Sniffer抓包分数据包分析手册
Sniffer的数据包分析与防范
Sniffer的数据包分析与防范Sniffer的数据包分析与防范【摘要】本文首先阐述了当前信息监听的重要意义,并简单介绍了目前比较常见的信息监听软件Sniffer的特点及工作原理。
然后系统地介绍了网络中几种重要的协议的数据报格式,在此基础上,介绍Snifer对这几种协议进行的解码分析,通过Sniffer的分析能够清楚地看到几种数据报的详细内容。
鉴于Sniffer对信息的监听,本文提出了几种防范Sniffer监听的方法,主要有防火墙技术、加密技术等。
最后,针对当前我国的信息监听面临的形势,提出了自己对信息监听技术发展前景的看法。
关键字:信息监听 Sniffer 数据包分析信息安全 Sniffer的防范1.信息监听的意义;我国的网络正在快速发展中,相应的问题也就显现出来,网络管理及相关应用自然将越发重要,而监听技术正是网络管理和应用的基础,其意义当然重要,随着中国网络的发展,监听系统必将大有用武之地,因此监听技术的研究已是时势的要求。
监听技术有助于网络管理、故障报警及恢复,也就是运用强大的专家分析系统帮助维护人员在最短时间内排除网络故障。
2、Sniffer的介绍;Sniffer Pro是一款一流的便携式网管和应用故障诊断分析软件,不管是在有线网络还是在无线网络中,它都能够给予网管管理人员实时的网络监视、数据包捕获以及故障诊断分析能力。
进行快速的网络和应用问题故障诊断,基于便携式软件的解决方案具备最高的性价比,却能够让用户获得强大的网管和应用故障诊断功能。
Sniffer程序是一种利用以太网的特性把网络适配卡置为杂乱模式状态的工具,一旦同卡设置为这种模式,它就能接收传输在网络上的每一个信息包。
Sniffer之所以著名,是因它在很多方面都做的很好,它可以监听到网上传输的所有信息。
Sniffer可以是硬件也可以是软件。
主要用来接收在网络上传输的信息。
网络是可以运行在各种协议之下的,包括以太网Ethernet、TCP/IP 等等,也可以是集中协议的联合体系。
Packet_Sniffer_用户手册(中文)
Packet Sniffer
1 介绍
SmartRF™数据包嗅探器是一个PC应用软件,用于显示和存储通过射频硬件节点侦听而 捕获的射频数据包。支持多种射频协议。数据包嗅探器对数据包进行过滤和解码,最后用一 种简洁的方法显示出来。过滤包含几种选项,以二进制文件格式储存。
安装Packet Sniffer时与SmartRF® Studio分开,而且必须在Texas Instruments网站下载. 安装完成后,支持信令协议的所有快捷键被显示在"Start menu"窗口下 注意: 选择“IEEE802.15.4/ZigBee (CC2420)” 协议后启动的Packet Sniffer是独特的.最突出的不 同点是: 数据包只储存在RAM 缓存区里. 欲了解Packet Sniffer CC2420的更多细节请参阅 CC2420的用户手册. 1.1 硬件平台
SmartRF™ Packet Sniffer 用户手册 Rev. 1.10
Packet Sniffer
Packet Sniffer
目录
1 介绍 .........................................................................................................................................3 1.1 硬件平台....................................................................................................................................3 1.2 协议......................................................................................................................................................7 1.3 数据流程......................................................................................................................................................9 1.4 软件 .......................................................................................................................................................9 2 用户界面 ....................................................................................................................................10 2.1 启动窗口. .........................................................................................................................................10 2.2 PACKET SNIFFER WINDOW OF AN ACTIVE SESSION. ........................................................................................10 2.3 菜单与工具栏 .................................................................................................................................12 2.4 安装.............................................................................................................................................................13 2.5 可选区域 ............................................................................................................................. ..................14 2.6 数据包细节 ............................................................................................................................................15 2.7 地址区 ..............................................................................................................................................16 2.8 显示器 .............................................................................................................................................17 2.9 时间轴.......................................................................................................................................................19 2.10 无线设置.............................................................................................................................................19
Siniffer抓包分析实验指导
Siniffer软件的使用题目下载网络数据包捕获工具(如Ethereal,Sniffer,Iris等),安装,运行,进行数据捕获。
找出TCP数据包。
进行如下操作:1)分析某个TCP数据包各字段的值并解释;2)找出建立连接时的TCP数据包进行分析;3)找出TCP数据包,解释TCP的确认机制;4)找出TCP数据包,解释TCP的流量控制和拥塞控制机制。
以Iris为例,具体实验步骤如下:1.组建对等网,2.在两台计算机上分别安装siniffer软件,指定服务器和客户机,3.在服务器上安装FTP服务器软件,4.在客户机上运行FTP程序,从服务器上下载一个文件到客户机,5.利用Iris捕获数据包,按要求分析TCP各字段的值。
1 组建对等网这个环节省略,因为实验室中都已经建好了。
但要自己要决定哪一台作为服务器,哪一台作为客户器,现在分别记为server和client。
2 在两台计算机上分别安装siniffer,简单使用注:这里只讲解在一台计算机(server)上安装网络数据包捕获工具s iniffer。
