計算機網(wǎng)絡(luò)實驗指導(dǎo)書

計算機網(wǎng)絡(luò)實驗指導(dǎo)書中原工學(xué)院軟件學(xué)院余雨萍編著2015-8

目錄實驗1WINDOWS網(wǎng)絡(luò)配置和TCP/IP協(xié)議配置及診斷................1一、實驗?zāi)康?..........................................................................................1二、實驗內(nèi)容...........................................................................................1三、實驗步驟...........................................................................................1四、實驗作業(yè)...........................................................................................3實驗2數(shù)據(jù)鏈路層的協(xié)議分析.............................................................5一、實驗?zāi)康?..........................................................................................5二、實驗環(huán)境...........................................................................................5三、實驗步驟...........................................................................................5四、實驗作業(yè)...........................................................................................8實驗3：網(wǎng)絡(luò)層的協(xié)議分析.....................................................................9一、實驗?zāi)康?..........................................................................................9二、實驗內(nèi)容...........................................................................................9三、實驗步驟...........................................................................................9四、實驗作業(yè).........................................................................................14實驗4運輸層的協(xié)議分析...................................................................15一、實驗?zāi)康?........................................................................................15二、實驗內(nèi)容.........................................................................................15三、實驗步驟.........................................................................................15四、實驗作業(yè).........................................................................................15實驗5應(yīng)用層的使用與協(xié)議理解......................................................16一、實驗?zāi)康?........................................................................................16二、實驗內(nèi)容.........................................................................................16三、實驗步驟.........................................................................................16四、實驗作業(yè).........................................................................................21附錄：SNIFFER工作原理....................................................................22

計算機網(wǎng)絡(luò)實驗指導(dǎo)書實驗1Windows網(wǎng)絡(luò)配置和TCP/IP協(xié)議配置及診斷一、實驗?zāi)康?.掌握Windows網(wǎng)絡(luò)的基本配置2.掌握TCP/IP協(xié)議的配置3.掌握TCP/IP協(xié)議的故障檢測和排除方法4.了解系統(tǒng)網(wǎng)絡(luò)命令及其所代表的含義，以及所能對網(wǎng)絡(luò)進行的操作二、實驗內(nèi)容在Windows系統(tǒng)中進行網(wǎng)絡(luò)配置、用pingipconfig命令工具來進行網(wǎng)絡(luò)測試、使用tracert路由跟蹤命令、使用route、netstat、arp、nslookup命令查看網(wǎng)絡(luò)狀態(tài)。安裝TCP/IP協(xié)議;配置TCP/IP協(xié)議;驗證TCP/IP協(xié)議是否正確配置;診斷TCP/IP協(xié)議配置的連通性;利用網(wǎng)絡(luò)命令對網(wǎng)絡(luò)進行簡單的操作.三、實驗步驟1.安裝配置TCP/IP協(xié)議（WindowsXP）1)2)3)右擊“網(wǎng)上鄰居”圖標，從彈出菜單中選擇“屬性”選項，打開“網(wǎng)絡(luò)連接”窗口。右擊“本地連接”圖標，從彈出菜單中選擇“屬性”選項，打開“本地連接屬性”對話框，打開“常規(guī)”選項卡。如果在“此連接使用下列項目：”列表框中未出現(xiàn)“Internet協(xié)議（TCP/IP）”，則點擊“安裝→協(xié)議→添加→Internet協(xié)議（TCP/IP）→確定”，此時列表框中出現(xiàn)“Internet協(xié)議（TCP/IP）”，表明TCP/IP協(xié)議已成功安裝。1

