Sniffer高级操作.docVIP

1 实训目的和要求 （1）掌握Sniffer的网络监视功能； （2）掌握常用协议数据报文解码详解方法。 7.2 实训内容和步骤 1．实训内容 （1）Sniffer的网络监视功能； （2）常用协议数据报文解码详解方法。 2．实训步骤 （1）网络监视功能 网络监视功能能够时刻监视网络统计，网络上资源的利用率，并能够监视网络流量的异常状况，这里只介绍一下Dashbord和ART，其他功能可以参看在线帮助，或直接使用即可，比较简单。 Dashbord ：Dashbord可以监控网络的利用率，流量及错误报文等内容。通过应用软件可以清楚看到此功能，如图7-1所示。 图7-1：：Dashbord （2）数据报文解码详解 数据报文分层：对于四层网络结构，其不同层次完成不通功能。每一层次有众多协议组成，如图7-2所示。 图7-2：四层结构协议 如图7-3，所示在Sniffer的解码表中分别对每一个层次协议进行解码分析。链路层对应“DLC”；网络层对应“IP”；传输层对应“UDP”；应用层对对应的是“NETB”等高层协议。Sniffer可以针对众多协议进行详细结构化解码分析。并利用树形结构良好的表现出来。 以太报文结构 图7-3：Sniffer的解码 EthernetII以太网帧结构（图7-4） 图7-4：EthernetII以太网帧结构 Ethernet_II以太网帧类型报文结构为：目的MAC地址（6bytes）＋源MAC地址＋（6bytes）上层协议类型（2bytes）＋数据字段（46-1500bytes)＋校验（4bytes）。 IP网络来说Ethertype字段承载的时上层协议的类型主要包括0x800为IP协议，0x806为ARP协议。 ①IEEE802.3以太网报文结构 图7-5：IEEE802.3以太网报文结构 图7-6：IEEE802.3SNAP帧结构 图7-5为IEEE802.3SNAP帧结构，与EthernetII不通点是目的和源地址后面的字段代表的不是上层协议类型而是报文长度。并多了LLC子层。图7-6为帧结构分析图。 ②IP协议 IP报文结构为IP协议头＋载荷，其中对IP协议头部的分析，时分析IP报文的主要内容之一，关于IP报文详细信息请参考相关资料。这里给出了IP协议头部的一个结构。 版本：4——IPv4 首部长度：单位为4字节，最大60字节 TOS：IP优先级字段 总长度：单位字节，最大65535字节 标识：IP报文标识字段 标志：占3比特，只用到低位的两个比特 MF（More Fragment） MF=1，后面还有分片的数据包 MF=0，分片数据包的最后一个 DF（Dont Fragment） DF=1，不允许分片 DF=0，允许分片 段偏移：分片后的分组在原分组中的相对位置，总共13比特，单位为8字节 寿命：TTL（Time To Live）丢弃TTL=0的报文 协议：携带的是何种协议报文 1 ：ICMP 6 ：TCP 17：UDP 89：OSPF 头部检验和：对IP协议首部的校验和 源IP地址：IP报文的源地址 目的IP地址：IP报文的目的地址 图7-7：IP协议首部的解码分析结构 图7-7为Sniffer对IP协议首部的解码分析结构，和IP首部各个字段相对应，并给出了各个字段值所表示含义的英文解释。如上图报文协议（Protocol）字段的编码为0x11，通过Sniffer解码分析转换为十进制的17，代表UDP协议。其他字段的解码含义可以与此类似，只要对协议理解的比较清楚对解码内容的理解将会变的很容易。 ③ARP协议 以下为ARP报文结构 图7-8：ARP报文结构 ARP分组具有如下的一些字段： HTYPE（硬件类型）。这是一个16比特字段，用来定义运行ARP的网络的类型。每一个局域网基于其类型被指派给一个整数。例如，以太网是类型1。ARP可使用在任何网络上。 PTYPE（协议类型）。这是一个16比特字段，用来定义协议的类型。例如，对IPv4协议，这个字段的值是0800。ARP可用于任何高层协议。 HLEN（硬件长度）。这是一个8比特字段，用来定义以字节为单位的物理地址的长度。例如，对以太网这个值是6。 PLEN（协议长度）。这是一个8比特字段，用来定义以字节为单位的逻辑地址的长度。例如，对IPv4协议这个值是4。 OPER（操作）。这是一个16比特字段，用来定义分组的类型。已定义了两种类型：ARP请求（1），ARP回答（2）。 SHA（发送站硬件地址）。这是一个可变长度字段，用来定义发送站的物理地址的长度。例如，对以太网这个字段是6字节长。 SPA（发送站协议地址）。这是一个可变长度字段，用来定义发送站的逻辑（例如，IP）地址的长度。对于IP协