Sniffer工具使用实验报告.docVIP

Sniffer工具使用实验报告 学 院： 计算机科学与工程学院 班 级： 专 业： 学生姓名： 学 号： 目录 实验目的 1 实验平台 1 实验内容 2 实验1：抓ping和回应包 2 实验要求： 2 实验过程与分析 2 实验2 ：捕获内网发往外网的重要数据 3 实验要求： 3 实验过程与分析： 4 实验3 ：Arp包编辑发送 5 实验要求： 5 实验过程与分析： 5 实验4 ：ARP欺骗 6 实验要求： 6 实验过程与分析 7 实验深入分析： 10 实验5：交换机端口镜像的简单配置 10 实验要求： 10 实验过程与分析： 11 实验心得 12 实验目的 了解著名协议分析软件sniffer的主要功能，以及sniffer能处理什么网络问题 实验平台 Sniffer软件是NAI公司推出的功能强大的协议分析软件。 与Netxray比较，Sniffer支持的协议更丰富，如Netxray不支持PPPOE协议，但Sniffer能快速解码分析；Netxray不能在Windows 2000和Windows XP上正常运行，而SnifferPro 4.6可以运行在各种Windows平台上。 缺点：运行时需要的计算机内存比较大，否则运行比较慢 功能： 1）捕获网络流量进行详细分析 2)利用专家分析系统诊断问题 3）实时监控网络活动 4）收集网络利用率和错误等 实验内容 实验1：抓ping和回应包 实验要求： Ping xxxx–t 观察icmp:echo和icmp:echo(reply)包信息 实验过程与分析 1）设置过滤器过滤ICMP协议 2）让Sniffer开始抓包 Ping 2 –t 截获包如下 Echo包： ICMP头后面abcde……为填充内容（数据填充码），纯熟用来凑够一个帧大小 Echo reply包 与Echo包对比可知，ID和sequence number是一致的。 同样ICMP头后面abcde……为填充内容（数据填充码），纯熟用来凑够一个帧大小 实验2 ：捕获内网发往外网的重要数据 实验要求： 捕获条件可选择协议dns(tcp),http,pop,smtp,地址为本机IP到any 登陆华南目棉BBS或华工教学在线或其他网络论坛。 用sniffer可找到用户名和密码 summary域出现“POST”，就可找到用户名和密码。 如果是登录邮箱，如163，sina，sohu等，则只能看到用户名，密码是加密的。 实验过程与分析： 1）先打开华工教学在线输入帐号密码 2）捕获条件可选择协议dns(tcp),http,pop,smtp,地址为本机IP到any 3）Sniffer开始捕获，再点登陆（纯熟为了减少捕获到多余http报文） 在捕获的报文里右键find frame 4）搜索POST，POST为向服务器提交数据的http报文（一般为提交表单内容） 可定位到包含帐号密码的报文，如下 5）下面是其data域内帐号密码的内容，可知这里密码没加密的 实验3 ：Arp包编辑发送 实验要求： 先捕获一个ARP包（Ping），右击发送（send frames）??发送编辑窗口 实验过程与分析： 1）用Ping命令可以引发个arp报文 原因：因为本机器要向目标主机发送报文时，会查询本地的ARP表，找到目标的IP地址对应的MAC地址的话，就会直接传输。如果未找到，就会广播一个ARP报文请求目标的MAC地址 2）因此假如ping时没截获到arp报文，可以先arp –d删除arp缓冲表 对其中1个arp右击send frame，如下图 包格式可参照下图修改 实验4 ：ARP欺骗 实验要求： 通过ARP请求误导一台计算机建立错误的arp表（IP地址和MAC地址的映射关系表）。 1）主机A和主机C：用“ARP –a”查看并记录arp高速缓存 2）主机A、C设置过滤条件（只提取ARP和ICMP协议），开始捕包； 主机A ping C,观察主机A、C上捕获的icmp报文，并记录MAC地址。 3）攻击者B： a)攻击者B向主机A发arp请求报文（编辑，暂不发送） MAC层：源MAC：B的MAC 目的MAC：A的MAC ARP层：源MAC：B的MAC 源IP：C的IP（假冒C的IP） 目的MAC：A的MAC 目的IP：A的IP b)主机B向主机C发ARP请求报文（编辑，暂不发送）