第六次实验.docx
- 文档编号:26985181
- 上传时间:2023-06-24
- 格式:DOCX
- 页数:16
- 大小:568.41KB
第六次实验.docx
《第六次实验.docx》由会员分享,可在线阅读,更多相关《第六次实验.docx(16页珍藏版)》请在冰豆网上搜索。
第六次实验
网络安全实验:
sniffer的安装及基本使用
实验目的:
通过本实验,可以掌握一下技能:
1.学会在windows环境下安装Sniffer;
2.熟练掌握Sniffer的使用;
3.要求能够熟练运用sniffer捕获报文,结合以太网的相关知识,分析一个自己捕获的以太网的帧结构。
实验环境及配置说明:
本实验采用一个已经连接并配置好的局域网环境。
任何两台PC机都能互相访问。
所有PC机上安装的都是Windows操作系统。
预备知识:
Sniffer程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太同卡)置为杂乱模式状态的工具,一旦同卡设置为这种模式,它就能接收传输在网络上的每一个信息包。
Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。
实验内容与步骤:
一、软件安装:
sniffer软件的安装还是比较简单的,我们只需要按照常规安装方法进行即可。
需要说明的是:
在选择snifferpro的安装目录时,默认是安装在c:
\programfiles\nai\snifferNT目录中,我们可以通过旁边的Browse按钮修改路径,不过为了更好的使用还是建议各位用默认路径进行安装。
在注册用户时,注册信息随便填写即可,不过EMAIL一定要符合规范,需要带“@”。
(如图1)在随后出现的“SnifferProUsrRegistration”对话框中,大家注意有一行"SnifferSerialNumber"需要大家填入注册码“SA154-2558Y-255T9-2LASH”
图1
注册诸多数据后我们就来到设置网络连接状况了,一般对于企业用户只要不是通过“代理服务器”上网的都可以选择第一项——directconnectiontotheinternet。
(如图2)
图2
接下来才是真正的复制snifferpro必需文件到本地硬盘,完成所有操作后出现setupcomplete提示,我们点finish按钮完成安装工作。
由于我们在使用snifferpro时需要将网卡的监听模式切换为混杂,所以不重新启动计算机是无法实现切换功能的,因此在安装的最后,软件会提示重新启动计算机,我们按照提示操作即可。
(如图3)
图3
使用sniffer查询流量信息:
重新启动计算机后我们可以通过snifferpro来监测网络中的数据包。
我们通过“开始->所有程序->snifferpro->sniffer”来启动该程序。
第一步:
默认情况下snifferpro会自动选择你的网卡进行监听,不过如果不能自动选择或者本地计算机有多个网卡的话,就需要我们手工指定网卡了。
方法是通过软件的file菜单下的selectsettings来完成。
第二步:
在settings窗口中我们选择准备监听的那块网卡,记得要把右下角的“LOGON”前打上对勾才能生效,最后点“确定”按钮即可。
(如图4)
图4
第三步:
选择完毕后我们就进入了网卡监听模式,这种模式下将监视本机网卡流量和错误数据包的情况。
首先我们能看到的是三个类似汽车仪表的图象,从左到右依次为“Utilization%网络使用率”,“Packets/s数据包传输率”,“Error/s错误数据情况”。
其中红色区域是警戒区域,如果发现有指针到了红色区域我们就该引起一定的重视了,说明网络线路不好或者网络使用压力负荷太大。
一般我们浏览网页的情况和我图11中显示的类似,使用率不高,传输情况也是9到30个数据包每秒,错误数基本没有。
(如图5)
图5
第四步:
在三个仪表盘下面是对网络流量,数据错误以及数据包大小情况的绘制图,我们可以通过点选右边一排参数来有选择的绘制相应的数据信息,可选网络使用状况包括数据包传输率,网络使用率,错误率,丢弃率,传输字节速度,广播包数量,组播包数量等,其他两个图表可以设置的参数更多,随着时间的推移图象也会自动绘制。
(如图6)
图6
第五步:
为了更好更详细的看出差别,笔者决定通过FTP来下载大量数据,由于是内网传输所以速度非常快,在这种情况下我们继续通过snifferpro来查看本地网络流量情况,FTP下载速度接近4Mb/s。
(如图7)
图7
第六步:
网络传输速度提高后在snifferpro中的显示也有了很大变化,utiliazation使用百分率一下到达了30%左右,由于我们100M网卡的理论最大传输速度为12.5Mb/s,所以4Mb/s刚好接近这个值的30%,实际结果和理论符合;数据包传输速度也从原来的几十变成了3500到5200,当然令人满意的是错误数据包依然没有出现,这说明网络负载并不大,网卡性能不错。
(如图8)
图8
第七步:
除了上面三个仪表能看出比较大的差别外下面的数据大小绘制图也能看出明显区别。
各个数据的峰值跳动很大。
第八步:
如果在实际使用中使用的不是百兆而是千兆的话,默认设置的单位肯定不能满足需求,这时就需要我们点仪表上面的“setthresholds”按钮了,之后我们可以对所有参数的名称和最大显示上限进行设置,方便我们根据实际需求更贴切的显示信息。
第九步:
如果为了统计的话我们还可以点仪表下的“Detail”按钮来查看具体详细信息,在这里可以看到各项参数的总流量以及平均流量,可以帮助我们更好的了解到网络的基本情况,包括数据丢失率与组播广播数量,这些数据的异常都是网络出现问题的先兆。
(如图9)
图9
第十步:
除了仪表按钮snifferpro还为我们提供了很多显示面板,例如在hosttable界面,我们可以看到本机和网络中其他地址的数据交换情况,包括进数据量、出数据量以及基本速度等,当然所有显示信息都是根据MAC地址来判断的,虽然不方便我们查看但是数据是有保障的,绝对不会出现被别人伪造地址而带来迷惑问题。
(如图10)
图10
第十一步:
在hosttable界面中点“thisstation”可以查看本机与网络其他地址的流量图,这个图是一个圆,通过连线决定本机和网络其他地址的传输情况,连线的粗细决定了数据流量的多少,这种流量图可以让我们更加直观的了解本机网络的状况。
(如图11)
图11
第十二步:
我们也可以直接点“Matrix”按钮切换到流量图面板,这样看到的流量连接和传输情况会更加清晰。
(如图12)
图12
总结:
本文主要介绍了通过snifferpro了解本机网络的使用情况,也许读者会说大部分网络管理工具也具有此功能,但是笔者要说的是,第一这种流量显示和图表绘制功能只有snifferpro最为强大最为灵活;第二snifferpro的真谛在于混杂模式下的监听,也就是说他可以监听到来自于其他计算机发往另外计算机的数据,当然很多混杂模式下的监听是以本文设置为基础的,只有了解了对本机流量的监听设置才能够进行高级混杂模式监听。
由于篇幅关系笔者将在下篇文章中为各位IT168的读者介绍如何让snifferpro在混杂模式下监听和查看网络中的其他数据流量,从而实现更高级的排除网络故障的功能。
Sniffer抓包实验
实验目的
1练习sniffer抓包工具的使用
2使用sniffer抓包工具学习TCP/IP协议
实验原理
实验步骤
一安装FTP服务器组件(虚拟机中)
1在虚拟机中安装windows2000server
2配置ftp服务器
二宿主机与虚拟机网络连接
虚拟机中选用host-only方式,本地连接中自动获取ip地址及dhcp等,ipconfig命令查看ip地址为192.168.148.128(148视实际情况而定)
三搭建ftp服务器
1在虚拟机的e盘建立文件夹shiyan,并在该文件夹下建立文件ftp(测试使用)
2打开iis管理器,右击默认ftp站点,属性中ftp站点ip地址192.168.148.128,主目录中站点目录设为shiyan文件夹路径,安全账户中取消“允许匿名连接”
3建立本地账户netuserxtm(学员名自取)123/add
4测试ftp服务器
测试成功!
四使用sniffer抓包
点击抓包后,主机上登录ftp,输入用户名、密码,登录成功后,停止抓包并显示
五分析协议
1.进入“捕获”――“定义过滤器”。
在定义过滤器窗口中,点击“文件”――“新建”。
2.在“新建捕获文件”窗口中,确认新文件的名称(TCP)并点击OK,然后点击“完成”。
3.转到“高级”卷标,你会看到系统提供的协议列表。
点击IP协议标题旁边的“+”号,到下面找到TCP,然后选中TCP。
4.点击OK,关闭定义过滤器窗口。
5.按F10开始捕获TCP流量。
6.分析捕获到的结果(即解释数据包的内容和协议具体实现过程)。
从上图可以得知TCP的工作方式,因为TCP是提供面向连接的可靠的传输服务。
第1、2、3个数据包是HTTP协议使用下层TCP协议通过三次握手原则建立连接的过程,上图所示,选中三个数据包描述的是TCP三次握手的过程。
这样我们可以知道,HTTP通讯是发生在TCP协议之上,缺省端口是TCP的80端口,所以HTTP是一个可靠的协议。
第1、2个数据包的长度为66字节,第3个数据包的长度为60字节
下面先对第一个TCP包进行数据分析。
第一行(Sourceport):
2字节,源端口号,即发送这个TCP包的计算机所使用的端口号。
第二行(Destinationport):
2字节,目标端口号,即接受这个TCP包计算机所使用的端口号。
第三行(InitialSequencenumber):
4字节,表示发送数据包的排序序列。
用以接收的时候按顺序组合和排序。
第四行(Nextexpectedseqnumber):
大小不定,用以表示当前接受到数据包的序号。
第五行(Dateoffset):
1字节,用来说明数据包的大小,从哪里开始哪里结束。
第六行(ReservedBit):
保留空间,以作未来用。
第七至第十三行(Flags):
6字节,标志位,有控制功能。
分别为URG,紧急指针;ACK,确认指针;PUSH,不用等待缓冲区装满而直接把报文交给应用层;RST,复位指针;SYN,同步信号;FIN,完成或释放指针。
第十四行(Windows):
2字节,发送方希望被接受的数据大小。
第十五行(Checksum):
2字节,是根据报头和数据字段计算出的校验和,一定由发送端计算和存储的。
第十六行(Urgentpointer):
2字节,紧急指针,告知紧急资料所在的位置。
接下来的是任意选项,里面包含了一些选项,如最大数据段大小等
上面三个图分别为前三个数据包中的TCP标记信息,反映了TCP的三次握手过程:
客户端向Web服务器发送一个SYN同步连接请求,Web服务器收到请求后向客户端发送一个SYN/ACK数据包,同意客户端的连接请并向客端发起同步,客户端收到该数据包后再次确认,从而成功建立TCP连接。
如上面第一幅图,本机发送一个初始序号(SEQ)455908395给服务器。
标志位SYN置为1。
上面第二幅图,服务器收到这个序号后,将应答信号(ACK)和随机产生一个初始序号(SEQ)259161551发回到请求端本机,因为有应答信号和初始序号,所以标志位ACK和SYN都置为1。
上面第三幅图,本机收到服务器的信号后,发回信息给服务器。
标志位ACK置为1,其它标志为都为0。
注意此时SYN值为0,SYN是标示发起连接的,上两部连接已经完成。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 第六 实验