1、惠州學院計算機網絡實驗報告實驗08 Sniffer Pro數據包捕獲與協議分析1. 實驗目的（1）了解Sniffer的工作原理。（2）掌握SnifferPro工具軟件的基本使用方法。（3）掌握在非交換以太網環境下偵測、記錄、分析數據包的方法。2. 實驗原理數據在網絡上是以很小的被稱為“幀”或“包”的協議數據單元（PDU）方式傳輸的。以數據鏈路層的“幀”為例，“幀”由多個部分組成，不同的部分對應不同的信息以實現相應的功能，例如，以太網幀的前12個字節存放的是源MAC地址和目的MAC地址，這些數據告訴網絡該幀的來源和去處，其余部分存放實際用戶數據、高層協議的報頭如TCPIP的報頭或IPX報頭等等。

2、幀的類型與格式根據通信雙方的數據鏈路層所使用的協議來確定，由網絡驅動程序按照一定規則生成，然后通過網絡接口卡發送到網絡中，通過網絡傳送到它們的目的主機。目的主機按照同樣的通信協議執行相應的接收過程。接收端機器的網絡接口卡一旦捕獲到這些幀，會告訴操作系統有新的幀到達，然后對其進行校驗及存儲等處理。在正常情況下，網絡接口卡讀入一幀并進行檢查，如果幀中攜帶的目的MAC地址和自己的物理地址一致或者是廣播地址，網絡接口卡通過產生一個硬件中斷引起操作系統注意，然后將幀中所包含的數據傳送給系統進一步處理，否則就將這個幀丟棄。如果網絡中某個網絡接口卡被設置成“混雜”狀態，網絡中的數據幀無論是廣播數據幀還是發向

3、某一指定地址的數據幀，該網絡接口卡將接收所有在網絡中傳輸的幀，這就形成了監聽。如果某一臺主機被設置成這種監聽（Snfffing）模式，它就成了一個Sniffer。一般來說，以太網和無線網被監聽的可能性比較高，因為它們是一個廣播型的網絡，當然無線網彌散在空中的無線電信號能更輕易地截獲。3. 實驗環境與器材本實驗在虛擬機中安裝SnifferPro4.7版本，要求虛擬機開啟FTP、HTTP等服務，即虛擬機充當服務器，物理機充當工作站。物理機通過Ping命令、FTP訪問及網頁訪問等操作實驗網絡數據幀的傳遞。4. 實驗內容介紹最基本的網絡數據幀的捕獲和解碼，詳細功能請參閱本教材輔助材料。（1）Sniff

4、er Pro 4.7的安裝與啟動1）啟動Sniffer Pro 4.7。在獲取Sniffer Pro 4.7軟件的安裝包后，運行安裝程序，按要求輸入相關信息并輸入注冊碼，若有漢化包請在重啟計算機前進行漢化。完成后重啟計算機，點擊“開始”à“程序”à“Sniffer Pro”à“Sniffer”，啟動“Sniffer Pro 4.7”程序。2）選擇用于Sniffer的網絡接口。如果計算機有多個網絡接口設備，則可通過菜單“File”à“Select Settings”，選擇其中的一個來進行監測。若只有一塊網卡，則不必進行此步驟。（2）監測網絡中計算機的連接狀

5、況配置好服務器和工作站的TCP/IP設置并啟動Sniffer Pro軟件，選擇“菜單”中“Monitor”“Matrix”，從工作站訪問服務器上的資源，如WWW、FTP等，觀察檢測到的網絡中的連接狀況，記錄下各連接的IP地址和MAC地址。如圖15-8所示。圖15-8 被監控計算機列表（3）監測網絡中數據的協議分布選擇菜單“Monitor”“Protocal distribution”，監測數據包中的使用的協議情況，如圖15-9所示。記錄下時間和協議分布情況。圖15-9 被監控網絡協議分布（4）監測分析網絡中傳輸的ICMP數據1）定義過濾規則：點擊菜單“Capture”à“Define

6、 Filter”，在在對話框中進行操作。l 點擊“Address”（地址）選項卡，設置：“地址類型”為IP，“包含”本機地址，即在“位置1”輸入本機IP地址，“方向”（Dir.）為“雙向”，“位置2”為“任意的”。l 點擊“Advanced”選項卡，在該項下選擇“IP”“ICMP”。設置完成后點擊菜單中“Capture”“Start”開始記錄監測數據。顯示如圖15-10和圖15-11所示。 圖15-10 監控地址選擇 圖15-11 監控協議選擇3）從工作站Ping服務器的IP地址。4）觀察監測到的結果：點擊菜單中“Capture”“Stop and display”，將進入記錄結果的窗口。點擊

7、下方各選項卡可觀察各項記錄，可通過“File”Save”保存監測記錄。5）記錄監測到的ICMP傳輸記錄：點擊記錄窗口下方的解碼“Decode”選項，進入解碼窗口，分析記錄，找到工作站向服務器發出的請求命令并記錄有關信息。結果如圖15-12。圖15-12 ICMP數據包解碼示例（5）監測分析網絡中傳輸的HTTP數據1）在服務器的Web目錄下放置一個網頁文件。2）定義過濾規則：點擊菜單“Capture”à“Define Filter”，在對話框中點“Advanced”選項卡，在該項下選擇“IP”“TCP”“HTTP”。設置完成后點擊菜單中“Capture”“Start'開始記錄監

8、測數據。3）從工作站用瀏覽器訪問服務器上的網頁文件。4）觀察監測到的結果：點擊菜單中“Capture”“Stop and display”，將進入記錄結果的窗口，點擊下方各選項卡可觀察各項記錄。點擊“File”Save”保存記錄。5）記錄監測到的HTTP傳輸記錄：點擊記錄窗口下方的解碼“Decode”選項，進入解碼窗口，分析記錄，找到工作站向服務器發出的網頁請求命令并記錄有關信息。（6）監測分析網絡中傳輸的FTP數據1）啟用服務器的Serv-U軟件，在FTP服務目錄下放置一個文本文件。最好在FTP中建立兩個用戶，即匿名用戶（anonymous）和一個授權用戶（用戶名、權限自定）。 2）定義過濾規則：點擊菜單“Capture”“Define Filter”，在“Summary”選項卡下點擊“Reset"按鈕將過濾規則恢復到初始狀態，然后在“Advanced”選項卡下選擇“IP”“TCP”“FTP”。設置完成后點擊菜單“Capture”“Start”開始記錄監測數據。3）從工作站用FTP下載服務器上的文本文件。4）觀察監測到的結果：點擊菜單“Capture”“Stop and display”，進入記錄結果的窗口，點擊下方