2.1 sniffer的大概工作原理Sniffer程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太同卡)置为杂乱模式状态的工具,一旦网络卡设置为这种模式,它就能接收传输在网络上的每一个信息包。
Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。
2.2 siniffer安装过程(1)安装过程提醒sniffer软件的安装还是比较简单的,我们只需要按照常规安装方法进行即可。
需要说明的是: 在选择sniffer pro的安装目录时,默认安装目录即可,我们可以通过旁边的Browse按钮修改路径,不过为了更好的使用还是建议各位用默认路径进行安装。
在注册用户时,注册信息随便填写即可,不过EMAIL一定要符合规范,需要带“@”。
在随后出现的“Sniffer Pro Uesr Registration”对话框中,大家注意有一行"Sniffer Serial Number"需要大家填入注册码(SR4 24-255RR-255OO-255RR,这个只能保证现在还可以,以后可能就失效,如失效各位使用者可尝试上网搜索新的可用的)(2)开始安装截图(这些资料来自51CTO技术“子旭”个人博客)在安装开始时通常会提醒你,系统要重启才能继续安装,这是正常的过程。
sniffer抓包分析参考模型
实验时间
2012年X月X日
实验人
xxx
模块章节
xxxx第X章
实验名称
xxxxxxxxxxx
实验目的
通过本实验验证.....................
实验拓扑
实验环境
需要2台虚拟机
1)win7-1
IP:192.168.0.50/24,连接在vmnet2交换机
在虚拟机上安装抓包软件sniffer,重启后安装成功
3.在winxp-1上对sniffer设置,确定要抓包的主机和抓包的数据类型
1.打开sniffer,点击“capture”(捕获)-“Define Filter”(规定过滤)-“Address”(地址)-“Address”中选择“IP”-在“station1”中填写虚拟机winxp-1的IP地址-“station2”中填写win2003-1的IP地址,
2.单击“Advance”(高级)-“IP”-“TCP”-勾选“Telnet”-“确定”
4.在winxp-1上抓包,
1.注意先启动抓包程序,再使用telnet访问。点击
开始抓包,
2.在winxp-1上“开始”-“运行”-输入“cmd”进入仿真DOS界面
执行:telnetห้องสมุดไป่ตู้192.168.0.10,
输入用户名和密码,远程登入虚拟机,
2.关闭防火墙
右键单击屏幕右下角网络图标-“更改windows防火墙设置”-“关闭”-“确定”
3.特别提示:最好为administrator用户设置密码
右键单击“我的电脑”-“管理”-“本地用户和组”-右键单击“administrator”用户-选择“设置密码”,设置密码为123,点击“确定”
指导手册-SnifferPro 数据包捕获与协议分析
网络分析工具Sniffer Pro一、训练目标1、了解常用网络分析工具2、会使用网络分析工具Sniffer Pro二、实训环境要求利用VMware软件虚拟出一台计算机(称为“虚拟机”或“虚拟系统”),与物理机组成一个最小的网络实验环境,作为网络攻击的目标计算机,物理机作为实施网络攻击的主机。
建议安装方式:在XP系统中,安装虚拟的windows2003/2000 Server系统三、实训内容任务1:网络分析工具Sniffer Pro的使用Sniffer Pro是一种很好的网络分析程序,允许管理员逐个数据包查看通过网络的实际数据,从而了解网络的实际运行情况。
它具有以下特点:1. 可以解码至少450种协议。
除了IP、IPX和其它一些“标准”协议外,Sniffer Pro还可以解码分析很多由厂商自己开发或者使用的专门协议,比如思科VLAN中继协议(ISL)。
2. 支持主要的局域网(LAN)、城域网(WAN)等网络技术(包括高速与超高速以太网、令牌环、802.11b无线网、SONET传递的数据包、T-1、帧延迟和ATM)。
3. 提供在位和字节水平上过滤数据包的能力。
4. 提供对网络问题的高级分析和诊断,并推荐应该采取的正确措施。
5. Switch Expert可以提供从各种网络交换机查询统计结果的功能。
6. 网络流量生成器能够以千兆的速度运行。
7. 可以离线捕获数据,如捕获帧。
因为帧通常都是用8位的分界数组来校准,所以SnifferPro只能以字节为单位捕获数据。
但过滤器在位或者字节水平都可以定义。
需要注意的是,使用Sniffer捕获数据时,由于网络中传输的数据量特别大,如果安装Sniffer的计算机内存太小,会导致系统交换到磁盘,从而使性能下降。
如果系统没有足够的物理内存来执行捕获功能,就很容易造成Sniffer系统死机或者崩溃。
因此,网络中捕获的流量越多,Sniffer系统就应该运行得更快、功能更强。
实验四snifferpro数据包捕获与协议分析
