基于Sniffer的HTTP分析

sniffer 实验报告Sniffer实验报告引言：在当今数字化时代，网络安全问题备受关注。

Sniffer作为一种网络安全工具，被广泛应用于网络流量监测、数据包分析和安全漏洞发现等领域。

本报告旨在介绍Sniffer的原理、应用以及实验结果，并探讨其在网络安全中的重要性。

一、Sniffer的原理与工作方式Sniffer是一种网络数据包嗅探器，它能够截获经过网络的数据包，并对其进行分析和解码。

其工作原理主要包括以下几个步骤：1. 网络接口监听：Sniffer通过监听网络接口，获取经过该接口的数据包。

这可以通过底层网络协议（如以太网、无线网络等）提供的API实现。

2. 数据包截获：一旦Sniffer监听到网络接口上的数据包，它会将其截获并保存在内存或磁盘中，以便后续分析。

3. 数据包解析：Sniffer对截获的数据包进行解析，提取其中的关键信息，如源IP地址、目标IP地址、协议类型、端口号等。

这些信息可以帮助分析人员了解网络流量的来源、目的和内容。

4. 数据包分析：通过对解析得到的数据包进行深入分析，Sniffer可以检测网络中的异常行为、安全漏洞以及潜在的攻击。

二、Sniffer的应用领域Sniffer作为一种功能强大的网络安全工具，在各个领域都有广泛的应用。

以下是几个典型的应用场景：1. 网络管理与监控：Sniffer可以用于监测网络流量，分析网络性能和带宽利用情况。

通过对数据包的分析，可以及时发现网络故障和异常，提高网络管理的效率。

2. 安全漏洞发现：Sniffer可以检测网络中的异常流量和未经授权的访问行为，帮助发现系统的安全漏洞。

它可以捕获潜在的攻击数据包，并通过分析判断是否存在安全威胁。

3. 网络流量分析：Sniffer可以对网络流量进行深入分析，了解用户的行为习惯、访问偏好以及网络应用的使用情况。

这对于网络服务提供商和广告商来说，有助于优化服务和精准投放广告。

4. 数据包调试与故障排查：在网络通信过程中，数据包传输可能会出现错误或丢失。

实验2 wireshark或sniffer抓包软件使用实本次实验使用wireshark抓包软件。

开启的应用程序有：IE，QQ, QQ音乐。

过滤的UDP 的报文。

结果：抓取的报文：14 2.915765000 tencent_private DFAUT QQMusicExternal.exe 222.18.168.170119.177.224.41 UDP 121 Source port: http Destination port: hosts2-ns即第14号报文，时间为2.915765000，应用程序名称：tencent_private，应用哈希：DFAUT, 应用程序模块：QQMusicExternal.exe，源地址：222.18.168.170，目标地址：119.177.224.41，协议：UDP，包长度：121，信息：源端口：http；目的端口：hosts2-ns。

结果说明：链路层：以太网；网络层：IP协议；传输层：UDP；应用层：qq的私有协议。

详细情况：展开后的情况：（由于此段最后一项过长不好截图，故将其复制过来了）Frame 14: 121 bytes on wire (968 bits), 121 bytes captured (968 bits) on interface 0Interface id: 0Encapsulation type: Ethernet (1)Arrival Time: Dec 3, 2013 11:15:50.371006000 中国标准时间Time shift for this packet: 0.000000000 secondsEpoch Time: 1386040550.371006000 secondsTime delta from previous captured frame: 0.010828000 secondsTime delta from previous displayed frame: 0.010828000 secondsTime since reference or first frame: 2.915765000 secondsFrame Number: 14Frame Length: 121 bytes (968 bits)Capture Length: 121 bytes (968 bits)Frame is marked: FalseFrame is ignored: FalseProtocols in frame: eth:ai:ip:udp:dataColoring Rule Name: Checksum ErrorsColoring Rule String: eth.fcs_bad==1 || ip.checksum_bad==1 || tcp.checksum_bad==1 || udp.checksum_bad==1 || sctp.checksum_bad==1 || mstp.checksum_bad==1 || cdp.checksum_bad==1 || edp.checksum_bad==1 || wlan.fcs_bad==1画面14：121字节线（968位），121个字节（968位）捕获接口0接口编号：0封装类型：以太网（1）到达时间：2013年12月3日50.371006000中国标准时间11:15:这个包的时间变化：0秒时间：1386040550.371006000秒以前捕获的帧时间三角：0.010828000秒从以前的显示帧时间三角洲：0.010828000秒由于参考或第一帧的时间：2.915765000秒帧号：14帧长度：121字节（968位）捕获长度：121字节（968位）帧标记：假框架是忽视：假协议的框架：ETH：AI：IP UDP数据：：着色规则名称：校验和错误着色规则字符串：ETH。

