Siniffer抓包分析實(shí)驗(yàn)指導(dǎo)

1、siniffer軟件的使用siniffer軟件的使用題目下載網(wǎng)絡(luò)數(shù)據(jù)包捕獲工具（如ethereal，sniffer，iris等），安裝，運(yùn)行，進(jìn)行數(shù)據(jù)捕獲。找出tcp數(shù)據(jù)包。進(jìn)行如下操作：1）分析某個(gè)tcp數(shù)據(jù)包各字段的值并解釋；2）找出建立連接時(shí)的tcp數(shù)據(jù)包進(jìn)行分析；3）找出tcp數(shù)據(jù)包，解釋tcp的確認(rèn)機(jī)制；4）找出tcp數(shù)據(jù)包，解釋tcp的流量控制和擁塞控制機(jī)制。以iris為例，具體實(shí)驗(yàn)步驟如下：1組建對(duì)等網(wǎng)，2在兩臺(tái)計(jì)算機(jī)上分別安裝siniffer軟件，指定服務(wù)器和客戶機(jī)，3在服務(wù)器上安裝ftp服務(wù)器軟件，4在客戶機(jī)上運(yùn)行ftp程序，從服務(wù)器上下載一個(gè)文件到客戶機(jī)，5利用iris捕獲

2、數(shù)據(jù)包，按要求分析tcp各字段的值。1 組建對(duì)等網(wǎng)這個(gè)環(huán)節(jié)省略，因?yàn)閷?shí)驗(yàn)室中都已經(jīng)建好了。但要自己要決定哪一臺(tái)作為服務(wù)器，哪一臺(tái)作為客戶器，現(xiàn)在分別記為server和client。2 在兩臺(tái)計(jì)算機(jī)上分別安裝siniffer，簡(jiǎn)單使用注：這里只講解在一臺(tái)計(jì)算機(jī)（server）上安裝網(wǎng)絡(luò)數(shù)據(jù)包捕獲工具siniffer。2.1 sniffer的大概工作原理sniffer程序是一種利用以太網(wǎng)的特性把網(wǎng)絡(luò)適配卡(nic,一般為以太同卡)置為雜亂模式狀態(tài)的工具，一旦網(wǎng)絡(luò)卡設(shè)置為這種模式，它就能接收傳輸在網(wǎng)絡(luò)上的每一個(gè)信息包。sniffer是利用計(jì)算機(jī)的網(wǎng)絡(luò)接口截獲目的地為其他計(jì)算機(jī)的數(shù)據(jù)報(bào)文的一種工具。2

3、.2 siniffer安裝過(guò)程（1）安裝過(guò)程提醒sniffer軟件的安裝還是比較簡(jiǎn)單的，我們只需要按照常規(guī)安裝方法進(jìn)行即可。需要說(shuō)明的是: 在選擇sniffer pro的安裝目錄時(shí)，默認(rèn)安裝目錄即可，我們可以通過(guò)旁邊的browse按鈕修改路徑，不過(guò)為了更好的使用還是建議各位用默認(rèn)路徑進(jìn)行安裝。 在注冊(cè)用戶時(shí)，注冊(cè)信息隨便填寫即可，不過(guò)email一定要符合規(guī)范，需要帶“”。在隨后出現(xiàn)的“sniffer pro uesr registration”對(duì)話框中，大家注意有一行sniffer serial number需要大家填入注冊(cè)碼（sr424-255rr-255oo-255rr，這個(gè)只能保證現(xiàn)在還

4、可以，以后可能就失效，如失效各位使用者可嘗試上網(wǎng)搜索新的可用的）（2）開始安裝截圖（這些資料來(lái)自51cto技術(shù)“子旭”個(gè)人博客）在安裝開始時(shí)通常會(huì)提醒你，系統(tǒng)要重啟才能繼續(xù)安裝，這是正常的過(guò)程。這個(gè)就不用說(shuō)了 ，人人皆知；釋放程序.（3）填寫信息建議使用英文的字符填寫安裝程序中建議使用英文的字符填寫 這里至少符合郵件的格式同上，填寫好的這里子旭弄錯(cuò)了，是郵編，但可以隨意建議使用英文的字符填寫同上，填寫好的 phone：是需要填寫電話區(qū)號(hào)等 這些可以隨意輸入阿拉伯?dāng)?shù)字 fax number是輸入傳真號(hào) 也隨意這里序列號(hào)在sniffer serial number后賣弄輸入產(chǎn)品序列號(hào)就ok了（4）

