实验6：Sniffer_Pro的基本使用和实例

实验六 超级网络嗅探器 Sniffer pro 的使用 1 1 项目编号 项目编号 6 6 2 2 实验课时 实验课时 2 2 三 主要内容及目的三 主要内容及目的 Sniffer 软件是 NAI 公司推出的功能强大的协议分析软件 实现对网络的监控 更深 入地了解网络存在的问题 检测和修复网络故障和安全问题 Sniffer 可以监听到网上传 输的所有信息 主要用来接收在网络上传输的信息 Sniffer 可以截获口令 专用信道内的信息 信用卡号 经济数据 E mail 等 还可以 用来攻击与自己相临的网络 SnifferSniffer 的功能主要包括如下几方面 的功能主要包括如下几方面 捕获网络流量进行详细分析 利用专家分析系统诊断问题 实时监控网络活动情况 监控单个工作站 会话或者网络中任何一部分的网络利用情况和错误统计 支持主要的 LAN WAN 和网络技术 提供在位和字节水平过滤数据包的能力 4 4 实训要求 实训要求 1 1 SnifferSniffer ProPro 的启动和设置的启动和设置 2 2 理解理解 SnifferSniffer ProPro 主要主要 4 4 种功能组件的作用 种功能组件的作用 监视 实时解码并显示网络通信流中的数据 监视 实时解码并显示网络通信流中的数据 捕获 抓取网络中传输的数据包并保存在缓冲区或指定的文件中 供以后使用 捕获 抓取网络中传输的数据包并保存在缓冲区或指定的文件中 供以后使用 分析 利用专家系统分析网络通信中潜在的问题 给出故障症状和诊断报告 分析 利用专家系统分析网络通信中潜在的问题 给出故障症状和诊断报告 显示 对捕获的数据包进行解码并以统计表或各种图形方式显示在桌面上 显示 对捕获的数据包进行解码并以统计表或各种图形方式显示在桌面上 3 3 学会学会 sniffer 工具的基本使用方法 用 sniffer 捕获报文并进行分析 五 实验环境五 实验环境 windows XP windows 7 能访问 INTERNET 六 实验操作步骤及要点六 实验操作步骤及要点 1 1 捕获数据包前的准备工作捕获数据包前的准备工作 SnifferSniffer propro 主界面 在默认情况下 Sniffer 将捕获其接入的域中流经的所有数据包 但在某些场景下 有 些数据包可能不是我们所需要的 为了快速定位网络问题所在 有必要对所要捕获的数据包 作过滤 Sniffer 提供了捕获数据包前的过滤规则的定义 过滤规则包括 2 3 层地址的定 义和几百种协议的定义 定义过滤规则的做法一般如下 定义过滤规则的做法一般如下 1 在主界面选择 Capture Define Filter 2 在 Define Filter 对话框中选择 Address 选项卡 这是最常用的定义 其中 包括 MAC 地址 IP 地址和 IPX 地址的定义 以定义 IP 地址过滤为例 如图 3 20 所示 图3 20 定义 IP 地址过滤 3 在 Define Filter 对话框中选择 Advanced 选项卡 定义希望捕获的相关协 议的数据包 如图3 21所示 图 3 21 定义捕获的相关协议的数据包 比如 想捕获使用 FTP NETBIOS DNS 和 HTTP 协议的数据包 那么首先展开 TCP 分 支 再选择协议 其次展开 UDP 分支 再选择协议 如果只选择了 TCP 分支下的相关 协议 则将导致捕获的数据包不全 如果不选任何协议 则捕获所有协议的数据包 4 PacketSize PacketSize 栏可以定义捕获包的大小栏可以定义捕获包的大小 如捕获包大小为 64 128 b 的数据包的 设置如图 3 22 所示 定义捕获的包大小 2 2 开始捕获数据包 观察相关信息开始捕获数据包 观察相关信息 在主界面中选择 Capture Start 启动捕获引擎 Sniffer 可以实时监控主机 协议 应用程序 不同包类型等的分布情况 其 Monitor Monitor 菜单如图 3 25 所示 图 3 25 Monitor 菜单 1 Dashboard 可以实时统计每秒钟接收到的包的数量 出错包的数量 丢弃包的 数量 广播包的数量 多播包的数量以及带宽的利用率等 2 Host Table 可以查看通信量最大的前 10 台主机 3 Matrix 可以形象地看到不同主机之间的通信 4 Application Response Time 可以了解到不同主机通信的最小 最大 平均响应 时间方面的信息 5 History Samples 可以看到历史数据抽样出来的统计值 6 Protocol Distribution 可以实时观察到数据流中不同协议的分布情况 7 Switch 可以获取 Cisco 交换机的状态信息 在捕获过程中 同样可以对想观察的信息定义过滤规则 操作方式类似捕获前对过滤规 则的定义 3 3 捕获数据包后的分析工作捕获数据包后的分析工作 要停止 Sniffer 捕获包时 可选择 Capture Stop 停止捕获包 Stop and Display 停止捕获包并把捕获的数据包进行解码和显示 Sniffer 提供了两种模式对捕获到的数据包进行分析 1 Decode 对每个数据包进行解码 可以看到整个包的结构及从链路层到应用层的 信息 事实上 使用 Sniffer 的大部分时间都花费在分析上面 这同时也对使用者在网络的 理论及实践经验上提出较高的要求 素质较高的使用者借助 Sniffer 便可看穿网络问题的症 结所在 2 Expert Sniffer 提供的专家模式 系统自身根据捕获的数据包从链路层到应用层 进行分类并作出诊断 其中 Diagnoses 能提供非常有价值的诊断信息 七 