Sniffer功能和使用详解一Sniffer介绍Sniffer，中文翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。

使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。

当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。

将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。

Sniffer技术常常被黑客们用来截获用户的口令，据说某个骨干网络的路由器网段曾经被黑客攻入，并嗅探到大量的用户口令。

但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络Sniffer的分类如果Sniffer运行在路由器上或有路由功能的主机上，就能对大量的数据进行监控，因为所有进出网络的数据包都要经过路由器。

二sniffer proSniffer软件是NAI公司推出的功能强大的协议分析软件。

Sniffer Pro - 功能●捕获网络流量进行详细分析●利用专家分析系统诊断问题●实时监控网络活动●收集网络利用率和错误等使用Sniffer捕获数据时，由于网络中传输的数据量特别大，如果安装Sniffer的计算机内存太小，会导致系统交换到磁盘，从而使性能下降。

如果系统没有足够的物理内存来执行捕获功能，就很容易造成Sniffer系统死机或者崩溃。

因此，网络中捕获的流量越多，建议Sniffer系统应该有一个速度尽可能快的计算机。

1. Sniffer Pro计算机的连接要使Sniffer能够正常捕获到网络中的数据，安装Sniffer的连接位置非常重要，必须将它安装在网络中合适的位置，才能捕获到内、外部网络之间数据的传输。

如果随意安装在网络中的任何一个地址段，Sniffer就不能正确抓取数据，而且有可能丢失重要的通信内容。

一般来说，Sniffer应该安装在内部网络与外部网络通信的中间位置，如代理服务器上，也可以安装在笔记本电脑上。

当哪个网段出现问题时，直接带着该笔记本电脑连接到交换机或者路由器上，就可以检测到网络故障，非常方便。

sniffer pro的工作原理
Sniffer Pro是一种网络分析工具，用于在计算机网络上捕获、分析和解码网络数据包。

它的工作原理主要包括以下几个步骤：
1. 捕获数据包：Sniffer Pro通过网络接口卡或者网络设备，如交换机、路由器等，实时监听网络通信流量，并捕获经过的数据包。

2. 数据包过滤：Sniffer Pro可以根据用户定义的过滤规则来筛选感兴趣的数据包。

例如，可以根据源IP地址、目标IP地址、协议类型、端口号等条件进行过滤，以便只关注特定的网络流量。

3. 解析和重组数据包：Sniffer Pro对捕获到的数据包进行解析和重组，将二进制数据转换成可读的格式，显示出数据包的各个字段和内容。

它可以支持多种协议解析，如TCP/IP、HTTP、FTP、DNS等。

4. 分析网络流量：Sniffer Pro提供了丰富的分析功能，可以对网络流量进行统计、绘图和报表生成。

用户可以通过这些分析结果来查找网络问题、检测安全漏洞、优化网络性能等。

5. 高级功能：除了基本的捕获和分析功能，Sniffer Pro 还提供了一些高级功能，如会话重建、流量重放、协议模拟等。

这些功能可以帮助用户更深入地了解网络通信过程，并
进行相关的测试和调试工作。

总之，Sniffer Pro通过捕获、分析和解码网络数据包，提供了一个全面的工具集，用于帮助用户监控和分析计算机网络中的数据流量，以实现网络故障排查、网络性能优化和网络安全等目的。

sniffer实验报告实验报告：Sniffer实验引言：Sniffer是一种网络工具，用于捕获和分析网络数据包。

它可以帮助我们了解网络通信的细节，并帮助网络管理员识别和解决网络问题。

本实验旨在介绍Sniffer的原理和应用，以及通过实际操作来深入了解其功能和效果。

一、Sniffer的原理和工作机制Sniffer工作在网络的数据链路层，通过监听网络上的数据包来获取信息。

它可以在网络中的一个节点上运行，或者通过集线器、交换机等设备进行监测。

Sniffer通过网卡接口，将数据包拷贝到自己的缓冲区中，然后进行解析和分析。

二、Sniffer的应用领域1. 网络故障排查：Sniffer可以帮助管理员快速定位网络故障的原因，通过捕获数据包并分析其中的错误信息，找到导致网络中断或延迟的问题源。

