协议分析v2100

1、计算机网络工程计算机网络工程Chapter 6 网络协议分析（网络协议分析（S2100）学习目标学习目标l如何在局域网中部署协议分析工具如何在局域网中部署协议分析工具l如何使用协议分析工具如何使用协议分析工具 EtherealEthereal 学习完本课程，您应该能够：学习完本课程，您应该能够：课程内容课程内容网络嗅探与协议分析简介网络嗅探与协议分析简介 1.1.网络嗅探与协议分析工具构成网络嗅探与协议分析工具构成 网路分析是通过检查捕获的网络流量以确定网络是否网路分析是通过检查捕获的网络流量以确定网络是否发生异常事件的过程。发生异常事件的过程。 一个网络分析工具均包含以下五个基本组成部分：一

2、个网络分析工具均包含以下五个基本组成部分：u硬件。大多数网络分析工具是基于软件的，运行在通用操硬件。大多数网络分析工具是基于软件的，运行在通用操作系统和网卡之上；还有一些基于硬件的网络分析工具。作系统和网卡之上；还有一些基于硬件的网络分析工具。u捕获驱动。捕获驱动的功能是从网络上捕获原始网络流量，捕获驱动。捕获驱动的功能是从网络上捕获原始网络流量，它还可以将你需要过滤的流量存储在缓冲区中。它还可以将你需要过滤的流量存储在缓冲区中。u缓冲区。缓冲区用来存放捕获的数据。缓冲区有基于硬盘缓冲区。缓冲区用来存放捕获的数据。缓冲区有基于硬盘和基于内存两种。和基于内存两种。u实时分析器。实时分析器的功能是

3、分析来自网络的数实时分析器。实时分析器的功能是分析来自网络的数u解码器。解码器的功能是以人们可识别的方式显示网络流解码器。解码器的功能是以人们可识别的方式显示网络流量内容。量内容。网络嗅探与协议分析简介网络嗅探与协议分析简介 2.2.常用的网络分析工具常用的网络分析工具( (在在/tools/category/4可搜索到许多常用的性可搜索到许多常用的性能优异的网络分析工具能优异的网络分析工具。) )lEthereal。 是一款性能卓越的嗅探软件，也是我们实验采用的网络分是一款性能卓越的嗅探软件，也是我们实验采用的网络分析工具。析工具。lWinDump。

4、是一款基于。是一款基于Windows平台的平台的 tcpdump，它使用，它使用WinPcap库库lNetwork Associates Sniffer 。是一款流行的商业嗅探工具，。是一款流行的商业嗅探工具，lWindows 2000/NT Server Network Monitor 。 Windows 2000 Server 和和NT Server 内置的网络性能分析程序。内置的网络性能分析程序。lEtherPeek 这是一款这是一款WildPackets公司的商业网络分析工具，有基于公司的商业网络分析工具，有基于Windows 和和Mac两种版本。两种版本。网络嗅探与协议分析简介网络嗅

5、探与协议分析简介 2.2.常用的网络分析工具常用的网络分析工具lTcpdump 是基于是基于UNIX 平台的最常用的网络嗅探工具。平台的最常用的网络嗅探工具。lSnoop 是是Sun 的的Solaris os自带的一款网络嗅探工具。自带的一款网络嗅探工具。lSniffit 是运行在是运行在 Linux, SunOS, Solaris, FreeBSD 网络嗅探工具。网络嗅探工具。lSnort 是一款可以进行网络嗅探的入侵检测系统是一款可以进行网络嗅探的入侵检测系统lDsniff 是一款非常流行的网络嗅探工具。是一款非常流行的网络嗅探工具。lEttercap 这是一款特意设针对交换式网络的嗅探工

6、具。这是一款特意设针对交换式网络的嗅探工具。lAnalyzer 这是一款由这是一款由WinPcap 和和WinDump 的作者开发的运行在的作者开发的运行在 Windows OS 上的免费嗅探软件，上的免费嗅探软件，lPacketyzer 这是一款使用这是一款使用Ethereals 内核逻辑的运行在内核逻辑的运行在Windows平平台的免费软件台的免费软件，网络嗅探与协议分析简介网络嗅探与协议分析简介 3. Etheral可以分析的网络协议可以分析的网络协议lEthereal是一款不断改进和完善的优秀的网络分析软件，是一款不断改进和完善的优秀的网络分析软件，Ethereal的分析源数据可以从一

