用Sniffer抓包分析以太网帧-抓包分析ICMP错误响应

洛阳理工学院实验报告
系别计算机与信
息工程系
班级学号姓名
课程名称网络安全实验日期2014.10.23 实验名称Sniffer抓包工具的应用成绩
实验目的：
通过实验掌握Sniffer工具的使用，理解TCP/IP 协议中TCP、IP、ICMP数据包的结构，以及TCP三次握手的过程。

实验条件：
虚拟机平台，Windows Server 2003和XP
实验内容：
一、 ICMP包
1.先将虚拟机Windows Server 2003和XP ping通。

（如图1、2）
图1 在XP上ping Windows Server显示
图2 ICMP包死亡之ping
2.打开XP中的Sniffer程序，点击开始按钮进行抓包。

（如图3）
图3 抓包结果
二、TCP三次握手
1.在windows server上建ftp，然后在XP上架设ftp，打开Sniffer的过滤器进行双向抓包。

（如图4、5）
图4 windows server的ftp显示图5 打开Filter设置ip
2.第一次握手如图6所示。

图6 第一次握手显示结果 3.第二次握手如图7所示。

图7 第二次握手显示结果4.第三次握手如图8所示。

图8 第三次握手显示结果5.过滤器显示如图9、10。

图9 过滤器(TOP10 总比特数)
图10 Traffic Map 的IP地址显示
实验总结：
通过这次试验我了解到Sniffer工具的使用以及TCP三次握手的过程，在这次试验中其实有许多不懂的地方，还好在同学的帮助下解决了许多问题，关于这方面我觉得知识方面有些欠缺，以后会多加努力。

网络抓包分析实验报告一：实验目的：1. 学习使用网络数据抓包软件Ethereal，对互连网进行数据抓包，巩固对所学知识的理解二：实验内容：1：分析IP，ICMP的报文格式。

三：实验工具Wireshark抓包软件四：实验步骤1、安装Wireshark，简单描述安装步骤。

2、打开wireshark，选择接口选项列表。

或单击“Capture”，配置“option”选项。

3、设置完成后，点击“start”开始抓包，显示结果。

4、选择某一行抓包结果，双击查看此数据包具体结构5、抓ICMP时在开始->运行cmd->tracert 五：分析1：IP报文分析报文格式：截图：分析：由图可知：IP报文版本号是IPV4，首部长度：20 bytes，数据包总长度：58，标示符：0x7335，标志：0x00，比特偏移：0，寿命：112，上层协议：UDP，首部校验和：0x071d，并且是正确的。

源IP地址：61.142.208.196目的IP地址：192.168.1.102二：ＩＣＭＰ报文分析截图如下：ICMP格式有抓包显示截图可知：类型：8 （回显请求）代码/编码：0校验和：0xf2ff（正确的校验和）标示符：0x0300；序列号：512(0x0200)通过这次试验，培养了自己动手的能力，另外，通过对wireshark抓包软件的使用，用其来抓取数据包，对ip, icmp报文的格式有了进一步的了解，通过对报文格式的分析，并且把课本上多学的理论知识与实践结合起来，对以前的知识得到深化和巩固，为以后学习新的知识打下基础，也提高了学习的兴趣，收获很大。

网络分析SNIFFER软件的使用介绍Sniffer（嗅探器）就是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。

该技术被广泛应用于网络维护和管理方面，它工作的时候就像一部被动声纳，默默的接收着来自网络的各种信息，通过对这些数据的分析，网络管理员可以深入了解网络当前的运行状况，以便找出所关心的网络中潜在的问题。

Sniffer技术简介数据在网络上是以很小的称为“帧”（又称：包）的单位传输的，帧由多个部分组成，不同的部分对应不同的信息以实现相应的功能，例如，以太网的前12个字节存放的是源地址和目的地址，这些数据告诉网络该帧的来源和去处。

其余的部分存放实际用户数据、TCP/IP 的报头或IPX报头等等。

帧是根据通讯所使用的协议，由网络驱动程序按照一定规则生成，然后通过网络接口卡（网络接口卡，在局域网中一般指网卡）发送到网络中，通过网线传送到它们的目的主机，在目的主机的一端按照同样的通讯协议执行相反的过程。

接收端机器的网络接口卡捕获到这些帧，并告诉操作系统有新的帧到达，然后对其进行存储。

在正常情况下，网络接口卡读入一帧并进行检查，如果帧中携带的目的地址（这里的目的地址是指物理地址而非IP地址，该地址是网络设备的唯一性标志）和自己的物理地址一致或者是广播地址（就是被设定为一次性发送到网络所有主机的特殊地址，当目标地址为该地址时，所有的网络接口卡都会接收该帧），网络接口卡通过产生一个硬件中断引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理，否则就将这个帧丢弃。

