实验2 Sniffer Pro基本操作Word文档下载推荐.docx

1、高级窗口这时会滚动到窗口左边，只能看到工具栏，而没有任何详细资料。如果要查看详细资料，就要找到高级窗口对话框左上角的箭头，这个箭头在“层次”这个词的右边。单击这个箭头后，会显示出高级功能的另一部分窗口，如图2.3所示。图2.2 开始捕获过程时调用高级系统这里有很多内容，不要急于了解所有这些内容。后面学习中再解释所有的Sniffer Pro的高级功能。现在，你只需要了解如何进行基本的捕获过程。在用Sniffer Pro进行任何分析之前，所有的SCP都必须了解使用工具的机制和基本问题。在掌握了“怎样”这个问题后，就可以接着去了解“什么”和“为什么”的问题。5你可以看到我们能自定义Sniffer P

2、ro程序用于将来的捕获过程，所以我们在下面要对如何使用高级功能进行分析。如果要进一步自定义我们的Sniffe Pro高级功能，就要在一个视图中显示所有定义对象的详细资料。如果再看一次图2.3，你会发现在高级对话框的最右边有两个卷标：一个是“总结”卷标，另一个是“对象”卷标。在图2.4中，你会看到这两个卷标都消失了，被两个窗口取代。如果要改变视图，只需要将鼠标停在图2.4中圈起的位置，这时箭头的形状会改变，然后可以将这一栏上移，就可以看到Sniffer Pro高级窗口中对象的所有详细资料了。图2.3 在高级系统中查看更多的细节图2.4浏览高级系统内的对象卷标6已经完全了解如何自定义Sniffer

3、 Pro高级窗口后，使浏览更容易。现在，我们可以停止捕获过程。再次进入Capture（捕获）菜单，然后选择Stop（停止）或者按下F10键。还可以使用工具栏，选择黑方框图标来执行同样的功能。7停止了捕获过程后，屏幕上不会有任何反应。这时因为没有要求Sniffer Pro显示捕获的内容。还可以按F9键来执行“停止并显示”的功能，或者可以进入Capture（捕获）菜单，选择“停止并显示”。也可以使用工具栏图标来执行同样的功能，这个图标的样子就像带望远镜的黑色的方盒。因为我们先停止了捕获过程，所以也可以在停止后选择Capture（捕获）菜单中的“显示”，按下F5键，或者只使用工具栏中的“望远镜”。在

4、这里，我们使用的是第一种方法，选择了“显示”后，Sniffer Pro高级窗口会迅速地一直最小化，然后就会再次出现高级对话框，如图2.5所示。图2.5 选择显示后查看高级对话框8现在查看对话框（停止捕获过程后），会看到几个非常重要的变化。第一个变化是Sniffer Pro高级窗口中不再增加内容了，可以说是因为停止了捕获过程，所以不再有对象增加了。第二个变化是对话框的标题栏。起初只简单地显示“Expert”（高级）。现在显示的是捕获文件的名字，以及Sniffer Pro在捕获过程中观察到的帧的数目在图中是374个以太网帧。尽管还没有保存捕获文件并为它命名，但标题栏仍显示该文件为Snif1，这是系

5、统的默认文件名。如果选择“文件”菜单，并选择“另存为”，会看到Sniffer Pro将文件保存为Snif1.cap。9另一个主要变化是对话框最下角增加了一组窗口卷标，包括高级（当前查看的视图）、和。10选择了解码卷标时，屏幕显示如图2.6，会看到Sniffer Pro缓冲器中的所有实际“数据”。这里并不是要决定用这些数据来做什么，但是应该知道已经做了什么。回忆本书前面讨论的内容，现在看到的内容就是（从上至下）、和的内容。图2.6 查看解码卷标SCP专业考试中，总结、详细资料和Hex窗格的内容占很大比重。需要了解它们分别是什么，以及在每个窗格中会看到哪些内容。2.1.2 浏览并分析捕获结果 （请

6、同学们完成以下详细步骤）（1）总结、详细资料与Hex窗格进行监控 （2）显示设定选项：（3）总结帧数据包图2.7保存选中帧： 选择范围：选择标记: 上一个被选帧:下一个被选帧: （4）重新查看上图，会发现下一栏是No.，其作用是： 右边一栏是状态栏。这一栏表示帧是否被标记。标记是捕获文件中的一个记号。再右边一栏是来源地址，接着是目的地址栏。作用是： 2.1.3详细资料窗格已经了解了帧的内容，现在让我们来看看从数据的表格视图中可以得到哪些信息。利用sniffer数据捕获功能捕获数据并进行数据桢解析分析，例如：图2.8 专家分析系统 （1）. 如上图所示，你会看到IP文件头的各部分内容。现在把它们