实验四SnifferPro数据包捕获与协议分析一. 实验目的1.了解Sniffer的工作原理。
2.掌握SnifferPro工具软件的基本使用方法。
3.掌握在交换以太网环境下侦测、记录、分析数据包的方法。
二、实验原理数据在网络上是以很小的被称为“帧”或“包”的协议数据单元(PDU)方式传输的。
以数据链路层的“帧”为例,“帧”由多个部分组成,不同的部分对应不同的信息以实现相应的功能,例如,以太网帧的前12个字节存放的是源MAC地址和目的MAC地址,这些数据告诉网络该帧的来源和去处,其余部分存放实际用户数据、高层协议的报头如TCP/IP的报头或IPX报头等等。
帧的类型与格式根据通信双方的数据链路层所使用的协议来确定,由网络驱动程序按照一定规则生成,然后通过网络接口卡发送到网络中,通过网络传送到它们的目的主机。
目的主机按照同样的通信协议执行相应的接收过程。
接收端机器的网络接口卡一旦捕获到这些帧,会告诉操作系统有新的帧到达,然后对其进行校验及存储等处理。
在正常情况下,网络接口卡读入一帧并进行检查,如果帧中携带的目的MAC地址和自己的物理地址一致或者是广播地址,网络接口卡通过产生一个硬件中断引起操作系统注意,然后将帧中所包含的数据传送给系统进一步处理,否则就将这个帧丢弃。
如果网络中某个网络接口卡被设置成“混杂”状态,网络中的数据帧无论是广播数据帧还是发向某一指定地址的数据帧,该网络接口卡将接收所有在网络中传输的帧,这就形成了监听。
如果某一台主机被设置成这种监听(Snfffing)模式,它就成了一个Sniffer。
一般来说,以太网和无线网被监听的可能性比较高,因为它们是一个广播型的网络,当然无线网弥散在空中的无线电信号能更轻易地截获。
三、实验内容及要求要求:本实验在虚拟机中安装SnifferPro4.7版本,要求虚拟机开启FTP、Web、Telnet等服务,即虚拟机充当服务器,物理机充当工作站。
物理机通过Ping命令、FTP访问及网页访问等操作实验网络数据帧的传递。
实验八--网络性能监测分析工具Sniffer捕获高层协议数据包并分析
实验八-网络性能监测分析工具Sniffer捕获高层协议数据包并分析实验目的: 使用Sniffer抓取ftp的数据报分析FTP的三次“握手”的过程。
分析FTP客户端和服务器端通信过程实验环境: Windows环境下常用的协议分析工具: sniffer 搭建Serv-U FTP Server, 在计算机上建立FTP服务器VMware虚拟机, 用虚拟机进行登录FTP。
实验内容和步骤:1. 建立网络环境。
用Serv-U FTP Server在计算机上建立一台FTP服务器, 设置IP地址为: 192.168.0.10。
在Serv-U FTP Server中已设定用户xyz, 密码123123。
(也可以自行设定其他帐号)2. 在此计算机上安装了sniffer。
3.启动该机器上的虚拟机作为一台FTP客户端, 设置IP地址为: 192.168.0.12。
4. 使用ping命令看是否连通。
记录结果。
5. 使用虚拟机登录FTP服务器。
6. 运行sniffer嗅探器, 并在虚拟机的“运行”中输入ftp://192.168.0.10, 点确定后出现如下图的登录窗口:在登录窗口中输入:用户名(xyz), 密码(123123)使用sniffer抓包, 再在sniffer软件界面点击“stop and display”, 选择“Decode”选项, 完成FTP命令操作过程数据包的捕获。
8.在sniffer嗅探器软件上点击Objects可看到下图, 再点击“DECODE(反解码)。
记录FTP三次握手信息, 写出判断这三个数据包的依据(如syn及ack)。
记录端口信息等内容。
9.找出数据包中包含FTPUSER命令的数据包, 记录显示的用户名。
10.捕获用户发送PASS命令的数据包, 记录显示的密码。
11. 找出FTP服务器端与客户端端口20进行三次握手打开数据传输。
记录数据信息。
用Sniffer命令抓包分析操作说明_Jimmy
FortiGate 用Sniffer 命令命令抓包分析说明文档抓包分析说明文档说明说明::本文档针对FortiGate 产品的后台抓包命令使用进行说明,相关详细命令参照相关手册。
在使用后台抓包分析命令时,建议大家使用如SecureCRT 这样的远程管理工具,通过telnet 或者ssh 的方式登陆到网关,由于UTM 本身不支持将抓包的结果保存在设备自身的存储空间,因此需要借助SecureCRT 这样远程管理工具接收文件。
1.基本命令命令: diagnose sniffer packet.# diag sniffer packet <interface> <'filter'> <verbose> <count>2.参数说明2.1 interface<interface> 指定实际的接口名称,可以是真实的物理接口名称,也可以是VLAN 的逻辑接口名称,当使用“any ”关键字时,表示抓全部接口的数据包。
