实训指导1.2-0SnifferPro协议分析软件的使用(精)
实训一 网络诊断工具Sniffer的使用
实训一、网络诊断工具Sniffer的使用一、Sniffer工具介绍概述Sniffer软件是NAI公司推出的功能强大的协议分析软件。
本文针对用SnifferPro网络分析器进行故障解决。
利用Sniffer Pro 网络分析器的强大功能和特征,解决网络问题,将介绍一套合理的故障解决方法。
与Netxray比较,Sniffer支持的协议更丰富,例如PPPOE协议等在Netxray并不支持,在Sniffer上能够进行快速解码分析。
Netxray不能在Windows 2000和Windows XP上正常运行,Sniffer Pro 4.6可以运行在各种Windows平台上。
Sniffer软件比较大,运行时需要的计算机内存比较大,否则运行比较慢,这也是它与Netxray相比的一个缺点。
功能简介下面列出了Sniffer软件的一些功能介绍,其功能的详细介绍可以参考Sniffer的在线帮助。
捕获网络流量进行详细分析利用专家分析系统诊断问题实时监控网络活动收集网络利用率和错误等在进行流量捕获之前首先选择网络适配器,确定从计算机的哪个网络适配器上接收数据。
位置:File->select settings选择网络适配器后才能正常工作。
该软件安装在Windows 98操作系统上,Sniffer可以选择拨号适配器对窄带拨号进行操作。
如果安装了EnterNet500等PPPOE软件还可以选择虚拟出的PPPOE 网卡。
对于安装在Windows 2000/XP上则无上述功能,这和操作系统有关。
本文将对报文的捕获几网络性能监视等功能进行详细的介绍。
下图为在软件中快捷键的位置。
捕获面板报文捕获功能可以在报文捕获面板中进行完成,如下是捕获面板的功能图:图中显示的是处于开始状态的面板捕获过程报文统计在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。
捕获报文查看Sniffer 软件提供了强大的分析能力和解码功能。
如下图所示,对于捕获的报文提供了一个Expert 专家分析系统进行分析,还有解码选项及图形和表格的统计信息。
实验三 协议分析软件的使用
协议分析软件的使用实验日志
马天宇
实验题目:
协议分析软件的使用
实验目的:
掌握协议分析软件的使用方法和基本特点;
了解Ping命令的工作过程;
了解FTP协议的工作过程。
实验要求:
写出实验过程及结果;
记录捕获的关键数据,并分析协议工作过程。
实验中遇到的问题及解决;
心得体会。
实验主要步骤:
1.下载并安装Ethereal抓包软件。
2. 通过抓包接口开始抓包.通过抓包接口开始抓包,可以通过工具栏的接口选项,或者“Capture”菜单的“Interfaces”选项选择抓包菜单后,Etherea 弹出抓包接口对话框。
但需注意,作为抓包接口对话框,只在数据抓包前显示,会消耗很多系统资源,要尽快关闭对话框以防止过多的系统装载。
3. 选择Capture,则立即开始抓包,并显示抓包过程数据报文统计。
4.登陆ftp://172.16.37.223,并下载一个小文件,使软件成功抓取数据包,然后使用过滤器,过滤去所需要的数据包来源,如图。
实验结果:
成功的抓取到了所需要的数据,并用显示过滤器可以用来找到感兴趣的包,根据协议分
析是否存在域、域值、域值之间的包。
心得体会:
了解到了协议分析软件,对网络协议也有了进一步的认识,完成了从书本到实际操作的过程。
指导手册-SnifferPro 数据包捕获与协议分析
网络分析工具Sniffer Pro一、训练目标1、了解常用网络分析工具2、会使用网络分析工具Sniffer Pro二、实训环境要求利用VMware软件虚拟出一台计算机(称为“虚拟机”或“虚拟系统”),与物理机组成一个最小的网络实验环境,作为网络攻击的目标计算机,物理机作为实施网络攻击的主机。
建议安装方式:在XP系统中,安装虚拟的windows2003/2000 Server系统三、实训内容任务1:网络分析工具Sniffer Pro的使用Sniffer Pro是一种很好的网络分析程序,允许管理员逐个数据包查看通过网络的实际数据,从而了解网络的实际运行情况。
它具有以下特点:1. 可以解码至少450种协议。
