Sniffer Pro 抓包分析实验.doc

Sniffer Pro的基本使用和实例一、运行环境及安装Sniffer Pro可运行在局域网的任何一台机器上，如果是练习使用，网络连接最好用交换机且在一个子网，这样能抓到连到交换机上每台机器传输的包。本文用的版本是4.7.564，Sniffer Pro安装非常简单，装完，需要重启电脑（所以必须装在虚拟机里，虚拟机系统装XP或者Win2003系统均可）。第一次启动的时候，需要填写一些注册信息，可以乱写，但最后的序列号必须写对。提供的序列号：SR424-255RR-255OO-255RR 二、常用功能介绍（下面介绍来自于百度，版本是4.6的，界面可能与4.7稍有不同）1、Dashboard （网络流量表）点击图1中所指的图标，出现三个表，第一个表显示的是网络的使用率（Utilization），第二个表显示的是网络的每秒钟通过的包数量（Packets），第三个表显示的是网络的每秒错误率（Errors）。通过这三个表可以直观的观察到网络的使用情况，红色部分显示的是根据网络要求设置的上限。选择图1中所指的选项将显示如图2所示的更为详细的网络相关数据的曲线图。每个子项的含义无需多言，下面介绍一下测试网络速度中的几个常用单位。在TCP/IP协议中，数据被分成若干个包（Packets）进行传输，包的大小跟操作系统和网络带宽都有关系，一般为64、128、256、512、1024、1460等，包的单位是字节。很多初学者对Kbps、KB、Mbps 等单位不太明白，B 和 b 分别代表 Bytes(字节) 和 bits（比特），1比特就是0或1。1 Byte = 8 bits 。1Mbps (megabits per second兆比特每秒)，亦即 1 x 1024 / 8 = 128KB/sec（字节/秒），我们常用的ADSL下行512K指的是每秒 512K比特(Kb)， 也就是每秒512/8=64K字节（KB）图1 图2 2、Host table（主机列表）如图3所示，点击图3中所指的图标，出现图中显示的界面，选择图中所指的IP选项，界面中出现的是所有在线的本网主机地址及连到外网的外网服务器地址，此时想看看8这台机器的上网情况，只需如图中所示单击该地址出现图4界面。图3 图4中清楚地显示出该机器连接的地址。点击左栏中其它的图标都会弹出该机器连接情况的相关数据的界面。图4 3、Detail（协议列表）点击图5所示的“Detail”图标，图中显示的是整个网络中的协议分布情况，可清楚地看出哪台机器运行了那些协议。注意，此时是在图3的界面上点击的，如果在图4的界面上点击显示的是那台机器的情况。图5 4、Bar（流量列表）点击图6所示的“Bar”图标，图中显示的是整个网络中的机器所用带宽前10名的情况。显示方式是柱状图，图7显示的内容与图6相同，只是显示方式是饼图。图6 图7 5、Matrix （网络连接）点击图8中箭头所指的图标，出现全网的连接示意图，图中绿线表示正在发生的网络连接，蓝线表示过去发生的连接。将鼠标放到线上可以看出连接情况。鼠标右键在弹出的菜单中可选择放大（zoom）此图。图8 三、抓包实例（抓的是别人机器的数据，不是本机）1、抓某台机器的所有数据包如图9所示，本例要抓08这台机器的所有数据包，如图中选择这台机器。点击所指图标，出现图10界面，等到图10中箭头所指的望远镜图标变红时，表示已捕捉到数据，点击该图标出现图11界面，选择箭头所指的Decode选项即可看到捕捉到的所有包。图9 图10 图11 2、抓Telnet密码本例从08（这个地址是你本机地址） 这台机器telnet到22 （这个地址都一样），用Sniff Pro抓到用户名和密码。步骤1：设置规则如图12所示，选择Capture菜单中的Defind Filter，出现图13界面，选择图13中的ADDress项，在station 1和2中分别填写两台机器的IP地址，如图14所示选择Advanced选项，选择选IP/TCP/Telnet。图12 图13图14步骤2：抓包按F10键出现图15界面，开始抓包。图15 步骤3：运行telnet命令本例使telnet到一台开有telnet服务的机器上。运行：cmdtelnet 22login: lab406Password: 2011 （密码输入的时候，是不显示*的，输入后，回车即可登录系统）步骤4：察看结果图16中箭头所指的望远镜图标变红时，表示已捕捉到数据，点击该图标出现图17界面，选择箭头所指的Decode选项即可看到捕捉到的所有包。可以清楚地看出用户名为test密码为123456。（此处咱们捕获的应该是lab406，密码2011 ）图16图17图183、抓FTP密码本例从08 这台机器ftp到22，用Sniff Pro抓到用户名和密码。