協(xié)議分析v2100_第1頁(yè)
協(xié)議分析v2100_第2頁(yè)
協(xié)議分析v2100_第3頁(yè)
協(xié)議分析v2100_第4頁(yè)
協(xié)議分析v2100_第5頁(yè)
已閱讀5頁(yè),還剩23頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、計(jì)算機(jī)網(wǎng)絡(luò)工程計(jì)算機(jī)網(wǎng)絡(luò)工程Chapter 6 網(wǎng)絡(luò)協(xié)議分析(網(wǎng)絡(luò)協(xié)議分析(S2100)學(xué)習(xí)目標(biāo)學(xué)習(xí)目標(biāo)l如何在局域網(wǎng)中部署協(xié)議分析工具如何在局域網(wǎng)中部署協(xié)議分析工具l如何使用協(xié)議分析工具如何使用協(xié)議分析工具 EtherealEthereal 學(xué)習(xí)完本課程,您應(yīng)該能夠:學(xué)習(xí)完本課程,您應(yīng)該能夠:課程內(nèi)容課程內(nèi)容網(wǎng)絡(luò)嗅探與協(xié)議分析簡(jiǎn)介網(wǎng)絡(luò)嗅探與協(xié)議分析簡(jiǎn)介 1.1.網(wǎng)絡(luò)嗅探與協(xié)議分析工具構(gòu)成網(wǎng)絡(luò)嗅探與協(xié)議分析工具構(gòu)成 網(wǎng)路分析是通過(guò)檢查捕獲的網(wǎng)絡(luò)流量以確定網(wǎng)絡(luò)是否網(wǎng)路分析是通過(guò)檢查捕獲的網(wǎng)絡(luò)流量以確定網(wǎng)絡(luò)是否發(fā)生異常事件的過(guò)程。發(fā)生異常事件的過(guò)程。 一個(gè)網(wǎng)絡(luò)分析工具均包含以下五個(gè)基本組成部分:一

2、個(gè)網(wǎng)絡(luò)分析工具均包含以下五個(gè)基本組成部分:u硬件。大多數(shù)網(wǎng)絡(luò)分析工具是基于軟件的,運(yùn)行在通用操硬件。大多數(shù)網(wǎng)絡(luò)分析工具是基于軟件的,運(yùn)行在通用操作系統(tǒng)和網(wǎng)卡之上;還有一些基于硬件的網(wǎng)絡(luò)分析工具。作系統(tǒng)和網(wǎng)卡之上;還有一些基于硬件的網(wǎng)絡(luò)分析工具。u捕獲驅(qū)動(dòng)。捕獲驅(qū)動(dòng)的功能是從網(wǎng)絡(luò)上捕獲原始網(wǎng)絡(luò)流量,捕獲驅(qū)動(dòng)。捕獲驅(qū)動(dòng)的功能是從網(wǎng)絡(luò)上捕獲原始網(wǎng)絡(luò)流量,它還可以將你需要過(guò)濾的流量存儲(chǔ)在緩沖區(qū)中。它還可以將你需要過(guò)濾的流量存儲(chǔ)在緩沖區(qū)中。u緩沖區(qū)。緩沖區(qū)用來(lái)存放捕獲的數(shù)據(jù)。緩沖區(qū)有基于硬盤(pán)緩沖區(qū)。緩沖區(qū)用來(lái)存放捕獲的數(shù)據(jù)。緩沖區(qū)有基于硬盤(pán)和基于內(nèi)存兩種。和基于內(nèi)存兩種。u實(shí)時(shí)分析器。實(shí)時(shí)分析器的功能是

