實(shí)驗(yàn)一協(xié)議分析工具的安裝與使用

1、For personal use only in study and research; not forcommercial use實(shí)驗(yàn)一協(xié)議分析工具的安裝與使用一、軟件介紹For pers onal use only in study and research; not for commercial use計(jì)算機(jī)網(wǎng)絡(luò)中的TCP/IP協(xié)議學(xué)習(xí)起來(lái)感覺比較抽象，協(xié)議工作過(guò)程難于理解。剛開始 學(xué)習(xí)沒有什么數(shù)據(jù)實(shí)例，看完不久就忘了。本文將介紹一種直觀的學(xué)習(xí)方法，利用協(xié)議分析工具軟件sniffer學(xué)習(xí)TCP/IP，在學(xué)習(xí)的過(guò)程中能直觀的看到數(shù)據(jù)的具體傳輸過(guò)程。Sniffer軟件可以實(shí)現(xiàn)捕獲網(wǎng)絡(luò)流量進(jìn)行

2、詳細(xì)分析、利用專家分析系統(tǒng)診斷問(wèn)題、實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)活動(dòng)、收集網(wǎng)絡(luò)利用率和錯(cuò)誤等功能。For pers onal use only in study and research; not for commercial use二、實(shí)驗(yàn)?zāi)康氖煜び米鲄f(xié)議分析儀的Sniffer 軟件的安裝、使用、操作及其基本工作原理For pers onal use only in study and research; not for commercial use三、實(shí)驗(yàn)要求實(shí)驗(yàn)環(huán)境In ternet， NIC （網(wǎng)卡）為 promiscuous （混雜模式）For personal use only in study

3、and research; not for commercial use四、實(shí)驗(yàn)步驟1軟件的安裝1）到相關(guān)站點(diǎn)下載 Sniffer軟件包或到局域網(wǎng)服務(wù)器查找此軟件包；wK1售niFfer歎件2)圖1.2解壓縮點(diǎn)擊 Setup 安裝即可SNIFFERPRO45.ZIP圖1.33）安裝過(guò)程中出現(xiàn)如下圖所示菜單, 即可使用。圖1.4點(diǎn)擊取消，安裝完成重新啟動(dòng)計(jì)算機(jī)，SNIFFERKi Sniffer Pro iLJser Reglftt-aAdon圖1.52、軟件的使用1）網(wǎng)絡(luò)適配器的選擇確定在使用Sniffer 軟件之前必須要做的一件工作是為計(jì)算機(jī)選擇合適的網(wǎng)絡(luò)適配器， 數(shù)據(jù)的接收渠道。用戶可以通

4、過(guò)命令File/Select Setti ng 來(lái)實(shí)現(xiàn)（如圖1）。圖1.62）捕獲報(bào)文Sniffer軟件提供了兩種最基本的網(wǎng)絡(luò)分析操作，即報(bào)文捕獲和網(wǎng)絡(luò)性能監(jiān)視 （如圖）在這里我們首先對(duì)報(bào)文的捕獲加以分析，然后再去了解如何對(duì)網(wǎng)絡(luò)性能進(jìn)行監(jiān)視。；二 Sniffer Locals Ft lie met (Line speed at 10 Hips) 一 Dashboardkll-lx圖1.7捕獲面板報(bào)文捕獲可以在報(bào)文捕獲面板中進(jìn)行，如圖2中藍(lán)色標(biāo)注區(qū)所示即為開始狀態(tài)的報(bào)文捕獲面板，其中各按鈕功能如圖3所示停止并查!圖1.8捕獲過(guò)程的報(bào)文統(tǒng)計(jì)在報(bào)文統(tǒng)計(jì)過(guò)程中可以通過(guò)單擊Capture Panel三J

5、按鈕來(lái)查看捕獲報(bào)文的數(shù)量和緩沖區(qū)的利用率（如圖）。捕獲.扌良K數(shù)扌艮 捕獲.就據(jù) 4F ElAClbh F曙別Sbj|(54r .AClLCOi Fctf BflE4f EIacILTi Tmtci anser EltclL&Ti fwci Brnser EltrlLen fwrMW5出二.Lf Ti 54fl Mlmf 2004/yiq1*1愛爲(wèi)艸舁14a 2034/514 .Le aoo4/5/n 3fl!E4r ElAClbCtTi ThTMSifQN5r dAClLfai ToffCf SroHser EleclL&ii Tur國(guó) Sumu-呂-%CILf 一: 一 ObjftctE圖

