2Sniffer Pro网络监听实验.docx

《2Sniffer Pro网络监听实验.docx》由会员分享，可在线阅读，更多相关《2Sniffer Pro网络监听实验.docx（8页珍藏版）》请在三一办公上搜索。

1、网络监听实验实验目的(1) 熟悉网络监听的原理与技术。(2) 熟悉Sniffer Pro的基本使用方法。(3) 熟悉网络监听的用途与后果。实验环境每2位学生为一个实验组，使用2台安装Windows 2000/XP的PC机，通过局域网互联， IP 网络为 192.168.1.0/24。其中一台(192.168.1.101)安装 Sniffer Pro 4.7.5,记为 A， 实验环境的网络拓扑如图1所示。192.168.1.101192.168.1.100图1网络监听实验拓扑实验要求1、实验任务(1) 安装和运行网络监听软件。(2) 使用和测试Sniffer的常用功能。(3) 记录并分析实验结果

2、。2、实验预习(1) 预习本实验指导书，深入理解实验的目的与任务，熟悉实验步骤和基本环节。(2) 复习有关网络监听的基本知识。3、实验报告(1) 简要描述实验过程。(2) 实验中遇到了什么问题，如何解决的。(3) 在一台主机上安装防火墙，另一台主机再进行嗅探，看是否还能接收信息。如果不能， 分析其原因并详细写出来。(4) 根据网络监听的工作原理，讨论针对网络监听的防范措施，并加以实施和效果分析。(5) 实验收获与体会。实验背景1基础知识网络监听也称为嗅探，作为一种发展比较成熟的技术，在协助网络管理员监测网络传输 数据及排除网络故障等方面具有不可替代的作用。然而，网络监听也给以太网带来了极大的

3、隐患，许多网络入侵往往都伴随着以太网内网络监听，从而造成口令失窃、敏感数据被截获 等安全事件。网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关或远程网中的 调制解调器等。监听效果最好的地方是在网关、路由器、防火墙一类的设备上，通常由网络 管理员来操作。网络监听工具在功能和实际使用方面有多不同，有些只能分析一种，有些则能分析几百 种。大多数的网络监听工具都能分析标准以太网、TCP/IP、IPX和DECNet等。通常，网络 监听可以提供如下一些功能。(1) 自动从网络中过滤及转换有用的信息。(2) 将截取的数据包转换成易于识别的格式。(3) 对网络环境中的通信失败进行分析。(4)

4、探测网络环境下的通信瓶颈。(5) 检测是否有黑客正在攻击网络系统，以阻止其入侵。(6) 记录网络通信过程。2网络监听工具Sniffer简介Sniffer Portable是NAI公司开发的系列网络故障和性能管理解决方案，网络专业人 士可以使用它对多拓扑结构和多协议网络时行维护、故障解决、优化调整和扩展。Sniffer Portable软件可以在台式计算机、便携式计算机或者笔记本计算机等硬件平台上运行，并 且可以利用高级自定义硬件组件确保全线速的捕获能力。实验步骤1 安装 Sniffer在主机A上运行Sniffer Pro 4.7的安装程序。根据安装向导的提示，输入用户信息， 指定安装路径，填写

5、用户注册信息，输入序列号，指定连接到Internet的方式。安装结束 后，重新启动计算机。2操作与测试Sniffer Pro的主要功能包括： 监视功能：用于计算并显示实时网络通信量数据。 捕获功能：用于捕获网络通信量并将当前数据包存储在缓冲区（或者文件）中，以 备将来分析使用。 实时专家系统分析功能：用于在捕获过程中分析网络数据包，并对潜在的问题发出 警告。 显示功能：用于解码和分析捕获缓冲区中的数据包，并用各种格式加以显示。本实验主要了解其监视功能。（1）Dashboard （仪表盘）仪表盘是Sniffer Pro的可视化网络性能监视器。在第一次启动Sniffer Pro时，仪表 盘就会出现

6、在屏幕上，如图2所示。如果关闭了仪表盘窗口，选择菜单Monitor （监控）一 Dashboard （仪表盘）来启动它，或者单击Sniffer Pro工具栏中的仪表盘图标。仪表盘窗 口包括3个数字表盘，从左到右是： 利用率百分比（Utilization%）：说明线路使用带宽的百分比，是用传输量与端口 能够处理的最大带宽的比值来表示的。表盘的红色区域表示警戒值。在有盘下文有 2个数字，用破折号隔开。第一个数字代表当前利用率百分比，破折号后面的数字 代表最大的利用率百分比。 每秒传输的数据包（Packets/s）：说明当前数据包的传输速度。表盘的红色区域表 示警戒值，表盘下文显示的是当前的数据包传

7、输速度及其峰值。 每秒产生的错误（Errors/s）：说明网络的出错率。表盘的红色区域表示警戒值， 表盘下方的数值表示当前的出错率和最大的出错率。图2 Sniffer Pro仪表盘窗口Sniffer Pro的很多网络分析结果都可以设定阀值。如果超出了阀值，报警记录就会生 成一条信息。在仪表盘上，超过设定阀值的范围用红色标记。单击仪表盘上方Set Thresholds （设置阀值）按钮，会出现仪表盘属性对话框，如图3所示。在仪表盘属性对话框中，左边 是名称栏，右边是高阈值栏，底部是以秒为单位计算的监控样本间隔。如果修正了一个参数， 但是又想恢复默认值，首先就要选中这个参数，然后单击Reset（重

