Siniffer抓包分析实验指导.doc

siniffer软件的使用siniffer软件的使用题目下载网络数据包捕获工具（如ethereal，sniffer，iris等），安装，运行，进行数据捕获。找出tcp数据包。进行如下操作：1）分析某个tcp数据包各字段的值并解释；2）找出建立连接时的tcp数据包进行分析；3）找出tcp数据包，解释tcp的确认机制；4）找出tcp数据包，解释tcp的流量控制和拥塞控制机制。以iris为例，具体实验步骤如下：1组建对等网，2在两台计算机上分别安装siniffer软件，指定服务器和客户机，3在服务器上安装ftp服务器软件，4在客户机上运行ftp程序，从服务器上下载一个文件到客户机，5利用iris捕获数据包，按要求分析tcp各字段的值。1 组建对等网这个环节省略，因为实验室中都已经建好了。但要自己要决定哪一台作为服务器，哪一台作为客户器，现在分别记为server和client。2 在两台计算机上分别安装siniffer，简单使用注：这里只讲解在一台计算机（server）上安装网络数据包捕获工具siniffer。2.1 sniffer的大概工作原理sniffer程序是一种利用以太网的特性把网络适配卡(nic,一般为以太同卡)置为杂乱模式状态的工具，一旦网络卡设置为这种模式，它就能接收传输在网络上的每一个信息包。sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。2.2 siniffer安装过程（1）安装过程提醒sniffer软件的安装还是比较简单的，我们只需要按照常规安装方法进行即可。需要说明的是: 在选择sniffer pro的安装目录时，默认安装目录即可，我们可以通过旁边的browse按钮修改路径，不过为了更好的使用还是建议各位用默认路径进行安装。 在注册用户时，注册信息随便填写即可，不过email一定要符合规范，需要带“”。在随后出现的“sniffer pro uesr registration”对话框中，大家注意有一行sniffer serial number需要大家填入注册码（sr424-255rr-255oo-255rr，这个只能保证现在还可以，以后可能就失效，如失效各位使用者可尝试上网搜索新的可用的）（2）开始安装截图（这些资料来自51cto技术“子旭”个人博客）在安装开始时通常会提醒你，系统要重启才能继续安装，这是正常的过程。这个就不用说了 ，人人皆知；释放程序.（3）填写信息建议使用英文的字符填写安装程序中建议使用英文的字符填写 这里至少符合邮件的格式同上，填写好的这里子旭弄错了，是邮编，但可以随意建议使用英文的字符填写同上，填写好的 phone：是需要填写电话区号等 这些可以随意输入阿拉伯数字 fax number是输入传真号 也随意这里序列号在sniffer serial number后卖弄输入产品序列号就ok了（4）设置网络连接方式注册诸多数据后我们就来到设置网络连接状况了，一般对于企业用户只要不是通过“代理服务器”上网的都可以选择第一项direct connection to the internet。（我们学校的实验室里一般不是用代理的）（5）完成安装接下来才是真正的复制sniffer pro必需文件到本地硬盘，完成所有操作后出现setup complete提示，我们点finish按钮完成安装工作。由于我们在使用sniffer pro时需要将网卡的监听模式切换为混杂，所以不重新启动计算机是无法实现切换功能的，因此在安装的最后，软件会提示重新启动计算机，我们按照提示操作即可注：client上安装该软件的步骤与上述一样2.3 siniffer简单使用（1）选择网卡和设置工作模式在进行流量捕获之前首先选择网络适配器，确定从计算机的哪个网络适配器上接收数据。位置：file-select settings选择网络适配器后才能正常工作。该软件安装在windows 98操作系统上，sniffer可以选择拨号适配器对窄带拨号进行操作。如果安装了enternet500等pppoe软件还可以选择虚拟出的pppoe网卡。对于安装在windows 2000/xp上则无上述功能，这和操作系统有关。 （2）各快捷键介绍本文将对报文的捕获几网络性能监视等功能进行详细的介绍。下图为在软件中快捷键的位置。31（3）捕获面板报文捕获功能可以在报文捕获面板中进行完成，如下是捕获面板的功能图：图中显示的是处于开始状态的面板（4）捕获过程报文统计界面在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。