6、 1.11Decode （解碼分析）如圖1.12所示為對(duì)捕獲的報(bào)文進(jìn)行解碼分析，界面分為三個(gè)部分， 分別顯示捕獲的報(bào)文、相應(yīng)報(bào)文的解碼和對(duì)應(yīng)的二進(jìn)制碼。對(duì)于解碼部分，要求分析人員對(duì)協(xié)議比較熟悉，而我們正缺乏這方面知識(shí)，所以沒辦法看懂解析出來(lái)的報(bào)文。田 Snif4: Decode 1/492 Ethernet FranesNo. IStalus：Desl Actress| Summary202.117.1.1011 224.2.142.223n xDDFLEN = 75E202.117 1 101202.117.1.101224 2.142.223224 2.158.111jinTOP： D-2

7、O3?6 S-20398LEN-755UDP: D=51722 S=51722 LEN=114S x-p p p p ;TTTT p R R E E rtjqvi B=!Real Time Protocol Header* Protcicol Iu.t erpre Nut PurchasedHeader and data 0 0E 5C E9 4D00000000:00000010：010000020:000000130:OODODQ4D：D B f 4 D o o H. 3 71 3 e 7 D o o 8 a 58 3 e o 26 0 10 3 e 5 n o o o 4 f o 47

8、14 0 0 o 1 f o 4 o CT-O o 0 0-00 5 f 0 R o D d o A d 4 e-uf f o8 0 4 a 5 2 6 A 8 o o 2a9 s. e c f a o 5 2 - d- 7 68.oe d so f 1_ Expert 入 Decocfe X Mrfrix 入 Host Table X Protocol Dist A Statistics /1-12 1 ab 8O02o2D.E.&. .E .e?，存0蓋嗓E 縣PdPFSFO?祗 a圖 1.124) 設(shè)置捕獲條件捕獲功能是按照過(guò)濾設(shè)置的過(guò)濾規(guī)則進(jìn)行數(shù)據(jù)的捕獲和顯示的。單擊Defi ne F

9、ilter出按鈕(Capture/Define Filter 或Display/Define Filter )則可在彈出的過(guò)濾設(shè)置對(duì)話框中根據(jù)物理地址或IP地址和協(xié)議選擇進(jìn)行組合篩選。9所示對(duì)話框中則可以為捕獲所需如圖1.13所示為捕獲條件基本情況的顯示，而在圖 報(bào)文的緩沖區(qū)做參數(shù)和行為上的設(shè)定。圖 1.13圖 1.14基本捕獲條件(1 )連路層捕獲，按源 MAC和目的MAC地址進(jìn)行捕獲，輸入方式為十六進(jìn)制連續(xù)輸入,如：00E0FC123456(2)IP層捕獲，按源IP和目的IP進(jìn)行捕獲。輸入方式為點(diǎn)間隔方式，如：圖 1.15Fw/k總t Si Z4gi廠L廠廠廠廠廠廠L n 回-Defaul

10、U3Com TCP-LP/LOOPCom XUIS3HEPATFJLETALKAFPLETAUK ARP胃 ATOLJJO滬AKFATM*wF*ck-41 Type工 ik B e tw e ezt| Xp. B a tw 0”ITorm l1ICEC Error l*Udbboir2確走（肖F* ofiluu. . .1高級(jí)捕獲條件單擊Advanee按鈕，用戶可以編輯自己的協(xié)議捕獲條件(如圖 1.16 )。Def x.ne Fil er ? | IKSertHng 名For:Summary | Address | Dta Fattern Advizketdl Buffer 圖 1.16在協(xié)議

