网络管理实验二.doc

信息与通信工程学院 网络管理 实 验 报 告 专业 信息工程 班级 姓名 学号 实验四 计算机与网络资源的探测和扫描 实验目的 熟悉Sniffer界面并掌握Sniffer工具的使用方法，学习Sniffer监控网络的模式，实现网络性能监控、节点状态查看，掌握Sniffer数据包过滤的基本设置方法。 并且掌握Sniffer工具的使用方法，实现广播风暴的监控，HTTP、SNMP等协议数据包的捕获，以理解TCP/IP协议族中多种协议的数据结构、会话建立和终止的过程、TCP序号、应答序号的变化规律。并且，通过实验了解HTTP等协议明文传输的特性，以建立安全意识，防止HTTP等协议由于传输明文密码造成的泄密。 实验内容 监控网络性能； 查看节点状态； 捕获数据包； 监控广播风暴 。 实验工具 Sniffer工具 实验步骤 熟悉Sniffer Portable工具的使用； 监控网络性能； 使用主机列表模式，矩阵模式，应用响应模式，协议分布模式，全局统计模式查看Sniffer监控网络的模式； 查看节点状态。新建或有哪些信誉好的足球投注网站监控主机，然后查看监控网络的主机列表，并查看所有监控站点的通信矩阵分布图； 设置数据包捕获过滤； 监控网络风暴； 捕获HTTP数据包并进行分析； SNMP数据包的捕获与分析。 实验报告 观察并统计网络中各个协议的分布情况，统计当前通信量最大的5种协议以及各种协议所占的比重，完成表4-1。 答： 表4-1 网络中存在的协议 HTTP NetBIOS_NS_U NetBIOS_DGM_U DNS Bollopc 各种协议的比重 80.19% 10.48% 4.64% 2.95% 0.78% 试设置Sniffer监控过滤器，过滤ARP协议包，具体如下： 打开主机列表监控窗口，选择Detail模式查看监控数据，并记录列表中捕获到的协议与相应信息。 设置Sniffer的Monitor过滤器，使其仅检测ARP协议，观察此时的主机列表窗口显示内容与(1)中显示信息的区别，说明使用Monitor过滤器的作用和优点。 答： 可以看到列表中既有IP协议，也有IP_ARP协议。 可以看到，与(1)中图的区别是，设置过滤器后，仅能检测到IP_ARP包。这说明，使用Monitor过滤器可以让我们得到我们希望关注的数据包，屏蔽掉大量的我们不关注数据包，使得监控变得更加有效。 试监控本网络内是否存在广播风暴。 答： 由图可以看出，网络中只有正常的广播数据，并未产生广播风暴。 在快速以太网中，数据的传输带宽为100Mbp/S,通过换算约为12.5MBps*1024=12800Byte/S.每秒交换线路的每节点最高能承受12800Byte/S的数据通过，而现在广播数据量远远低于这个数字，并未发生“网络风暴”。 试设置Sniffer过滤器，捕获FTP数据包并进行分析。 答： ?捕获从sielab18到BUPTHP3701的FTP数据包 分析捕获到的FTP数据包 【FTP包数据部分】 可以看到， FTP包的数据部分和由Sniffer译码出的结果是一致的，能够从其数据部分得到源端口，目的端口，序列号等一系列信息。 任务二中嗅探HTTP信息所得到的数据包太多，不仅占用主机的硬盘资源，也给分析带来很大麻烦，其实可以选择“Define Filter”选项中的“Data Pattern”，这个功能可以进行更加详细的过滤设置，从而可以通过捕获更少的数据包获取最有用的数据，请研究如何设置这些选项，并写出设置的详细步骤及最终的捕获结果。 答： 过滤要求：滤出所有445 端口的流量； 过滤特征(pattern)：port为445 过滤方法：采用偏移量（offset）的方式，如下图所示，445 是目的端口，用16 进制表示为0x01bd，那么pattern 就是01bd（hex）。从以太网帧开始数，01bd 所在的位置偏移量为0x24(十进制为36)（注：第一个字节的偏移量是0）。 data pattern描述：从以太网帧开始，偏移量=0x24，pattern=0x01bd 的数据包。 设置步骤 指定端口号 选择菜单上capture-define filter 给新的过滤器命名为port_445 选择data pattern过滤，并添加新的pattern 选中目的端口=445 所在行，按一下set data，可以看到offset =0x24, pattern=01bd From的作用 from后面可以选择packet 和protocol，主要决定是偏移量从哪里开始算。Packet 表示从2 层的头开始计算偏移量，protocol 表示从3 层的头开始计算偏移量。 这个功能的目的是考虑到数据包结构有些不同导致的偏移量不同。