（5）捕获报文查看界面sniffer软件提供了强大的分析能力和解码功能。如下图所示，对于捕获的报文提供了一个expert专家分析系统进行分析，还有解码选项及图形和表格的统计信息。l 专家分析专家分分析系统提供了一个智能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。在下图中显示出在网络中wins查询失败的次数及tcp重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解其产生的原因。l 解码分析下图是对捕获报文进行解码的显示，通常分为三部分，目前大部分此类软件结构都采用这种结构显示。对于解码主要要求分析人员对协议比较熟悉，这样才能看懂解析出来的报文。使用该软件是很简单的事情，要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。工具软件只是提供一个辅助的手段。因涉及的内容太多，这里不对协议进行过多讲解，请参阅其他相关资料。对于mac地址，snffier软件进行了头部的替换，如00e0fc开头的就替换成huawei，这样有利于了解网络上各种相关设备的制造厂商信息。功能是按照过滤器设置的过滤规则进行数据的捕获或显示。在菜单上的位置分别为 capture-define filter和display-define filter。过滤器可以根据物理地址或ip地址和协议选择进行组合筛选。l 统计分析对于matrix，host table，portocol dist. statistics等提供了丰富的按照地址，协议等内容做了丰富的组合统计，比较简单，可以通过操作很快掌握这里就不再详细介绍了。（6）设置捕获条件界面l 基本捕获条件/在本实验中主要使用这种形式基本的捕获条件有两种：1、链路层捕获，按源mac和目的mac地址进行捕获，输入方式为十六进制连续输入，如：00e0fc123456。2、ip层捕获，按源ip和目的ip进行捕获。输入方式为点间隔方式，如：。如果选择ip层捕获条件则arp等报文将被过滤掉。l 高级捕获条件在“advance”页面下，你可以编辑你的协议捕获条件，如图：高级捕获条件编辑图在协议选择树中你可以选择你需要捕获的协议条件，如果什么都不选，则表示忽略该条件，捕获所有协议。在捕获帧长度条件下，你可以捕获，等于、小于、大于某个值的报文。在错误帧是否捕获栏，你可以选择当网络上有如下错误时是否捕获。在保存过滤规则条件按钮“profiles”，你可以将你当前设置的过滤规则，进行保存，在捕获主面板中，你可以选择你保存的捕获条件。l 任意捕获条件在data pattern下，你可以编辑任意捕获条件，如下图：用这种方法可以实现复杂的报文过滤，但很多时候是得不偿失，有时截获的报文本就不多，还不如自己看看来得快。3 在服务器上安装ftp服务器软件这里处于试验内容简单考虑，使用简单的ftp服务器软件homeftpserver。不需要安装，直接解压即可。homeftpserver设置如下：（1）homeftpserver主界面这三个都是给用户管理有关的，但该实验只要用匿名就可以了该按钮是启动服务，后一个是停止服务ftp服务器基本配置（2）homeftpserver简单配置（匿名访问）设置完之后，点击保存生效匿名访问根目录的设置，后面是各访问权限选项这些设置完成后，就可以启动homeftpserver4 在客户机（client）上运行ftp程序，从服务器上下载一个文件到客户机这里直接使用ie浏览器访问就可以了（3）,该ip地址是server的ip地址。5 利用siniffer捕获数据包，按要求分析tcp各字段的值5.1实验实例简介在该实验中，sinifer是在服务器上对来往的数据包进行俘获的，服务器的ip地址是23，客户端的ip地址是11。所做的事情步骤：（1）在23启动ftp匿名服务/在3中已经讲解清楚了（2）在23上运行siniffer软件，启动抓包l 进入主界面停止并显示结果启动抓包l 过滤条件设置进入过滤条件设置界面，选择地址过滤(address选项页)，在address下拉框中选择ip，根据ip地址进行过滤(也可以选择hardware，对硬件地址进行过滤)，mode选择“include”，然后再下面列表框中输入服务器地址(23)和客户机地址(11)。做这些的目的，只对往返于服务器和客户机的数据包进行拦截，其他的数据都过滤了。l 启动siniffer拦截（3）在11上打开ie浏览器，并在地址栏输入“ftp:/ 23”，并下载了两个文件。（4）停止并显示抓包结果点击主界面上的“stop and display”快捷键。