中国地质大学北京《计算机安全》期末考试拓展学习八59.docx

1、中国地质大学北京计算机安全期末考试拓展学习八59地大计算机安全（八）第八章 安全防护技术实验： 使用Sniffer Pro进行网络故障检测 一、实验目的 1、理解sniffer网络监听的原理。2、利用sniffer pro 进行网络流量采集、病毒监测、安全防范及网络故障诊断，掌握Sniffer Pro在网络管理中的基本应用。二、实验设备及环境1台电脑，安装Sniffer Pro，并连入网络。三、实验步骤1、Sniffer软件的安装及部署 安装在代理服务器、要监控的应用服务器或接在交换机镜像口上的主机上。这个软件安装过程中要注意的是，所以的信息都要填数字跟英文，因为不支持中文，否则提示格式不对。

2、2、Sniffer软件的使用 获取网络中的机器列表保存机器列表 （配置管理）3、Sniffer菜单及功能 Sniffer进入时，需要设置当前机器的网卡信息。进入Sniffer软件后，可以看到Sniffer软件的中文菜单，下面是一些常用的工具按钮。在日常的网络维护中，使用这些工具按钮就可以解决问题。主机列表按钮矩阵按钮 请求响应时间按钮 警报日志按钮如果需要更改网卡信息，可以按一下方法进入设置。选择需要监听的网卡，如果没有，点击右边的new，添加存在的网卡熟悉sniffer的使用。主机列表按钮矩阵按钮 请求响应时间按钮 警报日志按钮这几个功能的界面也可以从菜单中进入首先在客户机运行ping t

3、l 1024对装有sniffer机器不断的ping。查看host table，点击工具栏主机列表按钮，如下：该窗口下提供有多种视图查看主机的信息，在左边的工具栏中，有饼型图，详细信息图，列表图，以及矩形图等，另外，下面有刷新、停止和删除按钮，再下面有导出按钮和属性设置按钮。查看方式也有几种，如下图底部的几个选项：AC、IP、IPX，请求响应时间按钮这里也有几种显示视图，这个功能主要检测应用程序的反应时间。下面测试了一下访问网站的反应速度。查看数据包解码分析警报日志按钮日志上没有东西。4、Sniffer在网络管理中的应用 主要是利用其流量分析和查看功能，解决网络传输质量问题：广播风暴（蠕虫病毒流

4、量分析）：广播风暴是网络常见的一个网络故障。网络广播风暴的产生，一般是由于客户机被病毒攻击、网络设备损坏等故障引起的。可以用sniffer中的主机列表功能，查看网络中哪些机器的流量最大，从矩阵就可以看出哪台机器数据流量异常。从而，可以在最短的时间内，判断网络的具体故障点。然后用解码（decode）功能分析具体的故障原因。网络攻击：随着网络的不断发展，DDoS攻击成为一些黑客炫耀自己技术的一种手段。如果网络本身的数据流量比较大，加上外部DDoS攻击，网络可能会出现短时间的中断现象。对于类似的攻击，使用Sniffer软件，可以有效判断网络是受广播风暴影响，还是来自外部的攻击。使用矩阵的top10查

5、看或者主机top10和协议分布图查看，可以大概分析出那台机出现了问题，另外可以设置过滤器抓包分析。下面是抓包分析，先配置好过滤器，然后点击捕获，有符合过滤器的信息即会被抓取，双击进入即可看到更加详细的信息。矩阵按钮的使用同样，矩阵按钮提供有多重视图查看信息等，功能基本跟host table一样，只不过显示信息有所不同四、实验中的问题及解决办法。这次实验遇到的问题主要是，刚接触这个实验，有点无所是从，觉得奇怪的是，一开始什么都不用配置，就按钮就可以分析了，以前用惯了嗅探工具，都是先选择监听网卡，然后配置过滤器，最后点捕获，就可以抓取到信息了，不过sniffer这个不是这样，它不仅仅有抓包功能，更主要的是 sniffer具有网络流量的分析功能，这也是其最主要功能，因此比其他的嗅探工具强大多了。五、实验思考题解答。1、如何利用Sniffer Pro进行蠕虫病毒流量分析？答：可以通过下面的步骤进行分析：（1）利用Sniffer的Host Table功能，找出产生网络流量最大的主机。（2）分析这些主机的网络流量流向，用Sniffer的Matrix查看发包目标。（3）通过Sniffer的解码（Decode）功能，了解主机向外发出的数据包的内容。