sniffer数据包捕获

sniffer数据包捕获
sniffer数据包捕获

实训报告

一、sniffer的功能认知;

1. 实时网络流量监控分析

Sniffer Portable LAN能够对局域网网络流量进行实时监控和统计分析,对每个链路上的网络流量根据用户习惯,可以提供以表格或图形(条形图、饼状图和矩阵图等)方式显示的统计分析结果,内容包括:

·网络总体流量实时监控统计:如当前和平均网络利用率、总的和当前的帧数、字节数、总网络节点数和激活的网络节点数、当前和总的平均帧长等。

·协议使用和分布统计:如协议类型、协议数量、协议的网络利用率、协议的字节数以及每种协议中各种不同类型的帧的数量等。Sniffer包含通用的TCP和UDP网络应用协议如HTTP, Telnet, SNMP, FTP等。同时,Sniffer 也具有特有的灵活性允许增加自定义的应用。一旦应用协议加入Sniffer,针对应用的所有的监控、报警和报告便自动生效;

·包尺寸分布统计:如某一帧长的帧所占百分比,某一帧长的帧数等。

·错误信息统计:如错误的CRC校验数、发生的碰撞数、错误帧数等;

·主机流量实时监控统计:如进出每个网络节点的总字节数和数据包数、前x个最忙的网络

节点等;

话节点对等;

·Sniffer还提供历史统计分析功能,可以使用户看到网络中一段时间内的流量运行状况,帮助用户更好的进行流量分析和监控。

2.应用响应时间监控和分析

Sniffer 在监控网络流量和性能的同时,更加关注在网络应用的运行状况和性能管理,应用响应时间(ART)功能是Sniffer中重要的组成部分,不仅提供了对应用响应时间的实时监控,也提供对于应用响应时间的长期监控和分析能力。

首先ART监控功能提供了整体的应用性能响应时间,让用户以多种方式把握当前网络通讯中的各类应用响应时间的对比情况,如客户机/服务器响应时间、服务器响应时间,最

快响应时间、最慢响应时间、平均响应时间和90%的请求的响应时间等。

3.强大的流量捕捉和实时协议解码能力

Sniffer 具备强大的网络流量捕捉能力,可以将网络流量捕捉至计算机内存或直接存贮到硬盘上,从而进行解码分析。

分布式Sniffer可以对在各种网络以及Bridge/Router上运行的500多种协议进行实时解码,同时不断增加协议解码支持,Sniffer的主要协议解码包括:

·IP上的TCP和UDP

IP Internet Protocol

IP_AUTH IP Authentication Header

SSL v3 SSL v3 – security standard

IP_MIN_ENCAP Minimal Encapsulation for IP

ICMP Internet Control Message Protocol

TRLR Trailer header for IP

BOOTP Bootstrap Protocol

DHCP Dynamic Host Configuration Protocol

TCP Transmission Control Protocol

UDP User Datagram Protocol

IMAP Internet Message Access Protocol

IP_RIP Routing Information Protocol

BGPv4 BGP Border Gateway Protocol

GGP Gateway-to-Gateway Protocol

EGP Exterior Gateway Protocol

OSPFv2 Open Shortest Path First Protocol

MOSPF Multicast Open Shortest Path Routing Protocol IGRP Inter-Gateway Routing Protocol

IGMP Internet Group Management Protocol

DVMRP Distance Vector Multicast Routing Protocol GOPHER GOPHER Protocol

NNTP NNTP Network News Transfer Protocol

POP3 Post Office Protocol Version 3

EIGRP Enhanced Interior Gateway Routing Protocol

NTP Simple Network Time Protocol

GDP Gateway Discovery Protocol

TFTP TFTP Trivial File Transfer Protocol

TELNET TELNET

FTP File Transfer protocol

SMTP Simple Mail Transfer Protocol

HTTP Hyper Text Transfer Protocol

HSRP Hot Standby Routing Protocol

IP_NETBIOS NetBIOS SERVICE ON A TCP/UDP TRANSPORT

DNS Domain Name Service

DLSW Data Link Switching Over TCP/IP

DCAP Data Link Switching Client Access Protocol

UNIX_RWH RWHO

UNIX_RSH RSHELL

UNIX_RLO RLOGIN

UNIX_REX REXEC

UNIX_RPR RPRINT ISODE ISO Over TCP

SNMP Simple Network Management Protocol, up to version 3

CMOT Common Management Information Services and Protocol over TCP/IP

CDPD Cellular Digital Packet Data

MDLP Mobile Data Link Protocol

MNRP Mobile Network Registration Protocol MNLP Mobile Network Location Protocol

SME Security Management Entity

CDPD_SNDCP Subnetwork Dependent Convergence Protocol AUTH Internet Authentication Protocol

FINGER Internet Finger Information Protocol LDAP Lightweight Directory Access Protocol

CLDAP Connectionless LightWeight Directory Access Protocol

RADIUS Remote Authentication Dial In User Service YP Yellow Pages or Network Information Services SLP Service Location Protocol

GRE Generic Routing Encapsulation

DSMCC Digital Storage Media Command and Control VRRP Virtual Router Redundancy Protocol

L2TP Layer 2 Tunneling Protocol

PPTP Point-to-Point Tunneling Protocol

TSQL Teradata network messages

EAP PPP Extensible Authentication Protocol PPPOE PPP Over Ethernet

ISAKMP Internet Security Association and Key Management Protocol

ATMP Ascend Tunnel Management Protocol

ICP Internet Cache Protocol

SAP_R3 SAP R/3 protocol

PGM Pragmatic General Multicast

PIM Protocol Independent Multicast, Sparse/Dense Mode

SCSP Server Cache Synchronization Protocol L2F Layer Two Forwarding Protocol

RCP Remote Cellblaster Protocol

HCP Host Command Protocol

KERBEROS Kerberos Protocol

FCIP Fiber Channel Over IP

ISCSI Internet SCSI over IP

Citrix ICA Citrix ICA

·Novell(IPX和NetWare 5)

·Microsoft

NETBIOS_LLC NETBIOS LLC

NETBEUI_OTHER NETBEUI

3NBP 3NBP

SMB SMB

SMB_OTHER SMB

SMB_BROWSER SMB BROWSER

SMB_NETLOGON SMB NETLOGON

SMB_MSRAP SMB MSRAP

DCE_RPC DCE RPC

SMB_MAILSLOTS SMB MAIL SLOTS

SMB_NAMED_PIPES SMB NAMED PIPES

WINS WINS

CRAYNETBIOS CRAY NETBIOS

MS_LSARPC MS Local Security Authority Remote Procedure Call

MS_WINSIF MS WINSIF

MS_NETRLOGON MS NETRLOGON

MS_SRVSVC MS Server service

MS_SPOOLSS MS Spool Service

MS_XCHG_STORE MS Exchange Store

MS_XCHG_DIRECTORY MS Exchange Directory

MS_XCHG_MAPPER MS Exchange Mapper

MS_XCHG_MTA MS Exchange Message Transfer Agent SMB_ON_TCP SMB ON TCP

MS_CL_DCERPC MS Distributed Computing Environment / Remote Procedure Call

MS_DCOM MS_DCOM

·数据库(Oracle, Sybase和MS SQL Server)

TO_TNS ORACLE Transparent Network Substrate

TO_SQLNET_V2 ORACLE SQL Network for Firewalls

TO_TDS Tabular Data Stream

·ATM(AAL, LANE, 和PNN)

·WAN(帧中继, PPP, X.25, HDLC, ISDN, SDLC, 和Cisco HDLC)·桥/路由器

·Cisco(路由VLAN)

CISCO_DISL Dynamic Inter-Switch Link Protocol

CISCO_ISL Inter-Switch Link

CISCO_VTP VLAN Trunk Protocol

CISCO_CDP Cisco Discovery Protocol

CISCO_DRIP Dual Ring Protocol

80210 VLAN Standardization

CISCO_CGMP CISCO Group Management Protocol

CISCO_PAGP Port Aggregation Protocol

·Banyan

·核心路由协议

MPLS_UNK_L2 MultiProtocol Label Switching

RSVP-TE Resource Reservation Protocol Traffic Engineering extensions

LDP Label Distribution Protocol

CR-LDP Label Distribution Protocol / Constraint-based

OSPF-TE OSPF Traffic Engineering extensions IP_RIP Routing Information Protocol

BGPv4 BGP Border Gateway Protocol

GGP Gateway-to-Gateway Protocol

EGP Exterior Gateway Protocol

OSPFv2 Open Shortest Path First Protocol

MOSPF Multicast Open Shortest Path Routing Protocol

IGRP Inter-Gateway Routing Protocol

IGMP Internet Group Management Protocol DVMRP Distance Vector Multicast Routing Protocol

·VoIP的可选插件包括:H.323, H.225, H.245, RAS, SIP, SCCP(Cisco Skinny), RTP/RICP和SDP/SAP

SCCP Cisco Skinny Client Control Protocol (SCCP).