例:#diag sniffer packet port1 //表示抓物理接口为port1的所有数据包#diag sniffer packet any //表示抓所有接口的所有数据包#diag sniffer packet port1-v10 //当在物理接口建立一个VLAN 子接口,其逻辑接口名为port1-v10,此时表示抓port1-v10接口的所有数据包,此处一定注意一个问题,由于抓包命令中的空格使用来区分参数字段的,但是在逻辑接口创建时,接口名称支持空格,考虑到今后抓包分析的方便,建议在创建逻辑接口时不要带有空格。
2.2 verbose<verbose> 指控制抓取数据包的内容1: print header of packets, //只抓取IP的原地址、源端口、目的地址、目的端口和数据包的Sequence numbers 为系统缺省设置2: print header and data from ip of packets, //抓取IP数据包的详细信息,包括IP数据的payload。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Sniffer 抓包分数据包分析手册 前言
现在大家在一线解决故障过程中,经常会利用 sniffer 软件来分析网络中的数据包,从而 为故障的解决及相关的部门(如研发)提供更有说服力的数据。应该来说,sniffer 的包文对 于解决问题确实起到了很大的作用,但很多时候有些人所提供的 sniffer 数据包什么数据都抓, 很混,要花很大的力气才能对看明白该数据包,另外,很多时候没有给出相应的抓包的网络拓 扑图,数据包中的源端口、目的端口、IP 地址等方面的说明,这样不利于相关人员的分析和定 位。为此,我做个这方面的 case,供大家参考,望大家能够提供更有价值的数据给相关的人员。
xviii
交换机(NAS)向 Radius 服务器发起接入请求(RADIUS Access-request) 数据包如图:
xix
该数据包由以下特征: 1.在 IP 的内容中,源地址(source address)为交换机(NAS)的 IP 地址,目的地址(destination address)为 SAM 服务器的 IP 地址。 在 UDP 的内容中,源端口(source port)为 1812,目的端口(destination port)为 1812。 在 Radius 的内容中,code 的值标识为 1,含义为接入请求。 在 Radius 的内容中,Identifier 的值为 1,含义为第一次接入请求。 具备以上特征的数据包认定为交换机(NAS)向 SAM 服务器发起的接入请求包(RADIUS Access-request)。 二.SAM 服务器向交换机(NAS)发送的接入询问数据包(RADIUS access-challenge) 数据包如图:
dot1x port-control auto interface vlan 1
no shutdown ip address 192.168.0.249 255.255.255.0 radius-server key start ip default-gateway 192.168.0.254 五、开始捕获认证客户端电脑与 S2126G 交换机交互报文时,sniffer 程序的设置准备:由于我 们只关心认证客户端电脑与 S2126G 交换机之间的报文,因此我们需要将其他电脑或交换机所发 的广播等报文过过滤掉,而交换机与认证客户端之间报文的交互,都是通过二层的 MAC 地址来 进行的,因此我们要设置 sniffer 程序的捕获条件,即定义“定义捕获数据过滤板”,设置过程 如下:
i
认证客户端与 NAS 设备(交换机)报文交互
一、捕获数据包拓扑图:
SAMII 服务器 192.168.0.232/24 MAC:
F0/2 F0/16
S2126G 交换机 192.168.0.244/24 MAC:00D0-F8EF-99DC
二、捕获数据包的目的:
认证客户端电脑 192.168.0.241/16 MAC:0040-050c-0AC4
xvii
对 NAS 的上联端口进行双向的数据流进行捕获(如图所示),上连端口为连接上层交换机的端口, 此口为非受控口,一般选择交换机的第一个端口或最后一个端口。将此口镜像到交换机的其他 端口上,然后利用装有 Sniffer 软件的 PC 进行数据捕获。 步骤三:典型的交换机与 SAM 服务器认证交互的数据包分析: 交换机与 SAM 服务器进行认证交互分为以下四个阶段: 如图所示,将有四种类型的数据包:
6、NAS 发送一个成功的消息给认证客户端,并且把相关 NAS 数据逻辑端口给打开。
说明:EAP Code = 3 表示成功认证的数据包。 7、 断开客户端的连接时,客户端发送一个 EAPOL-LOGOFF 报文给 NAS
xi
8、 NAS 发送一个失败响应数据包对客户端发送一个 EAPOL-LOGOFF 报文响应。 说明:EAP Code=4 表示失败认证的消息。
1、 捕获认证客户端电脑(192.168.0.241/24)与 S2126G 交换机交互的报文;
