协议和网络嗅探解析.ppt

协议分析和网络嗅探 一 实验目的 通过使用SnifferPro软件掌握嗅探工具的使用方法，实现捕捉FTP,HTTP等协议的数据包，以理解TCP/IP协议中多种协议的数据结构，会话连接建立和终止的过程、TCP序列号、应答序号的变化规律。 二 实验原理 1.网络嗅探的原理 Sniffer，网络嗅探器，可以监视网络的状态，数据流动情况以及网络上传输的信息。当信息以明文的方式在网络上传输时，便可以使用网络监听的方式来进行嗅探工具。 将网络接口设置在监听模式，可以截获网上传输的信息 黑客常常用它来截获用户的口令 管理员用来分析网络性能和故障 一些基本原理 A。数据在网络上是以数据帧为单位进行传输的，数据帧由几部分组成，不同的部分执行不同的功能。数据帧通过发送端主机的网络驱动程序制造，然后通过网卡发送到网络传输介质中，传送到他们的目的主机，目的主机的以太网卡捕获到这些数据帧，并通知操作系统数据正已到达，最后由操作系统的网络驱动程序进行数据帧的解包操作 B。每一个在局域网上的计算机都有其硬件地址，这些地址唯一标识了网上的每一台计算机。 当用户发送一个数据包时，这些数据包就会发送到局域网上所有可能的机器。 C。Sniffer只能监听到由集线器构建的广播型局域网中的所有数据。 对于支持端口镜像的交换机，也可以通过镜像操作，将其他端口收发的数据帧复制到一个监听端口即镜像端口，然后Sniffer连接到镜像端口来实现对交换机中其他端口的监听。 2.通常sniffer所关心的内容 A、口令 　　 B、金融帐号 　　 C、偷窥机密或敏感的信息数据 　 D、窥探低级的协议信息。 　　 3..sniffer的工作环境 snifffer是能够捕获网络报文的设备。嗅探器的正当用处在于分析网络的流量,以便找出所关心的网络中潜在的问题。 嗅探器在功能和设计方面有很多不同。有些只能分析一种协议，而另一些可能能够分析几百种协议。 一般情况下，大多数的嗅探器至少能够分析下面的协议： A.标准以太网 B.TCP/IP C.IPX 4.DECNet 4.各种Sniffer A. Network General. 　　 Network General开发了多种产品。最重要的是Expert Sniffer，它不仅仅可以sniff ， 还能够通过高性能的专门系统发送/接收数据包，帮助诊断故障。 B. Microsoft‘s Net Monitor 　　 能够正确区分诸如Netware控制数据包、NT NetBios名字服务广播等独特的数据包。 （ etherfind只会将这些数据包标识为类型0000的广播数据包。）这个工具运行在MS Window s 平 台上。它甚至能够按MAC地址（或主机名）进行网络统计和会话信息监视。只需简单地单击 某 个会话即可获得tcpdump标准的输出。过滤器设置也是最为简单的，只要在一个对话框中单 击 需要监视的主机即可。 C.免费软件sniffer 　　 1. Sniffit由Lawrence Berkeley 实验室开发，运行于Solaris、SGI和Linux等平台。 可 以选择源、目标地址或地址集合，还可以选择监听的端口、协议和网络接口等。这个SNIF FER 默认状态下只接受最先的400个字节的信息包，这对于一次登陆会话进程刚刚好。 　　 2. SNORT：这个SNIFFER有很多选项供你使用并可移植性强，可以记录一些连接信息， 用 来跟踪一些网络活动。 5.网络嗅探的防范 A.网络中丢包率非常高。当使用网管软件检测数据包的传送情况时，如果网络结构正常，而存在一定比例的数据包丢失现象，以致数据包无法顺畅的到达目的主机 B.网络带宽出现反常现象 三 实验环境 两台运行Windows、XP、2003的计算机，通过HUB或支持镜像的交换机相连组成局域网，其中一台安装Sniffer Pro软件 四 实验内容和任务 Sniffer Pro可运行在局域网的任何一台机器上，如果是练习使用，网络连接最好用Hub且在一个子网，这样能抓到连到Hub上每台机器传输的包。 安装非常简单，setup后一路确定即可，第一次运行时需要选择你的网卡。 图-1 图-2 图-3 图-4 图-5 图-6 图-7 图-8 图-9 例:08 这台机器telnet到0，用Sniff Pro抓到用户名和密码 步骤1：设置规则 如图12所示，选择Capture菜单中的Defind Filter图12 出现图13界面，选择图13中的ADDress项，在station1和2中分别填写两台机器的IP地址 如图14所示选择Advanced选项，选择选IP/TCP/Telnet ,将 Packet Size设置为 Equal 55， Packet Type