实验7 协议抓包及分析.docx

实验7 协议抓包及分析.docx

《实验7 协议抓包及分析.docx》由会员分享，可在线阅读，更多相关《实验7 协议抓包及分析.docx（15页珍藏版）》请在冰豆网上搜索。

实验7协议抓包及分析

实验7协议抓包及分析

实验目的

（1）了解Sniffer软件的主要应用领域。

（2）安装并熟悉Sniffer软件的界面及基本使用方法

（3）掌握用sniffer软件抓包的方法，并对获取的tcp/ip协议数据报做出简单分析。

实验步骤

1.启动Snifferpro：

“开始“——“程序”——“Snifferpro”

打开了程序后，会看到图8.1中的屏幕。

图8.1 浏览SnifferPro程序

2.点“start”按钮，启动数据包捕获，如图8-2所示。

图8-2Sniffer捕数据包

3.在IE浏览器的地址栏中输入http:

//192.168.1.11访问本实验实里的web服务器。

4.等“stopanddisplay”按钮变亮，表示已经捕获到数据包了，点击此按钮停止捕获并显示数据包如图8-3所示，点“Decode”显示捕获包的详细情况，如图8-4所示。

图8-3sniffer抓包

图8-4sniffer捕获包的详细情况

5.TCP/IP四层模型

在图8-4中任选一条“HTTP”的信息，可以看到第二个子窗口中显示此“HTTP”信息由四个层组成，接下来，我们仔细分析一下TCP/IP模型的四层。

●网络接口层

也就是图8-4中的“DLC：

”层，包含了数据链路层的地址，如用在以太网上就是MAC地址，展开此层，可以看到数据包的源MAC、目的MAC地址。

此层是TCP/IP模型的最低层，负责接收从IP层传来的IP数据报，并将IP数据报通过低层物理网络发送出去，或者从低层物理网络上接收物理帧，抽出IP数据报，传交给IP层。

●互联网层

也就是图8-4中的“IP：

”层，包含了网络层的地址，展开此层，可以看到数据包的源IP、目的IP地址等信息。

请大家根据自己的Sniffer专家分析系统的分析内容完成以下：

版本 ——————————————

⏹ IHL ——————————————————

⏹ ToS ToS位可以提供服务质量（QoS）信息————————————————————————————————（SnifferPro会提供一些必要的信息，这样就不必为它们的意义伤脑筋了。

）

⏹总长度 ——————————————————————

⏹ID ————————————————————————

⏹标记 ——————————————————————

⏹分段差距 ————————————————————

⏹ TTL ———————————————————————

⏹协议 ————————————————————————

⏹校验和 ————————————————————

⏹ SA ————————————————————

⏹DA ——————————————————

⏹选项与Padding 这里没有任何选项。

在文件头中不一定必须有选项这部分内容。

⏹数据 —————————————————————————

你很可能从来没想过会了解所有这些内容，不过对于现在阅读的这些关于协议、OSI、字节和字节的内容，应该已经很清楚了。

●传输层

也就是图8-4中的“TCP：

”层，包含了传输层的端口号，展开此层，可以看到数据包的源端口、目的端口等信息。

在TCP中，需要使用端口序号来识别并建立与上层协议之间的连接。

这个文件头会像IP文件头一样被分解来查看各部分内容，现在我们来写其中各项的详细内容：

请同学们完成：

⏹来源端口 ——————————————————

⏹目的端口 ————————————————————————

⏹顺序序号 顺序序号（和下一个期望顺序序号）用来进行顺序控制。

⏹确认号 因为已经设定了ACK字节（在下面几行中，确认字节设定为1），确认号代表——————————————————。

⏹差距 数据差设定为20个字节，可以说明——————。

⏹标记 标记为10。

⏹ U 紧急指针（URG）设定为——————。

⏹ A 确认字节（ACK）设定为——————。

⏹ P 入栈程序（PSH）设定为——————。

⏹ R 重新连接（RST）设定为——————。

⏹ S 同步顺序号（SYN）设定为——————。

⏹ F 释放连接（FIN）设定为————————。

⏹窗口 窗口为————。

⏹校验和 校验和为——————。

⏹选项＋Padding ————————。

⏹数据 ————————————。

●应用层

也就是图8-4中的“HTTP：

”层，即应用层，应用层包括所有的高层协议。

早期的应用层有远程登录协议（Telnet）、文件传输协议（FileTransferProtocol，FTP）和简单邮件传输协议（SimpleMailTransferProtocol，SMTP）等协议。

远程登录协议允许用户登录到远程系统并访问远程系统的资源，而且像远程机器的本地用户一样访问远程系统。

文件传输协议提供在两台机器之间进行有效的数据传送的手段。

简单邮件传输协议最初只是文件传输的一种类型，后来慢慢发展成为一种特定的应用协议。

最近几年出现了一些新的应用层协议：

如用于将网络中的主机的名字地址映射成网络地址的域名服务（DomainNameService，DNS）；用于传输网络新闻的（NetworkNewsTransferProtocol，NNTP）和用于从WWW网上读取页面信息的超文本传输协议（HyperTextTransferProtocol，HTTP）协议。