步骤1：设置规则如图12所示，选择Capture菜单中的Defind Filter出现图19界面，选择图19中的ADDress项，在station1和2中分别填写两台机器的IP地址，选择Advanced选项，选择选IP/TCP/FTP 。图19图20图21图22图23图24步骤2：抓包按F10键出现图15界面，开始抓包。步骤3：运行FTP命令本例使FTP到一台开有FTP服务的Linux机器上运行：Cmdftp 22 本例，FTP的账号是test，密码是123456789步骤4：察看结果图16中箭头所指的望远镜图标变红时，表示已捕捉到数据，点击该图标出现图25界面，选择箭头所指的Decode选项即可看到捕捉到的所有包。可以清楚地看出用户名为test密码为123456789。图25图26图27图284、抓HTTP密码步骤1：设置规则 按照下图29进行设置规则，Address里只添加被抓包的机器IP，另一个地址写any，高级里，协议选上http。图29图30步骤2：抓包按F10 键开始抓包。步骤3：访问网站 登录你的教务系统 或者上 人人网等登录后测试。步骤4：察看结果图16中箭头所 指的望远镜图标变红时，表示已捕捉到数据，点击该图标出现图31界面，选择箭头所指的Decode选项即可看到捕捉到的所有包。在Summary中找到含有POST或者GET关键字的包，可以清楚地看出用户名和密码。 也可以去试试抓取126、163或者QQ等信箱或者一些论坛账号信息。图31思考题：1. 抓包安全连接ssh，使用软件putty，输入22，点open，账号test22，密码123123 查看并分析结果。2. 根据网络监听的工作原理，讨论针对网络监听的防范措施，并加以实施和效果分析。实验内容到此结束！以下是Sniffer的使用说明！四、各功能详细介绍Sniffer是NAI公司推出的协议分析软件，它可以利用计算机的网络接口截获目的地为其他计算机的数据报文，并迎合了网络管理所需的基本要求，支持丰富的协议，能够进行快速解码分析，而且Sniffer可以运行在各种Windows平台。一、网络适配器的选择在使用Sniffer软件之前必须要做的一件工作是为计算机选择合适的网络适配器，确定数据的接收渠道。用户可以通过命令File/Select Setting来实现（如图1）。图1二、捕获报文Sniffer软件提供了两种最基本的网络分析操作，即报文捕获和网络性能监视（如图2）。在这里我们首先对报文的捕获加以分析，然后再去了解如何对网络性能进行监视。图2捕获面板报文捕获可以在报文捕获面板中进行，如图2中蓝色标注区所示即为开始状态的报文捕获面板，其中各按钮功能如图3所示图3捕获过程的报文统计在报文统计过程中可以通过单击Capture Panel 按钮来查看捕获报文的数量和缓冲区的利用率（如图4、5）。图4图5捕获报文的查看如图6所示，Sniffer软件提供了强大的分析和解码功能。对于捕获的报文可以通过Expert、Decode、Matrix、Host Table、Protocol Dist和Statistics来进行全方位的综合分析。由于Matrix、Host Table、Protocol Dist和Statistics将在网络性能监视部分详细介绍，所以本部分仅以Expert和Decode为重点作详细介绍。1、Expert（专家分析）专家分析系统平台只能对网络上的流量进行一些分析，对于分析的结果可以查看在线帮助获得。如图6所示即显示了在网络中WINS查询失败的次数及TCP重传的次数统计等内容，这样可以方便地了解网络中高层协议出现故障的可能节点。对于某项统计分析可以通过用鼠标双击此条记录来查看详细统计信息，且对于每一项都可以通过查看帮助来了解产生的原因。图62、Decode（解码分析）如图7所示为对捕获的报文进行解码分析，界面分为三个部分，分别显示捕获的报文、相应报文的解码和对应的二进制码。对于解码部分，要求分析人员对协议比较熟悉，而我们正缺乏这方面知识，所以没办法看懂解析出来的报文。图7设置捕获条件捕获功能是按照过滤设置的过滤规则进行数据的捕获和显示的。单击Define Filter 按钮（Capture/Define Filter或Display/Define Filter）则可在弹出的过滤设置对话框中根据物理地址或IP地址和协议选择进行组合筛选。如图8所示为捕获条件基本情况的显示，而在图9所示对话框中则可以为捕获所需报文的缓冲区做参数和行为上的设定。图8图91、基本捕获条件1）连路层捕获，按源MAC和目的MAC地址进行捕获，输入方式为十六进制连续输入，如：00E0FC1234562）IP层捕获，按源IP和目的IP进行捕获。输入方式为点间隔方式，如：。