7、个存活网络上在线捕获或的分析源数据可以从一个存活网络上在线捕获或者从捕获文件中读取。者从捕获文件中读取。lEthereal可以读取来自可以读取来自Ethernet, FDDI, PPP, Token-Ring, IEEE 802.11, Classical IP over ATM和回环接口的网络数和回环接口的网络数据。据。 (但不是支持所有平台但不是支持所有平台)。 l捕获的网络数据可以以捕获的网络数据可以以GUI模式和模式和TTY模式浏览。模式浏览。 lEthereal可以解码的协议有可以解码的协议有472种，种， 网络嗅探与协议分析简介网络嗅探与协议分析简介 4.4.在网络中设置在网络中设

8、置EtherealEthereal网络分析工具网络分析工具 （1）错错误误的的配配置置方方式式网络嗅探与协议分析简介网络嗅探与协议分析简介 4.4.在网络中设置在网络中设置EtherealEthereal网络分析工具网络分析工具（2）利用利用镜像镜像端口端口捕获捕获网络网络流量流量网络嗅探与协议分析简介网络嗅探与协议分析简介 4.4.在网络中设置在网络中设置EtherealEthereal网络分析工具网络分析工具（3）利用利用HUB捕获捕获网络网络流量流量网络嗅探与协议分析简介网络嗅探与协议分析简介 4.4.在网络中设置在网络中设置EtherealEthereal网络分析工具网络分析工具（4）

9、使用使用分流分流器捕器捕获网获网络流络流量量 网络嗅探与协议分析简介网络嗅探与协议分析简介 4.4.在网络中设置在网络中设置EtherealEthereal网络分析工具网络分析工具（5）一一个个实实际际的的网网状状网网络络网络嗅探与协议分析简介网络嗅探与协议分析简介 5.5.谁在使用网络分析工具？谁在使用网络分析工具？lConverting the binary data in packets to human-readable formatlTroubleshooting problems on the networklAnalyzing the performance of a netwo

10、rk to discover bottleneckslNetwork intrusion detectionlLogging network traffic for forensics and evidencelAnalyzing the operations of applicationslDiscovering a faulty network cardlDiscovering the origin of a Denial of Service (DoS) attack lDetecting spywarelNetwork programming to debug in the devel

11、opment stagelDetecting a compromised computerlValidating compliance with company policylAs an educational resource when learning about protocolslFor reverse-engineering protocols in order to write clients and supporting programsEthereal使用简介使用简介1. 1. 在在WindowsWindows平台上安装平台上安装EtherealEthereal1 1） 安装安

12、装winpcapwinpcap，我们实验使用的是，我们实验使用的是WinPcap-3-0.exeWinPcap-3-0.exe。 最新的最新的winpcapwinpcap可从可从http:/netgroup-serv.polito.ithttp:/netgroup-serv.polito.it/ / winpcap/install/Default.htmwinpcap/install/Default.htm下载。下载。2 2）安装）安装EthrealEthreal，我们使用，我们使用ethereal-setup-0.10.11.exeethereal-setup-0.10.11.exe。 最新

13、的最新的Ethereal WindowsEthereal Windows可执行程序可从可执行程序可从 控控制制列列摘摘要要 细细节节十六进十六进制制数据数据Ethereal使用简介使用简介 启动启动ethrealethreal，选择菜单，选择菜单CapatureCapature-Interface: -Interface: 指定在哪指定在哪个接口（网卡）上抓捕获所有数据包。个接口（网卡）上抓捕获所有数据包。 Ethereal使用简介使用简介 启动启动ethrealethreal，选择菜单，选择菜单CapatureCapature-Options: -Options: 指定在哪个指定在哪个接口（