常用报文格式：

IP报文

Arp报文

ARP报文捕获界面

TCP报文格式

TCP报文捕获

通过学习和实验我们将了解更多的协议和问题，现在大家应该了解如何使用SnifferPro来进行基本的捕获和分析。

如果同学们有兴趣，请参考下面的Sniffer软件简介。

Sniffer软件简介

1.1概述

Sniffer软件是NAI公司推出的功能强大的协议分析软件。

本文针对用SnifferPro网络分析器进行故障解决。

利用SnifferPro网络分析器的强大功能和特征，解决网络问题，将介绍一套合理的故障解决方法。

与Netxray比较，Sniffer支持的协议更丰富，例如PPPOE协议等在Netxray并不支持，在Sniffer上能够进行快速解码分析。

Netxray不能在Windows2000和WindowsXP上正常运行，SnifferPro4.6可以运行在各种Windows平台上。

Sniffer软件比较大，运行时需要的计算机内存比较大，否则运行比较慢，这也是它与Netxray相比的一个缺点。

1.2功能简介

下面列出了Sniffer软件的一些功能介绍，其功能的详细介绍可以参考Sniffer的在线帮助。

捕获网络流量进行详细分析利用专家分析系统诊断问题实时监控网络活动

收集网络利用率和错误等在进行流量捕获之前首先选择网络适配器，确定从计算机的哪个网络适配器上接收数据。

位置：

File->selectsettings

选择网络适配器后才能正常工作。

该软件安装在Windows98操作系统上，Sniffer可以选择拨号适配器对窄带拨号进行操作。

如果安装了EnterNet500等PPPOE软件还可以选择虚拟出的PPPOE网卡。

对于安装在Windows2000/XP上则无上述功能，这和操作系统有关。

本文将对报文的捕获几网络性能监视等功能进行详细的介绍。

下图为在软件中快捷键的位置。

报文捕获解析

2.1捕获面板

报文捕获功能可以在报文捕获面板中进行完成，如下是捕获面板的功能图：

图中显示的是处于开始状态的面板

2.2捕获过程报文统计

在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。

2.3捕获报文查看

Sniffer软件提供了强大的分析能力和解码功能。

如下图所示，对于捕获的报文提供了一个Expert专家分析系统进行分析，还有解码选项及图形和表格的统计信息。

专家分析

专家分分析系统提供了一个只能的分析平台，对网络上的流量进行了一些分析对于分析

出的诊断结果可以查看在线帮助获得。

在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。

对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因。

解码分析

下图是对捕获报文进行解码的显示，通常分为三部分，目前大部分此类软件结构都采用这种结构显示。

对于解码主要要求分析人员对协议比较熟悉，这样才能看懂解析出来的报文。

使用该软件是很简单的事情，要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。

工具软件只是提供一个辅助的手段。

因涉及的内容太多，这里不对协议进行过多讲解，请参阅其他相关资料。

对于MAC地址，Snffier软件进行了头部的替换，如00e0fc开头的就替换成Huawei，这样有利于了解网络上各种相关设备的制造厂商信息。

功能是按照过滤器设置的过滤规则进行数据的捕获或显示。

在菜单上的位置分别为Capture->DefineFilter和Display->DefineFilter。

过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。

统计分析

对于Matrix，HostTable，PortocolDist.Statistics等提供了丰富的按照地址，协议等内容做了丰富的组合统计，比较简单，可以通过操作很快掌握这里就不再详细介绍了。

2.4设置捕获条件

基本捕获条件

基本的捕获条件有两种：

1、链路层捕获，按源MAC和目的MAC地址进行捕获，输入方式为十六进制连续输入，如：

00E0FC123456。

2、IP层捕获，按源IP和目的IP进行捕获。

输入方式为点间隔方式，如：

10.107.1.1。

如

果选择IP层捕获条件则ARP等报文将被过滤掉。

高级捕获条件

在“Advance”页面下，你可以编辑你的协议捕获条件，如图：

高级捕获条件编辑图

在协议选择树中你可以选择你需要捕获的协议条件，如果什么都不选，则表示忽略该条件，捕获所有协议。

在捕获帧长度条件下，你可以捕获，等于、小于、大于某个值的报文。

在错误帧是否捕获栏，你可以选择当网络上有如下错误时是否捕获。

在保存过滤规则条件按钮“Profiles”，你可以将你当前设置的过滤规则，进行保存，

在捕获主面板中，你可以选择你保存的捕获条件。

任意捕获条件

在DataPattern下，你可以编辑任意捕获条件，如下图：

用这种方法可以实现复杂的报文过滤，但很多时候是得不偿失，有时截获的报文本就不多，还不如自己看看来得快。