实验03SnifferPro数据包捕获与协议分析.pdfVIP

实验 03 SnifferPro 数据包捕获与协议分析 1. 实验目的 （1）了解 Sniffer 的工作原理。 （2 ）掌握 SnifferPro 工具软件的基本使用方法。 （3 ）掌握在非交换以太网环境下侦测、记录、分析数据包的方法。 2. 实验原理 数据在网络上是以很小的被称为“帧”或“包”的协议数据单元（ PDU）方式传输的。以数据链路层的“帧”为例， “帧”由多 个部分组成，不同的部分对应不同的信息以实现相应的功能，例如，以太网帧的前 12 个字节存放的是源 MAC 地址和目的 MAC 地 址，这些数据告诉网络该帧的来源和去处，其余部分存放实际用户数据、高层协议的报头如 TCP ／IP 的报头或 IPX 报头等等。帧的 类型与格式根据通信双方的数据链路层所使用的协议来确定，由网络驱动程序按照一定规则生成，然后通过网络接口卡发送到网络 中，通过网络传送到它们的目的主机。目的主机按照同样的通信协议执行相应的接收过程。接收端机器的网络接口卡一旦捕获到这 些帧，会告诉操作系统有新的帧到达，然后对其进行校验及存储等处理。 在正常情况下，网络接口卡读入一帧并进行检查，如果帧中携带的目的 MAC 地址和自己的物理地址一致或者是广播地址，网络 接口卡通过产生一个硬件中断引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理，否则就将这个帧丢弃。 如果网络中某个网络接口卡被设置成 “混杂”状态， 网络中的数据帧无论是广播数据帧还是发向某一指定地址的数据帧， 该网络 接口卡将接收所有在网络中传输的帧， 这就形成了监听。 如果某一台主机被设置成这种监听 （Snfffing ）模式，它就成了一个 Sniffer 。 一般来说， 以太网和无线网被监听的可能性比较高， 因为它们是一个广播型的网络， 当然无线网弥散在空中的无线电信号能更轻 易地截获。 3. 实验环境与器材 本实验在虚拟机中安装 SnifferPro4.7 版本，要求虚拟机开启 FTP、HTTP 等服务，即虚拟机充当服务器，物理机充当工作站。 物理机通过 Ping 命令、 FTP 访问及网页访问等操作实验网络数据帧的传递。 4. 实验内容 介绍最基本的网络数据帧的捕获和解码，详细功能请参阅本教材辅助材料。 （1）Sniffer Pro 4.7 的安装与启动 1）启动 Sniffer Pro 4.7。在获取 Sniffer Pro 4.7 软件的安装包后，运行安装程序，按要求输入相关信息并输入注册码，若有汉化 包请在重启计算机前进行汉化。完成后重启计算机，点击“开始” “程序” “Sniffer Pro” “Sniffer”，启动“ Sniffer Pro 4.7” 程序。 2）选择用于 Sniffer 的网络接口。如果计算机有多个网络接口设备，则可通过菜单“ File” “Select Settings”，选择其中的一个 来进行监测。若只有一块网卡，则不必进行此步骤。 （2 ）监测网络中计算机的连接状况 配置好服务器和工作站的 TCP/IP 设置并启动 Sniffer Pro 软件，选择“菜单”中“ Monitor （监视器）”“Matrix （主机列表）”，从 工作站访问服务器上的资源， 如 WWW 、FTP 等，观察检测到的网络中的连接状况， 记录下各连接的 IP 地址和 MAC 地址。如图 1-1 所示。 图 1-1 被监控计算机列表 （3 ）监测网络中数据的协议分布 选择菜单“ Monitor ”→“ Protocal distribution （协议分布）”，监测数据包中的使用的协议情况，如图 1-2 所示。记录下时间和协 议分布情况。 图 1-2 被监控网络协议分布 （4 ）监测分析网络中传输的 ICMP 数据 1）定义过滤规则