SIP Session Initiation Protocol

SAP Session Announcement Protocol

SDP Session Description Protocol

RTSP Real Time Streaming Protocol

H323v4 ITU IP Telephony protocol suite comprised of: H.225, H.245, RAS, H.235, etc.

H225_RASv4 H225 Registration, Admission and Status (RAS) Protocol

H225_USERINFO H225 call signalling User information H225_CALLSIGv4 H225 call signaling

Faststart H.225 Signaling where the logical channel is opened in the Setup message

H245_CALLCTL v8 H245 Call control

RTP Real-Time Transport Protocol

RTCP Real-Time Control Protocol

H261 Video Bitstream Compression and Content Codec

H263 Video Bitstream Compression and Content Codec - with performance and error recovery improvements over H.261

H235 v3 Security and Encryption for H.Series Protocols

MEGACO Media Gateway Control Protocol

MGCP Media Gateway Control Protocol

ITB301 Duetsche Bahn AG

Sniffer可以在OSI全部七层上进行协议解码。Sniffer对每一层都提供了Summary(解码主要规程要素)、Detail(解码全部规程要素)、Hex(十六进制码)等解码窗口。

分析二种方式。在发生故障时,可以采取最深入、直接的分析手段,获取最确切的判断依据。

4.灵活过滤器设置

Sniffer可以设置监视(Monitor)、捕获(Capture)和显示(Display)三种类型的过滤器,每类过滤器可以根据不同的条件,如网段、IP地址、MAC地址、协议类型、数据包大小、数据包错误类型(Runt Frames, Oversize Frames, CRC errors, Fragments, Jabbers, Alignment errors)、数据包内容等,并可根据上述不同条件的与或非进行组合。定义过滤器时可以从一个样本文件(Profile)中导入,可以通过将捕获的数据包解码后设置,也可以手工编写。过滤器可以根据地址、通讯内容、大小、协议种类进行多种条件的叠加过滤,集中针对相应主机、网段、应用、协议进行深入的故障管理。通过定义过滤器,网络管理员可以快速缩减特定问题的监视范围, 确保相应网络中的问题能够被及时追踪和排除。Sniffer支持的过滤方式有:

·地址过滤,包括网段地址过滤和网络地址过滤。

·协议过滤,TCP端口过滤或特定协议过滤。

·特征包过滤,根据包特征进行过滤。

同时Sniffer设置过滤器的方式非常灵活,可以通过监控界面直接点击相应的主机或主机会话对即可设定相应的过滤器并对特定的主机或主机对进行流量捕获。在对捕获的流量进行分析时,可以方便的通过点击主机、主机对、协议等自动过滤所需数据包,迅速分析特定的网络数据包,提高分析效率。

5.自动触发捕获数据

分布式Sniffer 支持人工和自动触发捕获数据。Sniffer的触发器功能允许用户根据日期和时间、警报以及特定网络事件来启动和终止捕获。当无人操作Sniffer(例如下班时间或周末)或者有特定事件发生(例如有警报产生)时,可以使用触发器来捕获数据。

用户可以定义三种触发器——启动触发器,这种触发器可以启动捕获会话;终止触发器,可以终止捕获会话;以及启动和终止触发器,它既可以启动也可以终止捕获会话。与过滤器一样,一旦用户定义了一个触发器并为之取名,此后就可以在恰当的时间再次使用它。

例如我们可以了解同一种应用不同客户端响应时间状况,也可以采集不同服务器提供同种应用的响应差异,也可以将连接在同一台服务器上访问某一应用的多个客户端进行性能对比,快速查找出到底是网络问题还是服务器的瓶颈、是某一用户个别的性能问题还是某一网段多个用户或全体用户的普遍问题。

另外Sniffer的专家系统可以收集相关应用的具体响应时间包括每一个连接、每一个会话、每一个交易的平均、最短、最长响应时间都会被收集并且显示,而且能够在网络的会话层和应用层提供服务器连接缓慢、服务器响应缓慢、数据库连接缓慢和数据库响应缓慢等专家诊断信息。

