数据捕获.docx
《数据捕获.docx》由会员分享,可在线阅读,更多相关《数据捕获.docx(19页珍藏版)》请在冰点文库上搜索。
数据捕获
SnifferPro数据包捕获
与网络执法官
成员:
XXXXXXXXX
目录
SnifferPro数据包捕获与协议分析1
实验目的1
实验原理1
实验环境与器材1
实验内容2
网络执法官的使用6
实验目的6
实验内容与原理6
软件运行环境6
实验步骤与方法7
辅助操作11
记录查询15
删除用户15
调整管理频率15
调整上线检测灵敏度15
调整下线检测灵敏度16
选择主机名获取方式16
选择断开方式16
实验小结:
17
SnifferPro数据包捕获与协议分析
实验目的
1)了解Sniffer的工作原理。
2)掌握SnifferPro工具软件的基本使用方法。
3)掌握在非交换以太网环境下侦测、记录、分析数据包的方法。
实验原理
数据在网络上是以很小的被称为“帧”或“包”的协议数据单元(PDU)方式传输的。
以数据链路层的“帧”为例,“帧”由多个部分组成,不同的部分对应不同的信息以实现相应的功能,例如,以太网帧的前12个字节存放的是源MAC地址和目的MAC地址,这些数据告诉网络该帧的来源和去处,其余部分存放实际用户数据、高层协议的报头如TCP/IP的报头或IPX报头等等。
帧的类型与格式根据通信双方的数据链路层所使用的协议来确定,由网络驱动程序按照一定规则生成,然后通过网络接口卡发送到网络中,通过网络传送到它们的目的主机。
目的主机按照同样的通信协议执行相应的接收过程。
接收端机器的网络接口卡一旦捕获到这些帧,会告诉操作系统有新的帧到达,然后对其进行校验及存储等处理。
在正常情况下,网络接口卡读入一帧并进行检查,如果帧中携带的目的MAC地址和自己的物理地址一致或者是广播地址,网络接口卡通过产生一个硬件中断引起操作系统注意,然后将帧中所包含的数据传送给系统进一步处理,否则就将这个帧丢弃。
如果网络中某个网络接口卡被设置成“混杂”状态,网络中的数据帧无论是广播数据帧还是发向某一指定地址的数据帧,该网络接口卡将接收所有在网络中传输的帧,这就形成了监听。
如果某一台主机被设置成这种监听(Snfffing)模式,它就成了一个Sniffer。
一般来说,以太网和无线网被监听的可能性比较高,因为它们是一个广播型的网络,当然无线网弥散在空中的无线电信号能更轻易地截获。
实验环境与器材
本实验在虚拟机中安装SnifferPro4.7版本,要求虚拟机开启FTP、HTTP等服务,即虚拟机充当服务器,物理机充当工作站。
物理机通过Ping命令、FTP访问及网页访问等操作实验网络数据帧的传递。
实验内容
介绍最基本的网络数据帧的捕获和解码,详细功能请参阅本教材辅助材料。
1)SnifferPro4.7的安装与启动
1 启动SnifferPro4.7。
在获取SnifferPro4.7软件的安装包后,运行安装程序,按要求输入相关信息并输入注册码,若有汉化包请在重启计算机前进行汉化。
完成后重启计算机,点击“开始”“程序”“SnifferPro”“Sniffer”,启动“SnifferPro4.7”程序。
2 选择用于Sniffer的网络接口。
如果计算机有多个网络接口设备,则可通过菜单“File”“SelectSettings”,选择其中的一个来进行监测。
若只有一块网卡,则不必进行此步骤。
2)监测网络中计算机的连接状况
配置好服务器和工作站的TCP/IP设置并启动SnifferPro软件,选择“菜单”中“Monitor(监视器)”“Matrix(主机列表)”,从工作站访问服务器上的资源,如WWW、FTP等,观察检测到的网络中的连接状况,记录下各连接的IP地址和MAC地址。
如图1.1被监控计算机列表所示。
图1.1被监控计算机列表
3)监测网络中数据的协议分布
选择菜单“Monitor”→“Protocaldistribution(协议分布)”,监测数据包中的使用的协议情况,如图1.2被监控网络协议分布所示。
记录下时间和协议分布情况。
图1.2被监控网络协议分布
4)监测分析网络中传输的ICMP数据
1 定义过滤规则:
点击菜单“Capture”“DefineFilter(定义过
滤器)”,在在对话框中进行操作。
●点击“Address”(地址)选项卡,设置:
“地址类型”为IP,“包含”本机地址,即在“位置1”输入本机IP地址,“方向”(Dir.)为“双向”,“位置2”为“任意的”。
