实验1 Sniffer 的安装使用(一).doc

实验1 Sniffer 的安装使用三、教学目的：了解并掌握Sniffer Pro的安装，会使用Sniffer Pro捕获数据包，了解并掌握IP、TCP数据包的分析。四、教学重点难点：重点为Sniffer Pro的使用。难点为分析IP、TCP数据。五、课型、教学方法：实训六、教学用具：计算机网络实验室七、教学过程：（含复习提问、教学内容要点板书提纲、课堂练习、教学进程时间分配、课外作业等）讲述本次实验的主要操作步骤学生自己操作演示实验步骤一、安装Sniffer Pro1、运行程序SnifferPro_4_70_530，安装Sniffer Pro。2、再运行汉化包。二、开始与停止捕获过程捕获数据的机制相对比较简单，所有需要做的就是进行实际的分析，解释要查找什么、分析什么以及分析过程的细节。1首先，打开Sniffer Pro程序，选择一个适配器。打开了程序后，会看到图4.1中的屏幕。图4.1浏览Sniffer Pro程序2打开Sniffer Pro程序后，选择Capture（捕获）Start（开始），或者使用F10键，或者是工具栏上的开始箭头（通过这次实验，大家应该非常了解这个菜单结构了）。因为捕获过程需要几分钟才能完成，这时我们可以先了解如何自定义Sniffer Pro高级与捕获窗口，这样后面就可以节省一点时间。3下面，在Sniffer Pro程序中，会看到高级系统被自动调用，如图4.4所示。打开这个窗口后，不会看到任何东西，除非停止捕获过程才可以查看内容。让捕获过程持续运行一段时间，这时可以自定义高级系统，这样就能实时地看到不断出现的问题。4浏览图4.4中的屏幕。高级窗口这时会滚动到窗口左边，只能看到工具栏，而没有任何详细资料。如果要查看详细资料，就要找到高级窗口对话框左上角的箭头，这个箭头在“层次”这个词的右边。单击这个箭头后，会显示出高级功能的另一部分窗口，如图4.3所示。图4.4 开始捕获过程时调用高级系统这里有很多内容，不要急于了解所有这些内容。后面学习中再解释所有的Sniffer Pro的高级功能。现在，你只需要了解如何进行基本的捕获过程。在用Sniffer Pro进行任何分析之前，所有的SCP都必须了解使用工具的机制和基本问题。在掌握了“怎样”这个问题后，就可以接着去了解“什么”和“为什么”的问题。5可以看到能自定义Sniffer Pro程序用于将来的捕获过程，在下面要对如何使用高级功能进行分析。如果要进一步自定义Sniffe Pro高级功能，就要在一个视图中显示所有定义对象的详细资料。如果再看一次图4.3，你会发现在高级对话框的最右边有两个卷标：一个是“总结”卷标，另一个是“对象”卷标。在图4.4中，你会看到这两个卷标都消失了，被两个窗口取代。如果要改变视图，只需要将鼠标停在图4.4中圈起的位置，这时箭头的形状会改变，然后可以将这一栏上移，就可以看到Sniffer Pro高级窗口中对象的所有详细资料了。 图4.3 在高级系统中查看更多的细节 图4.4浏览高级系统内的对象卷标6已经完全了解如何自定义Sniffer Pro高级窗口后，使浏览更容易。现在，我们可以停止捕获过程。再次进入Capture（捕获）菜单，然后选择Stop（停止）或者按下F10键。还可以使用工具栏，选择黑方框图标来执行同样的功能。7停止了捕获过程后，屏幕上不会有任何反应。这时因为没有要求Sniffer Pro显示捕获的内容。还可以按F9键来执行“停止并显示”的功能，或者可以进入Capture（捕获）菜单，选择“停止并显示”。也可以使用工具栏图标来执行同样的功能，这个图标的样子就像带望远镜的黑色的方盒。因为我们先停止了捕获过程，所以也可以在停止后选择Capture（捕获）菜单中的“显示”，按下F5键，或者只使用工具栏中的“望远镜”。