2、 捕获 S2126G 交换机与 SAMII 服务器(192.16 报文的文件命名:请尽可能采用一目了然的文件名,即从文件名即
可以大概知道该 sniffer 的报文的内容;同时,对于每个 sniffer 文件,请用一个 readme.txt
1、EAP-PACKET:0000 0000 表示的是一个 EAP 数据包。 2、EAPOL-START:0000 0001 表示的是一个 EAPOL-START 帧。 3、EAPOL-LOGOFF:0000 0010 表示的是一个 EAPOL-LOGFF 帧。 4、EAPOL-KEY:0000 0010 表示的一个 EAPOL-KEY 帧。 2、NAS 设备发送一个对 EAPOL-START 响应 EAP 请求数据帧(请求相关信息)
4、NAS 发起一个对客户端的 EAP-MD5 挑战信息数据包。
解释:其中在 EAP DATA 里面: 1) EAP Type = 4 表示的是 MD5_challenge type ,表示请求相关的 MD5 挑战认证的相
x
关信息。 5、客户端对 MD5_challenge 挑战信息进行响应,发送一个响应数据包。
aaa authentication dot1x
aaa accounting server 192.168.0.232
ii
aaa accounting enable secret level 1 5 %2,1u_;C34-8U0<D4'.tj9=GQ+/7R:>H enable secret level 15 5 %2-aeh`@34'dfimL4t{bcknAQ7zyglow interface fastEthernet 0/16
xxi
该数据包有以下特征: 1. 在 IP 的内容中,源地址(source address)为交换机(NAS)的 IP 地址,目的地址(destination address)为 SAM 服务器的 IP 地址。 UDP 的内容中,源端口(source port)为 1812,目的端口(destination port)为 1812。 3. Radius 的内容中,code 的值标识为 1 Radius 的内容中,Identifier 的值为 2,说明该数据包为二次请求包。 具备以上特征的数据包认定为交换机(NAS)向 SAM 服务器发起的二次接入请求包(RADIUS Access-request)。 四.SAM 服务器向交换机(NAS)发送的接入允许包(RADIUS access-accept) 数据包如图:
简短地说明,这样便于相关的人员能够更好地知道 sniffer 报文的内容;
四、交换机的配置:
show run
Building configuration...
Current configuration : 633 bytes
version 1.0
hostname Switch
radius-server host 192.168.0.232
3、客户端 Suppliant 发送对前一个 EAP 请求数据帧进行响应,采用 EAP 数据帧的方式发送客 户端的请求信息(用户名)。
ix
说明:1、802.1X Packet Type =0 表示一个 EAP 数据包 2、EAP:Code= 2 表示一个 EAP 响应数据包 3、EAP:Message = “hhh ” 表示请求的用户名是 hhh。
viii
说明: 1)802.1X Version =1 表示当前的 802.1X 协议版本是 1。 2)802.1X Packet Type = 0 表示的是 802.1X, PACKET DATA 的内容是:一个 EAP 数据包。 3)EAP:Code=1 表示是一个请求数据包。 4)EAP Identifier=1 EAP 标识是 1。 5)EAP Data 后面跟随的是数据内容。
十、分析捕获所得到的数据包: 1、首先分析客户端软件发起认证时的 802.1X EAPOL-START 数据包
vii
报文说明: A、 一般来说,由客户端发起一个带有组播地址为 0180-C200-0003 的 EAPOL-START 数据帧。 B、 在数据包中,整个 EAPOL 数据包封装在普通 802.3 以太网帧中。首先是一个普通以太网相 关的源 MAC 地址和目的 MAC 地址,其中目的 MAC 地址是 802.1X 协议申请了一个组播地址 0180-C200-0003。后面是 802.1X 协议包头内容:(1)802.1X 协议版本:0000 0001;(2)802.1X 报文类型:0000 0001 表示是一个 EAPOL-START 报文;(3)802.1X 报文长度为 0,表示是 PACKET BODY FIELD 没有实际内容,全部采用零来填充。(4)在 802.1X 报文中,版本字段长度是一个 字节,指明现今 EAPOL 的版本号,一般来说填充的是:0000 00001。(4)包类型字段(Packet Type):其中长度为一个字节,表示的正在传输包的类型,主要有以下几种数据类型: