Sniffer工具使用实验报告

1、精选优质文档-倾情为你奉上Sniffer工具使用实验报告学 院： 计算机科学与工程学院 班 级： 专 业： 学生姓名： 学 号： 目录实验目的了解著名协议分析软件sniffer的主要功能，以及sniffer能处理什么网络问题实验平台Sniffer软件是NAI公司推出的功能强大的协议分析软件。与Netxray比较，Sniffer支持的协议更丰富，如Netxray不支持PPPOE协议，但Sniffer能快速解码分析；Netxray不能在Windows 2000和Windows XP上正常运行，而SnifferPro 4.6可以运行在各种Windows平台上。缺点：运行时需要的计算机内存比较大，否则

2、运行比较慢功能：1）捕获网络流量进行详细分析2)利用专家分析系统诊断问题3）实时监控网络活动4）收集网络利用率和错误等实验内容实验1：抓ping和回应包实验要求：Ping xxxxt观察icmp:echo和icmp:echo(reply)包信息实验过程与分析1）设置过滤器过滤ICMP协议2）让Sniffer开始抓包Ping 2 t 截获包如下Echo包：ICMP头后面abcde为填充内容（数据填充码），纯熟用来凑够一个帧大小Echo reply包与Echo包对比可知，ID和sequence number是一致的。同样ICMP头后面abcde为填充内容（数据填充码），纯

3、熟用来凑够一个帧大小实验2 ：捕获内网发往外网的重要数据实验要求：捕获条件可选择协议dns(tcp),http,pop,smtp,地址为本机IP到any登陆华南目棉BBS或华工教学在线或其他网络论坛。用sniffer可找到用户名和密码summary域出现“POST”，就可找到用户名和密码。如果是登录邮箱，如163，sina，sohu等，则只能看到用户名，密码是加密的。实验过程与分析：1）先打开华工教学在线输入帐号密码2）捕获条件可选择协议dns(tcp),http,pop,smtp,地址为本机IP到any3）Sniffer开始捕获，再点登陆（纯熟为了减少捕获到多余http报文）在捕获的报文里右

4、键find frame4）搜索POST，POST为向服务器提交数据的http报文（一般为提交表单内容）可定位到包含帐号密码的报文，如下5）下面是其data域内帐号密码的内容，可知这里密码没加密的实验3 ：Arp包编辑发送实验要求：先捕获一个ARP包（Ping），右击发送（send frames）发送编辑窗口实验过程与分析：1）用Ping命令可以引发个arp报文原因：因为本机器要向目标主机发送报文时，会查询本地的ARP表，找到目标的IP地址对应的MAC地址的话，就会直接传输。如果未找到，就会广播一个ARP报文请求目标的MAC地址2）因此假如ping时没截获到arp报文，可以先arp d删除arp

5、缓冲表对其中1个arp右击send frame，如下图包格式可参照下图修改实验4 ：ARP欺骗实验要求：通过ARP请求误导一台计算机建立错误的arp表（IP地址和MAC地址的映射关系表）。1）主机A和主机C：用“ARP a”查看并记录arp高速缓存2）主机A、C设置过滤条件（只提取ARP和ICMP协议），开始捕包；主机A ping C,观察主机A、C上捕获的icmp报文，并记录MAC地址。3）攻击者B：a)攻击者B向主机A发arp请求报文（编辑，暂不发送）MAC层：源MAC：B的MAC目的MAC：A的MACARP层：源MAC：B的MAC源IP：C的IP（假冒C的IP）目的MAC：A的MAC目的

6、IP：A的IPb)主机B向主机C发ARP请求报文（编辑，暂不发送）MAC层：源MAC：B的MAC目的MAC：C的MACARP层：源MAC：B的MAC源IP：A的IP （假冒A）目的MAC：C的MAC目的IP：C的IP4）近乎同时（一定要保证时间间隔很短）地发送3）编辑的报文。可设定时发送（每隔500ms发送一次）5）观察A和C的ARP表A: 错误的arp表：C的IP和B的MACC:错误的arp表：A的IP和B的MAC实验过程与分析1）首先A与C互ping连通A:A:B: B: 2）这时我做攻击者，可以先打开sniffer，ping A3）从里面找到A返回给我的ARP REPLY，对这个包右击点

7、send frame可以根据上表把MAC互换，再把目标IP写着A IP,源IP写着C IP要实现近乎同时（一定要保证时间间隔很短）地发送3）编辑的报文。可设定时发送（每隔500ms发送一次）修改后如下图4）把这包持续发出去后，会看到A ping 不通C了查看arp表发现C的IP却是B的MAC5）对C如同对A操作之后结果实验深入分析：ARP协议是一直开放着接收ARP reply的。所以当计算机接收到ARP reply时，就会对本地的ARP表进行更新，将reply中的IP和MAC 地址存储在ARP表中。因此，当B向A发送一个伪造的ARP reply，是B为了冒充C而伪造的，把源IP地址改为C的IP

8、，而 MAC地址是B自己的MAC，则当A接收到B伪造的ARP reply后，就会更新本地的ARP表，这样在A的ARP表中C的MAC地址已经变成是B的MAC了。而又因为局域网的通信是根据MAC地址进行的，导致A不能与C交流了实验5：交换机端口镜像的简单配置实验要求：A,B,C三台电脑。假设A,B,C外线分别接到交换机端口1，5，6.配置A,B的流量镜像到C观察A和B互ping的流量，C能捕获取消端口镜像，再次观察命令指导：SwitchenableSwitch#setdefault 清空交换机配置，恢复到出厂设置Switch#writeSwitch#showstartup-configSwitch

9、#reload重启交换机Switch#configterminal 进入配置模式Switch(config)#monitorsession source interface rx/tx/both 指定镜像源端口，为session值，1100，为镜像源端口列表，如ethernet0/0/1-4,rx为源端口接收流量，tx为源端口发出流量，both为出入两方面的流量No monitor session source interface 删除镜像源端口Switch(config)#monitorsession destination interface 指定镜像目的端口注意：镜像目的端口必须和镜像源端口在同一vlan中。实验过程与分析：清空交换机配置，恢复到出厂设置重启交换机将端口1，7的流量镜像到端口8验证配置配置完毕。这里的AB为1、7端口，C为8端口。然后A ping B的话，C里用sniffer可以看到他们之间的流量。如下图（已经过源目标IP端口流量过滤）：取消镜像这个时候就抓不到A、B间的通讯了。实验心得掌握了如何使用sniffer进行抓包，懂得了如何使用sniffer去分析网络中的包信息，对网