功能使用举例七 功能使用举例 2 2 HostHost tabletable 主机列表 主机列表 如图 3 所示 点击图 3 中 所指的图标 出现图中显示的界面 选择图中 所指的 IP 选项 界面中出现的是所有在线的本网主机地址及连到外网的外网服 务器地址 此时想看看 192 168 113 88 这台机器的上网情况 只需如图中 所示单击该地 址出现图 4 界面 图 3 图 4 中清楚地显示出该机器连接的地址 点击左栏中其它的图标都会弹出该机器连接情况的 相关数据的界面 图 4 3 3 DetailDetail 协议列表 协议列表 点击图 5 所示的 Detail 图标 图中显示的是整个网络中的协议 分布情况 可清楚地看出哪台机器运行了那些协议 注意 此时是在图 3 的界面上点击的 如果在图 4 的界面上点击显示的是那台机器的情况 图 5 4 4 BarBar 流量列表 流量列表 点击图 6 所示的 Bar 图标 图中显示的是整个网络中的机器所用带 宽前 10 名的情况 显示方式是柱状图 图 7 显示的内容与图 6 相同 只是显示方式是饼图 图 6 图 7 5 5 MatrixMatrix 网络连接 网络连接 点击图 8 中箭头所指的图标 出现全网的连接示意图 图中绿线表示正在发生的网络连接 蓝线表示过去发生的连接 将鼠标放到线上可以看出连接情况 鼠标右键在弹出的菜单中可 选择放大 zoom 此图 图 8 抓包实例抓包实例 1 1 抓某台机器的所有数据包 抓某台机器的所有数据包 如图 9 所示 本例要抓 192 168 113 208 这台机器 的所有数据包 如图中 选择这台机器 点击 所指图标 出现图 10 界面 等到图 10 中箭 头所指的望远镜图标变红所指的望远镜图标变红时 表示已捕捉到数据 点击该图标出现图 11 界面 选择箭头所 指的 Decode 选项即可看到捕捉到的所有包 图 9 图 10 图 11 3 3 抓 抓 FTPFTP 密码密码 本例从 192 168 113 208 这台机器 ftp 到 192 168 113 50 用 Sniff Pro 抓到用户名和密 码 步骤 1 设置规则 如图 12 所示 选择 Capture 菜单中的 Defind Filter 出现图 19 界面 选择图 19 中的 ADDress 项 在 station1 和 2 中分别填写两台机器的 IP 地址 选择 Advanced 选项 选择 选 IP TCP FTP 将 Packet Size 设置为 In Between 63 71 Packet Type 设置为 Normal 如图 20 所示 选择 Data Pattern 项 点击箭头所指的 Add Pattern 按钮 出现图 21 界面 按图设置 OFFset 为 2F 方格内填入 18 name 可任意起 确定后如图 22 点击 Add NOT 按钮 再点击 Add Pattern 按钮增加第二条规则 按图 23 所示设置好规则 确定后如图 24 所示 图 20 图 22 图 24 步骤步骤 2 2 抓包 抓包 按 F10 键出现图 15 界面 开始抓包 步骤步骤 3 3 运行 运行 FTPFTP 命令命令 本例使 FTP 到一台开有 FTP 服务的 Linux 机器上 D ftp 192 168 113 50 Connected to 192 168 113 50 220 test1 FTP server Version wu 2 6 1 1 Wed Aug 9 05 54 50 EDT 2000 ready User 192 168 113 50 none test 331 Password required for test Password 步骤步骤 4 4 察看结果 察看结果 图 16 中箭头所指的望远镜图标变红时 表示已捕捉到数据 点击该图标出现图 25 界面 选 择箭头所指的 Decode 选项即可看到捕捉到的所有包 可以清楚地看出用户名为 test 密码为 123456789 图 25 解释 解释 虽然把密码抓到了 但大家也许设不理解 将图 19 中 Packet Size 设置为 63 71 是根据用户名和口令的包大小来设置的 图 25 可以看出口令的数据包长度为 70 字节 其中 协议头长度为 14 20 20 54 与 telnet 的头长度相同 Ftp 的数据长度为 16 其中关键字 PASS 占 4 个字节 空格占 1 个字节 密码占 9 个字节 Od 0a 回车 换行 占 2 个字节 包 长度 54 16 70 如果用户名和密码比较长那么 Packet Size 的值也要相应的增长 Data Pattern 中的设置是根据用户名和密码中包的特有规则设定的 为了更好的说明这个问题 请在开着图 15 的情况下选择 Capture 菜单中的 Defind Filter 如图 20 所示 选择 Data Pattern 项 点击箭头所指的 Add Pattern 按钮 出现图 26 界面 选择图中 1 所指然后点 击 2 所指的 Set Data 按钮 OFFset 方格内 Name 将填上相应的值 同理图 27 中也是如 此 这些规则的设置都是根据你要抓的包的相应特征来设置的 这些都需要对 TCP IP 协议 的深入了解 从图 28 中可以看出网上传输的都是一位一位的比特流 操作系统将比特流转 换为二进制 Sniffer 这类的软件又把二进制换算为 16 进制 然后又为这些数赋予相应的 意思 图中的 18 指的是 TCP 协议中的标志位是 18 OFFset 指的是数据包中某位数据的位置 方格内填的是值 图 26 图 27 图 28 4 4 抓 抓 HTTPHTTP 密码密码