文档介绍:实验二网络抓包——sniffer pro的使用
实验目的:
了解网络嗅探的原理;
掌握Sniffer Pro嗅探器的使用方法;
实验学时:2课时
实验形式:上机
实验器材: 联网的PC机
实验环境:操作系统为Windows2000/XP
实验内容:
任务一熟悉Sniffer Pro工具的使用
任务二使用Sniffer Pro抓获数据包
实验步骤:
任务一熟悉Sniffer Pro工具的使用
1. Sniffer Pro工具简介
Sniffer软件是NAI公司推出的功能强大的协议分析软件,具有捕获网络流量进行详细分析、利用专家分析系统诊断问题、实时监控网络活动和收集网络利用率和错误等功能,实验中使用Sniffer ,并进行分析。
2. 使用说明
图1 网卡设置
在sniffer pro初次启动时,可能会提示选择一个网络适配器进行镜像,如图1所示,此时正确选择接入网络的网卡,这样sniffer pro才可以把网卡设置为混杂(Promiscuous)模式,以接收在网络上传输的数据包。
图2 sniffer pro主界面
Sniffer Pro运行后的主界面如图2所示。
图3工具栏
(1)工具栏简介如图3所示。
快捷键的含义如图4所示。
图4 快捷键含义
(2)网络监视面板简介
图5 Capture Panel
在捕获过程中可以通过Capture Panel查看网络的利用率、捕获报文的数量和缓冲区的利用率,如图5所示。
(3)捕获数据包窗口简介
Sniffer软件提供了强大的分析能力和解码功能。如图6所示,对于捕获的报文提供了一个Expert专家分析系统进行分析,还有解码选项及图形和表格的统计信息。
图6 捕获数据窗口
专家分析
专家分析系统提供了一个智能的分析平台,对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。
在图7中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容,可以方便了解网络中高层协议出现故障的可能点。
图7 专家分析
对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解产生的原因。
解码分析
如图8所示,对捕获报文进行解码,窗口分为三部分,第一部分时捕捉到的数据包列表,每一行代表一个数据包;第二部分是针对第一部分被选取数据包加以分析的结果;第三部分则是第一部分被选取数据包的原始内容。
图8 解码分析
统计分析
对于Matrix,Host Table,Portocol Dist. Statistics等提供了丰富的按照地址,协议等内容做了丰富的组合统计,比较简单,可以通过操作很快掌握。
(6)过滤规则定义
Sniffer提供了捕获数据包前的过滤规则的定义,过滤规则包括2、3层地址的定义和几百种协议的定义。定义过滤规则的做法一般如下:
和Display->Define Filter。
过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。在主界面选择Capture->Define Filter选项打开对话框如图9所示。
①“address”是最常用的定义。其中包括MAC地址、ip地址和ipx地址的定义。以定义IP地址过滤