6.实时告警功能

Sniffer在网络流量实时监控的基础上,自动发现网络异常,并产生告警。Sniffer系统产生的告警有:

·流量异常告警,包括利用率、每秒字节数、每秒数据包数、每秒钟各种大小的数据包数、错误包数等。

·应用响应超时告警,对应用的响应时间进行监控,应用响应时间异常告警。

·专家系统告警,自动发现网络和应用中的问题特征,并产生告警。

7.实时网络专家分析系统

Sniffer 具备一个实时专家系统,在监视网络、捕捉数据的同时,实时分析网络上传输的数据包,识别网络配置,自动发现网络故障并进行告警。所有异常现象被归为两类:一类是symptoms(故障征兆),另一类是diagnoses(故障诊断)。它能指出:

·网络故障出现在OSI第几层,以及发生的位置(IP地址,MAC地址);

·网络故障的性质,产生故障的可能原因以及为解决故障建议采取的方案。

Sniffer的专家系统实现了从物理层、数据链路层、网络层、传输层、会话层、表示层到应用层的OSI参照模型所有七层的协议分析,包括对ORACAL数据库、SYBASE数据库、MS SQL SERVER 数据库和MS EXCHANGE应用都可以进行协议分析,能辅助网络人员有效地查找故障的深层次原因(是由于网络、主机、数据库还是应用系统),界定影响应用服务质量的因素,便于网络和应用性能问题的快速诊断和解决。

如下图所示,Sniffer实时专家系统在传输层协议分析中自动识别本地路由错误的一个实例:

借助Sniffer专家系统,网络管理人员即便不熟悉网络协议,不了解数据包的具体内容,也能轻松解决问题。

二、网络管理的目的和内容;

通过sniffer的功能,可知

网络管理的目的:在于监视和控制一个复杂的计算机网络,通过某种方式

对网络状态进行调整,使网络中的各种资源得到高效的利用,当网络出现故障时能及时作出报告和处理,并协调、保持网络的高效运行等。

网络管理的内容主要包括:

1) 配置管理:掌握和控制网络的状态,包括网络内各个设备的状态及其连接关系。

2) 性能管理:主要考察网络运行的好坏。性能管理使网络系统管理员能够监视网络运行的参数,如吞吐率、响应时间、网络的可用性等,随时了解网络状况,分析可能产生瓶颈的因素及时调整网络的负载结构。

3) 安全管理:是对网络资源及其重要信息访问的约束和控制,包括验证网络用户的访问权限和优先级、检测和记录未授权用户企图进行的不应有的操作。

4) 故障管理:检测、定位和排除网络硬件和软件中的故障。当出现故障时,能确认故障,并记录故障,找出故障的位置并尽可能排除这些故障。同时,分析故障产生的原因,防止今后发生类似的问题。

5) 信息统计:收集、分析网络的历史资料,识别网络工作的长期趋势,

为网络的扩展提供参考。

三、sniffer应用实训

1、场景1

场景描述:新建或者搜索监控主机。在监控前最好先了解当前sniffer可以见监控到的主机或其他的网络节点。

操作步骤:

1,在主程序界面的“tools”菜单中选择“Address book”命令,打开的框如图:

2、打开后先显示上次搜索到的地址,如果是刚开始使用,就先按“自动发现地址”的按钮搜索地址。如图:

3、由于网络比较大,我选择性的监控网络主机,打开“Autodiscover Option ”,然后选择“Rang (IP Address)”,输入搜索IP的范围,范围为“192.168.48. ”,然后按确定就开始搜索了,

结果如下:

场景2

场景描述:查看监控网络的主机列表

操作步骤:

1、查看大纲主机列表。选择【Monitor】-->【Host table】命令,打开监控的站点的主机列表,其中显示了带你去网络中所连接的站点,如图:

图中各列表示的意思是:(host addr)连接站点的Ip地址、(InPkts)传入数据包、(Out Pkts)传出数据包、(IIn Byts)传入数据包字节数、(Out Byts)传出数据包字节数、(Broadcast)广播包数、(Multicast)多播包数、(UpdateTime)更新时间、(Create Time)建立连接时间。

在窗口的顶部显示的数值为当前监控到的站点数:如图是“37 stations”,表示当前监控到的站点是37,我做的试验中网络还在搜索,所以,这表示的搜索到目前为止的主机。

我们可以通过上图,观察主机接受包和发送包的情况,有的主机接受包非常多,而有的非常少,这可能不正常,有可能是病毒在作怪,所以,这个对监控网络是否正常是非常有用的。通过观察上图,我们发现,192.168.48.1和This Station 发送和接受的数据包及较多,我对这两台主机德尔数据进行了分析。由于192.168.48.1是广播地址,所以,发送和接受的数据包多比较正常,而对于This Station (即实验用的主机),但是在下载东西,所以,接收和发送的数据包比较多。而其他的主机都相对比较少。

场景3

场景描述:详细主机列表。

操作步骤:

3、主机列表柱状图。

从图中可以看出This Station和192.168.48.1 的流量比较多

一般默认的显示的站点和主机数是10个,我们也可以自由设置这些参数,方法是单击左边工具栏中的一个按钮打开下图的对话框,不同的站点和主机的数据包柱状图以不同的颜色显

示。

4、主机列表饼状图

从图中可以看出This Station和192.168.48.1 的流量比较多

场景4

场景描述:查看所有监控站点的通信矩阵分布

操作步骤:

1、通信连接矩阵分布地图

打开【matrix】,随即打开当前监控网络中所有站点通信连接的矩阵分布图。如下图:

这里密密麻麻地显示了监控网络中的所有通信分布图,分布图顶部显示了当前监控到的通信连接数,如图所示的是“37Conversations”,表示当前监控到69个通信节点。

左边列出的是远程网络的站点,右边显示的是监控网络中的网络节点。从图中可以看出,内部站点比远程连接的站点或主机少,

2、如果想在矩阵图中显示其中一个或多个站点的通信,则可在矩阵图中相应的节点上单击鼠标右键(如果需要多个,则可按住【Ctrl】键选择多个),在弹出的快捷键菜单选择【show

select Nodes】,

实验四--SnifferPro数据包捕获与协议分析上课讲义

实验四-- S n i f f e r P r o数据包捕获与协议分析

精品文档 实验四 SnifferPro数据包捕获与协议分析 一. 实验目的 1.了解Sniffer的工作原理。 2.掌握SnifferPro工具软件的基本使用方法。 3.掌握在交换以太网环境下侦测、记录、分析数据包的方法。 二、实验原理 数据在网络上是以很小的被称为“帧”或“包”的协议数据单元(PDU)方式传输的。以数据链路层的“帧”为例,“帧”由多个部分组成,不同的部分对应不同的信息以实现相应的功能,例如,以太网帧的前12个字节存放的是源MAC地址和目的MAC地址,这些数据告诉网络该帧的来源和去处,其余部分存放实际用户数据、高层协议的报头如TCP/IP的报头或IPX报头等等。帧的类型与格式根据通信双方的数据链路层所使用的协议来确定,由网络驱动程序按照一定规则生成,然后通过网络接口卡发送到网络中,通过网络传送到它们的目的主机。目的主机按照同样的通信协议执行相应的接收过程。接收端机器的网络接口卡一旦捕获到这些帧,会告诉操作系统有新的帧到达,然后对其进行校验及存储等处理。 在正常情况下,网络接口卡读入一帧并进行检查,如果帧中携带的目的MAC地址和自己的物理地址一致或者是广播地址,网络接口卡通过产生一个硬件中断引起操作系统注意,然后将帧中所包含的数据传送给系统进一步处理,否则就将这个帧丢弃。 如果网络中某个网络接口卡被设置成“混杂”状态,网络中的数据帧无论是广播数据帧还是发向某一指定地址的数据帧,该网络接口卡将接收所有在网络中传输的帧,这就形成了监听。如果某一台主机被设置成这种监听(Snfffing)模式,它就成了一个Sniffer。一般来说,以太网和无线网被监听的可能性比较高,因为它们是一个广播型的网络,当然无线网弥散在空中的无线电信号能更轻易地截获。 三、实验内容及要求 要求:本实验在虚拟机中安装SnifferPro4.7版本,要求虚拟机开启FTP、Web、Telnet等服务,即虚拟机充当服务器,物理机充当工作站。物理机通过Ping命令、FTP访问及网页访问等操作实验网络数据帧的传递。 内容: 1.监测网络中计算机的连接状况 2.监测网络中数据的协议分布 3.监测分析网络中传输的ICMP数据 4.监测分析网络中传输的HTTP数据 5.监测分析网络中传输的FTP数据 四、实验步骤 介绍最基本的网络数据帧的捕获和解码,详细功能。 1.Sniffer Pro 4.7的安装与启动 收集于网络,如有侵权请联系管理员删除

SNIFFER网络数据包分析

SNIFFER网络数据包分析 实验班级: 学号: 姓名: 指导教师: 日期:

使用SNIFFER工具进行网络数据包分析一、实验目的 通过使用Sniffer Pro软件捕获网络流量,分析数据报结构,来验证我们在计算机网络基础课堂中所学习的知识,使学生能够更加清楚地掌握网络分层的思想,从感性认识飞跃到理性认识。再通过捕获各个具体协议的通信数据包,一步一步具体分析其实现步骤,更加具体地掌握协议的实现过程。 二、实验主要仪器设备和材料 一台联网计算机和Sniffer Pro v4.7.530软件。 三、实验内容和要求 本次实验包括三项实验内容,分别是捕获报文基本分析实验、捕获并分析用户数据报协议(UDP)、捕获并分析传输控制协议(TCP)。 a)任意捕获一个数据包,分析其数据链路层格式、网络层格式和传输层格 式,加深学生对计算机网络分层概念的理解。 b)用户数据报协议(UDP)是网络上另外一种很常用的第四层协议。用户数 据报协议是OSI 参考模型中一种无连接的传输层协议,提供面向事务 的简单不可靠信息传送服务。UDP 协议基本上是IP 协议与上层协议 的接口。UDP 协议适用端口分别运行在同一台设备上的多个应用程序。 c)传输控制协议(TCP)一种面向连接(连接导向)的、可靠的、基于字节流 的运输层(Transport layer)通信协议,由IETF的RFC 793说明(specified)。 在简化的计算机网络OSI模型中,它完成第四层传输层所指定的功能, UDP是同一层内另一个重要的传输协议。 四、实验原理 1、UDP协议 UDP协议使用端口号为不同的应用保留其各自的数据传输通道。UDP正是采用这一机制实现对同一时刻内多项应用同时发送和接收数据的支持。数据发送一方(可以是客户端或服务器端)将UDP数据报通过源端口发送出去,而数据接收一方则通过目标端口接收数据。有的网络应用只能使用预先为其预留或注册的静态端口;而另外一些网络应用则可以使用未被注册的动态端口。

网络数据包的捕获与分析毕业设计

网络数据包的捕获与分析 【摘要】网络数据包的捕获对于网络安全有着巨大的作用,为我们更好的分析网络中的数据流提供了帮助。本论文是基于Windows下开发一个网络监听工具,侧重点在于实现网络数据包的捕获,然后分析并显示捕获到的数据包信息这部分功能的实现,如分析:IP首部协议类型、源IP、目的IP和端口号等。采用的是Winpcap(Windows Packet Capture)来实现的抓包功能。通过VC++6.0中MFC编程实现通过一个完整界面来控制调用Winpcap中的函数来实现对网卡信息的捕获和循环捕获数据包,然后通过预先对于IP、TCP、UDP等数据包的定义和TCP/IP等协议来解析其中包含的内容并返回显示捕获到数据包的信息,当然也可以保存捕获到的数据包到指定地点以便进一步分析。 【关键词】Winpcap;数据包;捕获;分析

The Capture and Analysis of Network Data Packets Wang Hang (Grade 11,Class 1, Major Network Engineering, Scho ol of Mathematics and Computer Science Dept, Shaanxi University of Technology, Hanzhong 723003, Shaanxi) Tutor: Jia Wei Abstract: The capture of network data packets plays an important part in network security, which is helpful for our better analysis of network data flow.This paper is about a network monitoring tool based on Windows system, which emphasizes particularly on realizing the capture and analysis of network data packets and then displays them. Take analysis as an example, it will check the type of the IP protocol, the source address of IP, the destination address of IP and the port https://www.360docs.net/doc/965855227.html,e the Winpcap(Windows Packet Capture)to capture of data packets. In MFC programming of VC++6.0, the capture of network data packets can be realized via the invoking and control of the functions through a full control panel, and then the analysis of IP ,TCP,UDP and TCP/IP will be done before they are displayed. Certainly the information captured can be saved to the appointed destination in order to go through an advanced analysis. Key words:Winpcap;Data Packets;Capture;Analysis

