完成后点击菜单“Capture”“Start”开始记录监测数据。3）从工作站用FTP下载服务器上的文本文件。4）观察监测到的结果：点击菜单“Capture”“Stop and display”，进入记录结果的窗口，点击下方各选项卡观察各项记录并保存记录。监控显示如图1513所示。可以看到登录密码也是明文显示的.图15-13 FTP数据包解码结果5）记录监测到的FTP传输记录：点击记录窗口下方的解码“Decode选项，进入解码窗口，分析记录,找到工作站向服务器发出的FTP命令并记录.实验图片