1、siniffer軟件的使用siniffer軟件的使用題目下載網絡數據包捕獲工具（如ethereal，sniffer，iris等），安裝，運行，進行數據捕獲。找出tcp數據包。進行如下操作：1）分析某個tcp數據包各字段的值并解釋；2）找出建立連接時的tcp數據包進行分析；3）找出tcp數據包，解釋tcp的確認機制；4）找出tcp數據包，解釋tcp的流量控制和擁塞控制機制。以iris為例，具體實驗步驟如下：1組建對等網，2在兩臺計算機上分別安裝siniffer軟件，指定服務器和客戶機，3在服務器上安裝ftp服務器軟件，4在客戶機上運行ftp程序，從服務器上下載一個文件到客戶機，5利用iris捕獲

2、數據包，按要求分析tcp各字段的值。1 組建對等網這個環節省略，因為實驗室中都已經建好了。但要自己要決定哪一臺作為服務器，哪一臺作為客戶器，現在分別記為server和client。2 在兩臺計算機上分別安裝siniffer，簡單使用注：這里只講解在一臺計算機（server）上安裝網絡數據包捕獲工具siniffer。2.1 sniffer的大概工作原理sniffer程序是一種利用以太網的特性把網絡適配卡(nic,一般為以太同卡)置為雜亂模式狀態的工具，一旦網絡卡設置為這種模式，它就能接收傳輸在網絡上的每一個信息包。sniffer是利用計算機的網絡接口截獲目的地為其他計算機的數據報文的一種工具。2

3、.2 siniffer安裝過程（1）安裝過程提醒sniffer軟件的安裝還是比較簡單的，我們只需要按照常規安裝方法進行即可。需要說明的是: 在選擇sniffer pro的安裝目錄時，默認安裝目錄即可，我們可以通過旁邊的browse按鈕修改路徑，不過為了更好的使用還是建議各位用默認路徑進行安裝。 在注冊用戶時，注冊信息隨便填寫即可，不過email一定要符合規范，需要帶“”。在隨后出現的“sniffer pro uesr registration”對話框中，大家注意有一行sniffer serial number需要大家填入注冊碼（sr424-255rr-255oo-255rr，這個只能保證現在還

4、可以，以后可能就失效，如失效各位使用者可嘗試上網搜索新的可用的）（2）開始安裝截圖（這些資料來自51cto技術“子旭”個人博客）在安裝開始時通常會提醒你，系統要重啟才能繼續安裝，這是正常的過程。這個就不用說了 ，人人皆知；釋放程序.（3）填寫信息建議使用英文的字符填寫安裝程序中建議使用英文的字符填寫 這里至少符合郵件的格式同上，填寫好的這里子旭弄錯了，是郵編，但可以隨意建議使用英文的字符填寫同上，填寫好的 phone：是需要填寫電話區號等 這些可以隨意輸入阿拉伯數字 fax number是輸入傳真號 也隨意這里序列號在sniffer serial number后賣弄輸入產品序列號就ok了（4）

5、設置網絡連接方式注冊諸多數據后我們就來到設置網絡連接狀況了，一般對于企業用戶只要不是通過“代理服務器”上網的都可以選擇第一項direct connection to the internet。（我們學校的實驗室里一般不是用代理的）（5）完成安裝接下來才是真正的復制sniffer pro必需文件到本地硬盤，完成所有操作后出現setup complete提示，我們點finish按鈕完成安裝工作。由于我們在使用sniffer pro時需要將網卡的監聽模式切換為混雜，所以不重新啟動計算機是無法實現切換功能的，因此在安裝的最后，軟件會提示重新啟動計算機，我們按照提示操作即可注：client上安裝該軟件的

6、步驟與上述一樣2.3 siniffer簡單使用（1）選擇網卡和設置工作模式在進行流量捕獲之前首先選擇網絡適配器，確定從計算機的哪個網絡適配器上接收數據。位置：file-select settings選擇網絡適配器后才能正常工作。該軟件安裝在windows 98操作系統上，sniffer可以選擇撥號適配器對窄帶撥號進行操作。如果安裝了enternet500等pppoe軟件還可以選擇虛擬出的pppoe網卡。對于安裝在windows 2000/xp上則無上述功能，這和操作系統有關。 （2）各快捷鍵介紹本文將對報文的捕獲幾網絡性能監視等功能進行詳細的介紹。下圖為在軟件中快捷鍵的位置。31（3）捕獲面板