●点击“Advanced(高级)”选项卡,在该项下选择“IP”→“ICMP”。
设置完成后点击菜单中“Capture(捕获)”→“Start”开始记录监测数据。
显示如图1.3监控地址选择和图1.4监控协议选择所示。
图1.3监控地址选择
图1.4监控协议选择
2 从工作站Ping服务器的IP地址。
3 观察监测到的结果:
点击菜单中“Capture”→“Stopanddisplay”,将进入记录结果的窗口。
点击下方各选项卡可观察各项记录,可通过“File”→Save”保存监测记录。
记录监测到的ICMP传输记录:
点击记录窗口下方的解码“Decode(解码)”选项,进入解码窗口,分析记录,找到工作站向服务器发出的请求命令并记录有关信息。
结果如图1.5ICMP数据包解码示例
图1.5ICMP数据包解码示例
5)监测分析网络中传输的HTTP数据
1 在服务器的Web目录下放置一个网页文件。
2 定义过滤规则:
点击菜单“Capture”“DefineFilter”,在对话框中点“Advanced”选项卡,在该项下选择“IP”→“TCP”→“HTTP”。
设置完成后点击菜单中“Capture”→“Start'’开始记录监测数据。
3 从工作站用浏览器访问服务器上的网页文件。
4 观察监测到的结果:
点击菜单中“Capture”→“Stopanddisplay”,将进入记录结果的窗口,点击下方各选项卡可观察各项记录。
点击“File”→Save”保存记录。
5 记录监测到的HTTP传输记录:
点击记录窗口下方的解码“Decode”选项,进入解码窗口,分析记录,找到工作站向服务器发出的网页请求命令并记录有关信息。
6)监测分析网络中传输的FTP数据
1 启用服务器的Serv-U软件,在FTP服务目录下放置一个文本文件。
最好在FTP中建立两个用户,即匿名用户(anonymous)和一个授权用户(用户名、权限自定)。
2 定义过滤规则:
点击菜单“Capture”→“DefineFilter”,在“Summary”选项卡下点击“Reset"按钮将过滤规则恢复到初始状态,然后在“Advanced”选项卡下选择“IP”→“TCP”→“FTP”。
设置完成后点击菜单“Capture”→“Start”开始记录监测数据。
3 从工作站用FTP下载服务器上的文本文件。
4 观察监测到的结果:
点击菜单“Capture”→“Stopanddisplay”,进入记录结果的窗口,点击下方各选项卡观察各项记录并保存记录。
监控显示如图1.6FTP数据包解码结果所示。
可以看到登录密码也是明文显示的。
图1.6FTP数据包解码结果
5 记录监测到的FTP传输记录:
点击记录窗口下方的解码“Decode”选项,进入解码窗口,分析记录,找到工作站向服务器发出的FTP命令并记录。
网络执法官的使用
实验目的:
1、掌握ARP管理工具的使用方法。
2、学会使用网络执法官软件对网络流量实时进行检测和即时监控。
实验内容与原理
3、ARP地址解析协议、ARP欺骗原理
4、网络执法官软件的使用
软件运行环境:
5、网络环境
本软件能适用于各种局域网,兼容各种集线器、服务器及大部分交换机,但在某些打开了“三层交换”功能的交换网络中将不能正常监控,本软件也不能跨网由器、代理服务器、网关等设备监控另一局域网。
6、硬件环境
以用户数为255的网络为例,建议运行本软件的机器不低于以下配置:
PIII800CPU,128M内存,100M网卡(市面上常见为10M/100M自适应网卡,通常运行于100M状态)。
如监控更多用户,需相应提高机器配置。
7、软件环境
本软件支持微软公司Windows9x各版本、Windows2000各版本、WindowsXP各版本。
推荐采用Windows2000操作系统,并建议不要同时在机器上运行大型服务程序,尤其是占用大量网络带宽的程序,以免造成监控延时。
8、其它
建议不要将本软件运行于代理服务器、网关等多网卡机器。
由于本软件总不会拒绝各用户与自已的连接,运行于代理服务器或网关时,本身又连接局域网与外网,因此将不能令非法用户与外网阻隔开。
实验步骤与方法
1.软件安装流程
软件可以安装在硬盘的任一盘符上,建议将本软件运行于Windows2000下;以Administrator身份启动软件。
软件的安装步骤:
双击网络执法官.exe文件出现欢迎界面,如图1-1所示