計算機網(wǎng)絡(luò)實驗指導(dǎo)書4)選擇“Internet協(xié)議（TCP/IP）”，單擊“屬性”按鈕，打開“Internet協(xié)議（TCP/IP）屬性”對話框，根據(jù)計算機所在網(wǎng)絡(luò)的具體情況，決定自動獲得IP地址或指定IP地址。若選中“自動獲得IP地址”，計算機將會從DHCP服務(wù)器自動獲取IP地址、子網(wǎng)掩碼等信息。若局域網(wǎng)中沒有專用的服務(wù)器為計算機分配IP地址，或不想通過DHCP服務(wù)器分配IP地址，則需要手工輸入IP地址。本實驗要求手工輸入IP地址。IP地址在同一個網(wǎng)絡(luò)中必須是唯一的。在局域網(wǎng)內(nèi)部一般使用非路由地址。非路由地址不會被Internet分配，專用于內(nèi)部局域網(wǎng)使用。它們從不會被路由。5)6)請選中“使用下面的IP地址”，分別在“IP地址”、“子網(wǎng)掩碼”、“默認網(wǎng)關(guān)”文本框中輸入“192.168.0.XX”（注意：XX取值范圍為2～254,請嚴格按照教師指定IP輸入，以保證IP地址唯一性），“”,“”。分別在“首選DNS服務(wù)器”、“備用DNS服務(wù)器”文本框中輸入“”，“8”。7)輸入完畢后，單擊“確定”按鈕以使所有設(shè)置生效。2.TCP/IP診斷1)2)ping環(huán)回地址：驗證是否已安裝TCP/IP協(xié)議及配置是否正確。點擊“開始→所有程序→附件→命令提示符”，出現(xiàn)“命令提示符”窗口，在DOS下輸入“ping”回車后，顯示“Replyfrom:bytes=32time<10msTTL=128”，則表明TCP/IP協(xié)議配置正確。ping默認網(wǎng)關(guān)或一個本地計算機的IP地址：驗證TCP/IP協(xié)議是否被正確綁定在網(wǎng)卡上，驗證能否與本地網(wǎng)絡(luò)上的其它計算機通信。3)4)在DOS下輸入“ping192.168.0.XX”回車后，顯示“Replyfrom192.168.0.XX:bytes=32time<10msTTL=128”，則表明協(xié)議、網(wǎng)卡均無問題，默認網(wǎng)關(guān)運行正常，網(wǎng)絡(luò)連接正常。5)6)ping遠程主機的IP地址（或域名）：驗證能否通過路由通信。在DOS下運行“ping”，顯示“Replyfrom04:……”，則表明遠程連接正常。2

計算機網(wǎng)絡(luò)實驗指導(dǎo)書3.查看DNS、IP、MAC1)2)3)4)在DOS下運行“ipconfig/all”，記錄顯示內(nèi)容，包括：“PhysicalAddress,IPAddress,SubnetMask,DefaultGateway,DNSServers”。在DOS下運行“nslookup”，記錄該IP地址的域名。從顯示內(nèi)容分析配置該IP地址的計算機為校園網(wǎng)用戶提供何種服務(wù)？在DOS下運行“nslookup”，記錄該IP地址的域名。從域名分析配置該IP地址的計算機為校園網(wǎng)用戶提供何種服務(wù)？在DOS下運行“nslookup”或運行“nslookup你所喜歡網(wǎng)站的域名”，觀察顯示內(nèi)容，記錄該域名的IP地址。4.查看當前ARP緩存表（了解網(wǎng)關(guān)、ARP協(xié)議的作用）1)2)在DOS下運行“arp-d”命令清除ARP表在DOS下運行“ping”，然后運行“arp-a”，記錄顯示的ARP緩存表中的IP與MAC。在DOS下運行“arp-d”命令清除ARP表在DOS下運行“ping”，然后運行“arp-a”，記錄顯示的ARP緩存表中的IP與MAC。注意觀察網(wǎng)關(guān)所起的作用。3)4)5)在DOS下運行“arp-d”命令清除ARP表在DOS下運行“ping”，然后運行“arp-a”，記錄顯示的ARP緩存表中的IP與MAC。注意觀察ARP協(xié)議的作用范圍。6)5.查看路由跟蹤情況在DOS下運行“tracert”，記錄到達目的地需要跨越的每個路由器或網(wǎng)關(guān)。四、實驗作業(yè)1.寫清楚實驗的基本數(shù)據(jù)班級學(xué)號機號姓名實驗日期IP地址2.寫明實驗名稱；3.寫出實驗中所配置的IP地址、子網(wǎng)掩碼、默認網(wǎng)關(guān)及3