7、与图中的数据相对应来看： （根据自己的Sniffer专家分析系统的分析内容完成以下：）版本 IHL ToS ToS位可以提供服务质量（QoS）信息（Sniffer Pro会提供一些必要的信息，这样就不必为它们的意义伤脑筋了。 总长度 ID 标记 分段差距 TTL 协议 校验和 SA DA 选项与Padding 这里没有任何选项。在文件头中不一定必须有选项这部分内容。 数据 你很可能从来没想过会了解所有这些内容，不过对于现在阅读的这些关于协议、OSI、字节和字节的内容，应该已经很清楚了。（2）. TCP文件头可以分成几个部分。现在可以查看TCP文件头的所有详细内容。在TCP中，需要使用端口序号来

8、识别并建立与上层协议之间的连接。这个文件头会像IP文件头一样被分解来查看各部分内容，现在我们来了其中各项的详细内容：（请同学们完成： 来源端口 目的端口 顺序序号 顺序序号（和下一个期望顺序序号）用来进行顺序控制。 确认号 因为已经设定了ACK字节（在下面几行中，确认字节设定为1），确认号代表。 差距 数据差设定为20个字节，可以说明。 标记为10。 U 紧急指针（URG）设定为。 A 确认字节（ACK）设定为。 P 入栈程序（PSH）设定为。 R 重新连接（RST）设定为。 S 同步顺序号（SYN）设定为。 F 释放连接（FIN）设定为。 窗口 窗口为。 校验和为。 选项Padding 。这

9、些信息会使我们更有兴趣深入了解这些内容，我们甚至还没有得到全部的负载内容。Sniffer Pro是一种非常有价值的工具，可以用它来深入挖掘数据的详细资料，就像我们正在做的一样。我们还只是在查看一个数据帧而已！即使你不能全部理解这些内容（关于协议代码的信息总量非常多），至少可以进行捕获过程，然后研究一些网络或者RFC中的信息，这样会发现正在解析的协议中的更多内容。直到现在，我们还只是在告诉你如何使用Sniffer Pro分析窗格（总结、详细资料和Hex）来读取捕获的数据。 （3）. Hex窗格Hex窗格显示的内容最直观，同时也难以理解。Hex窗格看上去就像是十六进制代码的信息集合。它的确如此，但

10、是，在这里我们会提供一种更好的方法来理解这个窗格中的内容，这样就可以了解它们，并进行分析。我们知道数据的传输是按照为基本标准进行的。我们还知道我们可以把二进制数据转换为的格式。当在Hex窗格中查看数据时，看到的是处于传输状态的原始数据。在图2.9中，会在窗格的右边看到原始数据，是以URL、HTML以及其他各种传输格式表示的。图2.9 在Hex窗格中查看捕获的文件在默认的情况下，Hex窗格会以ASCII格式显示数据。如果想的话，也可以把格式改变为EBCDIC（IBM）代码，只需要在Hex窗格内单击鼠标右键，将选项改为EBCDIC即可。现在已经进行了一个捕获过程，得到了一个帧，并在Sniffer

11、Pro解码栏中用总结、详细资料和Hex窗格对这个帧进行了分析。通过学习和实验我们将了解更多的协议和问题，现在大家应该了解如何使用Sniffer Pro来进行基本的捕获和分析。如果同学们有兴趣，我们可以思考一下应该如何调节Sniffer Pro，来优化捕获数据的过程。2.2 实验作业：（根据老师要求部分选做）1. 数据链路层协议分析实验 以太网的工作原理，以太网的MAC层协议分析 虚拟局域网的基本概念，VLAN的划分，Trunk配置和分析 网络实验相关工具软件简介；2. 网络层协议分析实验 IP数据报的格式分析， ARP协议分析 ICMP协议分析 PING、tracert命令执行过程3. 传输层协议分析实验 TCP、UDP报文格式分析 TCP连接的建立和释放过程分析 TCP的滑动窗口机制分析4. 应用层协议分析实验 DNS报文格式分析，DNS工作过程分析 Http报文格式分析，Http工作过程分析 ftp协议和工作过程分析