14、网卡）上捕获某种类型的数据包。接口（网卡）上捕获某种类型的数据包。 Ethereal使用简介使用简介lInterface: 指定在哪个接口（网卡）上抓捕获数据包。一般情况下都指定在哪个接口（网卡）上抓捕获数据包。一般情况下都是单网卡，所以使用缺省的就可以了。是单网卡，所以使用缺省的就可以了。lLimit each packet:限制每个包的大小，缺省情况不限制限制每个包的大小，缺省情况不限制lCapture packets in promiscuous mode:是否打开混杂模式。如果是否打开混杂模式。如果打开，抓取所有的数据包。一般情况下只需要监听本机收到或者发出打开，抓取所有的数据包。一般

15、情况下只需要监听本机收到或者发出的包，因此应该关闭这个选项。的包，因此应该关闭这个选项。lFilter：过滤器。只抓取满足过滤规则的包。：过滤器。只抓取满足过滤规则的包。lFile：如果需要将抓到的包写到文件中，在这里输入文件名称。：如果需要将抓到的包写到文件中，在这里输入文件名称。luse ring buffer：是否使用循环缓冲。缺省情况下不使用，即一直抓：是否使用循环缓冲。缺省情况下不使用，即一直抓包。包。 Ethereal使用简介使用简介 EtheralEtheral的显示过滤器的使用的显示过滤器的使用 Ethereal使用简介使用简介 可以使用下面的操作符来构造显示过滤器可以使用下面

16、的操作符来构造显示过滤器leqeq = = 例如例如: : ip.addrip.addr=0=0lnene != != 例如例如: ip.addr!=0: ip.addr!=0lgtgt 例如例如: frame.pkt_len10: frame.pkt_len10lltlt 例如例如: frame.pkt_len10: frame.pkt_len= = 例如例如: frame.pkt_len=10: frame.pkt_len=10llele = = 例如例如: frame.pkt_len=10: frame.pkt_le

17、n=10 表达式组合表达式组合 可以使用下面的逻辑操作符将表达式组合起来可以使用下面的逻辑操作符将表达式组合起来landand & & 逻辑与，比如逻辑与，比如ip.addrip.addr=0&tcp.flag.fin=0&tcp.flag.finloror | | 逻辑或，比如逻辑或，比如ip.addrip.addr=0|ip.addr=1=0|ip.addr=1lxorxor 异或异或 如如tr.dst0:3 = 0.6.29 xortr.dst0:3 = 0.6.29 xor tr

18、.src0:3 = tr.src0:3 =lnotnot ! ! 逻辑非，如逻辑非，如 !llc!llcEthereal使用简介使用简介 抓取抓取IPIP地址是地址是192.168.0128192.168.0128的主机所接收或发送的所有的的主机所接收或发送的所有的HTTPHTTP报文，报文，FilterFilter 构造为 ip addr=28 and httpEthereal使用简介使用简介3.3.了解了解EtherealEthereal主菜单主菜单 Ethereal使用简介使用简介l主菜单主菜单l工具栏工具栏l概要窗口概要窗口l协议树窗口协议树窗口l数据显示窗口数据

19、显示窗口l过虑栏过虑栏l消息区消息区Ethereal使用简介使用简介4.4.通过镜像端口分析局域网内的网络流量通过镜像端口分析局域网内的网络流量(s2100) (s2100) PC1:VLAN2Ethereal分析工具PC4:VLAN2PC3:VLAN2PC2:VLAN2SwitchAvlan 2SwitchA-vlan2port ethernet 0/2 to ethernet 0/5SwitchA monitor-port ethernet 0/2 no-filt SwitchAmirroring-port both SwitchAmirroring-port bothSwitchAmirroring-port bothS2100E0/2E/0/3E0/4E0/5网络嗅探与协议分析简介网络嗅探与协议分析简介 2.2.trunkPC1:VLAN2Ethereal分析工具PC4:VLAN2PC3:VLAN3PC2:VLAN2E0/1E0/1E0/2E0/2E0/9E0/10E0/21E0/9S2100S2100网络嗅探与协议分析简介网络嗅探与协议分析简介 2.2.配置配置VLAN：SwitchA & Switch