5、設(shè)置網(wǎng)絡(luò)連接方式注冊(cè)諸多數(shù)據(jù)后我們就來(lái)到設(shè)置網(wǎng)絡(luò)連接狀況了，一般對(duì)于企業(yè)用戶只要不是通過(guò)“代理服務(wù)器”上網(wǎng)的都可以選擇第一項(xiàng)direct connection to the internet。（我們學(xué)校的實(shí)驗(yàn)室里一般不是用代理的）（5）完成安裝接下來(lái)才是真正的復(fù)制sniffer pro必需文件到本地硬盤，完成所有操作后出現(xiàn)setup complete提示，我們點(diǎn)finish按鈕完成安裝工作。由于我們?cè)谑褂胹niffer pro時(shí)需要將網(wǎng)卡的監(jiān)聽模式切換為混雜，所以不重新啟動(dòng)計(jì)算機(jī)是無(wú)法實(shí)現(xiàn)切換功能的，因此在安裝的最后，軟件會(huì)提示重新啟動(dòng)計(jì)算機(jī)，我們按照提示操作即可注：client上安裝該軟件的

6、步驟與上述一樣2.3 siniffer簡(jiǎn)單使用（1）選擇網(wǎng)卡和設(shè)置工作模式在進(jìn)行流量捕獲之前首先選擇網(wǎng)絡(luò)適配器，確定從計(jì)算機(jī)的哪個(gè)網(wǎng)絡(luò)適配器上接收數(shù)據(jù)。位置：file-select settings選擇網(wǎng)絡(luò)適配器后才能正常工作。該軟件安裝在windows 98操作系統(tǒng)上，sniffer可以選擇撥號(hào)適配器對(duì)窄帶撥號(hào)進(jìn)行操作。如果安裝了enternet500等pppoe軟件還可以選擇虛擬出的pppoe網(wǎng)卡。對(duì)于安裝在windows 2000/xp上則無(wú)上述功能，這和操作系統(tǒng)有關(guān)。 （2）各快捷鍵介紹本文將對(duì)報(bào)文的捕獲幾網(wǎng)絡(luò)性能監(jiān)視等功能進(jìn)行詳細(xì)的介紹。下圖為在軟件中快捷鍵的位置。31（3）捕獲面板

7、報(bào)文捕獲功能可以在報(bào)文捕獲面板中進(jìn)行完成，如下是捕獲面板的功能圖：圖中顯示的是處于開始狀態(tài)的面板（4）捕獲過(guò)程報(bào)文統(tǒng)計(jì)界面在捕獲過(guò)程中可以通過(guò)查看下面面板查看捕獲報(bào)文的數(shù)量和緩沖區(qū)的利用率。（5）捕獲報(bào)文查看界面sniffer軟件提供了強(qiáng)大的分析能力和解碼功能。如下圖所示，對(duì)于捕獲的報(bào)文提供了一個(gè)expert專家分析系統(tǒng)進(jìn)行分析，還有解碼選項(xiàng)及圖形和表格的統(tǒng)計(jì)信息。l 專家分析專家分分析系統(tǒng)提供了一個(gè)智能的分析平臺(tái)，對(duì)網(wǎng)絡(luò)上的流量進(jìn)行了一些分析對(duì)于分析出的診斷結(jié)果可以查看在線幫助獲得。在下圖中顯示出在網(wǎng)絡(luò)中wins查詢失敗的次數(shù)及tcp重傳的次數(shù)統(tǒng)計(jì)等內(nèi)容，可以方便了解網(wǎng)絡(luò)中高層協(xié)議出現(xiàn)故障的