11、選擇樹 Available protocols 中，用戶可以選擇自己需要的捕獲條件，如果是么都不選，則表示忽略該條件，捕獲所有的協(xié)議。在捕獲幀長(zhǎng)度條件 Packer Size下，用戶可以捕獲小于、等于、大于某個(gè)值的報(bào)文，也 可以捕獲介于兩個(gè)值之間或不介于兩個(gè)值之間的報(bào)文。在幀類型欄Packet Type中，用戶自然就可以選擇希望捕獲的幀的類型。比如，用戶可 以選擇當(dāng)網(wǎng)絡(luò)上有相關(guān)錯(cuò)誤時(shí)是否捕獲。在保存過(guò)濾規(guī)則條件按鈕Profiles中，用戶可以將當(dāng)前設(shè)置的過(guò)濾規(guī)則進(jìn)行保存。Default!當(dāng)然，用戶可以設(shè)置多條過(guò)濾規(guī)則。這樣一來(lái)，在捕獲主面板中，用戶可以單擊按鈕來(lái)選擇所需要應(yīng)用的捕獲條件。(如圖

12、 1.17-18 )圖 1.17Hew C ap+ 口irie Pro-f i If?區(qū)INew Profile： Name.OK匚 sue elf*- Copy Ex i. s t iProfila :Default |f Copy aimpl e Fr oil e :內(nèi)容，可以單擊按鈕，然后在圖1.21所示界面下作相關(guān)選擇后單擊確定。圖 1.18任意捕獲條件在Data Pattern下，用戶可以編輯任意捕獲條件（如圖 1.19 ）。用這種方法就可以實(shí) 現(xiàn)復(fù)雜的報(bào)文過(guò)濾，但很多時(shí)候會(huì)得不償失，因?yàn)橛袝r(shí)截獲的報(bào)文本就不多，還不如自己看來(lái)得快。圖 1.195）報(bào)文放送編輯報(bào)文放送Sniffer軟

13、件的報(bào)文放送功能相對(duì)而言比較弱，它的發(fā)送主面板如圖1.20所示，用菜單命令Tools/Packet Generator即可打開。但是在發(fā)送之前，用戶需要先編輯報(bào)文發(fā)送的奉 Facicet: Generator圖 1.20圖 1.21回到圖1.20所示界面，此時(shí)，用戶可首先查看 Detail所顯示的將要發(fā)送的信息，然后選擇Animation界面，單擊發(fā)送按鈕卜就可以形象地看到捕獲的報(bào)文被發(fā)送到指定地點(diǎn)。捕獲報(bào)文的直接編輯發(fā)送當(dāng)然也可以將捕獲到的報(bào)文直接轉(zhuǎn)換成發(fā)送包文,然后做一些修改也是可以的。 操作如圖1.22所示。f| f 4 : DncrndR, 1/1 3K4 Js+tifErnrl I

14、rI Surmmaiufind Frae.Find N餾I F斫宙WLT+F3F3-i 電 htf :-Real Time Protocol Header-=RTF_ RTF* Pz-o-taeol I nt ej?pr-e t &r Not PurchaseJ RTFRTFHesaidex and data - 80 2Q BQ 5E 62 43 .RTPi s.plfty Sa tup.Send Curr Frwe.SndA.dd Fr-uTi-ft tc Pkt Lib.圖 1.22可以選中某個(gè)捕獲的報(bào)文，用鼠標(biāo)右鍵激活菜單，選擇Send Curre nt Packet ，這是,該報(bào)文的內(nèi)容已經(jīng)被原封不動(dòng)地送到“發(fā)送編輯窗口”了。這是在做一些修改就比全部填充報(bào)文省事多了。五、實(shí)驗(yàn)報(bào)告內(nèi)容1學(xué)習(xí) Sniffer 的使用，描述設(shè)置過(guò)濾協(xié)議 ICMP 的步驟；2試述 sniffer 實(shí)現(xiàn)的各種功能；3 使用 sniffer 編輯數(shù)據(jù)包工具，發(fā)送 UDP 數(shù)據(jù)包。僅供個(gè)人用于學(xué)習(xí)、研究；不得用于商業(yè)用途For personal use only in study and research; not for commercial use.Nur f u r den pers?nlichen f u r Studien, Forschung, zu k