实验二：《网络监听工具的安装使用》

实验2 网络数据包的监听与分析一实验目的1.掌握使用Wireshark软件监听和捕获网络数据包。

2.掌握通过实际观察网络数据进行分析而了解网络协议运行情况。

二实验要求1.设备要求：计算机若干台（装有Windows 2000/XP/2003操作系统、装有网卡），局域网环境，主机装有Wireshark工具。

2.每组1人，独立完成。

三实验预备知识1.Wireshark简介Wireshark是一个开放源码的网络分析系统，也是是目前最好的开放源码的网络协议分析软件之一，支持Linux和Windows平台，支持500多种协议分析。

网络分析系统首先依赖于一套捕捉网络数据包的函数库。

这套函数库工作在在网络分析系统模块的最底层。

作用是从网卡取得数据包或者根据过滤规则取出数据包的子集，再转交给上层分析模块。

从协议上说，这套函数库将一个数据包从链路层接收，将其还原至传输层以上，以供上层分析。

在Linux系统中，1992年Lawrence Berkeley Lab的Steven McCanne 和Van Jacobson提出了包过滤器，称之为BPF（BSD Packet Filter），设计了基于BPF的捕包函数库Libpcap。

在Window系统中，意大利人Fulvio Risso和Loris Degioanni提出并实现了Winpcap函数库，其实现思想来源于BPF。

2.Wireshark的简单操作方法安装Wireshark之前，需要安装Winpcap，安装过程比较简单。

安装完成后，启动Wireshark，如图2.1所示。

图2.1 启动Wireshark后的界面设置Capture选项。

选择“Capture”-“Options”，弹出“Capture Options”界面，设置完成后点击“Capture”而开始捕获数据，如图2.2所示。

图2.2 “Capture Options”界面在“Capture Options”界面中，主要选项如下：•“Interface”是要求选择在哪个接口（网卡）上抓包。

南京信息工程大学实验（实习）报告
实验名称: 网络监听和网络扫描工具的使用实验日期:2015.6.3得分：指导教师朱节中系: 计算机系专业: 网络工程班次 1 姓名学号
一．实验目的
（1）熟悉常用的网络侦查工具和系统命令
（2）掌握端口扫描的原理和方法
二．实验任务
学会使用Ws_Ping Propack软件
三．实验内容
使用Ws_Ping Propack 进行网络检测和扫描，并进行相关分析实验步骤:
1.获得Ping Pro 安装包文件,然后进行本地安装
2点击Continue确认安装
3.输入安装目录点击
Ok
4.选择安装栏目组名称,点击OK后安装完成
5打开程序WS_PingProPack,打开
Ping Pro
6.选取Ping标签,并在Host Name or IP 出输入192.168.1.x(X为任意座位号)
7.选取Scan 标签,选中Scan Ports选项,检测熟知的端口号
8.选取Winet标签,在Network Items列表框中选取domains,然后单击开始按钮,结束以后文本框中将列出同一网络中的域/工作组信息
work Items列表框中选取shares,可以扫描到共享信息
.
10.取info标签,输入IP地址或主机名都可以扫描出IP地址或主机名
11.取html标签,在url栏内输入一网址可以显示其源代码.。

⽹络监听实验实验报告实验四：⽹络监听实验班级：姓名：学号：⽇期：⼀、实验⽬的掌握协议分析器的使⽤⽅法，并根据实验总结针对⽹络监听的防范措施。

⼆、实验内容安装Sniffer，进⾏⽹络分析监听，再对结果数据进⾏分析，撰写报告。

三、实验步骤1.虚拟机安装2.jre1.5.0.04.exe安装1．软件安装在选择Sniffer Pro的安装⽬录时，默认是安装在c:\Program files\nai\SnifferNT⽬录中，我们可以通过旁边的Browse按钮修改路径，不过为了更好的使⽤还是建议按默认路径进⾏安装。