8、可能點(diǎn)。對(duì)于某項(xiàng)統(tǒng)計(jì)分析可以通過(guò)用鼠標(biāo)雙擊此條記錄可以查看詳細(xì)統(tǒng)計(jì)信息且對(duì)于每一項(xiàng)都可以通過(guò)查看幫助來(lái)了解其產(chǎn)生的原因。l 解碼分析下圖是對(duì)捕獲報(bào)文進(jìn)行解碼的顯示，通常分為三部分，目前大部分此類軟件結(jié)構(gòu)都采用這種結(jié)構(gòu)顯示。對(duì)于解碼主要要求分析人員對(duì)協(xié)議比較熟悉，這樣才能看懂解析出來(lái)的報(bào)文。使用該軟件是很簡(jiǎn)單的事情，要能夠利用軟件解碼分析來(lái)解決問(wèn)題關(guān)鍵是要對(duì)各種層次的協(xié)議了解的比較透徹。工具軟件只是提供一個(gè)輔助的手段。因涉及的內(nèi)容太多，這里不對(duì)協(xié)議進(jìn)行過(guò)多講解，請(qǐng)參閱其他相關(guān)資料。對(duì)于mac地址，snffier軟件進(jìn)行了頭部的替換，如00e0fc開頭的就替換成huawei，這樣有利于了解網(wǎng)絡(luò)上各

9、種相關(guān)設(shè)備的制造廠商信息。功能是按照過(guò)濾器設(shè)置的過(guò)濾規(guī)則進(jìn)行數(shù)據(jù)的捕獲或顯示。在菜單上的位置分別為 capture-define filter和display-define filter。過(guò)濾器可以根據(jù)物理地址或ip地址和協(xié)議選擇進(jìn)行組合篩選。l 統(tǒng)計(jì)分析對(duì)于matrix，host table，portocol dist. statistics等提供了豐富的按照地址，協(xié)議等內(nèi)容做了豐富的組合統(tǒng)計(jì)，比較簡(jiǎn)單，可以通過(guò)操作很快掌握這里就不再詳細(xì)介紹了。（6）設(shè)置捕獲條件界面l 基本捕獲條件/在本實(shí)驗(yàn)中主要使用這種形式基本的捕獲條件有兩種：1、鏈路層捕獲，按源mac和目的mac地址進(jìn)行捕獲，輸入方式

10、為十六進(jìn)制連續(xù)輸入，如：00e0fc123456。2、ip層捕獲，按源ip和目的ip進(jìn)行捕獲。輸入方式為點(diǎn)間隔方式，如：。如果選擇ip層捕獲條件則arp等報(bào)文將被過(guò)濾掉。l 高級(jí)捕獲條件在“advance”頁(yè)面下，你可以編輯你的協(xié)議捕獲條件，如圖：高級(jí)捕獲條件編輯圖在協(xié)議選擇樹中你可以選擇你需要捕獲的協(xié)議條件，如果什么都不選，則表示忽略該條件，捕獲所有協(xié)議。在捕獲幀長(zhǎng)度條件下，你可以捕獲，等于、小于、大于某個(gè)值的報(bào)文。在錯(cuò)誤幀是否捕獲欄，你可以選擇當(dāng)網(wǎng)絡(luò)上有如下錯(cuò)誤時(shí)是否捕獲。在保存過(guò)濾規(guī)則條件按鈕“profiles”，你可以將你當(dāng)前設(shè)置的過(guò)濾規(guī)則，進(jìn)行保存，在捕獲主面板中

11、，你可以選擇你保存的捕獲條件。l 任意捕獲條件在data pattern下，你可以編輯任意捕獲條件，如下圖：用這種方法可以實(shí)現(xiàn)復(fù)雜的報(bào)文過(guò)濾，但很多時(shí)候是得不償失，有時(shí)截獲的報(bào)文本就不多，還不如自己看看來(lái)得快。3 在服務(wù)器上安裝ftp服務(wù)器軟件這里處于試驗(yàn)內(nèi)容簡(jiǎn)單考慮，使用簡(jiǎn)單的ftp服務(wù)器軟件homeftpserver。不需要安裝，直接解壓即可。homeftpserver設(shè)置如下：（1）homeftpserver主界面這三個(gè)都是給用戶管理有關(guān)的，但該實(shí)驗(yàn)只要用匿名就可以了該按鈕是啟動(dòng)服務(wù)，后一個(gè)是停止服務(wù)ftp服務(wù)器基本配置（2）homeftpserver簡(jiǎn)單配置（匿名訪問(wèn)）設(shè)置完之后，點(diǎn)擊

