Sniffer网络监听与防范.doc

单元三 网络系统的安全配置与管理 项目六　Sniffer网络监听及防范 教学目标 1．熟悉网络监听的原理以及网络监听的用途、功能。 2. 熟悉Sniffer Pro监控功能的使用方法。 3．掌握Sniffer Pro软件的多种监测模式的使用，利用它的图示和数据掌握网络运行状况。 教学要求 1．认真听讲，专心操作, 操作规范， 认真记录实验过程，总结操作经验和写好实验报告，在实验中培养严谨科学的实践操作习惯； 2．遵守学校的实验室纪律，注意人身和设备的安全操作，爱护实验设备、及时上缴作业； 3．教学环境： Windows 7以及Windows server2003/2008以上操作系统。 知识要点 1．网络嗅探工作原理； 2．网络嗅探器Sniffer的作用、原理及功能； 3．网络监听运行的发现及防范。 技术要点 1．Sniffer Pro监控功能的使用方法； 2．Sniffer Pro件的多种监测模式的使用，利用它的图示和数据掌握网络运行状况。 技能训练 一．讲授与示范 正确启动计算机，在最后一个磁盘上建立以学号为名的文件夹，从指定的共享文件夹中将“实习指导书”和其他内容复制到该文件夹中。 (一)网络嗅探工作原理 1．基于集线器以太网 数据的传输是基于“共享”原理的，所有的同一网段范围内的计算机共同接收同样的数据包。 嗅探程序则是利用以太网的特点，将设备网卡设置为“混杂模式”，从而能够接受到整个以太网内的网络数据信息了。 2．基于交换机的以太网 Sniffer是利用arp欺骗的所谓中间介入攻击的技术，诱骗网络上的计算机先把数据包传到Sniffer所在的网卡，再传给目标机。 (二) 网络嗅探器Sniffer 1．作用 Sniffer即网络嗅探器，用于监听网络中的数据包，分析网络性能和故障，可用于网络故障与性能管理。 2．Sniffer嗅探原理 sniffer就是一种能将本地网络接口设置成“混杂”（promiscuous）状态的软件，当网络接口处于这种混杂方式时，该网络接口具备广播地址，它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。 sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。 3．功能 1）监视功能 用于计算并显示实时网络通信量数据，监控网络活动，并进行详细分析。 2）捕获功能 用于捕获网络通信量并将当前数据包存储在缓冲区（或者文件）中，以备将来分析使用。 3）实时专家系统分析功能 用于在捕获过程中分析网络数据包进行分析诊断，并对潜在的问题发出警告，。 4）显示功能 用于解码和分析捕获缓冲区中的数据包，收集网络利用率和错误等，并用各种格式加以显示。 5）网络硬件设备的测试与管理 测试或管理网络上的交换机或路由器，或者具体路由器功的主机的运行性能、状态等。 (三) Sniffer的操作与测试 1．安装Sniffer 环境：将部署sniffer的代理服务器直接连到核心交换机的某个端口上，然后通过配置端口镜像，将所有流量镜像到代理服务器所在端口，即可实现对整个网络的流量监测与分析。 安装：在主机上运行Sniffer Pro 4.7的安装程序。根据安装向导的提示，输入用户信息，指定安装路径，填写用户注册信息，输入序列号，不要指定连接到Internet的方式，并进行汉化安装，安装结束后，重新启动计算机。 2．网卡配置 启动sniffer程序，选对检测网络接口网卡，点击“确定”，如图1所示。 图1　网卡选择 单击“文件(File)”，选择“选定设置(Select Settings)”，在“当前设置（Settings）”对话框中选择用于检测网络的接口网卡，如图2所示，单击“确定”打开程序主窗口。 图2 “当前设置”对话框 3．监控功能的操作 1）Dashboard（仪表盘） ① 仪表作用 仪表盘是Sniffer Pro的可视化网络性能监视器。仪表盘窗口如图2所示包括3个数字表盘： 在第1次启动Sniffer Pro时，仪表盘就会出现在屏幕上。关闭仪表盘窗口：选择菜单Monitor（监控）→ Dashboard（仪表盘）来启动它，或者单击Sniffer Pro工具栏中的仪表盘图标。 图2 Sniffer Pro仪表盘窗口 ◆ 利用率百分比（Utilization%）仪表 说明线路使用带宽的百分比，是用传输量与端口能够处理的最大带宽的比值来表示的。表盘的红色区域表示警戒值。 ◆ 每秒传输的数据包（Packets/s）仪表 说明当前数据包的传输速度。表盘的红色区域表示警戒值。 ◆ 每秒产生的错误（Errors/s）仪表 说明网络的出错率。表盘的红色区域表示警戒值. ② 标尺(G