版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、网络分析工具sniffer pro一、训练目标1、了解常用网络分析工具2、会使用网络分析工具sniffer pro二、实训环境要求利用vmware软件虚拟出一台计算机(称为“虚拟机”或“虚拟系统”),与物理机组成一个 最小的网络实验环境,作为网络攻击的目标计算机,物理机作为实施网络攻击的主机。建议安装方式:在xp系统中,安装虚拟的windows2003/2000 server系统三、实训内容任务1:网络分析工具sniffer pro的使用sniffer pro是一种很好的网络分析程序,允许管理员逐个数据包查看通过网络的实际数 据,从而了解网络的实际运行情况。它具有以下特点:1. 可以解码至少4
2、50种协议。除了 ip、ipx和其它一些“标准”协议外,sniffer pro 还可以解码分析很多由厂商自己开发或者使用的专门协议,比如思科vlan中继协议(isl) o2. 支持主要的局域网(lan)、城域网(wan)等网络技术(包括高速与超高速以太网、令牌环、 802. lib无线网、sonet传递的数据包、t-1、帧延迟和atm) °3. 提供在位和字节水平上过滤数据包的能力。4. 提供对网络问题的高级分析和诊断,并推荐应该采取的正确措施。5. switch expert可以捉供从各种网络交换机查询统计结果的功能。6. 网络流量生成器能够以千兆的速度运行。7. 可以离线捕获数据
3、,如捕获帧。因为帧通常都是用8位的分界数组来校准,所以sniffer pro只能以字节为单位捕获数据。但过滤器在位或者字节水平都可以定义。需要注意的是,使用sniffer捕获数据时,由于网络中传输的数据量特别大,如果安装 sniffer的计算机内存太小,会导致系统交换到磁盘,从而使性能下降。如果系统没有足够的 物理内存来执行捕获功能,就很容易造成sniffer系统死 机或者崩溃。因此,网络屮捕获的 流量越多,sniffer系统就应该运行得更快、功能更强。因此,建议sniffer系统应该有一个 速度尽可能快的处理器,以及至少512mb的物理内存。1. sn辻fer pro计算机的连接要使snif
4、fer能够正常捕获到网络中的数据,安装sniffer的连接位置非常重要,必须 将它安装在网络屮合适的位置,才能捕获到内、外部网络之间数据的传输。如果随意安装在网 络屮的任何一个地址段,sniffer就不能正确抓取数据,而且有可能丢失重要的通信内容。一 般来说,sniffer应该安装在内部网络与外部网络通信的屮间位置,如代理服务器上,也可以 安装在笔记本电脑上。当哪个网段出现问题时,直接带着该笔记本电脑连接到交换机或者路 由器上,就可以检测到网络故障,非常方便。(1) 监控internet连接共享如果网络中使用代理服务器,局域网借助代理服务器实现internet连接共享,并且交换 机为傻瓜交换机
5、时,可以直接将sniffer pro安装在代理服务器上,这样,sniffer pro就可 以非常方便地捕获局域网和internet之间传输的数据。如果核心交换机为智能交换机,那么最好的方式是采用端口映射的方式,将局域网出口(连 接 代理服务器或者路由器的端口)映射为另外一个端口,并将sniffer pro计算机连接至该映 射端口。例如,在交换机上,与外部网络连接的端口设为a,连接笔记本电脑的端口设置为b, 将笔记本电脑的网卡与b端口连接,然后将a和b做端口映射,使得a端口传输的数据可以从 b端口监测到,这样,sniffer就可以监测整个局域网屮的数据了。(2) 监控某个vlan或者端口若欲监控
6、某个vlan中的通信时,应将sniffer pro计算机添加至该vlan,使其成为该vlan 屮的一员,从而监控该vlan屮的所有通信。若欲监控某个或者几个端口的通信时,可以釆用端口映射的方式,将被监控的端口(或若 t端口)映射为sniffer pro计算机所连接的端口。2. 设置监控网卡如果计算机上安装了多个网卡,在首次运行sniffer pr。时,需要选择要监控的网卡,应 该选择代理网卡或者连接交换机端口的网卡。当下次运行时,sniffer pro就会自动选择同样 的代理。(1)改变监控网卡sniffer安装完成以后,从“开始”菜单运行,显示“settings”对话框,在"sel
7、ect settings for monitoring歹!j表框中单击选择要监控的网卡,单击"确定”按钮,sniffer 就会监控该网卡屮传输的数据。如果以后要改变监控设置,可以选择“f订e”菜单屮的 “select settings选项,同样会岀现该对话框,用来改变要监控的网卡。如果在“settings”对话框中没有显示要监控的网卡,可以将其它网卡添加到该列表框 屮。单击“new”按钮,弹出“new settings"对话框,可以设置新添加的网卡。(2)监测网络中计算机的连接状况配置好服务器和工作站的tcp/ip设置并启动smfier pro软件,选择“菜单”中“moni
8、tor”“matrix”,从工作站访问服务器上的资源,如www、ftp等,观察检测到的网络中的连接状况, 记录下各连接的ip地址和mac地址。如图158所示。s00023fe918a6 吕 001958e68368 q01005e7ffffa ar»入塩數番包1岀塩数粥包子节i出境子帑i广播多宜传送1岀填楷误£74,990112,62110|182 80123689.6800131304.630000图15-8被监控计算机列表(3)监测网络中数据的协议分布选择菜单"monitor” “protocal distribution”,监测数据包中的使用的协议情况,如图