3、分析來(lái)自網(wǎng)絡(luò)的數(shù)實(shí)時(shí)分析器。實(shí)時(shí)分析器的功能是分析來(lái)自網(wǎng)絡(luò)的數(shù)u解碼器。解碼器的功能是以人們可識(shí)別的方式顯示網(wǎng)絡(luò)流解碼器。解碼器的功能是以人們可識(shí)別的方式顯示網(wǎng)絡(luò)流量?jī)?nèi)容。量?jī)?nèi)容。網(wǎng)絡(luò)嗅探與協(xié)議分析簡(jiǎn)介網(wǎng)絡(luò)嗅探與協(xié)議分析簡(jiǎn)介 2.2.常用的網(wǎng)絡(luò)分析工具常用的網(wǎng)絡(luò)分析工具( (在在/tools/category/4可搜索到許多常用的性可搜索到許多常用的性能優(yōu)異的網(wǎng)絡(luò)分析工具能優(yōu)異的網(wǎng)絡(luò)分析工具。) )lEthereal。 是一款性能卓越的嗅探軟件,也是我們實(shí)驗(yàn)采用的網(wǎng)絡(luò)分是一款性能卓越的嗅探軟件,也是我們實(shí)驗(yàn)采用的網(wǎng)絡(luò)分析工具。析工具。lWinDump。

4、是一款基于。是一款基于Windows平臺(tái)的平臺(tái)的 tcpdump,它使用,它使用WinPcap庫(kù)庫(kù)lNetwork Associates Sniffer 。是一款流行的商業(yè)嗅探工具,。是一款流行的商業(yè)嗅探工具,lWindows 2000/NT Server Network Monitor 。 Windows 2000 Server 和和NT Server 內(nèi)置的網(wǎng)絡(luò)性能分析程序。內(nèi)置的網(wǎng)絡(luò)性能分析程序。lEtherPeek 這是一款這是一款WildPackets公司的商業(yè)網(wǎng)絡(luò)分析工具,有基于公司的商業(yè)網(wǎng)絡(luò)分析工具,有基于Windows 和和Mac兩種版本。兩種版本。網(wǎng)絡(luò)嗅探與協(xié)議分析簡(jiǎn)介網(wǎng)絡(luò)嗅

5、探與協(xié)議分析簡(jiǎn)介 2.2.常用的網(wǎng)絡(luò)分析工具常用的網(wǎng)絡(luò)分析工具lTcpdump 是基于是基于UNIX 平臺(tái)的最常用的網(wǎng)絡(luò)嗅探工具。平臺(tái)的最常用的網(wǎng)絡(luò)嗅探工具。lSnoop 是是Sun 的的Solaris os自帶的一款網(wǎng)絡(luò)嗅探工具。自帶的一款網(wǎng)絡(luò)嗅探工具。lSniffit 是運(yùn)行在是運(yùn)行在 Linux, SunOS, Solaris, FreeBSD 網(wǎng)絡(luò)嗅探工具。網(wǎng)絡(luò)嗅探工具。lSnort 是一款可以進(jìn)行網(wǎng)絡(luò)嗅探的入侵檢測(cè)系統(tǒng)是一款可以進(jìn)行網(wǎng)絡(luò)嗅探的入侵檢測(cè)系統(tǒng)lDsniff 是一款非常流行的網(wǎng)絡(luò)嗅探工具。是一款非常流行的網(wǎng)絡(luò)嗅探工具。lEttercap 這是一款特意設(shè)針對(duì)交換式網(wǎng)絡(luò)的嗅探工

6、具。這是一款特意設(shè)針對(duì)交換式網(wǎng)絡(luò)的嗅探工具。lAnalyzer 這是一款由這是一款由WinPcap 和和WinDump 的作者開(kāi)發(fā)的運(yùn)行在的作者開(kāi)發(fā)的運(yùn)行在 Windows OS 上的免費(fèi)嗅探軟件,上的免費(fèi)嗅探軟件,lPacketyzer 這是一款使用這是一款使用Ethereals 內(nèi)核邏輯的運(yùn)行在內(nèi)核邏輯的運(yùn)行在Windows平平臺(tái)的免費(fèi)軟件臺(tái)的免費(fèi)軟件,網(wǎng)絡(luò)嗅探與協(xié)議分析簡(jiǎn)介網(wǎng)絡(luò)嗅探與協(xié)議分析簡(jiǎn)介 3. Etheral可以分析的網(wǎng)絡(luò)協(xié)議可以分析的網(wǎng)絡(luò)協(xié)議lEthereal是一款不斷改進(jìn)和完善的優(yōu)秀的網(wǎng)絡(luò)分析軟件,是一款不斷改進(jìn)和完善的優(yōu)秀的網(wǎng)絡(luò)分析軟件,Ethereal的分析源數(shù)據(jù)可以從一

