指導(dǎo)手冊(cè)SnifferPro數(shù)據(jù)包捕獲與協(xié)議分析

1、網(wǎng)絡(luò)分析工具sniffer pro一、訓(xùn)練目標(biāo)1、了解常用網(wǎng)絡(luò)分析工具2、會(huì)使用網(wǎng)絡(luò)分析工具sniffer pro二、實(shí)訓(xùn)環(huán)境要求利用vmware軟件虛擬出一臺(tái)計(jì)算機(jī)(稱為“虛擬機(jī)”或“虛擬系統(tǒng)”)，與物理機(jī)組成一個(gè) 最小的網(wǎng)絡(luò)實(shí)驗(yàn)環(huán)境，作為網(wǎng)絡(luò)攻擊的目標(biāo)計(jì)算機(jī)，物理機(jī)作為實(shí)施網(wǎng)絡(luò)攻擊的主機(jī)。建議安裝方式：在xp系統(tǒng)中，安裝虛擬的windows2003/2000 server系統(tǒng)三、實(shí)訓(xùn)內(nèi)容任務(wù)1：網(wǎng)絡(luò)分析工具sniffer pro的使用sniffer pro是一種很好的網(wǎng)絡(luò)分析程序，允許管理員逐個(gè)數(shù)據(jù)包查看通過(guò)網(wǎng)絡(luò)的實(shí)際數(shù) 據(jù)，從而了解網(wǎng)絡(luò)的實(shí)際運(yùn)行情況。它具有以下特點(diǎn)：1. 可以解碼至少4

2、50種協(xié)議。除了 ip、ipx和其它一些“標(biāo)準(zhǔn)”協(xié)議外，sniffer pro 還可以解碼分析很多由廠商自己開(kāi)發(fā)或者使用的專門(mén)協(xié)議，比如思科vlan中繼協(xié)議(isl) o2. 支持主要的局域網(wǎng)(lan)、城域網(wǎng)(wan)等網(wǎng)絡(luò)技術(shù)(包括高速與超高速以太網(wǎng)、令牌環(huán)、 802. lib無(wú)線網(wǎng)、sonet傳遞的數(shù)據(jù)包、t-1、幀延遲和atm) °3. 提供在位和字節(jié)水平上過(guò)濾數(shù)據(jù)包的能力。4. 提供對(duì)網(wǎng)絡(luò)問(wèn)題的高級(jí)分析和診斷，并推薦應(yīng)該采取的正確措施。5. switch expert可以捉供從各種網(wǎng)絡(luò)交換機(jī)查詢統(tǒng)計(jì)結(jié)果的功能。6. 網(wǎng)絡(luò)流量生成器能夠以千兆的速度運(yùn)行。7. 可以離線捕獲數(shù)據(jù)

3、，如捕獲幀。因?yàn)閹ǔ６际怯?位的分界數(shù)組來(lái)校準(zhǔn)，所以sniffer pro只能以字節(jié)為單位捕獲數(shù)據(jù)。但過(guò)濾器在位或者字節(jié)水平都可以定義。需要注意的是，使用sniffer捕獲數(shù)據(jù)時(shí)，由于網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)量特別大，如果安裝 sniffer的計(jì)算機(jī)內(nèi)存太小，會(huì)導(dǎo)致系統(tǒng)交換到磁盤(pán)，從而使性能下降。如果系統(tǒng)沒(méi)有足夠的 物理內(nèi)存來(lái)執(zhí)行捕獲功能，就很容易造成sniffer系統(tǒng)死 機(jī)或者崩潰。因此，網(wǎng)絡(luò)屮捕獲的 流量越多，sniffer系統(tǒng)就應(yīng)該運(yùn)行得更快、功能更強(qiáng)。因此，建議sniffer系統(tǒng)應(yīng)該有一個(gè) 速度盡可能快的處理器，以及至少512mb的物理內(nèi)存。1. sn辻fer pro計(jì)算機(jī)的連接要使snif