12、保存生效匿名訪問(wèn)根目錄的設(shè)置，后面是各訪問(wèn)權(quán)限選項(xiàng)這些設(shè)置完成后，就可以啟動(dòng)homeftpserver4 在客戶機(jī)（client）上運(yùn)行ftp程序，從服務(wù)器上下載一個(gè)文件到客戶機(jī)這里直接使用ie瀏覽器訪問(wèn)就可以了（3）,該ip地址是server的ip地址。5 利用siniffer捕獲數(shù)據(jù)包，按要求分析tcp各字段的值5.1實(shí)驗(yàn)實(shí)例簡(jiǎn)介在該實(shí)驗(yàn)中，sinifer是在服務(wù)器上對(duì)來(lái)往的數(shù)據(jù)包進(jìn)行俘獲的，服務(wù)器的ip地址是23，客戶端的ip地址是11。所做的事情步驟：（1）在23啟動(dòng)ftp匿名服務(wù)/在3中

13、已經(jīng)講解清楚了（2）在23上運(yùn)行siniffer軟件，啟動(dòng)抓包l 進(jìn)入主界面停止并顯示結(jié)果啟動(dòng)抓包l 過(guò)濾條件設(shè)置進(jìn)入過(guò)濾條件設(shè)置界面，選擇地址過(guò)濾(address選項(xiàng)頁(yè))，在address下拉框中選擇ip，根據(jù)ip地址進(jìn)行過(guò)濾(也可以選擇hardware，對(duì)硬件地址進(jìn)行過(guò)濾)，mode選擇“include”，然后再下面列表框中輸入服務(wù)器地址(23)和客戶機(jī)地址(11)。做這些的目的，只對(duì)往返于服務(wù)器和客戶機(jī)的數(shù)據(jù)包進(jìn)行攔截，其他的數(shù)據(jù)都過(guò)濾了。l 啟動(dòng)siniffer攔截（3）在11上打開ie瀏覽器，并在

14、地址欄輸入“ftp:/ 23”，并下載了兩個(gè)文件。（4）停止并顯示抓包結(jié)果點(diǎn)擊主界面上的“stop and display”快捷鍵。5.2 數(shù)據(jù)包分析任務(wù)5.2.1 完成任務(wù)前的準(zhǔn)備（1）專家分析（expert頁(yè)面）expert-objects-application，顯示如下：可以看出使用了兩次的ftp服務(wù)（下載了兩個(gè)文件），從23 ftp服務(wù)器上下載兩個(gè)文件到11的客戶機(jī)上。各個(gè)字段的含義不解可借組幫助文檔。通過(guò)選擇service、application、 connection、 station出現(xiàn)頁(yè)面如下圖下面四個(gè)圖。可以

15、看出對(duì)應(yīng)的分別是：（1）服務(wù)類型（2）具體應(yīng)用（3）連接情況（4）具體站點(diǎn)（主機(jī)）expert-objects-service，顯示如下：expert-objects-application，顯示如下：expert-objects-connection，顯示如下：expert-objects-station，顯示如下：（1）解碼分析（decode頁(yè)面）上：顯示的是對(duì)抓到的數(shù)據(jù)包的具體解釋。中：涉及到的三層協(xié)議（dlc,ip,tcp）下：所選中的數(shù)據(jù)包的二進(jìn)制格式5.2.2 完成以下任務(wù)（1）分析某個(gè)tcp數(shù)據(jù)包各字段的值并解釋；這上面的各項(xiàng)都列出了tcp的各段的值，可以根據(jù)tcp包的格式對(duì)各個(gè)

16、字段進(jìn)行認(rèn)識(shí)。（2）找出建立連接時(shí)的tcp數(shù)據(jù)包進(jìn)行分析；根據(jù)上圖中編號(hào)為1/2/3的三個(gè)分組顯示情況，可以看到“syn”“seq”“ack”win”等字段，尤其是編號(hào)為1/2的分組中的syn的關(guān)系，不難看出他們就是在進(jìn)行tcp連接建立的過(guò)程。（3）找出tcp數(shù)據(jù)包，解釋tcp的確認(rèn)機(jī)制；同上（4）找出tcp數(shù)據(jù)包，解釋tcp的流量監(jiān)控和擁塞控制機(jī)制。該環(huán)節(jié)建議在交換機(jī)上進(jìn)行，因?yàn)榱髁亢蛽砣猩婕暗降膯?wèn)題主要針對(duì)大數(shù)據(jù)量，當(dāng)然也可以進(jìn)行在個(gè)人計(jì)算機(jī)上嘗試，那么就必須來(lái)個(gè)大文件的傳輸。（下面的資料也是來(lái)自于網(wǎng)絡(luò)上的）下面以圖文的方式介紹，如何查詢網(wǎng)關(guān)（路由、代理：219.*.238.65）流量，

