1、精選優質文檔-傾情為你奉上Sniffer工具使用實驗報告學 院： 計算機科學與工程學院 班 級： 專 業： 學生姓名： 學 號： 目錄實驗目的了解著名協議分析軟件sniffer的主要功能，以及sniffer能處理什么網絡問題實驗平臺Sniffer軟件是NAI公司推出的功能強大的協議分析軟件。與Netxray比較，Sniffer支持的協議更豐富，如Netxray不支持PPPOE協議，但Sniffer能快速解碼分析；Netxray不能在Windows 2000和Windows XP上正常運行，而SnifferPro 4.6可以運行在各種Windows平臺上。缺點：運行時需要的計算機內存比較大，否則

2、運行比較慢功能：1）捕獲網絡流量進行詳細分析2)利用專家分析系統診斷問題3）實時監控網絡活動4）收集網絡利用率和錯誤等實驗內容實驗1：抓ping和回應包實驗要求：Ping xxxxt觀察icmp:echo和icmp:echo(reply)包信息實驗過程與分析1）設置過濾器過濾ICMP協議2）讓Sniffer開始抓包Ping 2 t 截獲包如下Echo包：ICMP頭后面abcde為填充內容（數據填充碼），純熟用來湊夠一個幀大小Echo reply包與Echo包對比可知，ID和sequence number是一致的。同樣ICMP頭后面abcde為填充內容（數據填充碼），純

3、熟用來湊夠一個幀大小實驗2 ：捕獲內網發往外網的重要數據實驗要求：捕獲條件可選擇協議dns(tcp),http,pop,smtp,地址為本機IP到any登陸華南目棉BBS或華工教學在線或其他網絡論壇。用sniffer可找到用戶名和密碼summary域出現“POST”，就可找到用戶名和密碼。如果是登錄郵箱，如163，sina，sohu等，則只能看到用戶名，密碼是加密的。實驗過程與分析：1）先打開華工教學在線輸入帳號密碼2）捕獲條件可選擇協議dns(tcp),http,pop,smtp,地址為本機IP到any3）Sniffer開始捕獲，再點登陸（純熟為了減少捕獲到多余http報文）在捕獲的報文里右

4、鍵find frame4）搜索POST，POST為向服務器提交數據的http報文（一般為提交表單內容）可定位到包含帳號密碼的報文，如下5）下面是其data域內帳號密碼的內容，可知這里密碼沒加密的實驗3 ：Arp包編輯發送實驗要求：先捕獲一個ARP包（Ping），右擊發送（send frames）發送編輯窗口實驗過程與分析：1）用Ping命令可以引發個arp報文原因：因為本機器要向目標主機發送報文時，會查詢本地的ARP表，找到目標的IP地址對應的MAC地址的話，就會直接傳輸。如果未找到，就會廣播一個ARP報文請求目標的MAC地址2）因此假如ping時沒截獲到arp報文，可以先arp d刪除arp

5、緩沖表對其中1個arp右擊send frame，如下圖包格式可參照下圖修改實驗4 ：ARP欺騙實驗要求：通過ARP請求誤導一臺計算機建立錯誤的arp表（IP地址和MAC地址的映射關系表）。1）主機A和主機C：用“ARP a”查看并記錄arp高速緩存2）主機A、C設置過濾條件（只提取ARP和ICMP協議），開始捕包；主機A ping C,觀察主機A、C上捕獲的icmp報文，并記錄MAC地址。3）攻擊者B：a)攻擊者B向主機A發arp請求報文（編輯，暫不發送）MAC層：源MAC：B的MAC目的MAC：A的MACARP層：源MAC：B的MAC源IP：C的IP（假冒C的IP）目的MAC：A的MAC目的

6、IP：A的IPb)主機B向主機C發ARP請求報文（編輯，暫不發送）MAC層：源MAC：B的MAC目的MAC：C的MACARP層：源MAC：B的MAC源IP：A的IP （假冒A）目的MAC：C的MAC目的IP：C的IP4）近乎同時（一定要保證時間間隔很短）地發送3）編輯的報文。可設定時發送（每隔500ms發送一次）5）觀察A和C的ARP表A: 錯誤的arp表：C的IP和B的MACC:錯誤的arp表：A的IP和B的MAC實驗過程與分析1）首先A與C互ping連通A:A:B: B: 2）這時我做攻擊者，可以先打開sniffer，ping A3）從里面找到A返回給我的ARP REPLY，對這個包右擊點

7、send frame可以根據上表把MAC互換，再把目標IP寫著A IP,源IP寫著C IP要實現近乎同時（一定要保證時間間隔很短）地發送3）編輯的報文。可設定時發送（每隔500ms發送一次）修改后如下圖4）把這包持續發出去后，會看到A ping 不通C了查看arp表發現C的IP卻是B的MAC5）對C如同對A操作之后結果實驗深入分析：ARP協議是一直開放著接收ARP reply的。所以當計算機接收到ARP reply時，就會對本地的ARP表進行更新，將reply中的IP和MAC 地址存儲在ARP表中。因此，當B向A發送一個偽造的ARP reply，是B為了冒充C而偽造的，把源IP地址改為C的IP

8、，而 MAC地址是B自己的MAC，則當A接收到B偽造的ARP reply后，就會更新本地的ARP表，這樣在A的ARP表中C的MAC地址已經變成是B的MAC了。而又因為局域網的通信是根據MAC地址進行的，導致A不能與C交流了實驗5：交換機端口鏡像的簡單配置實驗要求：A,B,C三臺電腦。假設A,B,C外線分別接到交換機端口1，5，6.配置A,B的流量鏡像到C觀察A和B互ping的流量，C能捕獲取消端口鏡像，再次觀察命令指導：SwitchenableSwitch#setdefault 清空交換機配置，恢復到出廠設置Switch#writeSwitch#showstartup-configSwitch

9、#reload重啟交換機Switch#configterminal 進入配置模式Switch(config)#monitorsession source interface rx/tx/both 指定鏡像源端口，為session值，1100，為鏡像源端口列表，如ethernet0/0/1-4,rx為源端口接收流量，tx為源端口發出流量，both為出入兩方面的流量No monitor session source interface 刪除鏡像源端口Switch(config)#monitorsession destination interface 指定鏡像目的端口注意：鏡像目的端口必須和鏡像源端口在同一vlan中。實驗過程與分析：清空交換機配置，恢復到出廠設置重啟交換機將端口1，7的流量鏡像到端口8驗證配置配置完畢。這里的AB為1、7端口，C為8端口。然后A ping B的話，C里用sniffer可以看到他們之間的流量。如下圖（已經過源目標IP端口流量過濾）：取消鏡像這個時候就抓不到A、B間的通訊了。實驗心得掌握了如何使用sniffer進行抓包，懂得了如何使用sniffer去分析網絡中的包信息，對網