資源描述:
《實(shí)驗(yàn)4snifferpro數(shù)據(jù)包捕獲與協(xié)議分析》由會員上傳分享�����,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫。
1���、Sniffer數(shù)據(jù)包捕獲與協(xié)議分析1.實(shí)驗(yàn)?zāi)康模?)了解Sniffer的工作原理�。(2)掌握Sniffer工具軟件的基本使川方法����。(3)掌握偵測��、記錄��、分析數(shù)據(jù)包的方法����。2.實(shí)驗(yàn)原理數(shù)據(jù)在網(wǎng)絡(luò)上足以很小的被稱為“巾貞”或“包”的協(xié)議數(shù)椐中元(PDU)方式傳輸?shù)?。以?shù)據(jù)鏈路層的“幀”為例��,“幀”巾多個(gè)部分組成����,不同的部分對應(yīng)不同的信息以實(shí)現(xiàn)相應(yīng)的功能,例如���,以太網(wǎng)幀的前12個(gè)寧節(jié)存放的是源MAC地址和目的MAC地址����,這些數(shù)據(jù)告訴網(wǎng)絡(luò)該幀的來源和去處��,其余部分存放實(shí)際川P數(shù)據(jù)�����、高層協(xié)議的報(bào)頭如TCP/IP的報(bào)頭或IPX報(bào)頭等
2�、等。幀的類型與格式根據(jù)通信雙方的數(shù)據(jù)鏈路層所使川的協(xié)議來確定����,由網(wǎng)絡(luò)驅(qū)動程序按照一定規(guī)則生成�����,然后通過網(wǎng)絡(luò)接U卡發(fā)送到網(wǎng)絡(luò)中,通過網(wǎng)絡(luò)傳送到它們的目的主機(jī)����。H的主機(jī)按照同樣的通信協(xié)議執(zhí)行相應(yīng)的接收過程。接收端機(jī)器的網(wǎng)絡(luò)接口卡一旦捕獲到這些幀���,會告訴操作系統(tǒng)有新的幀到達(dá)���,然后對其進(jìn)行校驗(yàn)及存儲等處理。在正常情況下�,網(wǎng)絡(luò)接口卡讀入一幀并進(jìn)行檢查,如果幀中攜帶的目的MAC地址和自己的物理地址一致或者是廣播地址��,網(wǎng)絡(luò)接口卡通過產(chǎn)生一個(gè)硬件中斷引起操作系統(tǒng)注意��,然后將幀中所包含的數(shù)據(jù)傳送給系統(tǒng)進(jìn)一步處理�,否則就將這個(gè)幀X棄。如果網(wǎng)
3�、絡(luò)中某個(gè)網(wǎng)絡(luò)接口卡被設(shè)置成“混雜”狀態(tài),網(wǎng)絡(luò)中的數(shù)據(jù)幀無論是廣播數(shù)據(jù)幀還是發(fā)向某一指定地址的數(shù)據(jù)幀���,該網(wǎng)絡(luò)接口卡將接收所有在網(wǎng)絡(luò)中傳輸?shù)膸?,這就形成了監(jiān)聽�。如果某一臺主機(jī)被設(shè)置成這種監(jiān)聽(SnffHng)模式,它就成了一個(gè)Sniffer�。一般來說,以太網(wǎng)和無線網(wǎng)被監(jiān)聽的可能性比較高����,因?yàn)樗鼈兪且粋€(gè)廣播型的網(wǎng)絡(luò),當(dāng)然無線網(wǎng)彌散在空中的無線電信號能更輕易地截獲����。3.實(shí)驗(yàn)環(huán)境與器材本實(shí)驗(yàn)在虛擬機(jī)中安裝SnifferPro4.7版本��,要求虛擬機(jī)開啟FTP��、HTTP等服務(wù)�����,即虛擬機(jī)充當(dāng)服務(wù)器����,物理機(jī)充當(dāng)工作站。物理機(jī)通過Ping命