我们可以想象到这样一种特别的情况：如果网络中某个网络接口卡的物理地址不确定呢（这可以通过本地网络接口卡设置成“混杂”状态来实现）？网络接口卡会如何处理收到的帧呢？实际的情况是该网络接口卡将接收所有在网络中传输的帧，无论该帧是广播的还是发向某一指定地址的，这就形成了监听。

如果某一台主机被设置成这种监听模式，它就成了一个Sniffer。

实验二 网络抓包——sniffer pro 的使用实验目的：1. 了解网络嗅探的原理；2. 掌握Sniffer Pro 嗅探器的使用方法；实验学时：2课时实验形式：上机实验器材： 联网的PC 机实验环境：操作系统为Windows2000/XP实验内容：任务一 熟悉Sniffer Pro 工具的使用任务二 使用Sniffer Pro 抓获数据包实验步骤：任务一 熟悉Sniffer Pro 工具的使用1. Sniffer Pro 工具简介Sniffer 软件是NAI 公司推出的功能强大的协议分析软件，具有捕获网络流量进行详细分析、利用专家分析系统诊断问题、实时监控网络活动和收集网络利用率和错误等功能，实验中使用Sniffer Pro4.7.5来截获网络中传输的FTP 和HTTP 数据包，并进行分析。

2. 使用说明在sniffer pro 初次启动时，可能会提示选择一个网络适配器进行镜像，如图1所示，此时正确选择接入网络的网卡，这样sniffer pro 才可以把网卡设置为混杂（Promiscuous ）模式，以接收在网络上传输的数据包。

Sniffer Pro 运行后的主界面如图2所示。

（1）工具栏简介如图3所示。

图1 网卡设置图2 sniffer pro 主界面图3工具栏快捷键的含义如图4所示。

（2）网络监视面板简介在捕获过程中可以通过Capture Panel 查看网络的利用率、捕获报文的数量和缓冲区的利用率,如图5所示。

（3）捕获数据包窗口简介Sniffer 软件提供了强大的分析能力和解码功能。

如图6所示，对于捕获的报文提供了一个Expert 专家分析系统进行分析，还有解码选项及图形和表格的统计信息。

专家分析专家分析系统提供了一个智能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。

在图7中显示出在网络中WINS 查询失败的次数及TCP 重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。

1、察看整体网络流量状态。

2、找出进包和出包异常的主机ip或mac地址3、对其进行协议分析。

找出异常的网络协议。

1、2步用sniffer pro的Host Table、Matrix3步用Sniffer的解码（Decode）功能cain 用于嗅探明文协议密码比较直观有效举例：1. 蠕虫病毒流量分析1.1. 环境简介这是一个对某网络系统中广域网部分的日常流量分析，我们在其广域网链路上采用Sniffer 进行流量捕获，并把产生流量最多的协议HTTP协议的网络流量过滤出来加以分析，分析过程及结果如下。

1.2. 找出产生网络流量最大的主机我们分析的第一步，找出产生网络流量最大的主机，产生网络流量越大，对网络造成的影响越重，我们一般进行流量分析时，首先关注的是产生网络流量最大的那些计算机。

我们利用Sniffer的Host Table功能，将所有计算机按照发出数据包的包数多少进行排序，结果如下图。

图6从图6中我们可以清楚的看到网络中计算机发出数据包数量多少的统计列表，我们下面要做的是对列表中发出数据包数量多的计算机产生的流量进行分析。

通过Host Table，我们可以分析每台计算机的流量情况，有些异常的网络流量我们可以直接通过Host Table来发现，如排在发包数量前列的IP地址为22.163.0.9的主机，其从网络收到的数据包数是0，但其向网络发出的数据包是445个，这对HTTP协议来说显然是不正常的，HTTP协议是基于TCP 的协议，是有连接的，不可能是光发不收的，一般来说光发包不收包是种类似于广播的应用，UDP 这种非连接的协议有可能。

同样，我们可以发现，如下IP地址存在同样的问题：IP地址发包数量收包数量22.96.76.155 300 021.202.96.250 243 3021.211.36.252 221 022.57.1.119 189 022.11.134.72 147 021.199.151.90 129 422.1.224.202 109 1321.204.80.42 109 0这样的主机还有很多。

实验八-网络性能监测分析工具Sniffer捕获高层协议数据包并分析实验目的: 使用Sniffer抓取ftp的数据报分析FTP的三次“握手”的过程。

分析FTP客户端和服务器端通信过程实验环境: Windows环境下常用的协议分析工具: sniffer 搭建Serv-U FTP Server, 在计算机上建立FTP服务器VMware虚拟机, 用虚拟机进行登录FTP。

