实验一 sniffer Pro的使用.doc

实验一 Sniffer Pro的使用 【实验目的】 1) 熟练掌握Sniffer Pro对数据包捕获的使用方法。 2) 掌握利用Sniffer Pro进行数据包结构分析、进而理解协议对数据的封装。 【实验环境】 Windows XP、2003 Server等系统，Sniffer Pro软件。 【实验重点及难点】 重点：1) Sniffer Pro对数据包捕获的使用方法。 2) 利用Sniffer Pro进行数据包结构分析。 难点：Sniffer Pro进行数据包结构分析。 【实验内容】 第一部分：学习sniffer 1．首先，打开Sniffer Pro程序，如果系统要求的话，还要选择一个适配器（使用哪个网卡）。打开了程序后，会看到图中的屏幕。 图1?浏览Sniffer Pro程序 2．打开Sniffer Pro程序后，选择Capture（捕获）－Start（开始），或者使用F10键，或者是工具栏上的开始箭头。因为捕获过程需要几分钟才能完成，这时我们可以先了解如何自定义Sniffer Pro高级与捕获窗口，这样后面就可以节省一点时间。 3．下面，在Sniffer Pro程序中，会看到高级系统被自动调用，如图2所示。打开这个窗口后，不会看到任何东西，除非停止捕获过程才可以查看内容。让捕获过程持续运行一段时间，这时可以自定义高级系统，这样就能实时地看到不断出现的问题。 图2? 开始捕获过程时调用高级系统 4．浏览图2中的屏幕。高级窗口这时会滚动到窗口左边，只能看到工具栏，而没有任何详细资料。如果要查看详细资料，就要找到高级窗口对话框左上角的箭头，这个箭头在“层次”这个词的右边。单击这个箭头后，会显示出高级功能的另一部分窗口，如图3所示。 5．你可以看到我们能自定义Sniffer Pro程序用于将来的捕获过程，所以我们在下面要对如何使用高级功能进行分析。如果要进一步自定义我们的Sniffe Pro高级功能，就要在一个视图中显示所有定义对象的详细资料。如果再看一次图3，你会发现在高级对话框的最右边有两个卷标：一个是“总结”卷标，另一个是“对象”卷标。在图4中，你会看到这两个卷标都消失了，被两个窗口取代。如果要改变视图，只需要将鼠标停在图4中圈起的位置，这时箭头的形状会改变，然后可以将这一栏上移，就可以看到Sniffer Pro高级窗口中对象的所有详细资料了。 图3 在高级系统中查看更多的细节 图4浏览高级系统内的对象卷标 6．已经完全了解如何自定义Sniffer Pro高级窗口后，使浏览更容易。现在，我们可以停止捕获过程。再次进入Capture（捕获）菜单，然后选择Stop（停止）或者按下F10键。还可以使用工具栏，选择黑方框图标来执行同样的功能。 7．停止了捕获过程后，屏幕上不会有任何反应。这时因为没有要求Sniffer Pro显示捕获的内容。还可以按F9键来执行“停止并显示”的功能，或者可以进入Capture（捕获）菜单，选择“停止并显示”。也可以使用工具栏图标来执行同样的功能，这个图标的样子就像带望远镜的黑色的方盒。因为我们先停止了捕获过程，所以也可以在停止后选择Capture（捕获）菜单中的“显示”，按下F5键，或者只使用工具栏中的“望远镜”。在这里，我们使用的是第一种方法，选择了“显示”后，Sniffer Pro高级窗口会迅速地一直最小化，然后就会再次出现高级对话框，如图5所示。 图5? 选择显示后查看高级对话框 8．现在查看对话框（停止捕获过程后），会看到几个非常重要的变化。第一个变化是Sniffer Pro高级窗口中不再增加内容了，可以说是因为停止了捕获过程，所以不再有对象增加了。第二个变化是对话框的标题栏。起初只简单地显示“Expert”（高级）。现在显示的是捕获文件的名字，以及Sniffer Pro在捕获过程中观察到的帧的数目。? 9．另一个主要变化是对话框最下角增加了一组窗口卷标，包括高级（当前查看的视图）等。 10．选择了解码卷标(Decode)时，屏幕显示如图6，会看到Sniffer Pro缓冲器中的所有实际“数据”。 图6? 查看解码卷标 1.2．详细资料窗格 了解了帧的内容，现在让我们来看看从数据的表格视图中可以得到哪些信息。 利用sniffer数据捕获功能捕获数据并进行数据桢解析分析，例如： 图8 专家分析系统 （1）如上图所示，你会看到IP文件头的各部分内容。现在把它们与图中的数据相对应，结合我们在tcp/ip协议中学习到知识回答下面各个段的值： （根据自己的Sniffer专家分析系统的分析内容查看以下段的值：） 版本? IHL? ToS? ToS位可以提供服务质量（QoS）信息（Sniffer Pro会提供一些必要的信息） 总长度? ID? 标记 分段差距 TTL 协议 校验和 SA DA 选