7、個(gè)存活網(wǎng)絡(luò)上在線捕獲或的分析源數(shù)據(jù)可以從一個(gè)存活網(wǎng)絡(luò)上在線捕獲或者從捕獲文件中讀取。者從捕獲文件中讀取。lEthereal可以讀取來(lái)自可以讀取來(lái)自Ethernet, FDDI, PPP, Token-Ring, IEEE 802.11, Classical IP over ATM和回環(huán)接口的網(wǎng)絡(luò)數(shù)和回環(huán)接口的網(wǎng)絡(luò)數(shù)據(jù)。據(jù)。 (但不是支持所有平臺(tái)但不是支持所有平臺(tái))。 l捕獲的網(wǎng)絡(luò)數(shù)據(jù)可以以捕獲的網(wǎng)絡(luò)數(shù)據(jù)可以以GUI模式和模式和TTY模式瀏覽。模式瀏覽。 lEthereal可以解碼的協(xié)議有可以解碼的協(xié)議有472種,種, 網(wǎng)絡(luò)嗅探與協(xié)議分析簡(jiǎn)介網(wǎng)絡(luò)嗅探與協(xié)議分析簡(jiǎn)介 4.4.在網(wǎng)絡(luò)中設(shè)置在網(wǎng)絡(luò)中設(shè)

8、置EtherealEthereal網(wǎng)絡(luò)分析工具網(wǎng)絡(luò)分析工具 (1)錯(cuò)錯(cuò)誤誤的的配配置置方方式式網(wǎng)絡(luò)嗅探與協(xié)議分析簡(jiǎn)介網(wǎng)絡(luò)嗅探與協(xié)議分析簡(jiǎn)介 4.4.在網(wǎng)絡(luò)中設(shè)置在網(wǎng)絡(luò)中設(shè)置EtherealEthereal網(wǎng)絡(luò)分析工具網(wǎng)絡(luò)分析工具(2)利用利用鏡像鏡像端口端口捕獲捕獲網(wǎng)絡(luò)網(wǎng)絡(luò)流量流量網(wǎng)絡(luò)嗅探與協(xié)議分析簡(jiǎn)介網(wǎng)絡(luò)嗅探與協(xié)議分析簡(jiǎn)介 4.4.在網(wǎng)絡(luò)中設(shè)置在網(wǎng)絡(luò)中設(shè)置EtherealEthereal網(wǎng)絡(luò)分析工具網(wǎng)絡(luò)分析工具(3)利用利用HUB捕獲捕獲網(wǎng)絡(luò)網(wǎng)絡(luò)流量流量網(wǎng)絡(luò)嗅探與協(xié)議分析簡(jiǎn)介網(wǎng)絡(luò)嗅探與協(xié)議分析簡(jiǎn)介 4.4.在網(wǎng)絡(luò)中設(shè)置在網(wǎng)絡(luò)中設(shè)置EtherealEthereal網(wǎng)絡(luò)分析工具網(wǎng)絡(luò)分析工具(4)

9、使用使用分流分流器捕器捕獲網(wǎng)獲網(wǎng)絡(luò)流絡(luò)流量量 網(wǎng)絡(luò)嗅探與協(xié)議分析簡(jiǎn)介網(wǎng)絡(luò)嗅探與協(xié)議分析簡(jiǎn)介 4.4.在網(wǎng)絡(luò)中設(shè)置在網(wǎng)絡(luò)中設(shè)置EtherealEthereal網(wǎng)絡(luò)分析工具網(wǎng)絡(luò)分析工具(5)一一個(gè)個(gè)實(shí)實(shí)際際的的網(wǎng)網(wǎng)狀狀網(wǎng)網(wǎng)絡(luò)絡(luò)網(wǎng)絡(luò)嗅探與協(xié)議分析簡(jiǎn)介網(wǎng)絡(luò)嗅探與協(xié)議分析簡(jiǎn)介 5.5.誰(shuí)在使用網(wǎng)絡(luò)分析工具?誰(shuí)在使用網(wǎng)絡(luò)分析工具?lConverting the binary data in packets to human-readable formatlTroubleshooting problems on the networklAnalyzing the performance of a netwo