計算機網(wǎng)絡(luò)實驗指導(dǎo)書首選域名服務(wù)器4.寫出實驗中所配置的IP地址的類別、網(wǎng)絡(luò)號與主機號。5.寫出子網(wǎng)掩碼及域名服務(wù)器的作用。6.寫出驗證TCP/IP協(xié)議配置是否正確所使用的命令，并寫出驗證結(jié)果。7.寫出你是如何診斷TCP/IP協(xié)議配置的連通性，并寫出診斷結(jié)果。8.寫出所使用主機的MAC地址。9.請分析網(wǎng)絡(luò)通信中，域名服務(wù)器、網(wǎng)關(guān)、ARP協(xié)議所起的作用。4

計算機網(wǎng)絡(luò)實驗指導(dǎo)書實驗2數(shù)據(jù)鏈路層的協(xié)議分析一、實驗?zāi)康恼莆栈镜木W(wǎng)絡(luò)協(xié)議分析方法。通過抓包工具，掌握以太網(wǎng)的工作原理，觀察Mac幀,掌握以太網(wǎng)的MAC層協(xié)議分析。二、實驗環(huán)境Windows2000/XP操作系統(tǒng)之PC機三、實驗步驟(1)啟動Sniffer如圖2-1所示：啟動Sniffer后，需要選擇當前需要監(jiān)視的網(wǎng)卡。圖2-1選擇網(wǎng)卡啟動后，如圖2-2所示：5

計算機網(wǎng)絡(luò)實驗指導(dǎo)書圖2-2sniffer主界面(2)在Sniffer中，設(shè)定要監(jiān)視的機器，以本機為例，如圖2-3和圖2-4，選定Address，Station1項中填入本機的IP34，Station2項中填入Any，即為要抓取本機與任何其它機器通信的網(wǎng)絡(luò)包。圖2-3設(shè)定有關(guān)參數(shù)（1）6

計算機網(wǎng)絡(luò)實驗指導(dǎo)書圖2-4設(shè)定有關(guān)參數(shù)（2）(3)開始抓包點擊上圖中菜單行第三行中的▲按鈕，啟動抓包過程；如圖2-5所示；圖2-5啟動年抓包為配合抓包，此時，需要打開IE瀏覽器，訪問一個WWW網(wǎng)站，連通后，將窗口切換到Sniffer。而后點擊上圖中菜單行第三行中的第二個紅色按鈕，完成抓包過程，如圖2-6所示。7

計算機網(wǎng)絡(luò)實驗指導(dǎo)書圖2-6抓包完成（4）觀察、分析Mac幀、IP包格式點擊窗口下方的“Decode”選項夾，即可觀察到Sniffer所捕獲的Mac幀、IP包，對照課程中所介紹的相應(yīng)幀、包格式作進一步分析，如圖2-7所示。圖2-7分析幀格式四、實驗作業(yè)進一步分析數(shù)據(jù)鏈路層的相關(guān)協(xié)議，寫出實驗報告。8