8、置）按钮。如果要把所 有参数都重新设定默认值，可以单击Reset All（全部重置）按钮。图3仪表盘属性对话框仪表盘左下方的Gauge （计量表）卷标实时显示利用率、数据包速率和错误率。单击仪 表盘左下方的Detail（详细资料）卷标，则以表格方式显示网络计数结果、规模分成和错 误计数结果的详细情况，如图4所示。ResetSet Thresholds.,* Show Total Show Average Rate( per second )NetworkSize DistributionDetail ErrorsPackets241,94564 Byles：381CRCs0Drops065-1

9、27 B-yles89,575Runts：0Broadcasts：279128-255 Bytes：24,523Oversizes0Mufticasts46256-511 Bytes：661Fragments0Bytes1 78,324,463512-1023 By-tes1,819Jabbers0Lltilization21024-1518 Byles124,986Alignments0Errors0Collisions0图4 Sniffer Pro仪表盘的详细资料卷标单击Short Term （短期）或Long Term （长期）按钮，可以缩小或扩大、详细错误和规 模分布图形的范围，短期范

10、围大约是25分钟，长期范围是24小时.单击仪表盘左下方的Network（网络）选择框，显示如图5所示的网络仪表盘图和网络事件选择框。仪表盘中的网络图根据每秒的统计结果，提供所有网络图。图5网络仪表盘图和网络事件选择框单击仪表盘在下方的Size Distribution （规模分布）选择框，显示如图6所示的规模 分布仪表盘图和规模分布事件选择框。仪表盘中的分布图是与SnifferPro系统相连的网络 区段上所有的活动按规模划分的一种实时视图。图6规模分布仪表盘图和规模分布事件选择框同样，用户也可以单击仪表盘左下方的Detail Errors（详细错误）选择框，相看仪表 盘中的详细错误图以及详细错

11、误的事件选择框。（2）Host table （主机列表）主机列表提供了被监视到的所有主机下在与网络的通信情况。选择菜单Monitor （监视）-Host Table （主机列表）来启动它，或者单击图7中1所指向的Sniffer Pro工具栏中的 主机列表图标。在主机列表窗口底部，可以选择以MAC地址，IP地址或IPX地址查看主机列表。如图7 所示，选择2所指向的IP选项。主机列表支持4种不同的视图产：大纲（Outline）、详细 资料（Detail）、直方图（Bar）和饼图（Pie）。如图7所示，单击大纲图标，明示出主机列表，以及经过这些主机的传输字节数量。在 大纲视图中，如果想了解某一个特定

12、工作站（例如192.168.1.101）的连网情况，只须单击 图7中所指向的IP地址，出现如图8所示的界面。File Monitor Captuie Di splay Tools Database Window Help o1 X| 11 II| |地|梆| 跃| |Default|存旧|,僵|傍睫|会修座|削剽屈|龙|倒 |2S 192.168.1.1 g 192.168.1.100 g 192.168.1.101 192.168.1.2IPAddr| Out Pkts| In Bytes| Dut Bytes| Brcjadc叔| Multicast| Update Time4 2 09

13、165 8 30 0 46 93 5l!-xl-ll 亶30|1.81200012008-04-1313:3002008-04-1313:3002008-04-1313:3002008-04-1313:3.1图7主机列表大纲视图Sniffer Portable 一 Locals Ethernet (Line speed at 100 Bbps) 一 Single Station: 1. | | X |% File Monitor Captm-e Di splay Tools Database Window Helpll| |地| 云| |Default旦 nTi-x!国BROADCAST192

14、.168.1.11 92.1 63.1.255|To and From IP : /For Help, press Fl图8主机连接地址示例图8中清楚地显示出该机器（192.168.1.101）连接的地址。单击左边的主机列表工具 栏中其他的图标，会弹出该机器连接情况的相关数据界面。在图7所示的界面中单击Detail （详细资料）图标，将显示出整个网络中的协议分布 情况，可清楚地看出网络中各台机器上正在运行的网络应用层协议，如图9所示。图9详细资料视图在图7所示的界面中单击Bar（直方图）图标，出现以直方图形式显示的网络上传输量 为前N位的主机。默认情况下，显示前10位的主机，如图10所示。图1

15、0传输量为前N位的主机直方图在图7所示的界面中单击Pie （饼图）图标，出现以饼图形式显示的网络上传输量为前N位的主机。默认情况下，显示前10位的主机，如图11所示。I 心|地网国 | Default咨I I割I源匾I会I削匐削翳I园 刈企羞限同 H !图11传输量为前N位的主机饼图（3）Matrix （矩阵）主机列表提供了单台主机的通信情况，矩阵则提供了被监视到的主机对之间的网络通信 情况，两者的操作界面和功能信息是完全类似的。选择菜单Monitor （监控）一Matrix （矩 阵）来启动它，或者单击SnifferPro工具栏中的矩阵图标。图中绿线表示正在发生的网络 连接，蓝线表示过去发生的连接，将鼠标放到线上可以看出连接情况。