17、這也是最為常用、重要的查詢之一。1 掃描ip-mac對(duì)應(yīng)關(guān)系。這樣做是為了在查詢流量時(shí)，方便判斷具體流量終端的位置，mac地址不如ip地址方便。選擇菜單欄中tools-address book 點(diǎn)擊左邊的放大鏡（autodiscovery 掃描）在彈出的窗口中輸入您所要掃描的ip地址段，本例輸入：219.*.238.64-219.*.238.159點(diǎn)擊ok，系統(tǒng)會(huì)自動(dòng)掃描ip-mac對(duì)應(yīng)關(guān)系。掃描完畢后，點(diǎn)擊database-save address book 系統(tǒng)會(huì)自動(dòng)保存對(duì)應(yīng)關(guān)系，以備以后使用。(如圖7)圖72.查看網(wǎng)關(guān)流量。點(diǎn)擊monitor-host table，選擇host tabl

18、e界面左下角的mac-ip-ipx中的mac。（為什么選擇mac？在網(wǎng)絡(luò)中，所有終端的對(duì)外數(shù)據(jù)，例如使用qq、瀏覽網(wǎng)站、上傳、下載等行為，都是各終端與網(wǎng)關(guān)在數(shù)據(jù)鏈路層中進(jìn)行的）(如圖8)圖83.找到網(wǎng)關(guān)的ip地址-選擇single station-bar (本例中網(wǎng)關(guān)ip為219.*.238.65)圖9如圖(9)所示：219.*.238.65（網(wǎng)關(guān)）流量top-10 此圖為實(shí)時(shí)流量圖。在此之前如果我們沒(méi)有做掃描ip（address book）的工作，右邊將會(huì)以網(wǎng)卡物理地址-mac地址的方式顯示，現(xiàn)在轉(zhuǎn)換為ip地址形式（或計(jì)算機(jī)名），現(xiàn)在很容易定位終端所在位置。流量以3d柱形圖的方式動(dòng)態(tài)顯示，其

19、中最左邊綠色柱形圖與網(wǎng)關(guān)流量最大，其它依次減小。本圖中219.*.238.93與網(wǎng)關(guān)流量最大，且與其它終端流量差距懸殊，如果這個(gè)時(shí)候網(wǎng)絡(luò)出現(xiàn)問(wèn)題，可以重點(diǎn)檢查此ip是否有大流量相關(guān)的操作。如果要查看219.*.238.65（網(wǎng)關(guān)）與內(nèi)部所有流量通信圖，我們可以點(diǎn)擊左邊菜單中，排列第一位的-map按鈕如圖(10)所示,網(wǎng)關(guān)與內(nèi)網(wǎng)間的所有流量都在這里動(dòng)態(tài)的顯示。圖10需要注意的是：綠色線條狀態(tài)為：正在通訊中暗藍(lán)色線條狀態(tài)為：通信中斷線條的粗細(xì)與流量的大小成正比如果將鼠標(biāo)移動(dòng)至線條處,程序顯示出流量雙方位置、通訊流量的大?。òń邮铡l(fā)送）、并自動(dòng)計(jì)算流量占當(dāng)前網(wǎng)絡(luò)的百分比。其它主要功能：pie：餅圖的方式顯示top 10的流量占用百分比。detail：將protocol(協(xié)議類型)、from host（原主機(jī)）、in/out packets/bytes(接收、發(fā)送字節(jié)數(shù)、包數(shù))等字段信息以二維表格的方式顯示。第四步：基于ip層流量 1.為了進(jìn)一步分析219.*.238.93的異常情況，我們切換至基于ip層的流量統(tǒng)計(jì)圖中看看。點(diǎn)擊菜單欄中的monitor-host table，選擇host table界面左下角的mac-ip-ipx中的ip。2.找到ip：219.*.238.93地址（可以用鼠標(biāo)點(diǎn)擊