計算機網(wǎng)絡(luò)實驗指導(dǎo)書實驗3：網(wǎng)絡(luò)層的協(xié)議分析一、實驗?zāi)康氖褂肧niffer，了解其原理。掌握基本的網(wǎng)絡(luò)協(xié)議分析方法。通過抓包工具，觀察并分析IP分組的字段內(nèi)容。對IP數(shù)據(jù)報的格式進行分析，對ARP協(xié)議進行分析，對ICMP協(xié)議進行分析。二、實驗內(nèi)容了解協(xié)議分析的方法，掌握Sniffer軟件的使用。了解協(xié)議分析在網(wǎng)絡(luò)安全中的重要性，掌握基本網(wǎng)絡(luò)協(xié)議軟件SnifferPro的基本方法。三、實驗步驟1、捕獲數(shù)據(jù)包前的準備工作在默認情況下，sniffer將捕獲其接入碰撞域中流經(jīng)的所有數(shù)據(jù)包，但在某些場景下，有些數(shù)據(jù)包可能不是我們所需要的，為了快速定位網(wǎng)絡(luò)問題所在，有必要對所要捕獲的數(shù)據(jù)包作過濾。Sniffer提供了捕獲數(shù)據(jù)包前的過濾規(guī)則的定義，過濾規(guī)則包括2、3層地址的定義和幾百種協(xié)議的定義。定義過濾規(guī)則的做法一般如下：1）在主界面選擇captureàdefinefilter選項。2）definefilteràaddress，這是最常用的定義。其中包括MAC地址、ip地址和ipx地址的定義。以定義IP地址過濾為例，見圖3-1。9

計算機網(wǎng)絡(luò)實驗指導(dǎo)書圖3-1設(shè)定參數(shù)比如，現(xiàn)在要捕獲地址為00的主機與其他主機通信的信息，在Mode選項卡中，選Include(選Exclude選項，是表示捕獲除此地址外所有的數(shù)據(jù)包)；在station選項中，在任意一欄填上00,另外一欄填上any（any表示所有的IP地址）。這樣就完成了地址的定義。注意到Dir.欄的圖標，如圖3-2：圖3-2Dir圖標表示，捕獲station1收發(fā)的數(shù)據(jù)包；最后，選取圖3-3配置選項將定義的規(guī)則保存下來，供以后使用。3）definefilteràadvanced，定義希望捕獲的相關(guān)協(xié)議的數(shù)據(jù)包。如圖3-4所示。10

計算機網(wǎng)絡(luò)實驗指導(dǎo)書圖3-4選擇協(xié)議類型比如，想捕獲FTP、NETBIOS、DNS、HTTP的數(shù)據(jù)包，那么說首先打開TCP選項卡，再進一步選協(xié)議；還要明確DNS、NETBIOS的數(shù)據(jù)包有些是屬于UDP協(xié)議，故需在UDP選項卡做類似TCP選項卡的工作，否則捕獲的數(shù)據(jù)包將不全。如果不選任何協(xié)議，則捕獲所有協(xié)議的數(shù)據(jù)包。PacketSize選項中，可以定義捕獲的包大小，圖3，是定義捕獲包大小界于64至128bytes的數(shù)據(jù)包。圖3-5設(shè)定包的大小4）definefilteràbuffer,定義捕獲數(shù)據(jù)包的緩沖區(qū)。如圖3-6：圖3-6捕獲數(shù)據(jù)包的緩沖區(qū)11

計算機網(wǎng)絡(luò)實驗指導(dǎo)書Buffersize選項卡，將其設(shè)為最大40M。Capturebuffer選項卡，將設(shè)置緩沖區(qū)文件存放的位置。5）最后，需將定義的過濾規(guī)則應(yīng)用于捕獲中。如圖3-7：圖3-7規(guī)則集合點選SelectFilteràCapture中選取定義的捕獲規(guī)則。2、捕獲數(shù)據(jù)包時觀察到的信息CaptureàStart,啟動捕獲引擎。sniffer可以實時監(jiān)控主機、協(xié)議、應(yīng)用程序、不同包類型等的分布情況。如圖3-8：圖3-8監(jiān)控界面12