9、15-9 所示。记录下时间和协议分布情况。|mac"入空 /亡悔议分布ipx协议!hii10860单位丫他亥峻伯0101x图15-9被监控网络协议分布,lnl x|(4)监测分析网络中传输的icmp数据1)定义过滤规则:点击菜单“capture” t adefine filter,在在对话框中进行操作。 点击“address”(地址)选项卡,设置'地址类型”为p “包含”本机地址,即在“位 置1”输入本机ip地址,“方向”(dir.)为“双向”,“位置2”为“任意的”。 点击“advanced”选项卡,在该项下选择“ip”一“icmp”。设置完成后点击菜单中“capture”
10、 -“start”开始记录监测数据。显示如图1510和图1511所示。s?畳艾件图15-10监控地址选择酣e包含 c齢99任個 驭"处送tit为m所有的大水解i it址|触段?:砌|跻|trrrrfrr- rp魯jb包关型)pi1回3b.r,蚯 i m i比数件图1511监控协议选择3)从工作站ping服务器的ip地址。4)观察监测到的结果:点击菜单中"capture” -* " stop and display ”,将进入记录结果的窗 口。点击下方各选项卡可观察各项记录,可通过“file” 一save”保存监测记录。5)记录监测到的icmp传输记录:点击记录窗口
11、下方的解码“decode”选项,进入解码窗 口,分析记录,找到工作站向服务器发出的请求命令并记录有关信息。结果如图1512。icmp. icmp: icmp: icmp- icmp.(50j10 1.3.25010 1.3 15010 1.3 25050目n卫 tt tloa 3.250:篇诃.1/8以太网報1013.1501013.2501013.iso1013.250hohoaececec氐1icncmr sempmpmpmp一 melic瓦瓦ic一ichp headex type 8 (echo)code a 0checksum 485c (correct
12、)内春码03 96 uelqq 48 5c04 00 01 00 61 62 63 64 65 66167 68 696a 6b 6c6d 6e 6f 70 71 72 73 74 75 7663 64 65gimel皿0000001000 3c 67 6b 00 00 80 01 b7 c4 0a 01 第3 fa oa 01 <gk c00000020;00000030:00000040:图15-12 icmp数据包解码示例(5)监测分析网络中传输的http数据1)在服务器的web目录下放置一个网页文件。2)定义过滤规则:点击菜单"capture” -> "
13、definefilter”,在对话框中点"advanced”选项 卡,在该项下选择“ip” - “tcp” 一 “http”。设置完成后点击菜单中"capture" - “start" 开始记录监测数据。3)从工作站用浏览器访问服务器上的网页文件。4)观察监测到的结果:点击菜单中"capture” -* “stop and display”,将进入记录结果的窗 口,点击下方各选项卡可观察各项记录。点击“file” ->save”保存记录。5)记录监测到的http传输记录:点击记录窗口下方的解码“decode”选项,进入解码窗 口,分析记录
14、,找到工作站向服务器发出的网页请求命令并记录有关信息。(6)监测分析网络中传输的ftp数据1)启用服务器的serv-u软件,在ftp服务目录下放置一个文本文件。最好在ftp中建立两 个用户,即匿名用户(anonymous)和一个授权用户(用户名、权限自定)。2)定义过滤规则:点击菜单“ capture ° -449421 (ftp-ctrl) < 1205445112 “define filter ",在“ summary "选项卡下点击“reset" 按钮将过滤规则恢复到初始状态,然后在“advanced”选项卡下选择“ip” 一 “tcp” 一
15、 “ftp”。 设置完成后点击菜单“capture” 一 “start”开始记录监测数据。3)从工作站用ftp下载服务器上的文本文件。4)观察监测到的结果:点击菜单"capture” ustop and display进入记录结果的窗口, 点击下方各选项卡观察各项记录并保存记录。监控显示如图1513所示。可以看到登录密码也是 明文显示的。在jsyi i以太冋帙10.1 3.25010 1 j 1510 1 3 250 50ftp r port-4494ftp c port4494ftp r port-4494331 passwordftp c port-4494fs fasuser220 microsof t ftp|lenr|relitia 上jftp醫飒的用户名uu1 .hpx図的登录童 j11tcp source porttcp destination porttcp sequence口号00000000:00000010:00000020:00000030;00000040:00oc29fdabab00023f003c6a7f40008006740396116e001547d9a
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 养老院老人健康数据统计分析制度
- 民航安全管理体系培训心得
- 新媒体合伙人合同(2篇)
- 承包采摘黄秋葵协议书范本(2篇)
- 2024年智能化物流设备采购合同
- 《食管癌的治疗》课件
- 2025年枣庄货运资格证安检考试题
- 2025年广州货运从业资格考试技巧
- 2025年青海货运从业资格证考试模拟考试题库
- 人教版七年级数学上册整式的加减整式(第2课时)示范公开课教学课件
- DG∕T 154-2022 热风炉
- 铁路建设项目施工企业信用评价办法(铁总建设〔2018〕124号)
- 模具报价表精简模板
- 抽样检验培训教材(共47页).ppt
- 时光科技主轴S系列伺服控制器说明书
- 通用带式输送机TD75或DT型出厂检验要求及记录
- 高考英语单项选择题题库题
- lonely-planet-PDF-大全
- 成人大专毕业生自我鉴定
- 汽车转向系统设计规范
- 管鲍之交-历史剧剧本(共4页)
评论
0/150
提交评论