图1-1
单击“下一步”出现选取目的地址该安装程序将安装“网络执法官V2.85”到哪个目录中,如图1-2所示:
图1-2
选好目录后,点击“下一步”现在将准备安装程序;如图1-3所示:
图1-3
主要操作流程
1)件自动检测到用户并赋予默认权限
软件初次运行时,无用户记录,会将所有检测到的网卡作为新用户并赋予默认权限。
安装好之后,就可以开始对软件进行使用,在桌面上有一个“网络执法官”图标,点击就进入软件界面,最开始时打开软件时选择监控范围,如图1-4所示:
图1-4
可用的IP及子网掩码框中是本机的IP地址,指定监控范围(IP地址)输入你要控制IP地址范围,在这里输入的多网段可对多网段进行监控。
完成之后,单击“添加/修改“按钮,在所选定的监控网段:
在下列表格中显示刚选择的“本地IP”、“扫描范围”和“所属网卡”,单击“确定”。
2)管理员根据实际需要修改各用户权限
管理员可以在主菜单“用户”/“设定权限”中修改用户权限,也可以在主界面“用户列表”的右键菜单中选择“设定权限”修改用户权限。
用户权限分为“无限制”、“部分受限制”和“完全限制”。
“无限制”用户可在任意时段、以任意IP与网络连接而不会被软件判为非法用户;“部分受限制”用户只能在指定的时段以指定的IP与网络连接,否则即被软件判为非法用户;“完全限制”用户不能与网络连接,只要软件检测到该类用户存在,即将其判为非法用户。
对非法用户,软件会自动采用管理员指定的“管理方式”进行管理。
如图1-5所示:
图1-5
为用户添加权限限制时,需指定IP限定及时段限定。
IP限定方式可采用“只允许使用以下IP”或“不允许使用以下IP”(必须指定一种且只能指定一种)。
“只允许使用以下IP”指该用户只能使用指定的IP段,否则即为非法用户;“不允许使用以下IP”指该用户不得使用指定的IP段,否则即为非法用户;管理员可以指定起、止IP以确定IP段,如果起、止IP相同,则为限用或禁用一个IP。
如果不想限定用户所用IP,可选定“不允许使用以下IP”,并将起、止IP都设为0.0.0.0。
与IP限定类似,时段限定方式也可采用“只允许使用以下时段”或“不允许使用以下时段”。
时段以一天为周期,可指定两个,并可另外指定每周六、周日是否可连接。
如果不想对用户限制时段,可选中“不允许使用以下时段”,并设置两个不可能的时段,如00:
02-00:
01和00:
02-00:
01。
为使管理生效,还必须至少为每个受限用户指定一种管理方式。
管理方式分为:
①“IP冲突”:
令该用户窗口上不断显示IP冲突提示,并可能造成其网络功能不正常;
②“断开与关键主机的连接”:
令该用户不能与关键主机产生新的TCP/IP连接,但原来固有的连接,如下载等可能不会断开;
③“断开与所有主机的连接”如图1-6所示:
图1-6
令该用户不能与网络中其他所有用户(含关键主机)产生新的TCP/IP连接,有的网络中,“网络邻居”功能不会因此受影晌。
注意,软件并不主动识别网络中的交换机、服务器等关键设备,请谨慎操作,以免造成对这些关键设备的错误管理从而造成网络故障。
3)软件自动对各用户依其权限进行监控
管理员设置完用户权限后,会立即生效并自动永久保存。
软件只对在线用户中的非友邻用户进行管理,并将监控结果(何时上线、何时下线、所用IP、主机名、是否非法、注释等)作永久记录,以备查询。
记录将形成文本文件如图1-7所示:
图1-7
还有一个权限设置,在“设置”/“临时权限”中设定临时权限。
例如,大部分用户已设定“每周六禁止上网”,但本周六加班,可在临时权限中解除对所有用户“每周六禁止上网”的限制,即可让软件暂时停止此项检查,让员工正常上网。
如图1-8所示:
图1-8
辅助操作
1关于“用户列表”
“用户列表”主体为一个列表框,是管理员最常使用的界面。
“用户列表”中显示了系统中所有用户,通过双击某用户行,可以调出查看该用户属性的对话框;右键单击某用户行,可以调出设置该用户权限、对其手工管理、发送消息等对话框;如果选取了多个用户,在右键菜单中还会出现“ip-mac绑定”等选项,能快速进行批量操作。
“用户列表”各项目默认顺从左到右为:
网卡权限及地址、状态、锁定、IP、主机名、上线时间、下线时间、网卡注释,辅以各种图标,以更直观(请参考“用户图示”)。
“用户列表”支持排序,单击各项标头,即可对该项进行正向、逆向排序。