計算機網(wǎng)絡(luò)實驗指導(dǎo)書Dashboard:可以實時統(tǒng)計每秒鐘接收到的包的數(shù)量、出錯包的數(shù)量、丟棄包的數(shù)量、廣播包的數(shù)量、多播包的數(shù)量以及帶寬的利用率等。HostTable：可以查看通信量最大的前10位主機。Matrix:通過連線，可以形象的看到不同主機之間的通信。ApplicationResponseTime:可以了解到不同主機通信的最小、最大、平均響應(yīng)時間方面的信息。HistorySamples:可以看到歷史數(shù)據(jù)抽樣出來的統(tǒng)計值。Protocoldistribution:可以實時觀察到數(shù)據(jù)流中不同協(xié)議的分布情況。Switch:可以獲取cisco交換機的狀態(tài)信息。在捕獲過程中，同樣可以對想觀察的信息定義過濾規(guī)則，操作方式類似捕獲前的過濾規(guī)則。3、捕獲數(shù)據(jù)包后的分析工作要停止sniffer捕獲包時，點選CaptureàStop或者CaptureàStopandDisplay，前者停止捕獲包，后者停止捕獲包并把捕獲的數(shù)據(jù)包進行解碼和顯示。如圖3-9：圖3-9解碼顯示Decode:對每個數(shù)據(jù)包進行解碼，可以看到整個包的結(jié)構(gòu)及從鏈路層到應(yīng)用層的信息，事實上，sniffer的使用中大部分的時間都花費在這上面的分析，同時也對使用者在網(wǎng)絡(luò)的理論及實踐經(jīng)驗上提出較高的要求。素質(zhì)較高的使用者借此工具便可看穿網(wǎng)絡(luò)問題的結(jié)癥所在。Expert:這是sniffer提供的專家模式，系統(tǒng)自身根據(jù)捕獲的數(shù)據(jù)包從鏈路層到應(yīng)用層進行分類并作出診斷。其中diagnoses13

計算機網(wǎng)絡(luò)實驗指導(dǎo)書提出非常有價值的診斷信息。圖3-10是sniffer偵查到IP地址重疊的例子及相關(guān)的解析。圖3-10IP地址重疊sniffer同樣提供解碼后的數(shù)據(jù)包過濾顯示。要對包進行顯示過濾需切換到Decode模式。Displayàdefinefilter，定義過濾規(guī)則。Displayàselectfilter,應(yīng)用過濾規(guī)則。顯示過濾的使用基本上跟捕獲過濾的使用相同。四、實驗作業(yè)進一步分析網(wǎng)絡(luò)層的相關(guān)協(xié)議，寫出實驗報告。進一步通過察看幫助或通過網(wǎng)上搜索了解SnifferPro的其它功能，并進一步使用這些功能。14

計算機網(wǎng)絡(luò)實驗指導(dǎo)書實驗4運輸層的協(xié)議分析本次實驗向同學(xué)們解釋如何使用SnifferPro這個工具來監(jiān)控網(wǎng)絡(luò)程序，使你可以了解如何用SnifferPro來進行網(wǎng)絡(luò)和協(xié)議的運輸層的分析。一、實驗?zāi)康氖褂肧niffer，了解其原理,.掌握基本的網(wǎng)絡(luò)協(xié)議分析方法。通過抓包工具，觀察并分析TCP、UDP報文字段內(nèi)容。二、實驗內(nèi)容了解協(xié)議分析的方法，掌握Sniffer軟件的使用。了解協(xié)議分析在網(wǎng)絡(luò)安全中的重要性，掌握基本網(wǎng)絡(luò)協(xié)議軟件SnifferPro的基本分析方法。三、實驗步驟1、捕獲數(shù)據(jù)包前的準備工作(同前面的實驗)2、捕獲數(shù)據(jù)包時觀察到的信息(同前面的實驗)3、捕獲數(shù)據(jù)包后的分析TCP、UDP報文字段內(nèi)容四、實驗作業(yè)寫出實驗報告，選作應(yīng)用層協(xié)議分析實驗，包括DNS報文格式分析，DNS工作過程分析，Http報文格式分析，Http工作過程分析，ftp協(xié)議和工作過程分析15

