实训五：Snifer软件使用.docVIP

Sniffer软件使用 实训要求 学会安装使用sniffer 软件,学会掌握sniffer 软件使用 实训目的 Sniffer的主要是分析网络的流量，来发现网络的问题，学sniffer 的简单使用。 实训内容 3.1捕获数据 通过Sniffer进行网络和协议分析，需要先捕获网络中的数据。默认状态下，由于Sniffer没有进行过滤设置，会捕获网络中所有数据。 单击工具栏上的按钮，或依次选择“Capture”-“Ｓtare”选项，显示“Expert”窗口，Sniffer开始捕获的各种数据，能显示捕获的数据的概要信息，如下图所示： 如图要查看当前捕获的各种数据，单击对话框左侧的“service”、“connection”选项，在右侧即可显示相应的数据的概要信息。单击 “Objects”选项开卡、可显示当前所监视对象的详细信息，如下图可显示： 当前Sniffer捕获一定的数据，就可以停止捕获并进行分析。单击工具上的快捷按钮，或依次选择“Caputure”- “Stop”选项。即可停止捕获。从而了解网络的使用状况。 3.2 查看分析捕获的数据 依次选择 “Capture”- “Display”选项，即可查看所有捕获的内容了。选择该窗口下方的“Dcecode”选项卡，显示如下图所示窗口，该窗口共分为3个部分，由上到下依次为:总结、详细材料和Hex窗口的内容，可以查看所捕获的每一个帧的详细。 Matrix Sniffer的矩阵功能可以直观地显示网络中各种计算机之间的连接。单击窗口下方的 “Matrix”标签，如下图所示，以“Matrix”方式显示了网络中各种计算机之间的连接情况，默认以MAC地址代表计算机。 （“Matrix”图表） （显示IP连接） Host Table 主要列表是一个很有用的功能，如下图所示，显示出该捕获过程中各计算机所传输的数据，并且可以根据所传输数据的多少来排列。 3.2 保存数据 当捕获结束后，依次选择 “File”- “Save”选项，即可当前已捕获的数据保存到硬盘上，当日后再想重新分析时，可“File”菜单中的“Open”选项，选择事先保存的文件即可。 阻止外部主机恶意扫描主机 使用Sniffer pro在代理服务器VLAN监控网络传输状况时，发现有一个IP地址的并发连接数量很多，比如，某个局域网的ip地址范围为211.82.216.0-211.82.223.0 显示该IP地址是来自外网的。 由于网络采用Microsoft ISA群集服务器，实现Internet连接共享，因此没有更多的对抗恶意扫描的措施，这个问题只有在核心三层交换机 修改核心交换机上创建的、应用于代理服务器VLAN的IP访问列表，在该IP访问列表中的“permit ip any any”之前 添加 Access-list 180 deny ip any host 219.248.188.130 Access-list 180 deny ip host 219.248.188.130 any 3.3 P2P软件谋杀Internet连接共享 使用Smiffre Pro 监控代理服务器VLAN时，也发现大量用户的并发连接数量很大 在核心交换机上设置IP访问列表，并将之应用于代理服务器群集所在的VLAN ，禁用一些蠕虫病毒端口和常见P2P软件的端口。IP访问列表如下 Access-list 110 deny tcp any any eq 135 Access-list 110 deny tcp any any eq 139 Access-list 110 deny udp any any range netbios-ns netbios-dgm Access-list 110 deny tcp any any eq 445 Access-list 110 deny tcp any any range 3076 3077 Access-list 110 deny udp any any range 3076 3077 Access-list 110 deny tcp any any eq 3389 Access-list 110 deny tcp any any eq 4001 Access-list 110 deny tcp any any eq 4004 Access-list 110 deny tcp any any range 4661 4672 Access-list 110 deny tcp any any range 6881 6890 Access-list 110 deny tcp any any eq 8008 Access-list 110 deny tc