在注册⽤户时，注册信息随便填写即可，不过EMAIL⼀定要符合规范，需要带“@”，如图2-14所⽰，在随后出现的“Sniffer Pro Usr Registration”对话框中，⼤家注意有⼀⾏"Sniffer Serial Number"需要⼤家填⼊注册码“SA154-2558Y-255T9-2LASH”。

接下来，需要设置⽹络连接状况，⼀般对于企业⽤户只要不是通过“代理服务器”上⽹的都可以选择第⼀项——Direct Connection to the Internet，如图2-15所⽰。

接下来才是真正的复制Sniffer Pro必需⽂件到本地硬盘，完成所有操作后出现Setup Complete提⽰，我们点Finish按钮完成安装⼯作。

由于在使⽤Sniffer Pro时需要将⽹卡的监听模式切换为混杂，所以不重新启动计算机是⽆法实现切换功能的，因此在安装的最后，软件会提⽰重新启动计算机，如图2-16所⽰。

2．使⽤Sniffer查询流量信息：重新启动计算机后我们可以通过Sniffer Pro来监测⽹络中的数据包。

通过“开始->所有程序->Sniffer Pro->Sniffer”来启动该程序。

（1）第⼀步：默认情况下Sniffer Pro会⾃动选择你的⽹卡进⾏监听，不过如果不能⾃动选择或者本地计算机有多个⽹卡的话，就需要⼿⼯指定⽹卡了。

福建农林大学计算机与信息学院实验报告课程名称：计算机网络姓名：学院：专业：年级：学号：指导教师：职称：年月日实验项目列表序号实验项目名称成绩指导教师1 TCP/IP实用程序的使用2 Windows 的安全策略3 TCP/IP协议分析4 总评56实验报告实验二：网络监听实验一、实验目的1、熟悉IP地址与MAC地址的概念2、理解ARP协议及ICMP协议原理3、了解TELNET应用4、掌握网络监听方法二、实验原理1、IP地址与MAC地址、ARP协议数据链路层使用物理地址（即MAC地址），网络层使用IP地址，当数据包在网络层和数据链路层之间传输时，需要进行MAC地址和IP地址的转换。

ARP协议的功能是实现IP地址到MAC地址的转换。

每个主机都设有一个ARP高速缓存，操作系统通常会将从网络中得到的IP地址和MAC地址的映射关系存放在本机的高速缓存中，使用arp命令，可以查看、添加和删除高速缓冲区中的ARP表项。

在Windows操作系统中，高速缓存中的ARP表项可以包含动态和静态表项，动态表项随时间推移自动添加和删除，而静态表项则一直保留在高速缓存中，直到人为删除或重启计算机。

2、ICMP协议ICMP协议是配合IP协议使用的网络层协议，它的报文不是直接传送到数据链路层，而是封装成IP数据报后再传送到数据链路层。

分组网间探测PING是ICMP协议的一个重要应用，它使用ICMP回送请求与回送应答报文，用来测试两个主机之间的连通性。

命令格式为：ping 目的IP地址。

ICMP回送请求与回送应答报文格式如下：类型：8或0 代码：0 校验和标识符序号可选数据说明：类型为8---回送请求，为0---回送应答TRACERT程序是ICMP协议的另一个应用，命令格式为：tracert 目的地址。

Tracert从源主机向目的主机发送一连串的IP数据报P1，P1的TTL设置为1，当它到达路径上的第一个路由器R1时，R1先收下它，把P1的TTL值减1，变成0，R1丢弃P1，并向源主机发送一个ICMP超时差错报告报文。