計算機網(wǎng)絡(luò)實驗指導(dǎo)書實驗5應(yīng)用層的使用與協(xié)議理解一、實驗?zāi)康?.了解和認識IIS、Web服務(wù)2.掌握如何將自己的主機配置成WEB服務(wù)器3.掌握虛擬目錄的設(shè)置方法4.學(xué)會在因特網(wǎng)上發(fā)布自己編制的網(wǎng)頁二、實驗內(nèi)容1.利用IIS組件配置WEB服務(wù)器2.設(shè)置虛擬目錄3.測試IIS4.利用WEB服務(wù)器在因特網(wǎng)上進行網(wǎng)頁發(fā)布三、實驗步驟1.WEB服務(wù)器配置1)雙擊“我的電腦→控制面板→管理工具→Internet信息服務(wù)”，打開IIS管理器。如圖5-1所示：圖5-1IIS界面2)雙擊“本地計算機（本例為HEU）”展開可管理的服務(wù)，展開“網(wǎng)站”，選中“默認Web站點（默認網(wǎng)站）”右擊，選擇“屬性”，打開“默認Web站點屬性（默認網(wǎng)16

計算機網(wǎng)絡(luò)實驗指導(dǎo)書站屬性）”窗口。注意保持所有默認項（如：IP地址，全部未分配；TCP端口，80）如圖5-2：圖5-2設(shè)置IP和端口號3)點擊“主目錄”，在“本地路徑”一欄通過“瀏覽”按鈕來選擇你的網(wǎng)頁文件所在的實際路徑作為主目錄，本例主目錄是“c:\inetpub\wwwroot”。如圖5-3：圖5-3設(shè)置主目錄4)點擊“文檔”，確保“啟用默認文檔”項已選中，再利用“添加”或“刪除”按鈕添入或刪掉默認文檔名并通過默認文檔左側(cè)的上下箭頭按鈕相應(yīng)調(diào)整搜索順序。注意：默認文檔名中必須有一個要與你所設(shè)計網(wǎng)頁的主頁文件名一致。如圖5-4：17

計算機網(wǎng)絡(luò)實驗指導(dǎo)書圖5-4設(shè)置主頁5)其它項目均可不用修改，直接按“確定”即可，若出現(xiàn)“繼承覆蓋”對話框，一般選“全選”之后再“確定”即最終完成“默認Web站點”的屬性設(shè)置。2.新建Web虛擬目錄1)依次選擇“開始→設(shè)置→控制面板→管理工具→Internet信息服務(wù)”，打開IIS管理器，展開“本地計算機→網(wǎng)站”，選中“默認Web站點（默認網(wǎng)站）”右擊，選擇“新建→虛擬目錄”，打開虛擬目錄創(chuàng)建向?qū)υ捒?如圖5-5所示。圖5-5虛擬目錄18

計算機網(wǎng)絡(luò)實驗指導(dǎo)書2)單擊“下一步”按鈕，打開虛擬目錄別名對話框,在“別名”處輸入一簡短名稱,例如“myweb”，如圖5-6所示。圖5-6設(shè)置別名3)單擊“下一步”按鈕，打開Web站點內(nèi)容目錄對話框,在“目錄”一欄通過“瀏覽”按鈕來選擇你的網(wǎng)頁文件所在的實際路徑作為目錄（例如“D:\newweb”），如圖5-7所示。圖5-7設(shè)置路徑4)單擊“下一步”按鈕，打開訪問權(quán)限對話框,如圖5-8所示。請保持默認選擇，即選中“讀取”與“運行腳本”項。出于安全考慮，最好不要選中其它三項。19