7、報文捕獲功能可以在報文捕獲面板中進行完成，如下是捕獲面板的功能圖：圖中顯示的是處于開始狀態的面板（4）捕獲過程報文統計界面在捕獲過程中可以通過查看下面面板查看捕獲報文的數量和緩沖區的利用率。（5）捕獲報文查看界面sniffer軟件提供了強大的分析能力和解碼功能。如下圖所示，對于捕獲的報文提供了一個expert專家分析系統進行分析，還有解碼選項及圖形和表格的統計信息。l 專家分析專家分分析系統提供了一個智能的分析平臺，對網絡上的流量進行了一些分析對于分析出的診斷結果可以查看在線幫助獲得。在下圖中顯示出在網絡中wins查詢失敗的次數及tcp重傳的次數統計等內容，可以方便了解網絡中高層協議出現故障的

8、可能點。對于某項統計分析可以通過用鼠標雙擊此條記錄可以查看詳細統計信息且對于每一項都可以通過查看幫助來了解其產生的原因。l 解碼分析下圖是對捕獲報文進行解碼的顯示，通常分為三部分，目前大部分此類軟件結構都采用這種結構顯示。對于解碼主要要求分析人員對協議比較熟悉，這樣才能看懂解析出來的報文。使用該軟件是很簡單的事情，要能夠利用軟件解碼分析來解決問題關鍵是要對各種層次的協議了解的比較透徹。工具軟件只是提供一個輔助的手段。因涉及的內容太多，這里不對協議進行過多講解，請參閱其他相關資料。對于mac地址，snffier軟件進行了頭部的替換，如00e0fc開頭的就替換成huawei，這樣有利于了解網絡上各

9、種相關設備的制造廠商信息。功能是按照過濾器設置的過濾規則進行數據的捕獲或顯示。在菜單上的位置分別為 capture-define filter和display-define filter。過濾器可以根據物理地址或ip地址和協議選擇進行組合篩選。l 統計分析對于matrix，host table，portocol dist. statistics等提供了豐富的按照地址，協議等內容做了豐富的組合統計，比較簡單，可以通過操作很快掌握這里就不再詳細介紹了。（6）設置捕獲條件界面l 基本捕獲條件/在本實驗中主要使用這種形式基本的捕獲條件有兩種：1、鏈路層捕獲，按源mac和目的mac地址進行捕獲，輸入方式

10、為十六進制連續輸入，如：00e0fc123456。2、ip層捕獲，按源ip和目的ip進行捕獲。輸入方式為點間隔方式，如：。如果選擇ip層捕獲條件則arp等報文將被過濾掉。l 高級捕獲條件在“advance”頁面下，你可以編輯你的協議捕獲條件，如圖：高級捕獲條件編輯圖在協議選擇樹中你可以選擇你需要捕獲的協議條件，如果什么都不選，則表示忽略該條件，捕獲所有協議。在捕獲幀長度條件下，你可以捕獲，等于、小于、大于某個值的報文。在錯誤幀是否捕獲欄，你可以選擇當網絡上有如下錯誤時是否捕獲。在保存過濾規則條件按鈕“profiles”，你可以將你當前設置的過濾規則，進行保存，在捕獲主面板中

11、，你可以選擇你保存的捕獲條件。l 任意捕獲條件在data pattern下，你可以編輯任意捕獲條件，如下圖：用這種方法可以實現復雜的報文過濾，但很多時候是得不償失，有時截獲的報文本就不多，還不如自己看看來得快。3 在服務器上安裝ftp服務器軟件這里處于試驗內容簡單考慮，使用簡單的ftp服務器軟件homeftpserver。不需要安裝，直接解壓即可。homeftpserver設置如下：（1）homeftpserver主界面這三個都是給用戶管理有關的，但該實驗只要用匿名就可以了該按鈕是啟動服務，后一個是停止服務ftp服務器基本配置（2）homeftpserver簡單配置（匿名訪問）設置完之后，點擊

12、保存生效匿名訪問根目錄的設置，后面是各訪問權限選項這些設置完成后，就可以啟動homeftpserver4 在客戶機（client）上運行ftp程序，從服務器上下載一個文件到客戶機這里直接使用ie瀏覽器訪問就可以了（3）,該ip地址是server的ip地址。5 利用siniffer捕獲數據包，按要求分析tcp各字段的值5.1實驗實例簡介在該實驗中，sinifer是在服務器上對來往的數據包進行俘獲的，服務器的ip地址是23，客戶端的ip地址是11。所做的事情步驟：（1）在23啟動ftp匿名服務/在3中

13、已經講解清楚了（2）在23上運行siniffer軟件，啟動抓包l 進入主界面停止并顯示結果啟動抓包l 過濾條件設置進入過濾條件設置界面，選擇地址過濾(address選項頁)，在address下拉框中選擇ip，根據ip地址進行過濾(也可以選擇hardware，對硬件地址進行過濾)，mode選擇“include”，然后再下面列表框中輸入服務器地址(23)和客戶機地址(11)。做這些的目的，只對往返于服務器和客戶機的數據包進行攔截，其他的數據都過濾了。l 啟動siniffer攔截（3）在11上打開ie瀏覽器，并在

