《2Sniffer Pro网络监听实验.docx》由会员分享,可在线阅读,更多相关《2Sniffer Pro网络监听实验.docx(8页珍藏版)》请在三一办公上搜索。
1、网络监听实验实验目的(1) 熟悉网络监听的原理与技术。(2) 熟悉Sniffer Pro的基本使用方法。(3) 熟悉网络监听的用途与后果。实验环境每2位学生为一个实验组,使用2台安装Windows 2000/XP的PC机,通过局域网互联, IP 网络为 192.168.1.0/24。其中一台(192.168.1.101)安装 Sniffer Pro 4.7.5,记为 A, 实验环境的网络拓扑如图1所示。192.168.1.101192.168.1.100图1网络监听实验拓扑实验要求1、实验任务(1) 安装和运行网络监听软件。(2) 使用和测试Sniffer的常用功能。(3) 记录并分析实验结果
2、。2、实验预习(1) 预习本实验指导书,深入理解实验的目的与任务,熟悉实验步骤和基本环节。(2) 复习有关网络监听的基本知识。3、实验报告(1) 简要描述实验过程。(2) 实验中遇到了什么问题,如何解决的。(3) 在一台主机上安装防火墙,另一台主机再进行嗅探,看是否还能接收信息。如果不能, 分析其原因并详细写出来。(4) 根据网络监听的工作原理,讨论针对网络监听的防范措施,并加以实施和效果分析。(5) 实验收获与体会。实验背景1基础知识网络监听也称为嗅探,作为一种发展比较成熟的技术,在协助网络管理员监测网络传输 数据及排除网络故障等方面具有不可替代的作用。然而,网络监听也给以太网带来了极大的
3、隐患,许多网络入侵往往都伴随着以太网内网络监听,从而造成口令失窃、敏感数据被截获 等安全事件。网络监听可以在网上的任何一个位置实施,如局域网中的一台主机、网关或远程网中的 调制解调器等。监听效果最好的地方是在网关、路由器、防火墙一类的设备上,通常由网络 管理员来操作。网络监听工具在功能和实际使用方面有多不同,有些只能分析一种,有些则能分析几百 种。大多数的网络监听工具都能分析标准以太网、TCP/IP、IPX和DECNet等。通常,网络 监听可以提供如下一些功能。(1) 自动从网络中过滤及转换有用的信息。(2) 将截取的数据包转换成易于识别的格式。(3) 对网络环境中的通信失败进行分析。(4)
4、探测网络环境下的通信瓶颈。(5) 检测是否有黑客正在攻击网络系统,以阻止其入侵。(6) 记录网络通信过程。2网络监听工具Sniffer简介Sniffer Portable是NAI公司开发的系列网络故障和性能管理解决方案,网络专业人 士可以使用它对多拓扑结构和多协议网络时行维护、故障解决、优化调整和扩展。Sniffer Portable软件可以在台式计算机、便携式计算机或者笔记本计算机等硬件平台上运行,并 且可以利用高级自定义硬件组件确保全线速的捕获能力。实验步骤1 安装 Sniffer在主机A上运行Sniffer Pro 4.7的安装程序。根据安装向导的提示,输入用户信息, 指定安装路径,填写
5、用户注册信息,输入序列号,指定连接到Internet的方式。安装结束 后,重新启动计算机。2操作与测试Sniffer Pro的主要功能包括: 监视功能:用于计算并显示实时网络通信量数据。 捕获功能:用于捕获网络通信量并将当前数据包存储在缓冲区(或者文件)中,以 备将来分析使用。 实时专家系统分析功能:用于在捕获过程中分析网络数据包,并对潜在的问题发出 警告。 显示功能:用于解码和分析捕获缓冲区中的数据包,并用各种格式加以显示。本实验主要了解其监视功能。(1)Dashboard (仪表盘)仪表盘是Sniffer Pro的可视化网络性能监视器。在第一次启动Sniffer Pro时,仪表 盘就会出现
6、在屏幕上,如图2所示。如果关闭了仪表盘窗口,选择菜单Monitor (监控)一 Dashboard (仪表盘)来启动它,或者单击Sniffer Pro工具栏中的仪表盘图标。仪表盘窗 口包括3个数字表盘,从左到右是: 利用率百分比(Utilization%):说明线路使用带宽的百分比,是用传输量与端口 能够处理的最大带宽的比值来表示的。表盘的红色区域表示警戒值。在有盘下文有 2个数字,用破折号隔开。第一个数字代表当前利用率百分比,破折号后面的数字 代表最大的利用率百分比。 每秒传输的数据包(Packets/s):说明当前数据包的传输速度。表盘的红色区域表 示警戒值,表盘下文显示的是当前的数据包传
7、输速度及其峰值。 每秒产生的错误(Errors/s):说明网络的出错率。表盘的红色区域表示警戒值, 表盘下方的数值表示当前的出错率和最大的出错率。图2 Sniffer Pro仪表盘窗口Sniffer Pro的很多网络分析结果都可以设定阀值。如果超出了阀值,报警记录就会生 成一条信息。在仪表盘上,超过设定阀值的范围用红色标记。单击仪表盘上方Set Thresholds (设置阀值)按钮,会出现仪表盘属性对话框,如图3所示。在仪表盘属性对话框中,左边 是名称栏,右边是高阈值栏,底部是以秒为单位计算的监控样本间隔。如果修正了一个参数, 但是又想恢复默认值,首先就要选中这个参数,然后单击Reset(重