計算機網(wǎng)絡(luò)實驗指導(dǎo)書圖5-8設(shè)置可選項5)單擊“下一步”按鈕，單擊“完成”按鈕結(jié)束Web虛擬目錄創(chuàng)建。3.測試IIS激活I(lǐng)E，在地址欄中輸入系統(tǒng)默認的計算機名稱，如“l(fā)ocalhost”，如果IIS安裝正確，IE將打開IIS默認的網(wǎng)頁，如圖5-9所示。圖5-9成功界面4.利用WEB服務(wù)器在因特網(wǎng)上發(fā)布自己編制的網(wǎng)頁1)將你自己編制的網(wǎng)頁保存在虛擬目錄所對應(yīng)的實際路徑，注意：主頁文件名必須是默認文檔名之一。2)打開IE，在地址欄中輸入“l(fā)ocalhost/虛擬目錄別名/主頁文件名”，（例如：“l(fā)ocalhost/myweb/default.asp”）再回車，如果Web服務(wù)器及虛擬目錄設(shè)置正確，你所編制的網(wǎng)頁就會正確發(fā)布，即IE顯示你自己編制的網(wǎng)頁。20

計算機網(wǎng)絡(luò)實驗指導(dǎo)書四、實驗作業(yè)1.寫明實驗名稱；2.將WEB服務(wù)器配置實驗中每一步配置結(jié)果圖拷貝到實驗報告上3.將新建Web虛擬目錄實驗中每一步配置結(jié)果圖拷貝到實驗報告上4.將IIS測試結(jié)果圖拷貝到實驗報告上5.將所發(fā)布的網(wǎng)頁拷貝到實驗報告上21

計算機網(wǎng)絡(luò)實驗指導(dǎo)書附錄：Sniffer工作原理Sniffer（嗅探器）是一種常用的收集有用數(shù)據(jù)方法，這些數(shù)據(jù)可以是用戶的帳號和密碼，可以是一些商用機密數(shù)據(jù)等等。Snifffer可以作為能夠捕獲網(wǎng)絡(luò)報文的設(shè)備,ISS為Sniffer這樣定義：Sniffer是利用計算機的網(wǎng)絡(luò)接口截獲目的地為其他計算機的數(shù)據(jù)報文的一種工具。Sniffer的正當用處主要是分析網(wǎng)絡(luò)的流量,以便找出所關(guān)心的網(wǎng)絡(luò)中潛在的問題。例如,假設(shè)網(wǎng)絡(luò)的某一段運行得不是很好,報文的發(fā)送比較慢,而我們又不知道問題出在什么地方,此時就可以用嗅探器來作出精確的問題判斷。在合理的網(wǎng)絡(luò)中，sniffer的存在對系統(tǒng)管理員是致關(guān)重要的，系統(tǒng)管理員通過sniffer可以診斷出大量的不可見模糊問題，這些問題涉及兩臺乃至多臺計算機之間的異常通訊有些甚至牽涉到各種的協(xié)議，借助于sniffer%2C系統(tǒng)管理員可以方便的確定出多少的通訊量屬于哪個網(wǎng)絡(luò)協(xié)議、占主要通訊協(xié)議的主機是哪一臺、大多數(shù)通訊目的地是哪臺主機、報文發(fā)送占用多少時間、或著相互主機的報文傳送間隔時間等等，這些信息為管理員判斷網(wǎng)絡(luò)問題、管理網(wǎng)絡(luò)區(qū)域提供了非常寶貴的信息。嗅探器與一般的鍵盤捕獲程序不同。鍵盤捕獲程序捕獲在終端上輸入的鍵值，而嗅探器則捕獲真實的網(wǎng)絡(luò)報文。為了對sniffer的工作原理有一個深入的了解，我們先簡單介紹一下網(wǎng)卡的工作原理。網(wǎng)卡工作原理再講講網(wǎng)卡的工作原理。網(wǎng)卡收到傳輸來的數(shù)據(jù)，網(wǎng)卡內(nèi)的單片程序先接收數(shù)據(jù)頭的目的MAC地址，根據(jù)計算機上的網(wǎng)卡驅(qū)動程序設(shè)置的接收模式判斷該不該接收，認為該接收就在接收后產(chǎn)生中斷信號通知CPU，認為不該接收就丟棄不管，所以不該接收的數(shù)據(jù)網(wǎng)卡就截斷了，計算機根本就不知道。CPU得到中斷信號產(chǎn)生中斷，操作系統(tǒng)就根據(jù)網(wǎng)卡驅(qū)動程序中設(shè)置的網(wǎng)卡中斷程序地址調(diào)用驅(qū)動程序接收數(shù)據(jù)，驅(qū)動程序接收數(shù)據(jù)后放入信號堆棧讓操作系統(tǒng)處理。22