14、地址欄輸入“ftp:/ 23”，并下載了兩個文件。（4）停止并顯示抓包結果點擊主界面上的“stop and display”快捷鍵。5.2 數據包分析任務5.2.1 完成任務前的準備（1）專家分析（expert頁面）expert-objects-application，顯示如下：可以看出使用了兩次的ftp服務（下載了兩個文件），從23 ftp服務器上下載兩個文件到11的客戶機上。各個字段的含義不解可借組幫助文檔。通過選擇service、application、 connection、 station出現頁面如下圖下面四個圖?？梢?/p>

15、看出對應的分別是：（1）服務類型（2）具體應用（3）連接情況（4）具體站點（主機）expert-objects-service，顯示如下：expert-objects-application，顯示如下：expert-objects-connection，顯示如下：expert-objects-station，顯示如下：（1）解碼分析（decode頁面）上：顯示的是對抓到的數據包的具體解釋。中：涉及到的三層協議（dlc,ip,tcp）下：所選中的數據包的二進制格式5.2.2 完成以下任務（1）分析某個tcp數據包各字段的值并解釋；這上面的各項都列出了tcp的各段的值，可以根據tcp包的格式對各個

16、字段進行認識。（2）找出建立連接時的tcp數據包進行分析；根據上圖中編號為1/2/3的三個分組顯示情況，可以看到“syn”“seq”“ack”win”等字段，尤其是編號為1/2的分組中的syn的關系，不難看出他們就是在進行tcp連接建立的過程。（3）找出tcp數據包，解釋tcp的確認機制；同上（4）找出tcp數據包，解釋tcp的流量監控和擁塞控制機制。該環節建議在交換機上進行，因為流量和擁塞中涉及到的問題主要針對大數據量，當然也可以進行在個人計算機上嘗試，那么就必須來個大文件的傳輸。（下面的資料也是來自于網絡上的）下面以圖文的方式介紹，如何查詢網關（路由、代理：219.*.238.65）流量，

17、這也是最為常用、重要的查詢之一。1 掃描ip-mac對應關系。這樣做是為了在查詢流量時，方便判斷具體流量終端的位置，mac地址不如ip地址方便。選擇菜單欄中tools-address book 點擊左邊的放大鏡（autodiscovery 掃描）在彈出的窗口中輸入您所要掃描的ip地址段，本例輸入：219.*.238.64-219.*.238.159點擊ok，系統會自動掃描ip-mac對應關系。掃描完畢后，點擊database-save address book 系統會自動保存對應關系，以備以后使用。(如圖7)圖72.查看網關流量。點擊monitor-host table，選擇host tabl

18、e界面左下角的mac-ip-ipx中的mac。（為什么選擇mac？在網絡中，所有終端的對外數據，例如使用qq、瀏覽網站、上傳、下載等行為，都是各終端與網關在數據鏈路層中進行的）(如圖8)圖83.找到網關的ip地址-選擇single station-bar (本例中網關ip為219.*.238.65)圖9如圖(9)所示：219.*.238.65（網關）流量top-10 此圖為實時流量圖。在此之前如果我們沒有做掃描ip（address book）的工作，右邊將會以網卡物理地址-mac地址的方式顯示，現在轉換為ip地址形式（或計算機名），現在很容易定位終端所在位置。流量以3d柱形圖的方式動態顯示，其

19、中最左邊綠色柱形圖與網關流量最大，其它依次減小。本圖中219.*.238.93與網關流量最大，且與其它終端流量差距懸殊，如果這個時候網絡出現問題，可以重點檢查此ip是否有大流量相關的操作。如果要查看219.*.238.65（網關）與內部所有流量通信圖，我們可以點擊左邊菜單中，排列第一位的-map按鈕如圖(10)所示,網關與內網間的所有流量都在這里動態的顯示。圖10需要注意的是：綠色線條狀態為：正在通訊中暗藍色線條狀態為：通信中斷線條的粗細與流量的大小成正比如果將鼠標移動至線條處,程序顯示出流量雙方位置、通訊流量的大小（包括接收、發送）、并自動計算流量占當前網絡的百分比。其它主要功能：pie：餅圖的方式顯示top 10的流量占用百分比。detail：將protocol(協議類型)、from host（原主機）、in/out packets/bytes(接收、發送字節數、包數)等字段信息以二維表格的方式顯示。第四步：基于ip層流量 1.為了進一步分析219.*.238.93的異常情況，我們切換至基于ip層的流量統計圖中看看。點擊菜單欄中的monitor-host table，選擇host table界面左下角的mac-ip-ipx中的ip。2.找到ip：219.*.238.93地址（可以用鼠標點擊