标准书号62-63308-06313第8章节网络抓包实训.pptVIP

计算机网络技术实训教程 作者：徐伟 第8章　网络抓包实训 主要内容 8．1　以太网（Ethernet）与帧格式 8．2　网络层协议与IP数据包格式 8．3　传输层协议及报文格式 8．4　网络抓包软件 8．5　网络嗅探器的使用方法 8．6　网络抓包实训 8．1　以太网（Ethernet）与帧格式 8．1．1　快速以太网 8．2　网络层协议与IP数据包格式 8．2．2　IPv4 数据包格式 8．3　传输层协议及报文格式 8．4　网络抓包软件 8．4．1　网络嗅探器的工作原理 8．5　网络嗅探器的使用方法 8．5．2　选择网络适配器 8．6　网络抓包实训 Iris是一款非常优秀的网络通讯分析工具。它可以帮助网络管理员轻易地捕获和查看进出网络的数据包，进行分析和解码，并能够生成多种形式的统计图表；它可以探测本机端口和网络设备的使用情况，有效地管理网络通讯。Iris属于软件网络嗅探器，是网络管理人员和分析人员的必备工具。网络嗅探器通常是软硬件的结合，专用的硬件嗅探器价格非常昂贵。 网络嗅探器与一般的键盘捕获程序的工作原理不同，键盘捕获程序捕获在终端上输入的键值，而网络嗅探器则捕获真实的网络报文。网络嗅探器是通过将网络适配器设置成“杂 收模式来实现捕获网络报文的。 我们知道，数据在网络上是以帧为单位进行传输的，帧是通过数据链路层（二层）协议封装而成的。在一般情况下，网络上所有的机器都可以“听”到通过的所有的帧，但对不属于自己的帧则不予响应，只有当帧头部的目的MAC 地址与本地网络适配器的MAC 地址一致时，才允许捕获该帧并作出处理，否则就简单地忽略这些帧。 每一个在LAN上的工作站的网络适配器都有MAC地址。MAC地址是网络上的网络适配器位置的唯一标识，该地址由网络适配器制造商出厂时已规定好，不允许用户自行修改。 8．4．2　网络嗅探器的用途 （１） 网络嗅探器可以帮助我们进行评估和分析当前业务运行状态。利用网络嗅探器得到的数据资料，我们可以评估当前业务是否运行正常，性能是否良好。例如： 各种应用的响 应时间，各链路的使用率，应用带宽的消耗，网络上哪一些用户消耗最多带宽，各分支机构流量状况，应用性能的瓶颈等等。 （２） 网络嗅探器可以帮助我们进行快速网络故障定位。既能直观地定位一些简单的网络故障，又能快捷地定位一些复杂的网络故障，如网络速度变慢，丢包率高等等。 （３） 网络嗅探器可以帮助我们排除潜在的威胁。网络嗅控器是即时监控的工具，通过分析网络中的行为特征，判断网络是否有异常流量。它可以发现一些网络病毒、木马、黑客 扫描等等事件，并且可以找到攻击的来源。然而，网络嗅探器不是一种防病毒工具，网络管理员可以通过它来分析是否存在网络病毒，它不能检测文件型的病毒。 （４） 网络嗅探器提供了流量的趋势分析，通过长期监控，可以发现网络流量的发展趋势，为我们将来网络改造提供建议和依据。 8．4．3　嗅探器可能造成的危害 我们知道网络嗅探器的工作原理其实很简单，就是把网络适配器设成杂收模式，把流过的所有帧都接收下来加以存储并进行分析处理。网络嗅探器的这种工作机制不可避免地被 网络黑客所利用。利用网络嗅探器的分析处理能力，网络黑客可以构成以下威胁： （１） 能够捕获用户名和口令； （２） 能够捕获专用的或者机密的信息； （３） 用来获取更高级别的访问权限。 8．4．4　网络嗅探器的工作过程 第一阶段是抓包和解码。也就是把网络上的数据帧抓下来，然后进行解码，解码能力是网络嗅探器的软件决定的。最著名的嗅探器Sniffer支持550种协议，是业界最强的网络嗅探器。 第二阶段是专家系统。也就是根据抓下来的数据帧的特征和前后时间戳的关系，判断网络的数据流量和延时是否存在问题，属于哪一层的问题，预测其严重性，并给出建议和解 决方案。利用专家系统，我们可以判断局域网哪台计算机存在网络病毒或出现网络故障。 8．5．1　安装Iris v4．07．1 在安装Iris v4.07.1之前，计算机需要一块支持以太网的网络配置器，目前几乎所有计　算机都支持以太网。 在实际应用中我们应该考虑： 在网络的什么位置可以安装Iris？ （１） 安装在网络边缘。例如，在交换机和路由器之间架设一台用于监测的服务器，或者直接安装在代理服务器（或网关）上。 （２） 安装在交换式网络的普通节点上一般不能听到其他主机的数据，这是因为交换式网络具有全双工点到点通信的特性，这对嗅探器产生了一定的免疫力，所以有可能听不到其 他任何主机的数据。不过，有些特殊的数据也会被所有主机得到，如： 广播包、组播包、ARP包等等，我们可以利用这些捕获的数据做抓包测试。 （３） 安装在网络防火墙上。安装两个Iris在防火墙的前