除了IP、IPX和其它一些“标准”协议外,Sniffer Pro还可以解码分析很多由厂商自己开发或者使用的专门协议,比如思科VLAN中继协议(ISL)。
2. 支持主要的局域网(LAN)、城域网(WAN)等网络技术(包括高速与超高速以太网、令牌环、802.11b无线网、SONET传递的数据包、T-1、帧延迟和ATM)。
3. 提供在位和字节水平上过滤数据包的能力。
4. 提供对网络问题的高级分析和诊断,并推荐应该采取的正确措施。
5. Switch Expert可以提供从各种网络交换机查询统计结果的功能。
6. 网络流量生成器能够以千兆的速度运行。
7. 可以离线捕获数据,如捕获帧。
因为帧通常都是用8位的分界数组来校准,所以SnifferPro只能以字节为单位捕获数据。
但过滤器在位或者字节水平都可以定义。
需要注意的是,使用Sniffer捕获数据时,由于网络中传输的数据量特别大,如果安装Sniffer的计算机内存太小,会导致系统交换到磁盘,从而使性能下降。
如果系统没有足够的物理内存来执行捕获功能,就很容易造成Sniffer系统死机或者崩溃。
因此,网络中捕获的流量越多,Sniffer系统就应该运行得更快、功能更强。
实验4 Siniffer Pro的使用
专家分析 系统
捕获报文的 图形分析
捕获报文的其他 统计信息
专家分分析系统提供了一个智能的分析平台, 对网络上的流量进行了一些分析
双击此记录可以 查看详细信息
捕获的 报文
报文解 码
二进制 内容
报文解析界面
实验4 使用Sniffer Pro网络分析器
实验目的:
(1)掌握Sniffer工具的安装与使用方法。 (2)理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构。 (3)掌握ICMP协议的类型和代码 (4)理解网络中数据留流的封包格式与输出字段。 (5)掌握碎片的原理和重组过程。 (6)充分理解采用加密和不加密和技术数据的传播状态。
Sniffer Pro主界面
2)定义要捕捉的目的地址和数据包类型 在Capture菜单中选中Define Filter。 目的地址:Address选项 数据包类型 :Advanced选项
Sniffer的抓包过滤器设置完毕后,接下来就开始发送和接收数据包。 并使用Sniffer报文捕获命令捕获报文
3)报文捕获解析
报文捕获功能可以在报文捕获面板或Capture菜单中进行完成
捕获条件 编辑
选择捕获 条件
捕获开始
捕获暂停 捕获停止 捕获停止 并查看 捕获查看
网络性能监 视快捷键
捕获面板
定义要捕捉目的地址的另一种方法
选中Monitor菜单下的Matrix,可以查看网络中的Traffic Map视图
Sniffer Pro简介
Sniffer软件是NAI(美国网络联盟)公司推出 的功能强大的协议分析软件。 主要功能
– –
–
–
捕获网络流量进行详细分析 利用专家分析系统诊断问题 实时监控网络活动 收集网络利用率和错误等
sniffer_pro使用教程
sniffer pro的使用先来看看, sniffer proDashboard 网络流量表Host Table 网络连接表,可以直观的看出连接你的主机,还可以用MAC/IP/IPX,三种显示。
Applicatien Response Time 主机回应指数,可以选择协议的, TCP/UDP下的http.Ftp 等等。
Matrix (让我想到黑客帝国)这里是查看网路连结,很立体的那种。
Protocol Distribution 显示网络中协议的使用量, IP/ARP/IPXGlobal statistics 整体网络使用显示下面是Capture 下的选项:Start 开始捕捉Display 显示Define Filter 设置过滤下面是Tools 下的选项:Address Book 地址本Packet Generator 数据发送机Ping 工具 (这些都是常用的工具)Trace RouteDns lookupFingerWho isCustomize user Tools 用户自定义工具,可自己把工具加上去。
选项高级选项大体上是这样了!现就抓几个包来看看啦!1. Telnet密码1.1 由本机连接到别的开telnet的主机和netxray的用法一样, Define filter ---> advanced在协议中选上 IP/TCP/TELNET, 然后Packet Size --> Equal 55, Packet Type --> Normal.截取的数据包:当你想停止sniff时,按capture --> stop en display , 然后会选Decode 就可一看到数据包的内容了!你就可一在 Summary 中看到用户和密码,从上往下, chi就是用户名。