10、rk to discover bottleneckslNetwork intrusion detectionlLogging network traffic for forensics and evidencelAnalyzing the operations of applicationslDiscovering a faulty network cardlDiscovering the origin of a Denial of Service (DoS) attack lDetecting spywarelNetwork programming to debug in the devel

11、opment stagelDetecting a compromised computerlValidating compliance with company policylAs an educational resource when learning about protocolslFor reverse-engineering protocols in order to write clients and supporting programsEthereal使用簡(jiǎn)介使用簡(jiǎn)介1. 1. 在在WindowsWindows平臺(tái)上安裝平臺(tái)上安裝EtherealEthereal1 1) 安裝安

12、裝winpcapwinpcap,我們實(shí)驗(yàn)使用的是,我們實(shí)驗(yàn)使用的是WinPcap-3-0.exeWinPcap-3-0.exe。 最新的最新的winpcapwinpcap可從可從http:/netgroup-serv.polito.ithttp:/netgroup-serv.polito.it/ / winpcap/install/Default.htmwinpcap/install/Default.htm下載。下載。2 2)安裝)安裝EthrealEthreal,我們使用,我們使用ethereal-setup-0.10.11.exeethereal-setup-0.10.11.exe。 最新

13、的最新的Ethereal WindowsEthereal Windows可執(zhí)行程序可從可執(zhí)行程序可從 控控制制列列摘摘要要 細(xì)細(xì)節(jié)節(jié)十六進(jìn)十六進(jìn)制制數(shù)據(jù)數(shù)據(jù)Ethereal使用簡(jiǎn)介使用簡(jiǎn)介 啟動(dòng)啟動(dòng)ethrealethreal,選擇菜單,選擇菜單CapatureCapature-Interface: -Interface: 指定在哪指定在哪個(gè)接口(網(wǎng)卡)上抓捕獲所有數(shù)據(jù)包。個(gè)接口(網(wǎng)卡)上抓捕獲所有數(shù)據(jù)包。 Ethereal使用簡(jiǎn)介使用簡(jiǎn)介 啟動(dòng)啟動(dòng)ethrealethreal,選擇菜單,選擇菜單CapatureCapature-Options: -Options: 指定在哪個(gè)指定在哪個(gè)接口(

14、網(wǎng)卡)上捕獲某種類(lèi)型的數(shù)據(jù)包。接口(網(wǎng)卡)上捕獲某種類(lèi)型的數(shù)據(jù)包。 Ethereal使用簡(jiǎn)介使用簡(jiǎn)介lInterface: 指定在哪個(gè)接口(網(wǎng)卡)上抓捕獲數(shù)據(jù)包。一般情況下都指定在哪個(gè)接口(網(wǎng)卡)上抓捕獲數(shù)據(jù)包。一般情況下都是單網(wǎng)卡,所以使用缺省的就可以了。是單網(wǎng)卡,所以使用缺省的就可以了。lLimit each packet:限制每個(gè)包的大小,缺省情況不限制限制每個(gè)包的大小,缺省情況不限制lCapture packets in promiscuous mode:是否打開(kāi)混雜模式。如果是否打開(kāi)混雜模式。如果打開(kāi),抓取所有的數(shù)據(jù)包。一般情況下只需要監(jiān)聽(tīng)本機(jī)收到或者發(fā)出打開(kāi),抓取所有的數(shù)據(jù)包。一般

15、情況下只需要監(jiān)聽(tīng)本機(jī)收到或者發(fā)出的包,因此應(yīng)該關(guān)閉這個(gè)選項(xiàng)。的包,因此應(yīng)該關(guān)閉這個(gè)選項(xiàng)。lFilter:過(guò)濾器。只抓取滿足過(guò)濾規(guī)則的包。:過(guò)濾器。只抓取滿足過(guò)濾規(guī)則的包。lFile:如果需要將抓到的包寫(xiě)到文件中,在這里輸入文件名稱(chēng)。:如果需要將抓到的包寫(xiě)到文件中,在這里輸入文件名稱(chēng)。luse ring buffer:是否使用循環(huán)緩沖。缺省情況下不使用,即一直抓:是否使用循環(huán)緩沖。缺省情況下不使用,即一直抓包。包。 Ethereal使用簡(jiǎn)介使用簡(jiǎn)介 EtheralEtheral的顯示過(guò)濾器的使用的顯示過(guò)濾器的使用 Ethereal使用簡(jiǎn)介使用簡(jiǎn)介 可以使用下面的操作符來(lái)構(gòu)造顯示過(guò)濾器可以使用下面