如果选择IP层捕获条件则ARP等报文将被过滤掉（如图10）。图102、高级捕获条件单击Advance按钮，用户可以编辑自己的协议捕获条件（如图11）。图11在协议选择树Available protocols中，用户可以选择自己需要的捕获条件，如果是么都不选，则表示忽略该条件，捕获所有的协议。在捕获帧长度条件Packer Size下，用户可以捕获小于、等于、大于某个值的报文，也可以捕获介于两个值之间或不介于两个值之间的报文。在帧类型栏Packet Type中，用户自然就可以选择希望捕获的帧的类型。比如，用户可以选择当网络上有相关错误时是否捕获。在保存过滤规则条件按钮Profiles中，用户可以将当前设置的过滤规则进行保存。当然，用户可以设置多条过滤规则。这样一来，在捕获主面板中，用户可以单击按钮来选择所需要应用的捕获条件。（如图12、13）图12图133、任意捕获条件在Data Pattern下，用户可以编辑任意捕获条件（如图14）。用这种方法就可以实现复杂的报文过滤，但很多时候会得不偿失，因为有时截获的报文本就不多，还不如自己看来得快。图14报文放送1、编辑报文放送Sniffer软件的报文放送功能相对而言比较弱，它的发送主面板如图15所示，用菜单命令Tools/Packet Generator即可打开。但是在发送之前，用户需要先编辑报文发送的内容，可以单击按钮，然后在图16所示界面下作相关选择后单击确定。图15图16回到图15所示界面，此时，用户可首先查看Detail所显示的将要发送的信息，然后选择Animation界面，单击发送按钮就可以形象地看到捕获的报文被发送到指定地点。2、捕获报文的直接编辑发送当然也可以将捕获到的报文直接转换成发送包文，然后做一些修改也是可以的。操作如图17所示。图17可以选中某个捕获的报文，用鼠标右键激活菜单，选择Send Current Packet，这是，该报文的内容已经被原封不动地送到“发送编辑窗口”了。这是在做一些修改就比全部填充报文省事多了。三、网络监视功能网络监视功能能够时刻监视网络统计、网络上资源利用率以及网络流量的异常情况，并且能够以多种直观的方式显示。除了我们在报文捕获中已经介绍过的Capture Panel之外，这部分内容还有Dashbord、Host Table、Matrix、Application Response Time、History、Protocol Distribution、Global Statistics、Alarm Log以及Address Book，按照其功能作用的重要性，我们在这里首先以Dashbord和ART为主要分析对象做详细阐述，然后对其他功能一一作介绍。DashbordDashbord可以监控网络的利用率、流量以及错误报文等多种内容。单击Dashbord按钮（Monitor/Dashbord）即可打开Dashbord面板运行操作（如图18）。图18通常我们可以首先单击Reset按钮来开始一次新的网络监控，但是在此之前往往需要用户首先做一些相关参数的设定，这时可以单击Set Thresholds按钮，于是便可以在如图19所示对话框中做符合用户需要的参数设置。除了一些常用的测量与控制（MAC）参数（如Packets）之外，用户还可以在Monitor sampling中选择监听采样时间。当选择完相关参数之后，单击“确定”即可完成参数的保存。图19在开始网络监控之后，我们就可以进行相关参数的分析。按钮为用户提供了形象直观但相对粗略的参数分析方法（如图20），而按钮适用于对参数的深入分析（如图21）。图20图21无论哪种分析方式，Dashbord都提供了短时间和长期两种分析选择。而且用户可以通过分别选择、或，从而对自己最关心的问题作最细致地分析（如图22、23、24），并且当用户将鼠标移动到相关选项上时，如Network中的Error选项，分析图中的对应曲线会突出显示。图22图23图24Application Response Time(ART)Application Response Time(ART)可以监视TCP/UDP应用层程序在客户端和服务器的响应时间，如HTTP，FTP，DNS等的应用。单击Application Response Time按钮（Monitor/Application Response Time）即可打开ART操作界面（如图25）。图25当然，在正式开始监视TCP/UDP应用层程序在客户端和服务器的响应时间之前用户可以根据自己的需要首先做一些相关的配置，如图25所示，单击properties便可进入属性设置对话框（如图26）。在这里，用户可以在General页面下首先选择数据更新的时间间隔。然后用户可以打开Display Protocols页面，在对应于Name栏的Shoe ART栏选择需要应用的协议（如图27）。