4、令�����、FTP訪問及網(wǎng)頁訪問等操作實(shí)驗(yàn)網(wǎng)絡(luò)數(shù)據(jù)幀的傳遞。4.實(shí)驗(yàn)內(nèi)容介紹最基本的網(wǎng)絡(luò)數(shù)據(jù)幀的捕獲和解碼�,詳細(xì)功能請參閱輔助材料。(1)SnifferPro的安裝安裝嗅探器英文軟件:輸入安裝密碼SA154-2558Y-255T9-2LASH—安裝中文補(bǔ)丁一重啟計(jì)算機(jī)(2)設(shè)置規(guī)則1)sniffer—捕獲(C)一定義過濾器(D)一地址(A)一輸入源節(jié)點(diǎn)(stationl)IP,目的節(jié)點(diǎn)(st.at.ion2)IP2)捕獲(C)一定義過濾器(D)—高級(A)—IP—TCP—HTTP,FTP,HTTPS,ICMP3)顯示一顯示設(shè)罝一
5���、解碼卞體-楷體-設(shè)為默認(rèn)4)捕獲(C)一JT?始(S)或單ifrTT?始按鈕,顯示如圖1-1和圖1_2所示����。圖1-1監(jiān)控地址選擇圖1-2監(jiān)控協(xié)議選擇(3)監(jiān)測網(wǎng)絡(luò)中計(jì)算機(jī)的連接狀況Hwtft址00023FE3祕00195BE6838801005E7FFFFALr?選擇“菜單”中"Monitor(監(jiān)視器)”“Matrix(主機(jī)列表)”,從T作站訪問服務(wù)器上的資源����,如WWW、FTP等�����,觀察檢測到的網(wǎng)絡(luò)中的連接狀況�����,記錄下各連接的IP地址和MAC地址�。如圖1-3所示。入域數(shù)據(jù)包出
6���、字節(jié)出域芋55
7���、廠播多點(diǎn)傳送671821318
8����、3廠W08012,36804,69012,6219.68001000130出坩t(yī)■淇MAC/JP入IPX/圖1-3被監(jiān)控計(jì)算機(jī)列表(4)監(jiān)測網(wǎng)絡(luò)中數(shù)據(jù)的協(xié)議分布選擇菜中.“Monitor”一“Protocaldistribution(協(xié)議分布)”,監(jiān)測數(shù)據(jù)包中使川協(xié)議情況�����,如圖1-4所示�����。記呆下時(shí)間和協(xié)議分布情況����。Y拓搬■VabBtn^ISJ2SJ圖1-4被監(jiān)控網(wǎng)絡(luò)協(xié)議分布(5)監(jiān)測分析網(wǎng)絡(luò)巾傳輸?shù)腎CMP數(shù)據(jù)及IP報(bào)文相關(guān)數(shù)據(jù)1)從工作站Ping服務(wù)器的IP地址。2)査看結(jié)果a)左側(cè)“Layer”一黑色三角箭尖��,可在
9�、右側(cè)窗U中顯示所捕獲數(shù)據(jù)的詳細(xì)信息。b)丁具欄一停止且顯示(望遠(yuǎn)鏡圖標(biāo))一專家項(xiàng)一點(diǎn)擊下方窗U中的解碼(Decode〉����,由上至下依次為:總結(jié)�����、詳細(xì)資料和Hex窗UI�����。c)在總結(jié)窗U(上)找到某目標(biāo)地址一在詳細(xì)資料窗U(中)找相應(yīng)的含杏POST關(guān)鍵竽的包一在Hex窗U(下)找到并保存相極的信息�����。d)記錄監(jiān)測到的ICMP傳輸記呆:解碼(Decode)—分析記錄一找到丁.作站向服務(wù)器發(fā)出的請求命令并記錄存關(guān)信息�。結(jié)果如圖卜5�����。Hsaifl:解碼����,1/8以太網(wǎng)1序咢狀態(tài)11HK1235(1013250][1013150][10.
10、13250][1013150][1013250]源地址TJTJTJTJoOOOO55555121213333311111ooooo^11111_ICMP:ICMP:ICMP;ICMP:ICMP:ICMPheaderQICMPSICMPQICMPQICMP??Type?B(Echo)Code■0ChecksuM■485