計算機網(wǎng)絡(luò)實驗指導(dǎo)書局域網(wǎng)如何工作數(shù)據(jù)在網(wǎng)絡(luò)上是以很小的稱為幀(Frame)的單位傳輸?shù)膸珊脦撞糠纸M成，不同的部分執(zhí)行不同的功能。（例如，以太網(wǎng)的前12個字節(jié)存放的是源和目的的地址，這些位告訴網(wǎng)絡(luò)：數(shù)據(jù)的來源和去處。以太網(wǎng)幀的其他部分存放實際的用戶數(shù)據(jù)、TCP/IP的報文頭或IPX報文頭等等）。幀通過特定的網(wǎng)絡(luò)驅(qū)動程序進行成型，然后通過網(wǎng)卡發(fā)送到網(wǎng)線上。通過網(wǎng)線到達它們的目的機器，在目的機器的一端執(zhí)行相反的過程。接收端機器的以太網(wǎng)卡捕獲到這些幀，并告訴操作系統(tǒng)幀的到達，然后對其進行存儲。就是在這個傳輸和接收的過程中，嗅探器會造成安全方面的問題。通常在局域網(wǎng)（LAN）中同一個網(wǎng)段的所有網(wǎng)絡(luò)接口都有訪問在物理媒體上傳輸?shù)乃袛?shù)據(jù)的能力，而每個網(wǎng)絡(luò)接口都還應(yīng)該有一個硬件地址，該硬件地址不同于網(wǎng)絡(luò)中存在的其他網(wǎng)絡(luò)接口的硬件地址，同時，每個網(wǎng)絡(luò)至少還要一個廣播地址。（代表所有的接口地址），在正常情況下，一個合法的網(wǎng)絡(luò)接口應(yīng)該只響應(yīng)這樣的兩種數(shù)據(jù)幀：幀的目標區(qū)域具有和本地網(wǎng)絡(luò)接口相匹配的硬件地址。幀的目標區(qū)域具有“廣播地址”。在接受到上面兩種情況的數(shù)據(jù)包時，網(wǎng)卡通過cpu產(chǎn)生一個硬件中斷，該中斷能引起操作系統(tǒng)注意，然后將幀中所包含的數(shù)據(jù)傳送給系統(tǒng)進一步處理。當采用共享HUB，用戶發(fā)送一個報文時，這些報文就會發(fā)送到LAN上所有可用的機器。在一般情況下，網(wǎng)絡(luò)上所有的機器都可以“聽”到通過的流量，但對不屬于自己的報文則不予響應(yīng)（換句話說，工作站A不會捕獲屬于工作站B的數(shù)據(jù)，而是簡單的忽略這些數(shù)據(jù)）。如果局域網(wǎng)中某臺機器的網(wǎng)絡(luò)接口處于雜收（promiscuous）模式（即網(wǎng)卡可以接收其收到的所有數(shù)據(jù)包，下面會詳細地講），那么它就可以捕獲網(wǎng)絡(luò)上所有的報文和幀，如果一臺機器被配置成這樣的方式，它（包括其軟件）就是一個嗅探器。SnifferSniffer原理有了這HUB、網(wǎng)卡的工作原理就可以開始講講SNIFFER。首先，要知道SNIFFER要捕獲的東西必須是要物理信號能收到的報文信息。顯然只要通知網(wǎng)卡接收其收到的所有包（一般叫作雜收promiscuous模式：指網(wǎng)絡(luò)上的所有設(shè)23

計算機網(wǎng)絡(luò)實驗指導(dǎo)書備都對總線上傳