16、的操作符來(lái)構(gòu)造顯示過(guò)濾器leqeq = = 例如例如: : ip.addrip.addr=0=0lnene != != 例如例如: ip.addr!=0: ip.addr!=0lgtgt 例如例如: frame.pkt_len10: frame.pkt_len10lltlt 例如例如: frame.pkt_len10: frame.pkt_len= = 例如例如: frame.pkt_len=10: frame.pkt_len=10llele = = 例如例如: frame.pkt_len=10: frame.pkt_le

17、n=10 表達(dá)式組合表達(dá)式組合 可以使用下面的邏輯操作符將表達(dá)式組合起來(lái)可以使用下面的邏輯操作符將表達(dá)式組合起來(lái)landand & & 邏輯與,比如邏輯與,比如ip.addrip.addr=0&tcp.flag.fin=0&tcp.flag.finloror | | 邏輯或,比如邏輯或,比如ip.addrip.addr=0|ip.addr=1=0|ip.addr=1lxorxor 異或異或 如如tr.dst0:3 = 0.6.29 xortr.dst0:3 = 0.6.29 xor tr

18、.src0:3 = tr.src0:3 =lnotnot ! ! 邏輯非,如邏輯非,如 !llc!llcEthereal使用簡(jiǎn)介使用簡(jiǎn)介 抓取抓取IPIP地址是地址是192.168.0128192.168.0128的主機(jī)所接收或發(fā)送的所有的的主機(jī)所接收或發(fā)送的所有的HTTPHTTP報(bào)文,報(bào)文,F(xiàn)ilterFilter 構(gòu)造為 ip addr=28 and httpEthereal使用簡(jiǎn)介使用簡(jiǎn)介3.3.了解了解EtherealEthereal主菜單主菜單 Ethereal使用簡(jiǎn)介使用簡(jiǎn)介l主菜單主菜單l工具欄工具欄l概要窗口概要窗口l協(xié)議樹(shù)窗口協(xié)議樹(shù)窗口l數(shù)據(jù)顯示窗口數(shù)據(jù)

19、顯示窗口l過(guò)慮欄過(guò)慮欄l消息區(qū)消息區(qū)Ethereal使用簡(jiǎn)介使用簡(jiǎn)介4.4.通過(guò)鏡像端口分析局域網(wǎng)內(nèi)的網(wǎng)絡(luò)流量通過(guò)鏡像端口分析局域網(wǎng)內(nèi)的網(wǎng)絡(luò)流量(s2100) (s2100) PC1:VLAN2Ethereal分析工具PC4:VLAN2PC3:VLAN2PC2:VLAN2SwitchAvlan 2SwitchA-vlan2port ethernet 0/2 to ethernet 0/5SwitchA monitor-port ethernet 0/2 no-filt SwitchAmirroring-port both SwitchAmirroring-port bothSwitchAmirroring-port bothS2100E0/2E/0/3E0/4E0/5網(wǎng)絡(luò)嗅探與協(xié)議分析簡(jiǎn)介網(wǎng)絡(luò)嗅探與協(xié)議分析簡(jiǎn)介 2.2.trunkPC1:VLAN2Ethereal分析工具PC4:VLAN2PC3:VLAN3PC2:VLAN2E0/1E0/1E0/2E0/2E0/9E0/10E0/21E0/9S2100S2100網(wǎng)絡(luò)嗅探與協(xié)議分析簡(jiǎn)介網(wǎng)絡(luò)嗅探與協(xié)議分析簡(jiǎn)介 2.2.配置配置VLAN:SwitchA & Switch

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論