2. 安全监测：Sniffer可以用于检测网络中的恶意行为，如入侵、数据泄露等。

通过分析数据包的内容和流量模式，管理员可以发现异常活动并采取相应措施。

3. 性能优化：Sniffer可以监测网络的吞吐量、延迟等性能指标，帮助管理员优化网络结构和配置，提高网络的传输效率和响应速度。

4. 协议分析：Sniffer可以解析各种网络协议，包括TCP/IP、HTTP、FTP等，帮助管理员了解网络通信的细节和流程，从而更好地管理和优化网络。

三、实验步骤与结果1. 硬件准备：连接电脑和网络设备，确保网络正常运行。

2. 软件安装：下载并安装Sniffer软件，如Wireshark等。

3. 打开Sniffer软件：选择合适的网卡接口，开始捕获数据包。

4. 分析数据包：通过过滤器设置，选择需要分析的数据包类型，如HTTP请求、FTP传输等。

5. 结果分析：根据捕获的数据包，分析网络通信的细节和问题，并记录相关信息。

6. 故障排查与优化：根据分析结果，定位网络故障的原因，并采取相应措施进行修复和优化。

实验结果显示，Sniffer软件成功捕获了网络中的数据包，并能够准确地分析其中的内容和流量模式。

Sniffer工具使用实验报告学院：计算机科学与工程学院班级：专业：学生姓名：学号：目录实验目的 (3)实验平台 (3)实验内容 (3)实验1：抓ping和回应包 (3)实验要求： (3)实验过程与分析 (3)实验2 ：捕获内网发往外网的重要数据 (4)实验要求： (4)实验过程与分析： (5)实验3 ：Arp包编辑发送 (6)实验要求： (6)实验过程与分析： (6)实验4 ：ARP欺骗 (7)实验要求： (7)实验过程与分析 (8)实验深入分析： (11)实验5：交换机端口镜像的简单配置 (11)实验要求： (11)实验过程与分析： (12)实验心得 (13)实验目的了解著名协议分析软件sniffer的主要功能，以及sniffer能处理什么网络问题实验平台Sniffer软件是NAI公司推出的功能强大的协议分析软件。

与Netxray比较，Sniffer支持的协议更丰富，如Netxray不支持PPPOE协议，但Sniffer能快速解码分析；Netxray不能在Windows 2000和Windows XP上正常运行，而SnifferPro 4.6可以运行在各种Windows平台上。

缺点：运行时需要的计算机内存比较大，否则运行比较慢功能：1）捕获网络流量进行详细分析2)利用专家分析系统诊断问题3）实时监控网络活动4）收集网络利用率和错误等实验内容实验1：抓ping和回应包实验要求：Ping xxxx–t观察icmp:echo和icmp:echo(reply)包信息实验过程与分析1）设置过滤器过滤ICMP协议2）让Sniffer开始抓包Ping 222.201.146.92 –t截获包如下Echo包：ICMP头后面abcde……为填充内容（数据填充码），纯熟用来凑够一个帧大小Echo reply包与Echo包对比可知，ID和sequence number是一致的。

同样ICMP头后面abcde……为填充内容（数据填充码），纯熟用来凑够一个帧大小实验2 ：捕获内网发往外网的重要数据实验要求：捕获条件可选择协议dns(tcp),http,pop,smtp,地址为本机IP到any登陆华南目棉BBS或华工教学在线或其他网络论坛。

网络安全管理员模拟练习题含参考答案一、单选题（共70题，每题1分，共70分）1、数字签名要预先使用单向Hash函数进行处理的原因是(____)。

A、多一道加密工序使密文更难破译B、保证密文能正确还原成明文C、提高密文的计算速D、缩小签名密文的长度，加快数字签名和验证签名的运算速度正确答案：D2、信息系统的过期账号及其权限应及时注销或(____)。