8、置)按钮。如果要把所 有参数都重新设定默认值,可以单击Reset All(全部重置)按钮。图3仪表盘属性对话框仪表盘左下方的Gauge (计量表)卷标实时显示利用率、数据包速率和错误率。单击仪 表盘左下方的Detail(详细资料)卷标,则以表格方式显示网络计数结果、规模分成和错 误计数结果的详细情况,如图4所示。ResetSet Thresholds.,* Show Total Show Average Rate( per second )NetworkSize DistributionDetail ErrorsPackets241,94564 Byles:381CRCs0Drops065-1
9、27 B-yles89,575Runts:0Broadcasts:279128-255 Bytes:24,523Oversizes0Mufticasts46256-511 Bytes:661Fragments0Bytes1 78,324,463512-1023 By-tes1,819Jabbers0Lltilization21024-1518 Byles124,986Alignments0Errors0Collisions0图4 Sniffer Pro仪表盘的详细资料卷标单击Short Term (短期)或Long Term (长期)按钮,可以缩小或扩大、详细错误和规 模分布图形的范围,短期范
10、围大约是25分钟,长期范围是24小时.单击仪表盘左下方的Network(网络)选择框,显示如图5所示的网络仪表盘图和网络事件选择框。仪表盘中的网络图根据每秒的统计结果,提供所有网络图。图5网络仪表盘图和网络事件选择框单击仪表盘在下方的Size Distribution (规模分布)选择框,显示如图6所示的规模 分布仪表盘图和规模分布事件选择框。仪表盘中的分布图是与SnifferPro系统相连的网络 区段上所有的活动按规模划分的一种实时视图。图6规模分布仪表盘图和规模分布事件选择框同样,用户也可以单击仪表盘左下方的Detail Errors(详细错误)选择框,相看仪表 盘中的详细错误图以及详细错
11、误的事件选择框。(2)Host table (主机列表)主机列表提供了被监视到的所有主机下在与网络的通信情况。选择菜单Monitor (监视)-Host Table (主机列表)来启动它,或者单击图7中1所指向的Sniffer Pro工具栏中的 主机列表图标。在主机列表窗口底部,可以选择以MAC地址,IP地址或IPX地址查看主机列表。如图7 所示,选择2所指向的IP选项。主机列表支持4种不同的视图产:大纲(Outline)、详细 资料(Detail)、直方图(Bar)和饼图(Pie)。如图7所示,单击大纲图标,明示出主机列表,以及经过这些主机的传输字节数量。在 大纲视图中,如果想了解某一个特定
12、工作站(例如192.168.1.101)的连网情况,只须单击 图7中所指向的IP地址,出现如图8所示的界面。File Monitor Captuie Di splay Tools Database Window Help o1 X| 11 II| |地|梆| 跃| |Default|存旧|,僵|傍睫|会修座|削剽屈|龙|倒 |2S 192.168.1.1 g 192.168.1.100 g 192.168.1.101 192.168.1.2IPAddr| Out Pkts| In Bytes| Dut Bytes| Brcjadc叔| Multicast| Update Time4 2 09
13、165 8 30 0 46 93 5l!-xl-ll 亶30|1.81200012008-04-1313:3002008-04-1313:3002008-04-1313:3002008-04-1313:3.1图7主机列表大纲视图Sniffer Portable 一 Locals Ethernet (Line speed at 100 Bbps) 一 Single Station: 1. | | X |% File Monitor Captm-e Di splay Tools Database Window Helpll| |地| 云| |Default旦 nTi-x!国BROADCAST192
14、.168.1.11 92.1 63.1.255|To and From IP : /For Help, press Fl图8主机连接地址示例图8中清楚地显示出该机器(192.168.1.101)连接的地址。单击左边的主机列表工具 栏中其他的图标,会弹出该机器连接情况的相关数据界面。在图7所示的界面中单击Detail (详细资料)图标,将显示出整个网络中的协议分布 情况,可清楚地看出网络中各台机器上正在运行的网络应用层协议,如图9所示。图9详细资料视图在图7所示的界面中单击Bar(直方图)图标,出现以直方图形式显示的网络上传输量 为前N位的主机。默认情况下,显示前10位的主机,如图10所示。图1
15、0传输量为前N位的主机直方图在图7所示的界面中单击Pie (饼图)图标,出现以饼图形式显示的网络上传输量为前N位的主机。默认情况下,显示前10位的主机,如图11所示。I 心|地网国 | Default咨I I割I源匾I会I削匐削翳I园 刈企羞限同 H !图11传输量为前N位的主机饼图(3)Matrix (矩阵)主机列表提供了单台主机的通信情况,矩阵则提供了被监视到的主机对之间的网络通信 情况,两者的操作界面和功能信息是完全类似的。选择菜单Monitor (监控)一Matrix (矩 阵)来启动它,或者单击SnifferPro工具栏中的矩阵图标。图中绿线表示正在发生的网络 连接,蓝线表示过去发生的连接,将鼠标放到线上可以看出连接情况。