实验报告机将写有目的的主机地址的数据包直接发向目的主机，或者当网络中的一台主机同外界的主机通信时，源主机将写有目的的主机IP地址的数据包发向网关。

但这种数据包并不能在协议栈的高层直接发送出去，要发送的数据包必须从TCP/IP协议的IP层交给网络接口，也就是所说的数据链路层。

网络接口不会识别IP地址的。

在网络接口由IP层来的带有IP地址的数据包又增加了一部分以太祯的祯头的信息。

在祯头中，有两个域分别为只有网络接口才能识别的源主机和目的主机的物理地址这是一个48位的地址，这个48位的地址是与IP地址相对应的，换句话说就是一个IP地址也会对应一个物理地址。

对于作为网关的主机，由于它连接了多个网络，它也就同时具备有很多个IP地址，在每个网络中它都有一个。

而发向网络外的祯中继携带的就是网关的物理地址。

Ethernet中填写了物理地址的祯从网络接口中，也就是从网卡中发送出去传送到物理的线路上。

如果局域网是由一条粗网或细网连接成的，那么数字信号在电缆上传输信号就能够到达线路上的每一台主机。

再当使用集线器的时候，发送出去的信号到达集线器，由集线器再发向连接在集线器上的每一条线路。

这样在物理线路上传输的数字信号也就能到达连接在集线器上的每个主机了。

当数字信号到达一台主机的网络接口时，正常状态下网络接口对读入数据祯进行检查，如果数据祯中携带的物理地址是自己的或者物理地址是广播地址，那么就会将数据祯交给IP层软件。

对于每个到达网络接口的数据祯都要进行这个过程的。

但是当主机工作在监听模式下的话，所有的数据祯都将被交给上层协议软件处理。

当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网的时候，那么要是有一台主机处于监听模式，它还将可以接收到发向与自己不在同一个子网（使用了不同的掩码、IP地址和网关）的主机的数据包，在同一个物理信道上传输的所有信息都可以被接收到。

在UNIX系统上，当拥有超级权限的用户要想使自己所控制的主机进入监听模式，只需要向Interface（网络接口）发送I/O控制命令，就可以使主机设置成监听模式了。

实验一网络监听和网络扫描工具的使用（2学时）1、实验目的（1）熟悉常用的网络侦查工具和系统命令（2）掌握端口扫描的原理和方法2、实验任务学会使用Ws_Ping Propack3、实验内容使用Ws_Ping Propack 进行网络检测和扫描，并进行相关分析4、实验步骤：（1）WS_Ping ProPack是一个网络信息工具带到你WS_FTP专业的制造商。

WS_Ping ProPack 提供了所有你需要的工具来帮助追踪网络问题,找到关于用户的信息、主机和网络在互联网上。

版本2.3提供了一个强大的组合关键信息的获取你的用户和主机,传输文件与快速传送速度和高度的可靠性。

（2）Ws_Ping Propack的下载与安装下载地址：/WS-Ping-ProPack/3000-2648_4-10012207.html 下载的文件：（3）功能实现：WS_Ping ProPack包括大量的工具，可用帮助您跟踪网络问题，获取有价值的网络信息：Ping——测定某网络设备是否可用；Traceroute——跟踪网络中主机或设备的路径；Throughput——测试链接在远程主机上的数据速度；Lookup——获取主机名和IP地址信息；Info——浏览某个网络主机或设备的信息概要；Whois——从网络信息中心获取名称信息；SNMP——浏览简单的网络管理协议值；Scan——扫描网络，列出设备；WinNet——浏览Windows网络域名、主机和工作站；Time——查询多个时间服务器，或同步您的本地系统时钟；Quote——通过一个Quote服务器浏览行情表。