A、更新B、删除C、调整D、变更正确答案：C3、追踪黑客踪迹.分析黑客攻击手段的最佳方案是(____)。

A、反木马.反病毒软件B、安全审计系统C、入侵检测系统D、蜜罐/蜜网正确答案：D4、下列(____)是预防CC攻击的有效手段。

A、删除可能存在CC攻击的页面B、提高服务器性能C、限制单个IP地址每秒访问服务器的次数D、使用IDS设备正确答案：C5、文件型病毒传染的对象主要是哪类文件(____)。

A、EXE和.WPSB、COM和.EXEC、WPSD、DBF正确答案：B6、在信息系统安全中，风险由以下(____)因素共同构成的。

A、威胁和破坏B、威胁和攻击C、威胁和脆弱性D、攻击和脆弱性正确答案：C7、思科防火墙开启console本地验证的方式是(____)。

A、aaa enable ssh localB、aaa authentication enable ssh localC、aaa authentication enable console localD、aaa enable console local正确答案：C8、下列措施中，(____)能有效地防止没有限制的URL访问安全漏洞。

A、使用一次Token令牌B、针对每个功能页面明确授予特定的用户和角色允许访问C、使用参数化查询D、使用高强度的加密算法正确答案：B9、语义攻击利用的是(____)。

A、病毒对软件攻击B、黑客对系统攻击C、黑客和病毒的攻击D、信息内容的含义正确答案：D10、病毒预防范阶段的主要措施是(____)。

长春职业技术学院专业课程试题库第一部分:理论题一．选择题学习情境1-任务1-基于Sniffer进行协议．模拟攻击分析(1/22) 1．ARP协议工作过程中，当一台主机A向另一台主机B发送ARP查询请求时，以太网帧封装的目的MAC地址是（D）。

A. 源主机A的MAC地址B. 目标主机B的MAC地址C. 任意地址：000000000000 D02. 广播地址：FFFFFFFFFFFF2．在下面的命令中，用来检查通信对方当前状态的命令是（B）。

A. telnetB. pingC. tcpdumpD. traceroute3．在进行协议分析时，为了捕获到网络有全部协议数据，可以在交换机上配置（A）功能。

A. 端口镜像B. VLANC. TrunkD. MAC地址绑定4．在进行协议分析时，为了捕获到流经网卡的全部协议数据，要使网卡工作在（C）模式下?。

A. 广播模式B. 单播模式C. 混杂模式D. 多播模式5．在计算机中查看ARP缓存记录的命令是（A）。

A. “arp -a”B. “arp -d”C. “netstat -an”D. “ipconfig /all”6．在计算机中清除ARP缓存记录的命令是（B）。

A. “arp -a”B. “arp -d”C. “netstat -an”D. “ipconfig /all”7．一帧ARP协议数据中，如果其中显示操作代码（Opcode）值为1,表示此数据帧为ARP的什么帧？(D)A. 单播帧B. 应答帧C. 多播帧D. 请求帧8．在广播式网络中，发送报文分组的目的地址有（C）地址．多站（播）地址和广播地址三种。

A. 本地B. 远程C. 单一物理（单播）D. 逻辑9．网络安全的基本属性是（ B）。

A. 机密性B. 其它三项均是C. 完整性D. 可用性10．小李在使用super scan对目标网络进行扫描时发现，某一个主机开放了25和110端口，此主机最有可能是（B）A. 文件服务器B. 邮件服务器C. WEB服务器D. DNS服务器 11．协议分析技术可以解决以下哪个安全问题？（C）A. 进行访问控制B. 清除计算机病毒C. 捕获协议数据并进行分析．定位网络故障点D. 加密以保护数据12．什么是DoS攻击?（B）A. 针对DOS操作系统的攻击B. 拒绝服务攻击C. 一种病毒D. 地址欺骗攻击13．你想发现到达目标网络需要经过哪些路由器，你应该使用什么命令？（D） A. ping B. nslookup C. ipconfig D. tracert14．TELNET和FTP协议在进行连接时要用到用户名和密码，用户名和密码是以什么形式传输的？（C）A. 对称加密B. 加密C. 明文D. 不传输密码15．假如你向一台远程主机发送特定的数据包，却不想远程主机响应你的数据包。