1.2 本地主机开了Telnet, 并进行监听这里也许会麻烦点,不过是为了过滤掉没用的Tcp数据包,好,Capture --> Define filter -> Advanced选IP/TCP/Telnet , Packet Size --> Equal 67, Packet Type --> Normal.然后用Data Pattern --> Add Pattern, 大家可以看到,这里有2个and 关系的Pattern, 上面这个name: TCP : Flags = 18 的意思就是 PSH ACK 的数据包,大家看图啦,还有一个Name: IP: Type of service = 10 , 开了Telnet, 好了,设好后就可以,抓包了!看看数据包,一目了然,一看就知道是 administrator.2。
实训指导1.2-2基于SnifferPro进行TCP_UDP协议(补充任务原理篇)(精)
段的序列号字段中。该数据段被封装到一个IP数据报中,并发送给服务器。
第二次握手:一旦装有TCP SYN数据段的IP数据报到达了服务器主机,服务器将从 该数据报中提取出TCP SYN数据段,给该连接分配TCP缓冲区和变量,并给客户TCP发 送一个允许连接的数据段。这个允许连接的数据段也不包含任何应用层数据。但是, 它的头部中装载着3个重要信息。首先,SYN被设置为1;其次,TCP数据段头部的确认 字段被设置为x+1;最后,服务器选择自己的初始顺序号,SEQ=y,并将值放到TCP数 据段头部的序列号字段中。 第三次握手:在接收到允许连接数据段之后,客户也会给连接分配缓冲区和变量。 客户端主机还会给服务器发送另一个数据段,对服务器的允许连接数据段给出确认。
专业务实
学以致用
任务相关原理:三次握手
主机1 SYN(SEQ=x) 主机1 主机2 主机2
SYN(SEQ=x)
SYN(SEQ=y)AC K=x+1
SYN(SEQ=y)AC K=x+1
ACK=z
ACK=y+1
REJECT
TCP协议中连接建立的过程
专业务实
TCP连接异常
学以致用
任务相关原理:四次挥手
数据偏移——占 4 bit,它指出 TCP 报文段的数据起始处距离 TCP 报文段的起始 处有多远。
专业务实 学以致用
任务相关原理:TCP协议报文
比特 0 8
源 端 口 序 号 TCP 首部 确 数据 偏移 保 留 认 号 窗 口 紧 急 指 针 (长 度 可 变) 填 充
16
24
目 的 端 口
31
专业务实 学以致用
任务相关原理:Socket套接字
为了使得多主机多进程通信时,不至于发生混乱情况,必 须把端口号和主机的IP地址结合起来使用,称为插口或套 接字(Socket)。
Sniffer实验指导书
使用Sniffer 工具进行TCP/IP分析实验过程与步骤任务一安装Sniffer Pro1. Sniffer技术简介Sniffer(嗅探器)就是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。
该技术被广泛应用于网络维护和管理方面,它接收着来自网络的各种信息,通过对这些数据的分析,网络管理员可以深入了解网络当前的运行状况,以便找出所关心的网络中潜在的问题。
在正常情况下,网络接口卡读入一帧并进行检查,如果帧中携带的目的地址(这里的目的地址是指物理地址而非IP地址,该地址是网络设备的唯一性标志)和自己的物理地址一致或者是广播地址(就是被设定为一次性发送到网络所有主机的特殊地址,当目标地址为该地址时,所有的网络接口卡都会接收该帧),网络接口卡通过产生一个硬件中断引起操作系统注意,然后将帧中所包含的数据传送给系统进一步处理,否则就将这个帧丢弃。
如果网络中某个网络接口卡设置成“混杂”状态,网络接口卡会如何处理收到的帧呢?实际的情况是该网络接口卡将接收所有在网络中传输的帧,无论该帧是广播的还是发向某一指定地址的,这就形成了监听。
如果某一台主机被设置成这种监听模式,它就成了一个Sniffer。
鉴于Sniffer的工作原理,如果一个数据帧没有发送到你的网络接口卡上,那么你将无法监听到该帧。