HTML——帮助您有效的调试自己的网站。

5、实验总结：WS_Ping ProPack是一个网络信息工具带到你WS_FTP专业的制造商。

WS_Ping ProPack提供了所有你需要的工具来帮助追踪网络问题,找到关于用户的信息、主机和网络在互联网上。

版本2.3提供了一个强大的组合关键信息的获取你的用户和主机,传输文件与快速传送速度和高度的可靠性。

实验说明：实验报告需要打印出来进行提交，每份实验报告注明您的学号、姓名；只需要记录实验步骤和结果即可。

（如果发现抄袭，本次实验成绩为零）实验二：网络监听工具的安装使用实验场景本次实验需在小组合作的基础之上完成。

每个小组由两位成员组成，相互之间通信，通过网络监听工具截取通信数据包，分析数据包完成实验内容。

小组情况表:一、基本要求通过本次实验，学生可以掌握如下基本操作：（1）、使用网络监听工具；（2）、熟悉网络监听工具的原理及被监听的危害；二、实验内容1、通过ipconfig命令获取本机IP地址,并填写上面的小组情况表。

2、下载网络监听工具ethereal和winpcap并安装；（1）、首先安装winpcap；（2）、安装ethereal。

3、从本机ping小组另一位成员的计算机，使用ethereal截取ping过程中的通信数据。

4、分析截取的由于第3步操作而从本机发送到目的机的数据帧中的IP数据报并填写下表。

5、分析截取的由于第3步操作而从目的机返回到本机的数据帧中的IP数据报并填写下（1）启动Telnet服务：方法一：我的电脑（右键）------管理-----服务和应用程序----服务，在其中找到telnet 服务（telnet服务默认情况是“禁止”了）设置为“手动”并开启服务。

方法二：在运行中输入cmd，在dos中先输入（windows 2003中输入： sc config tlntsvr start= auto,在windows xp输入：sc config telnet start = auto),再输入net start telnet.（2）然后使用dir文件查看对方C盘根目录下的文件系统结构，最后使用exit命令退出。

使用截取操作中的通信数据。

7、分析截取的由于第6步操作而从本机发送到目的机的数据帧中的TCP数据报并填写下表。

表。

三、实验报告1、记录实验内容各步骤的实验结果。

实验二一、实验名称：网络侦听实验二、实验学时：4三、实验内容和目的：实验目的：通过使用Sniffer（嗅探）工具，实现捕捉ARP、ICMP、FTP等协议的数据包，以理解TCP/IP协议栈中多种协议的数据结构、会话连接建立和终止的过程、TCP序列号、应答序号的变化规律。

并且通过实验了解FTP、HTTP等协议明文传输的特性，以建立安全意识，防止FTP、HTTP等协议由于传输明文密码造成的泄密。

实验内容：1.地址解析协议（ARP）实验2.网络路径跟踪（TRACE）实验3.TCP连接实验四、实验原理：（一）地址解析协议（ARP）实验本实验中，所有计算机位于一个物理网络中：所有计算机通过以太网交换机连接在一个以太网中。

该物理网络中没有连接路由器。

同时，所有计算机也位于同一个IP网络中。

IP分组在以太网中发送时，除了要有接收站的IP地址（IP分组中的目的IP 地址）外，还需要接收站的MAC地址（以太网帧中的目的MAC地址）。

ARP协议将IP地址（逻辑地址）动态映射为MAC地址（物理地址）。

实验中两人一组，在“未知”（使用命令arp -d * 清空ARP缓存表）和“已知”IP网络内通信时所需地址映射（目的IP地址，目的MAC地址）这两种情况下，先后使用计算机上的通信测试命令（ping）发起一次通信过程，并通过使用Sniffer软件捕获通信过程中通信双方的交互信息。

比较两次通信过程中所捕获的分组数量、分组类型和分组内容，分析ARP协议的工作原理，包括：ARP 分组（ARP请求分组和ARP应答分组）的产生条件、具体内容和传输方式。

每个实验者使用计算机上的ARP缓存表查看命令（arp -a），查看本小组的ARP协议操作结果和ARP缓存表内容，了解ARP缓存表的形成及其在ARP协议操作过程中的作用。

（二）网络路径跟踪（TRACE）实验本实验中，每个实验小组中的计算机分别连接在两个以太网中，每个以太网被配置为一个IP子网，4台路由器按照实验拓扑结构互连这两个IP子网。