在这里，我们使用的是第一种方法，选择了“显示”后，Sniffer Pro高级窗口会迅速地一直最小化，然后就会再次出现高级对话框，如图4.5所示。图4.5 选择显示后查看高级对话框8现在查看对话框（停止捕获过程后），会看到几个非常重要的变化。第一个变化是Sniffer Pro高级窗口中不再增加内容了，可以说是因为停止了捕获过程，所以不再有对象增加了。第二个变化是对话框的标题栏。起初只简单地显示“Expert”（高级）。现在显示的是捕获文件的名字，以及Sniffer Pro在捕获过程中观察到的帧的数目在图中是374个以太网帧。尽管还没有保存捕获文件并为它命名，但标题栏仍显示该文件为Snif1，这是系统的默认文件名。如果选择“文件”菜单，并选择“另存为”，会看到Sniffer Pro将文件保存为Snif1.cap。9另一个主要变化是对话框最下角增加了一组窗口卷标，包括高级（当前查看的视图）、和。10选择了解码卷标时，屏幕显示如图4.6，会看到Sniffer Pro缓冲器中的所有实际“数据”。这里并不是要决定用这些数据来做什么，但是应该知道已经做了什么。回忆本书前面讨论的内容，现在看到的内容就是（从上至下）、和的内容。图4.6 查看解码卷标SCP专业考试中，总结、详细资料和Hex窗格的内容占很大比重。需要了解它们分别是什么，以及在每个窗格中会看到哪些内容。4.1.4 浏览并分析捕获结果 （请同学们完成以下详细步骤）（1）总结、详细资料与Hex窗格进行监控 （2）显示设定选项：（3）总结帧数据包 图4.7保存选中帧： 选择范围：选择标记: 上一个被选帧:下一个被选帧: （4）重新查看上图，会发现下一栏是No.，其作用是： 右边一栏是状态栏。这一栏表示帧是否被标记。标记是捕获文件中的一个记号。再右边一栏是来源地址，接着是目的地址栏。作用是： 4.1.3详细资料窗格已经了解了帧的内容，现在让我们来看看从数据的表格视图中可以得到哪些信息。利用sniffer数据捕获功能捕获数据并进行数据桢解析分析，例如：图4.8 专家分析系统 （1）. 如上图所示，你会看到IP文件头的各部分内容。现在把它们与图中的数据相对应来看： （根据自己的Sniffer专家分析系统的分析内容完成以下：）版本 n IHLn ToS ToS位可以提供服务质量（QoS）信息（Sniffer Pro会提供一些必要的信息，这样就不必为它们的意义伤脑筋了。）n 总长度n ID n 标记 n 分段差距 n TTLn 协议n 校验和 n SA n DA n 选项与Padding 这里没有任何选项。在文件头中不一定必须有选项这部分内容。n 数据 (2)TCP文件头可以分成几个部分。现在可以查看TCP文件头的所有详细内容。在TCP中，需要使用端口序号来识别并建立与上层协议之间的连接。这个文件头会像IP文件头一样被分解来查看各部分内容，现在我们来了其中各项的详细内容：n 来源端口 n 目的端口 n 顺序序号 顺序序号（和下一个期望顺序序号）用来进行顺序控制。n 确认号 因为已经设定了ACK字节（在下面几行中，确认字节设定为1），确认号代表。n 差距 数据差设定为40个字节，可以说明。n 标记 标记为10。n U 紧急指针（URG）设定为。n A 确认字节（ACK）设定为。n P 入栈程序（PSH）设定为。n R 重新连接（RST）设定为。n S 同步顺序号（SYN）设定为。n F 释放连接（FIN）设定为。n 窗口 窗口为。n 校验和 校验和为。n 选项Padding 。n 数据。这些信息会使我们更有兴趣深入了解这些内容，我们甚至还没有得到全部的负载内容。Sniffer Pro是一种非常有价值的工具，可以用它来深入挖掘数