所以Sniffer所能监听到的信息仅限于在同一物理网络内传送的数据,在使用了交换(路由)设备的网络中,由于其数据是根据目的地址进行分发的,单个的网络接口卡将无法监听到所有正在传输的信息。
2. 双击安装的可执行程序,开始运行安装程序。
3. 安装过程中,要填写一些注册信息,可以简要的填写,注意软件的序列号要填写正确。
图1-1 填写注册信息图1-2 填写注册信息4. 安装块结束时,会让你选择接入Internet的方式,可以根据实际情况选取。
图1-3 选择接入Internet的方式图1-4 完成安装5. 安装成功后,重新启动机器。
Sniffer_pro_使用说明 图解
1.与自己硬件地址相匹配的数据祯
2.发向所有机器的广播数据帧。
在一个实际的系统中,数据的收发是由网卡来完成的,网卡接收到传输来的数据,网卡内的单片程序接收数据帧的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,认为该接收就接收后产生中断信号通知CPU,认为不该接收就丢掉不管,所以不该接收的数据网卡就截断了,计算机根本就不知道。CPU得到中断信号产生中断,操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据,驱动程序接收数据后放入信号堆栈让操作系统处理。而对于网卡来说一般有四种接收模式:
第一、地址类型,选择IP了。选择模式,如果选包括,其意义就是指sniffer在捕获的时候就会只对你在Station1中和Station2中所列的节点包进行捕获。选择除外则恰相反。也就是说它在捕获的时候会过滤掉Station1和Station2中所列及的地址数据包的。
第二、在Station1和Station2以及DIR的设置中,你可以指定地址对,而我要对它截获的是与他连接的所有主机,也就是说这个Any代表的是任何主机的意思。至于Dir,则是要选择你要捕获的目标主机与其连接主机间的信息流向,这里选的是互流,即为要截获的是与之所连接的所有主机与它的信息数据.
广播方式:该模式下的网卡能够接收网络中的广播信息。组播方式:设置在该模式下的网卡能够接收组播数据。直接方式:在这种模式下,只有目的网卡才能接收该数据。混杂模式:在这种模式下的网卡能够接收一切通过它的数据,而不管该数据是否是传给它的。
总结一下,首先,我们知道了在以太网中是基于广播方式传送数据的,也就是说,所有的物理信号都要经过我的机器,再次,网卡可以置于一种模式叫混杂模式(promiscuous),在这种模式下工作的网卡能够接收到一切通过它的数据,而不管实际上数据的目的地址是不是他。这实际上就是我们SNIFF工作的基本原理:让网卡接收一切他所能接收的数据。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
任务相关工具软件介绍
(6)常用的网络协议分析软件
集线器 互联网
专业务实
学以致用
任务相关工具软件介绍
(4)软件的网络协议分析系统的安装部署
具备镜像功能的交换式网络:使用交换机(Switch)作为网络的中心交换设 备的网络即为交换式网络。网络中的交换机具备镜像功能时,可在交换机上 配置好端口镜像,再将网络协议分析软件安装在连接镜像端口的主机上,此 时软件可以捕获整个网络中所有的数据通讯。
交换机
代理服务器 互联网
专业务实
学以致用
任务相关工具软件介绍
(5)软件的网络协议分析系统构成
在前面所讲的几种协议分析系统的部署中,无论是哪一种网络类型, 协议分析的主机网卡需要一个驱动,以保证网卡接收不是发送给自己的数据 帧。即要保证网卡处于混杂模式! 协议分析软件:基于软件的协议分析系统的主机,协议分析主成程是进 行协议分析的应用层软件。
(3)协议分析器的实现形式
手持式综合协议分析器:从协议分析仪发展的角度来说,网络维护人员 越来越需要使用功能强大并能将多种网络测试手段集于一身的综合式测试分 析手段,典型的协议分析仪上的功能延展就是加入网管功能、自动网络信息 搜集功能、智能的专家故障诊断功能, 并且移动性能要有效。这种综合的 协议分析仪或者说是综合的网络分析仪成为了当今网络维护和测试仪的主要 发展趋势。例如FLUKE的协议分析系统。
专业务实
学以致用
任务相关工具软件介绍
(4)软件的网络协议分析系统的安装部署
