实验3sniffer.ppt

杨君 协议分析工具——sniffer的应用 1 Sniffer Pro的启动和设置 2 解码分析 1 Sniffer Pro的启动和设置 Sniffer软件是NAI公司推出的功能强大的协议分析软件 。 实现对网络的监控，更深入地了解网络存在的问题，检测和修复网络故障和安全问题 同类的网络分析工具：Ethereal 、Netxray、Microsoft Net Monitor等 1 Sniffer Pro的启动和设置 1. 启动sniffer pro 1 Sniffer Pro的启动和设置 1 Sniffer Pro的启动和设置 1 Sniffer Pro的启动和设置 1 Sniffer Pro的启动和设置 2、设置 1 Sniffer Pro的启动和设置 1 Sniffer Pro的启动和设置 报文捕获解析 1 Sniffer Pro的启动和设置 报文捕获解析 2 解码分析 2 解码分析 实例一抓取Ping指令发送的数据包 按照Sniffer的设置抓取Ping指令发送的数据包，命令执行如图所示。 *抓取Ping指令发送的数据包 *ICMP协议的结构 *抓取Ping指令发送的数据包 分析如图所示 *分析IP数据包结构 ICMP协议的头结构 ICMP头结构比较简单，如表所示。 ICMP数据报分析 使用Ping命令发送ICMP回应请求消息,如图所示。 *实例二：分析一次完整的FTP会话 启动并配置Sniffer，然后在主机的DOS命令行下利用FTP指令连接目标主机上的FTP服务器。 *一次完整的FTP会话 *登录FTP过程，分析TCP 登录FTP的过程是一次典型的TCP连接，因为FTP服务使用的是TCP协议。分析TCP报头的结构如图所示。 TCP结构 分析TCP协议的三次“握手” 分析TCP协议的数据传输过程 这个过程在FTP的会话过程中也明显的显示出来，如图所示。 *第一次“握手” 首先分析建立“握手”第一个过程包的结构，如图所示。 *第二次“握手” SYN为1，开始建立请求连接，需要对方计算机确认，对方计算机确认返回的数据包如图所示。 *第三次“握手” 对方计算机返回的数据包中ACK为1并且SYN为1，说明同意连接。这个时候需要源计算机的确认就可以建立连接了。 2.4.4 TCP协议的四次“挥手” 需要断开连接的时候，TCP也需要互相确认才可以断开连接，四次交互过程如图所示。 *第一次“挥手” 第一次交互过程的数据报结构如图所示。 *第二次“挥手” 第一次交互中，首先发送一个FIN=1的请求，要求断开，目标主机在得到请求后发送ACK=1进行确认，如图所示。 *第三次“挥手” 在确认信息发出后，就发送了一个FIN=1的包，与源主机断开，如图所示。 *第四次“挥手” 随后源主机返回一条ACK=1的信息，这样一次完整的TCP会话就结束了。如图所示。 *实验：抓telnet用户名和密码 配置一台主机A，使其开启telnet服务。并添加新的具有管理员权限的用户。 程序-管理工具-服务-telnet-手动启用 net start telnet net user jane 123 /add net localgroup administrators jane /add 启动并配置Sniffe pro，使其抓获主机A相关的telnet数据包。开始监听，，， 设主机B知道A新添加的用户名和密码，则B执行telnet命令，远程登录A。 telnet A的IP 登陆成功后Sniffer pro已经捕获到telnet的用户名和密码。 SYN=1 ACK=1 ACK=1 FIN=1 ACK=1 ACK=1 FIN=1 ACK=1 School of Computer Science Technology * School of Computer Science Technology * * * 实验2协议分析软件sniffer pro 捕获分析数据包 定义过滤器 选择捕获协议、类型及长度 捕获面板 正在抓包 查看捕获到的包 解码分析界面 填充 可选项 1 0 0 20 数据（40） 09 10 AD56 128 0 619 60 4 60-20 普通 ICMP 内容依类型可变(32位) 校验和（16位） 代码（8位） 类型（8位） 如:8-回应应答 3-目的不能到达 根据类型,代码的含义不同 可选项（0或更多的32位字） 紧急指针 校验和 窗口大小 F I N S Y N R S T P S H A C K U R C TCP 头 长 度