实验内容和步骤:1. 建立网络环境。

用Serv-U FTP Server在计算机上建立一台FTP服务器, 设置IP地址为: 192.168.0.10。

在Serv-U FTP Server中已设定用户xyz, 密码123123。

（也可以自行设定其他帐号）2. 在此计算机上安装了sniffer。

3．启动该机器上的虚拟机作为一台FTP客户端, 设置IP地址为: 192.168.0.12。

4. 使用ping命令看是否连通。

记录结果。

5. 使用虚拟机登录FTP服务器。

6. 运行sniffer嗅探器, 并在虚拟机的“运行”中输入ftp://192.168.0.10, 点确定后出现如下图的登录窗口:在登录窗口中输入：用户名（xyz）, 密码（123123）使用sniffer抓包, 再在sniffer软件界面点击“stop and display”, 选择“Decode”选项, 完成FTP命令操作过程数据包的捕获。

8.在sniffer嗅探器软件上点击Objects可看到下图, 再点击“DECODE(反解码)。

记录FTP三次握手信息, 写出判断这三个数据包的依据（如syn及ack）。

记录端口信息等内容。

9．找出数据包中包含FTPUSER命令的数据包, 记录显示的用户名。

10．捕获用户发送PASS命令的数据包, 记录显示的密码。

11. 找出FTP服务器端与客户端端口20进行三次握手打开数据传输。

记录数据信息。

实验四SnifferPro数据包捕获与协议分析一. 实验目的1.了解Sniffer的工作原理。

2.掌握SnifferPro工具软件的基本使用方法。

3.掌握在交换以太网环境下侦测、记录、分析数据包的方法。

二、实验原理数据在网络上是以很小的被称为“帧”或“包”的协议数据单元（PDU）方式传输的。

以数据链路层的“帧”为例，“帧”由多个部分组成，不同的部分对应不同的信息以实现相应的功能，例如，以太网帧的前12个字节存放的是源MAC地址和目的MAC地址，这些数据告诉网络该帧的来源和去处，其余部分存放实际用户数据、高层协议的报头如TCP／IP的报头或IPX报头等等。

帧的类型与格式根据通信双方的数据链路层所使用的协议来确定，由网络驱动程序按照一定规则生成，然后通过网络接口卡发送到网络中，通过网络传送到它们的目的主机。

目的主机按照同样的通信协议执行相应的接收过程。

接收端机器的网络接口卡一旦捕获到这些帧，会告诉操作系统有新的帧到达，然后对其进行校验及存储等处理。

在正常情况下，网络接口卡读入一帧并进行检查，如果帧中携带的目的MAC地址和自己的物理地址一致或者是广播地址，网络接口卡通过产生一个硬件中断引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理，否则就将这个帧丢弃。

如果网络中某个网络接口卡被设置成“混杂”状态，网络中的数据帧无论是广播数据帧还是发向某一指定地址的数据帧，该网络接口卡将接收所有在网络中传输的帧，这就形成了监听。

如果某一台主机被设置成这种监听（Snfffing）模式，它就成了一个Sniffer。

一般来说，以太网和无线网被监听的可能性比较高，因为它们是一个广播型的网络，当然无线网弥散在空中的无线电信号能更轻易地截获。

三、实验内容及要求要求：本实验在虚拟机中安装SnifferPro4.7版本，要求虚拟机开启FTP、Web、Telnet等服务，即虚拟机充当服务器，物理机充当工作站。

物理机通过Ping命令、FTP访问及网页访问等操作实验网络数据帧的传递。

实验三使用Sniffer工具进行TCP/IP、ICMP数据包分析1、实验目的通过实验掌握Sniffer工具的安装及使用，1)实现捕捉ICMP、TCP等协议的数据报；2)理解TCP/IP协议中TCP、IP、ICMP数据包的结构，会话连接建立和终止的过程，TCP序列号、应答序号的变化规律，了解网络中各种协议的运行状况；3)并通过本次实验建立安全意识，防止明文密码传输造成的泄密。

2、实验环境两台安装Windows2000/XP的PC机，其中一台上安装有Sniffer软件，两台PC是通过HUB或交换机处于联网状态。

3、实验任务1)了解Sniffer安装和基本使用方法，监测网络中的传输状态；2)定义过滤规则，进行广义的数据捕获，分析数据包结构；3)定义指定的捕获规则，触发并进行特定数据的捕获：●ping ip-address●ping ip-address –l 1000●ping ip-address –l 2000●ping ip-address –l 2000 –f●（在IE地址栏中，输入）4、实验步骤：(1)、打开Sniffer软件，点击捕获——过滤设置——选择TCP和IP。

图（一）图（二）图（三）图（四）(2)定义指定的捕获规则，触发并进行特定数据的捕获：●ping ip-address●ping ip-address –l 1000●ping ip-address –l 2000●ping ip-address –l 2000 –f●（在IE地址栏中，输入）5、实验总结：由图（一）可以知道：帧捕获的时间、帧长、源和目的，以及IP的信息。

由图（二）可以知道：TCP的信息，源端口号（80）、目的端口号（1234）、序列号（2602531683）、偏移量等由图（三）可以知道：ICMP的信息，Type=8,序列号（2048）图（四）是IP的详细信息。

ping 172.16.26.60Ping -l 1000 172.16.26.60 (-l ：发送指定数据量的ECHO数据包。