5.2 数据包分析任务5.2.1 完成任务前的准备（1）专家分析（expert页面）expert-objects-application，显示如下：可以看出使用了两次的ftp服务（下载了两个文件），从23 ftp服务器上下载两个文件到11的客户机上。各个字段的含义不解可借组帮助文档。通过选择service、application、 connection、 station出现页面如下图下面四个图。可以看出对应的分别是：（1）服务类型（2）具体应用（3）连接情况（4）具体站点（主机）expert-objects-service，显示如下：expert-objects-application，显示如下：expert-objects-connection，显示如下：expert-objects-station，显示如下：（1）解码分析（decode页面）上：显示的是对抓到的数据包的具体解释。中：涉及到的三层协议（dlc,ip,tcp）下：所选中的数据包的二进制格式5.2.2 完成以下任务（1）分析某个tcp数据包各字段的值并解释；这上面的各项都列出了tcp的各段的值，可以根据tcp包的格式对各个字段进行认识。（2）找出建立连接时的tcp数据包进行分析；根据上图中编号为1/2/3的三个分组显示情况，可以看到“syn”“seq”“ack”win”等字段，尤其是编号为1/2的分组中的syn的关系，不难看出他们就是在进行tcp连接建立的过程。（3）找出tcp数据包，解释tcp的确认机制；同上（4）找出tcp数据包，解释tcp的流量监控和拥塞控制机制。该环节建议在交换机上进行，因为流量和拥塞中涉及到的问题主要针对大数据量，当然也可以进行在个人计算机上尝试，那么就必须来个大文件的传输。（下面的资料也是来自于网络上的）下面以图文的方式介绍，如何查询网关（路由、代理：219.*.238.65）流量，这也是最为常用、重要的查询之一。1 扫描ip-mac对应关系。这样做是为了在查询流量时，方便判断具体流量终端的位置，mac地址不如ip地址方便。选择菜单栏中tools-address book 点击左边的放大镜（autodiscovery 扫描）在弹出的窗口中输入您所要扫描的ip地址段，本例输入：219.*.238.64-219.*.238.159点击ok，系统会自动扫描ip-mac对应关系。扫描完毕后，点击database-save address book 系统会自动保存对应关系，以备以后使用。(如图7)图72.查看网关流量。点击monitor-host table，选择host table界面左下角的mac-ip-ipx中的mac。（为什么选择mac？在网络中，所有终端的对外数据，例如使用qq、浏览网站、上传、下载等行为，都是各终端与网关在数据链路层中进行的）(如图8)图83.找到网关的ip地址-选择single station-bar (本例中网关ip为219.*.238.65)图9如图(9)所示：219.*.238.65（网关）流量top-10 此图为实时流量图。在此之前如果我们没有做扫描ip（address book）的工作，右边将会以网卡物理地址-mac地址的方式显示，现在转换为ip地址形式（或计算机名），现在很容易定位终端所在位置。流量以3d柱形图的方式动态显示，其中最左边绿色柱形图与网关流量最大，其它依次减小。本图中219.*.238.93与网关流量最大，且与其它终端流量差距悬殊，如果这个时候网络出现问题，可以重点检查此ip是否有大流量相关的操作。如果要查看219.*.238.65（网关）与内部所有流量通信图，我们可以点击左边菜单中，排列第一位的-map按钮如图(10)所示,网关与内网间的所有流量都在这里动态的显示。图10需要注意的是：绿色线条状态为：正在通讯中暗蓝色线条状态为：通信中断线条的粗细与流量的大小成正比如果将鼠标移动至线条处,程序显示出流量双方位置、通讯流量的大小（包括接收、发送）、并自动计算流量占当前网络的百分比。其它主要功能：pie：饼图的方式显示top 10的流量占用百分比。detail：将protocol(协议类型)、from host（原主机）、in/out packets/bytes(接收、发送字节数、包数)等字段信息以二维表格的方式显示。第四步：基于ip层流量 1.为了进一步分析219.*.238.93的异常情况，我们切换至基于ip层的流量统计图中看看。点击菜单栏中的monitor-host table，选择host table界面左下角的mac-ip-ipx中的ip。2.找到ip：219.*.238.93地址（可以用鼠标点击