Siniffer抓包分析实验指导汇.doc

Siniffer软件的使用 题目 下载网络数据包捕获工具（如Ethereal，Sniffer，Iris等），安装，运行，进行数据捕获。找出TCP数据包。进行如下操作： 1）分析某个TCP数据包各字段的值并解释； 2）找出建立连接时的TCP数据包进行分析； 3）找出TCP数据包，解释TCP的确认机制； 4）找出TCP数据包，解释TCP的流量控制和拥塞控制机制。 以Iris为例，具体实验步骤如下： 1．组建对等网， 2．在两台计算机上分别安装siniffer软件，指定服务器和客户机， 3．在服务器上安装FTP服务器软件， 4．在客户机上运行FTP程序，从服务器上下载一个文件到客户机， 5．利用Iris捕获数据包，按要求分析TCP各字段的值。 1 组建对等网 这个环节省略，因为实验室中都已经建好了。但要自己要决定哪一台作为服务器，哪一台作为客户器，现在分别记为server和client。 2 在两台计算机上分别安装siniffer，简单使用 注：这里只讲解在一台计算机（server）上安装网络数据包捕获工具siniffer。 2.1 sniffer的大概工作原理SR424-255RR-255OO-255RR，这个只能保证现在还可以，以后可能就失效，如失效各位使用者可尝试上网有哪些信誉好的足球投注网站新的可用的） （2）开始安装截图（这些资料来自51CTO技术“子旭”个人博客） 在安装开始时通常会提醒你，系统要重启才能继续安装，这是正常的过程。 这个就不用说了 ，人人皆知； ? 释放程序.... （3）填写信息 建议使用英文的字符填写 ? 安装程序中 ? 建议使用英文的字符填写 ? 同上，填写好的 建议使用英文的字符填写 ? 同上，填写好的 phone：是需要填写电话区号等 这些可以随意输入阿拉伯数字? fax number是输入传真号 也随意 在sniffer serial number后卖弄输入产品序列号就OK了 （4）设置网络连接方式 ? 注册诸多数据后我们就来到设置网络连接状况了，一般对于企业用户只要不是通过“代理服务器”上网的都可以选择第一项——direct connection to the internet。（我们学校的实验室里一般不是用代理的） ?（5）完成安装 接下来才是真正的复制sniffer pro必需文件到本地硬盘，完成所有操作后出现setup complete提示，我们点finish按钮完成安装工作。 由于我们在使用sniffer pro时需要将网卡的监听模式切换为混杂，所以不重新启动计算机是无法实现切换功能的，因此在安装的最后，软件会提示重新启动计算机，我们按照提示操作即可 ? 注：Client上安装该软件的步骤与上述一样 2.3 siniffer简单使用 （1）选择网卡和设置工作模式 在进行流量捕获之前首先选择网络适配器，确定从计算机的哪个网络适配器上接收数据。位置：File-select settings 选择网络适配器后才能正常工作。该软件安装在Windows 98操作系统上，Sniffer可以选择拨号适配器对窄带拨号进行操作。如果安装了EnterNet500等PPPOE软件还可以选择虚拟出的PPPOE网卡。对于安装在Windows 2000/XP上则无上述功能，这和操作系统有关。 （2）各快捷键介绍 本文将对报文的捕获几网络性能监视等功能进行详细的介绍。下图为在软件中快捷键的位置。 （3）捕获面板 报文捕获功能可以在报文捕获面板中进行完成，如下是捕获面板的功能图：图中显示的是处于开始状态的面板 （4）捕获过程报文统计界面 在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。 （5）捕获报文查看界面 Sniffer软件提供了强大的分析能力和解码功能。如下图所示，对于捕获的报文提供了一个Expert专家分析系统进行分析，还有解码选项及图形和表格的统计信息。 专家分析 专家分分析系统提供了一个智能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。 在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。 对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解其产生的原因。 解码分析 下图是对捕获报文进行解码的显示，通常分为三部分，目前大部分此类软件结构都采用这种结构显示。对于解码主要要求分析人员对协议比较熟悉，这样才能看懂解析出来的报文。使用该软件是很简单的事情，要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。工具软件只是提供一个辅助的手段。因涉及的内容太多，这里不对协议进行过多讲解，请参阅其他相关资料。 对于MAC地址，Snffier软件进行了