实验十五 网络嗅探与Tcp协议分析.pdfVIP

网络嗅探与协议分析（1）（Sniffer软件应用）

一、实验目的和意义

网络嗅探器sniffer可以监听到所有流经同一以太网网段的数据包，不管它的接收者或

发送者是不是运行sniffer的主机。通过在网络上拦截（接收）数据包并做出分析，来确定

该数据包使用了什么协议，是TCP/IP协议，还是UDP协议等，并同时分析出不同数据包的结

构，再从中得到具体的内容，如帧的源MAC和目的MAC地址、IP地址、TCP序号等，这些数

据内容还可以是用户的帐号和密码，以及一些商用机密数据等。sniffer几乎能得到以太网

上传送的任何数据包，黑客也就会使用各种方法

Sniffer是NAI公司推出的协议分析软件，它支持丰富的协议，在网络特殊应用尤其是

在网络管理过程中，可以通过计算机的网络接口，从网络上截获目的地为其他计算机的数据

报文，利用专家分析系统，对捕获到的数据帧进行快速解码分析，诊断收集到的数据，实时

监控网络活动，网络运行状态和错误信息等，是网络管理的有力工具。

本实验通过sniffer软件的应用，监视并分析TCP/UDP应用层程序在客户端和服务器间

的交互（如Telnet、HTTP、FTP、DNS等的应用），加强对TCP连接中的三次握手过程及相关

网络原理、协议及相关技术的掌握，同时熟练掌握涉及网络管理、网络安全方面的技术技能，

为今后的网络管理、网络开发应用打下良好基础。

二、实验原理

1、网络嗅探

网络中处于同一个网段上的所有网络接口都有一个不同的硬件地址，每个网络还有一个

广播地址。在正常工作情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于

自己的报文则不予响应，因为此网络接口应该只响应：1）帧的目标地址和本机网络接口的

硬件地址相匹配；2）帧的目帧的目标区域标区域具有具有广播广播地址地址，这样的两种数据帧。在接收到上面两种

情况的数据包时，nc通过cpu产生一个硬件中断，由操作系统将帧中所包含的数据传送给系

统进一步处理。

也就是说，一个连到以太网上的网络设备接口，在任何时间里都在接收数据，但只将传

给自己的数据传给本计算机上的应用程序，但如果将网络接口设置为promiscuous（混杂）

工作模式，那么接收的并不仅仅是自己的数据，而是对网络线路上传送的所有数据都可以进

行接收即侦听。利用这一点，可以将一台计算机的网卡设置为promiscuous（混杂）工作模

式以接收所有以太网线上的数据，从而达到实现sniffer的目的。

而sniffer就是一种能将本地nc接口设成（promiscuous）状态的软件，当sniffer软

件将nc设为这种“混杂”方式时，该nc具备“广播地址”，它对所有流经网络线路上的每一

个帧都产生一个硬件中断，以使操作系统接收处理每一个报文包。可见，sniffer工作在网

络环境中的底层，它会拦截所有正在网络上传送的数据，并且通过软件处理，实时分析这些

数据的内容，从安全性上来说，它是一种消极的安全攻击。

通常通过sniffer分析的内容有以下几类：

（1）数据的来源和去处：主机网络接口地址、远程网络接口ip地址，以太网帧的其他部分

存放实际的用户数据、TCP/IP的报文头或IPX报文头等；

（2）信息协议分析，MAC帧、IP、TCP、ICMP包等，还有ip路由信息和tcp连接的字节顺序

号码等；

（3）分析网络的流量,以便找出网络中潜在的问题；

（4）口令：sniffer可以记录到明文传送的userid和passwd；

（5）金融帐号：sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码和pin；

（6）偷窥机密或敏感的信息数据：通过拦截数据包，可以很方便记录别人之间敏感的信息传

送，或者干脆拦截整个的会话过程。（一般我们只嗅探每个报文的前200到300个字节，用户

名和口令都包含在这一部分中，也可以嗅探给定接口上的所有报文。）

2、TCP/I