4、fer能夠正常捕獲到網(wǎng)絡(luò)中的數(shù)據(jù)，安裝sniffer的連接位置非常重要，必須 將它安裝在網(wǎng)絡(luò)屮合適的位置，才能捕獲到內(nèi)、外部網(wǎng)絡(luò)之間數(shù)據(jù)的傳輸。如果隨意安裝在網(wǎng) 絡(luò)屮的任何一個(gè)地址段，sniffer就不能正確抓取數(shù)據(jù)，而且有可能丟失重要的通信內(nèi)容。一 般來(lái)說(shuō)，sniffer應(yīng)該安裝在內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)通信的屮間位置，如代理服務(wù)器上，也可以 安裝在筆記本電腦上。當(dāng)哪個(gè)網(wǎng)段出現(xiàn)問(wèn)題時(shí)，直接帶著該筆記本電腦連接到交換機(jī)或者路 由器上，就可以檢測(cè)到網(wǎng)絡(luò)故障，非常方便。(1) 監(jiān)控internet連接共享如果網(wǎng)絡(luò)中使用代理服務(wù)器，局域網(wǎng)借助代理服務(wù)器實(shí)現(xiàn)internet連接共享，并且交換 機(jī)為傻瓜交換機(jī)

5、時(shí)，可以直接將sniffer pro安裝在代理服務(wù)器上，這樣，sniffer pro就可 以非常方便地捕獲局域網(wǎng)和internet之間傳輸?shù)臄?shù)據(jù)。如果核心交換機(jī)為智能交換機(jī)，那么最好的方式是采用端口映射的方式，將局域網(wǎng)出口(連 接 代理服務(wù)器或者路由器的端口)映射為另外一個(gè)端口，并將sniffer pro計(jì)算機(jī)連接至該映 射端口。例如，在交換機(jī)上，與外部網(wǎng)絡(luò)連接的端口設(shè)為a,連接筆記本電腦的端口設(shè)置為b, 將筆記本電腦的網(wǎng)卡與b端口連接，然后將a和b做端口映射，使得a端口傳輸?shù)臄?shù)據(jù)可以從 b端口監(jiān)測(cè)到，這樣，sniffer就可以監(jiān)測(cè)整個(gè)局域網(wǎng)屮的數(shù)據(jù)了。(2) 監(jiān)控某個(gè)vlan或者端口若欲監(jiān)控

6、某個(gè)vlan中的通信時(shí)，應(yīng)將sniffer pro計(jì)算機(jī)添加至該vlan,使其成為該vlan 屮的一員，從而監(jiān)控該vlan屮的所有通信。若欲監(jiān)控某個(gè)或者幾個(gè)端口的通信時(shí)，可以釆用端口映射的方式，將被監(jiān)控的端口(或若 t端口)映射為sniffer pro計(jì)算機(jī)所連接的端口。2. 設(shè)置監(jiān)控網(wǎng)卡如果計(jì)算機(jī)上安裝了多個(gè)網(wǎng)卡，在首次運(yùn)行sniffer pr。時(shí)，需要選擇要監(jiān)控的網(wǎng)卡，應(yīng) 該選擇代理網(wǎng)卡或者連接交換機(jī)端口的網(wǎng)卡。當(dāng)下次運(yùn)行時(shí)，sniffer pro就會(huì)自動(dòng)選擇同樣 的代理。(1)改變監(jiān)控網(wǎng)卡sniffer安裝完成以后，從“開(kāi)始”菜單運(yùn)行，顯示“settings”對(duì)話框，在"sel