网络协议分析软件以嗅探方式工作,它必须要采集到网络中的原始数 据包,才能准确分析网络故障。但如果安装的位置不当,采集不到所需要 的数据包,从而会影响分析的结果。 网络协议分析软件的安装部署有以下 几种情况:
共享式网络 :使用集线器(Hub)作为网络中心连接设备的网络是典型的共 享式网络。在集线器所连接的网络中,可将网络协议分析软件安装在局域网 中任意一台主机上,此时软件可以捕获整个网络中所有的数据通讯。
纯软件的协议分析系统:使用率最多的协议分析软件+PC网卡。
基于PC+数据采集箱的便携式协议分析器:这种方式与上述采用协议分 析软件+PC网卡的主要区别就是专用的数据采集系统,在对复杂和高速的 网络链路上要想全线速地扑捉或更有效地进行实时数据过滤采用专用的数据 采集方式是必须的。
专业务实
学以致用
任务相关工具软件介绍
交换机 镜像源端口 镜像目的端口 互联网
专业务实
学以致用
任务相关工具软件介绍
(4)软件的网络协议分析系统的安装部署
不具备镜像功能的交换式网络:一些简易的交换机可能并不具备镜像功 能,不能通过端口镜像实现网络的监控分析。这时,可采取在交换机与路由 器或防火墙之间串接一个分接器Tap或集线器(Hub)的方法来完成数据捕获。 当然,对于不同的分析需求,可以将其放置在适当的位置,但要保证所要分 析的流量能经过分接器
1. 协议分析技术简介
(1)协议分析
网络协议分析是指通过程序分析网络数据包的协议头和尾部,从而了 解信息和相关的数据包在产生和传输过程中的行为。包含该程序的软件和设 备就是协议分析器。
(2)协议分析器的功能
如果通过多层协议头尾和其相关信息来识别网络通信过程中可能出现 的问题时,该协议分析方法称之为专家分析。专家分析模式专门用于网络故 障诊断和修复。同时为定义网络访问控制行为提供帮助。也有一些协议分析 软件具用构造数据帧的功能,如NAI公司的Sniffer Pro。协议分析器既能用 于合法网络管理也能用于窃取网络信息。网络运维护可以采用协议分析器: 如监视网络流量、分析数据包、监视网络资源利用、执行网络安全操作规则, 鉴定分析网络数据以及诊断并修复网络问题等等。本课程进行协议分析学习 的目的是:通过协议分析深入学习掌握TCP/IP体系结构。为“专家分析” 打下基础,为后续的访问控制与入侵检测做好铺垫。
专业务实 学以致用
任务相关工具软件介绍
(3)协议分析器的实现形式
网络协议分析器(Network Protocol Analyzer)还被称为网络嗅探器 (Sniffer)、数据包分析器(Packet Analyzer)、网络嗅听器(Network Sniffing Tool)、网络分析器(Network Analyzer)等。协议分析器 (protocol analyser)的工作从原理上要分为两个部分:数据捕获、协议分 析。对这两部分的工作从实现的形式上来说有以下常见的4种形式:
网卡底层驱动:但很多协议分析软件需要底层的网卡驱动,如WinPcap 来将网卡所能接收到的所有数据帧进行接收后提交给操作系统应用层,进而 送达协议分析主程序。 网卡的工作模式:网卡在正常模式下不会将目的MAC不是(广播与多播 帧除外)自己的数据帧提交到上层的操作系统处理。只有将网卡设置为混杂 模式后,它才会将所接收的所有数据帧提交到操作系统及上层的应用程序。
交换机
Tap或集线器 互联网
专业务实
学以致用
任务相关工具软件介绍
(4)软件的网络协议分析系统的安装部署
代理服务器共享上网:在一些小型网络中,可能仍然通过代理服务器共 享上网,对这种网络的分析,可直接将网络分析软件安装在代理服务器上就 可以了。例如网路岗和科来等协议分析软件系统,这种结构中代理主机不仅 可以分析协议,还可以进行访问行为的控制。
计算机网络安全技术与实施
学习情境1:实训任务1.2 协议分析技术部署与 SnifferPro协议分析软件的使用
专业务实
学以致用
内容介绍
1
任务场景
2 3
4
任务相关工具软件介绍 任务设计、规划
任务实施及方法技巧
5专业务实
学以致用
任务场景
专业务实
学以致用
任务相关工具软件介绍
分布式协议分析器:随着网络维护规模的加大,网络技术的变化,网络 要害数据的采集也越来越困难。有时为了分析和采集数据,必须能在异地同 时进行采集,于是将协议分析仪的数据采集系统独立开来,能安置在网络的 不同地方,由能控制多个采集器的协议分析仪平台进行治理和数据处理,这 种应用模式就诞生了分布式协议分析仪。通常这种方式的造价会非常高的。