最后用户可以打开Server-Client和Server Only页面选择具体需要监视的参数(如图28、29)。在做完全部属性设置后，单击“确定”按钮，此时系统会提示监视功能将按照新的参数设置重新启动（如图30）。此后，每次执行复位操作时便给系统设定义选的属性参数。图26图27图28图29图30接下来用户便可以在Table View、Client-Server Response Time、Server Response Time 几个网络参数观察方式之间切换观察获取需要的信息了，当然也需要使用刷新功能来帮助获取最新最有效的信息（如图31、32、33）。图31图32图33Host TableHost Table提供了被监视到的所有主机正在与网络的通信情况，在其操作界面下，单击Outline按钮便可获知各主机的IP地址、出入信包和信包大小等信息（如图34）。图34单击Detail按钮，可以进一步获知各主机正在使用的网络应用层协议（如图35）图35如果用户对当前信息流量前十名的主机IP地址有兴趣，单击Bar或Pie按钮即可获得相关信息（如图36、37）。图36图37正如我们在Dashbord和ART中介绍过的那样，用户所需要的信息可以由用户自己设定，在这里和以下的介绍中我们将不再多说。Matrix 如果说Host Table提供了单台主机与网络的通信情况，那么Matrix向用户提供的是被监视到的主机对之间的网络通信情况，而两者的操作界面和功能信息是完全类似的。Map，如图38所示为主机对链接图图38而图39、40、41、42所示信息与我们在Host Table中的介绍基本相同（只需将一台主机换成两台主机即可）。图39图40图41图42History History为管理网络监视的历史信息提供了极大的方便，用户可以通过添加和删除历史数据来对网络信息做纵向比较分析。也可以调出某个特定的网络对象对其作跟踪分析。（如图43）图43Protocol DistributionProtocol Distribution提供了观察网络协议使用情况的手段，用户可以通过Protocol Distribution来了解各种协议在网络中的应用情况（如图44、45）。图44图45Global Statistics 通过Global Statistics，用户可以对网络上传输的数据包尺寸统计分布规律和相应的利用率有所了解（如图46、47）。图46图47Alarm Log 在Alarm Log中，用户可以了解到本主机接收到的一些异常数据包，并且可以对这些异常数据包作出选择性的操作，只需在选中要操作的异常数据包后单击右键，便可进行Acknowledge应答，Remove删除等操作（如图48）。图48Address Book Address Book使用户的网络监视更具目的性，通过New Address和Autodiscovery两种操作，用户便可以对“满足自己设定的网络条件的主机”展开监视和跟踪（如图49）。图49四、数据报文解码简析1、数据报文分层如下表所示为网络结构中的四层协议，不同层次完成不同的功能，每一层都有众多协议组成。应用层-Telnet、Ftp和Email等传输层-TCP和UDP网络层-IP,ICMP和IGMP链路层-设备驱动程序和接口卡于是，图50为sniffer解码表中分别对每一个层次协议的解码分析，DLC对应链路层，IP对应网络层，UDP对应传输层，RTP对应应用层高层协议。Sniffer可以针对众多协议进行详细结构化解码分析，利用树型结构显示。图502、以太报文结构如下表所示为Ethernet帧结构DMACSMACTYPEDATA/PADFCS这种类型报文结构为：目的MAC地址（bytes）+源MAC地址（bytes）上层协议类型（2bytes）+数据字段（46-1500bytes）+校验（4bytes）于是，如图51所示，解码表中分别显示各字段内容，若要查看MAC详细内容，鼠标点击上面解码框中地址，在下面的表格中回以黑色突出显示对应的进制编码。图513、IP协议IP报文结构为：IP协议头+载荷，其中对IP协议头的分析是分析报文结构的主要内容之一，IP协议头的一种结构如下：版本：IPv4首部长度：单位是字节，最大字节TOS: IP优先级字段总长度：单位为字节，最大长度字节标识： IP报文标识字段标志：占比特，只用到低位的比特MF(More Fragment)MF=1，后面还有分片的数据包MF=0,分片数据包的最后一个DF( Dont Fragment)DF=1,不允许分片DF=0,允许分片段偏移：分片后的分组在原分组中的相对位置，总共比特，单位为字节寿命：TTL( Time to Live) 丢弃TTL=0的报文协议：携带的是何种协议报文1：I