7、ect settings for monitoring歹!j表框中單擊選擇要監(jiān)控的網(wǎng)卡,單擊"確定”按鈕,sniffer 就會(huì)監(jiān)控該網(wǎng)卡屮傳輸?shù)臄?shù)據(jù)。如果以后要改變監(jiān)控設(shè)置，可以選擇“f訂e”菜單屮的 “select settings選項(xiàng)，同樣會(huì)岀現(xiàn)該對(duì)話框，用來(lái)改變要監(jiān)控的網(wǎng)卡。如果在“settings”對(duì)話框中沒(méi)有顯示要監(jiān)控的網(wǎng)卡，可以將其它網(wǎng)卡添加到該列表框 屮。單擊“new”按鈕，彈出“new settings"對(duì)話框，可以設(shè)置新添加的網(wǎng)卡。(2)監(jiān)測(cè)網(wǎng)絡(luò)中計(jì)算機(jī)的連接狀況配置好服務(wù)器和工作站的tcp/ip設(shè)置并啟動(dòng)smfier pro軟件，選擇“菜單”中“moni

8、tor”“matrix”，從工作站訪問(wèn)服務(wù)器上的資源，如www、ftp等，觀察檢測(cè)到的網(wǎng)絡(luò)中的連接狀況, 記錄下各連接的ip地址和mac地址。如圖158所示。s00023fe918a6 呂 001958e68368 q01005e7ffffa ar»入塩數(shù)番包1岀塩數(shù)粥包子節(jié)i出境子帑i廣播多宜傳送1岀填楷誤£74,990112,62110|182 80123689.6800131304.630000圖15-8被監(jiān)控計(jì)算機(jī)列表（3）監(jiān)測(cè)網(wǎng)絡(luò)中數(shù)據(jù)的協(xié)議分布選擇菜單"monitor” “protocal distribution”，監(jiān)測(cè)數(shù)據(jù)包中的使用的協(xié)議情況，如圖

9、15-9 所示。記錄下時(shí)間和協(xié)議分布情況。|mac"入空 /亡悔議分布ipx協(xié)議!hii10860單位丫他亥峻伯0101x圖15-9被監(jiān)控網(wǎng)絡(luò)協(xié)議分布,lnl x|（4）監(jiān)測(cè)分析網(wǎng)絡(luò)中傳輸?shù)膇cmp數(shù)據(jù)1）定義過(guò)濾規(guī)則：點(diǎn)擊菜單“capture” t adefine filter,在在對(duì)話框中進(jìn)行操作。 點(diǎn)擊“address”（地址）選項(xiàng)卡，設(shè)置'地址類型”為p “包含”本機(jī)地址，即在“位 置1”輸入本機(jī)ip地址，“方向”（dir.）為“雙向”，“位置2”為“任意的”。 點(diǎn)擊“advanced”選項(xiàng)卡，在該項(xiàng)下選擇“ip”一“icmp”。設(shè)置完成后點(diǎn)擊菜單中“capture”

10、 -“start”開(kāi)始記錄監(jiān)測(cè)數(shù)據(jù)。顯示如圖1510和圖1511所示。s?畳艾件圖15-10監(jiān)控地址選擇酣e包含 c齢99任個(gè) 馭"處送tit為m所有的大水解i it址|觸段？：砌|躋|trrrrfrr- rp魯jb包關(guān)型）pi1回3b.r,蚯 i m i比數(shù)件圖1511監(jiān)控協(xié)議選擇3）從工作站ping服務(wù)器的ip地址。4）觀察監(jiān)測(cè)到的結(jié)果:點(diǎn)擊菜單中"capture” -* " stop and display ”，將進(jìn)入記錄結(jié)果的窗 口。點(diǎn)擊下方各選項(xiàng)卡可觀察各項(xiàng)記錄，可通過(guò)“file” 一save”保存監(jiān)測(cè)記錄。5）記錄監(jiān)測(cè)到的icmp傳輸記錄：點(diǎn)擊記錄窗口

11、下方的解碼“decode”選項(xiàng)，進(jìn)入解碼窗 口，分析記錄，找到工作站向服務(wù)器發(fā)出的請(qǐng)求命令并記錄有關(guān)信息。結(jié)果如圖1512。icmp. icmp： icmp: icmp- icmp.(50j10 1.3.25010 1.3 15010 1.3 25050目n衛(wèi) tt tloa 3.250:篇訶.1/8以太網(wǎng)報(bào)1013.1501013.2501013.iso1013.250hohoaececec氐1icncmr sempmpmpmp一 melic瓦瓦ic一ichp headex type 8 (echo)code a 0checksum 485c (correct

