网络抓包--sniffer pro使用.doc

实验二 网络抓包——sniffer pro的使用 实验目的： 了解网络嗅探的原理； 掌握Sniffer Pro嗅探器的使用方法； 实验学时：2课时 实验形式：上机 实验器材： 联网的PC机 实验环境：操作系统为Windows2000/XP 实验内容： 任务一 熟悉Sniffer Pro工具的使用 任务二 使用Sniffer Pro抓获数据包 实验步骤： 任务一 熟悉Sniffer Pro工具的使用 1. Sniffer Pro工具简介 Sniffer软件是NAI公司推出的功能强大的协议分析软件，具有捕获网络流量进行详细分析、利用专家分析系统诊断问题、实时监控网络活动和收集网络利用率和错误等功能，实验中使用Sniffer Pro4.7.5来截获网络中传输的FTP和HTTP数据包，并进行分析。 2. 使用说明 在sniffer pro初次启动时，可能会提示选择一个网络适配器进行镜像，如图1所示，此时正确选择接入网络的网卡，这样sniffer pro才可以把网卡设置为混杂（Promiscuous）模式，以接收在网络上传输的数据包。 Sniffer Pro运行后的主界面如图2所示。 （1）工具栏简介如图3所示。 快捷键的含义如图4所示。 （2）网络监视面板简介 在捕获过程中可以通过Capture Panel查看网络的利用率、捕获报文的数量和缓冲区的利用率,如图5所示。 （3）捕获数据包窗口简介 Sniffer软件提供了强大的分析能力和解码功能。如图6所示，对于捕获的报文提供了一个Expert专家分析系统进行分析，还有解码选项及图形和表格的统计信息。 专家分析 专家分析系统提供了一个智能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。 在图7中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。 对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解产生的原因。 解码分析 如图8所示，对捕获报文进行解码，窗口分为三部分，第一部分时捕捉到的数据包列表，每一行代表一个数据包；第二部分是针对第一部分被选取数据包加以分析的结果；第三部分则是第一部分被选取数据包的原始内容。 统计分析 对于Matrix，Host Table，Portocol Dist. Statistics等提供了丰富的按照地址，协议等内容做了丰富的组合统计，比较简单，可以通过操作很快掌握。 （6）过滤规则定义 Sniffer提供了捕获数据包前的过滤规则的定义，过滤规则包括2、3层地址的定义和几百种协议的定义。定义过滤规则的做法一般如下：Display-Define Filter。 过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。在主界面选择Capture-Define Filter选项。address”是最常用的定义。其中包括MAC地址、ip地址和ipx地址的定义。以定义IP地址过滤为例，图 图9 定义地址规则 例如，现在要捕获地址为00的主机与其他主机通信的信息，在Mode选项卡中，选Include(选Exclude选项，是表示捕获除此地址外所有的数据包)；在station选项中，在任意一栏填上00,另外一栏填上any（any表示所有的IP地址）。这样就完成了地址的定义。注意到Dir.栏的图标：表示，捕获station1收发的数据包；最后，选取 将定义的规则保存下来，供以后使用。② “advanced”定义捕获的相关协议的数据包。如图，想捕获FTP、NETBIOS、DNS、HTTP的数据包，那么说首先打开TCP选项卡，再进一步选协议；还要明确DNS、NETBIOS的数据包有些是属于UDP协议，故需在UDP选项卡做类似TCP选项卡的工作，否则捕获的数据包将不全。如果不选任何协议，则捕获所有协议的数据包。PacketSize选项中，可以定义捕获的包大小③ “buffer”定义捕获数据包的缓冲区。如图 Buffer size选项卡，将其设为最大40M。Capture buffer选项卡，将设置缓冲区文件存放的位置。④ 最后，需将定义的过滤规则应用于捕获中在主界面选择Capture-Define Filter选项。 图11 定义缓冲区大小 图10 定义协议规则 图2 sniffer pro主界面 图1 网卡设置 图3工具栏 图4 快捷键含义 图5 Capture Panel 图6 捕获数据窗口 图7 专家分析 图8 解码分析