“网卡注释”初始值为网卡生产厂家名,建议在用户属性中将其改为各用户所在部门的名称,方便管理。
如图1-9所示:
将在用户列表中显示监控范围内的所有PC机。
图1-9
2设置关键主机
关键主机:
一般为网关或代理服务器、数据服务器、WEB服务器等。
管理员将指定的IP存入“关键主机”后,可令非法用户仅断开与关键主机的连接而不断开与其它主机的连接,一般用于保护网络中的服务器或令用户仅与外网隔离。
如图1-10所示:
图1-10
点击主菜单的“设置”/“关键主机”可以设置关键主机,也可以在用户权限设定对话框中点击“关键主机”按钮来设置关键主机。
关键主机最多可设定32台,以IP来指定。
关键主机的修改即时生效并永久保存。
如果要设置“关健主机”单击它,出现对话框,指定IP:
输入要设置的IP地址为关键主机,单击添加即可。
比如我这里就把:
192.168.0.254作为关键主机,也可以删除已指定的关键主机,选中要删除的关键主机,单击删除即可。
3设置IP保护
点击主菜单的“设置”/“IP保护”可以指定要保护哪些IP(段),最多可指定64个。
被指定的IP(段),将不允许普通用户使用(关键主机和未设权限的用户除外)。
普通用户使用被保护的IP时,将会作为非法用户被管理。
如图1-11所示:
图1-11
4设置用户权限
点击主菜单的“用户”/“设定权限”可以修改某用户权限,也可以在主界面“用户列表”的右键菜单中选择“设定权限”修改用户权限。
用户权限的修改即时生效并永久保存。
如图1-12所示:
图1-12
5锁定
锁定指管理员临时断开用户与关键主机或其它全部主机的连接,请参考名词解释“锁定”。
每个用户的锁定状态有三种:
解除锁定、断开该用户与关键主机的连接(禁止与关键主机连接)、断开该用户与所有主机的连接(禁止与所有主机连接),双击“用户列表”的某行上的“锁定”列,可以快速切换该用户的锁定状态;在右键菜单的“锁定/解锁”项中也可以改变用户的锁定状态;如果选择了多个用户,也可以在右键菜单的“锁定/解锁”项中批量改变用户锁定状态。
如图1-13所示:
图1-13
记录查询
各用户的上线记录会在数据库中永久保存以供查询。
在主界面的“记录查询”子界面中,可以输入各种条件查询并统计,对查询及统计结果还可导出为文本文件。
与“用户列表”一样,点击查询结果显示框中的各标头,可以对结果进行各种排序。
删除用户
某些情况下需要将用户删除掉,可以在“用户列表”的右键菜单中进行操作。
软件不会立即删除用户,而是会将该用户打上删除标记,在软件关闭时再彻底删除。
注意,如果下次再检测到该用户,将会为其赋予默认权限(请参考名词解释“默认权限”)。
如图1-14所示:
图1-14
调整管理频率
在主菜单的“设置”/“其它设定”中可以调整频率,游标向右移为加大。
加大管理频率会向非法用户发出更多的管理数据包,但也会相应占用更多的网络资源。
如果系统已经能有效管理,或网络中的用户数很多,建议不要加大管理频率。
调整上线检测灵敏度
在主菜单的“设置”/“其它设定”中可以上线检测灵敏度,游标向右移为加大。
一般情况下,用户开机后的60秒内能被本软件检测到,灵敏度越大,这个时间就越短,但占用的资源就越多。
调整下线检测灵敏度
在主菜单的“设置”/“其它设定”中可以下线检测灵敏度,游标向右移为加大。
一般情况下,用户关机后的120秒内能被本软件检测到,灵敏度越大,这个时间就越短,但占用的资源就越多。
如果您想加大下线检测灵敏度,那么请同时加大上线检测灵敏度,否则可能会造成实际用户在线却判其下线的情况。
选择主机名获取方式
在主菜单的“设置”/“其它设定”中可以选择软件取各用户主机名的方式。
您可以根据您的网络实际情况,选用“方式1”或“方式2”。
选用后,“重取所有主机名”即可。
选择断开方式
“断开方式”指软件在对用户进行“断开与关键主机连接”或“断开与所有主机连接”的管理时所采用的方式,可以在主菜单的“设置”/“其它设定”中可以选择“双向断开”或“单向断开”。
在某些网络中,比如有的采用ADSL路由器为出口的网络,采用“双向断开”方式令用户与该路由器断开,在结束管理后,该用户不能立即恢复连接,此时可试试“单向断开”。
该用户重启机器或等待几分钟也可自然恢复。
如图1-15所示:
图1-15
实验小结:
体会Sniffer的危险性;并与wireshark、Cain&Abel、iris等分析软件进行功能的比较。
升级会员 