12、)內(nèi)春碼03 96 uelqq 48 5c04 00 01 00 61 62 63 64 65 66167 68 696a 6b 6c6d 6e 6f 70 71 72 73 74 75 7663 64 65gimel皿0000001000 3c 67 6b 00 00 80 01 b7 c4 0a 01 第3 fa oa 01 <gk c00000020;00000030:00000040:圖15-12 icmp數(shù)據(jù)包解碼示例（5）監(jiān)測(cè)分析網(wǎng)絡(luò)中傳輸?shù)膆ttp數(shù)據(jù)1）在服務(wù)器的web目錄下放置一個(gè)網(wǎng)頁(yè)文件。2）定義過(guò)濾規(guī)則：點(diǎn)擊菜單"capture” -> "

13、definefilter”,在對(duì)話框中點(diǎn)"advanced”選項(xiàng) 卡，在該項(xiàng)下選擇“ip” - “tcp” 一 “http”。設(shè)置完成后點(diǎn)擊菜單中"capture" - “start" 開(kāi)始記錄監(jiān)測(cè)數(shù)據(jù)。3）從工作站用瀏覽器訪問(wèn)服務(wù)器上的網(wǎng)頁(yè)文件。4）觀察監(jiān)測(cè)到的結(jié)果:點(diǎn)擊菜單中"capture” -* “stop and display”,將進(jìn)入記錄結(jié)果的窗 口，點(diǎn)擊下方各選項(xiàng)卡可觀察各項(xiàng)記錄。點(diǎn)擊“file” ->save”保存記錄。5）記錄監(jiān)測(cè)到的http傳輸記錄：點(diǎn)擊記錄窗口下方的解碼“decode”選項(xiàng)，進(jìn)入解碼窗 口，分析記錄

14、，找到工作站向服務(wù)器發(fā)出的網(wǎng)頁(yè)請(qǐng)求命令并記錄有關(guān)信息。（6）監(jiān)測(cè)分析網(wǎng)絡(luò)中傳輸?shù)膄tp數(shù)據(jù)1）啟用服務(wù)器的serv-u軟件，在ftp服務(wù)目錄下放置一個(gè)文本文件。最好在ftp中建立兩 個(gè)用戶，即匿名用戶（anonymous）和一個(gè)授權(quán)用戶（用戶名、權(quán)限自定）。2）定義過(guò)濾規(guī)則：點(diǎn)擊菜單“ capture ° -449421 (ftp-ctrl) < 1205445112 “define filter ",在“ summary "選項(xiàng)卡下點(diǎn)擊“reset" 按鈕將過(guò)濾規(guī)則恢復(fù)到初始狀態(tài)，然后在“advanced”選項(xiàng)卡下選擇“ip” 一 “tcp” 一

15、 “ftp”。 設(shè)置完成后點(diǎn)擊菜單“capture” 一 “start”開(kāi)始記錄監(jiān)測(cè)數(shù)據(jù)。3）從工作站用ftp下載服務(wù)器上的文本文件。4）觀察監(jiān)測(cè)到的結(jié)果：點(diǎn)擊菜單"capture” ustop and display進(jìn)入記錄結(jié)果的窗口， 點(diǎn)擊下方各選項(xiàng)卡觀察各項(xiàng)記錄并保存記錄。監(jiān)控顯示如圖1513所示?？梢钥吹降卿浢艽a也是 明文顯示的。在jsyi i以太冋帙10.1 3.25010 1 j 1510 1 3 250 50ftp r port-4494ftp c port4494ftp r port-4494331 passwordftp c port-4494fs fasuser220 microsof t ftp|lenr|relitia 上jftp醫(yī)颯的用戶名uu1 .hpx図的登錄童 j11tcp source porttcp destination porttcp sequence口號(hào)00000000:00000010:00000020:00000030;00000040:00oc29fdabab00023f003c6a7f40008006740396116e001547d9a