高速网络环境下数据包捕获技术的分析

龙源期刊网 https://www.360docs.net/doc/965855227.html, 高速网络环境下数据包捕获技术的分析 作者:王亚 来源:《数字技术与应用》2011年第12期 摘要:互联网的迅猛发展,网络带宽飞速增长,在高速网络环境下,传统的网络数据包捕获已经成为制约整个系统的性能提升的瓶颈,为了满足高速网络的数据包捕获的需求,对传统的网络数据包捕获存在的问题进行分析,在此基础上提出了改进措施,为后期研究高速网络下高性能的数据包捕获技术奠定基础。 关键词:高速网数据包捕获 Libpcap 中图分类号:TP393 文献标识码:A 文章编号:1007-9416(2011)12-0194-02 The Analysis of Packet Capture Technology in High Speed Network wangya (Fuyang Teachers College of computer and Information engineering Fuyang 236041) Abstract:The rapid development of the Internet and the rapid growth of network bandwidth,in high-speed network environment,the traditional network data packet capture has become the constraints of the system performance bottleneck. In order to satisfy the high speed network packet capture demand,to analysis the existing problems of the traditional network packet capture,and put forward on this foundation improvement measures.,It lays the foundation for later research of high-speed network and high performance packet capture technology. Keywords:high speed network;packet capture;Libpcap 1、引言 目前,对网络信息监控与检测的软件都是基于数据包捕获技术,如:入侵检测程序Snort、嗅探器Tcpdump等。数据包捕获技术是一种对网络上的数据包进行监听并截取的技术,可以将数据包原封不动的拷贝到捕包端的系统中。数据包捕获是入侵检测系统、网络协议

sniffer数据包捕获

实训报告 一、sniffer的功能认知; 1. 实时网络流量监控分析 Sniffer Portable LAN能够对局域网网络流量进行实时监控和统计分析,对每个链路上的网络流量根据用户习惯,可以提供以表格或图形(条形图、饼状图和矩阵图等)方式显示的统计分析结果,内容包括: ·网络总体流量实时监控统计:如当前和平均网络利用率、总的和当前的帧数、字节数、总网络节点数和激活的网络节点数、当前和总的平均帧长等。 ·协议使用和分布统计:如协议类型、协议数量、协议的网络利用率、协议的字节数以及每种协议中各种不同类型的帧的数量等。Sniffer包含通用的TCP和UDP网络应用协议如HTTP, Telnet, SNMP, FTP等。同时,Sniffer 也具有特有的灵活性允许增加自定义的应用。一旦应用协议加入Sniffer,针对应用的所有的监控、报警和报告便自动生效;

·包尺寸分布统计:如某一帧长的帧所占百分比,某一帧长的帧数等。 ·错误信息统计:如错误的CRC校验数、发生的碰撞数、错误帧数等; ·主机流量实时监控统计:如进出每个网络节点的总字节数和数据包数、前x个最忙的网络 节点等;

话节点对等;

·Sniffer还提供历史统计分析功能,可以使用户看到网络中一段时间内的流量运行状况,帮助用户更好的进行流量分析和监控。

2.应用响应时间监控和分析 Sniffer 在监控网络流量和性能的同时,更加关注在网络应用的运行状况和性能管理,应用响应时间(ART)功能是Sniffer中重要的组成部分,不仅提供了对应用响应时间的实时监控,也提供对于应用响应时间的长期监控和分析能力。 首先ART监控功能提供了整体的应用性能响应时间,让用户以多种方式把握当前网络通讯中的各类应用响应时间的对比情况,如客户机/服务器响应时间、服务器响应时间,最 快响应时间、最慢响应时间、平均响应时间和90%的请求的响应时间等。

数据包捕获与解析

数据包捕获与解析课程设计报告 学生姓名:董耀杰 学号:1030430330 指导教师:江珊珊

数据包捕获与分析 摘要本课程设计通过Ethereal捕捉实时网络数据包,并根据网络协议分析流程对数据包在TCP/IP各层协议中进行实际解包分析,让网络研究人员对数据包的认识上升到一个感性的层面,为网络协议分析提供技术手段。最后根据Ethereal的工作原理,用Visual C++编写一个简单的数据包捕获与分析软件。 关键词协议分析;Ethereal;数据包;Visual C++ 1引言 本课程设计通过技术手段捕获数据包并加以分析,追踪数据包在TCP/IP各层的封装过程,对于网络协议的研究具有重要的意义。Ethereal是当前较为流行的图形用户接口的抓包软件,是一个可以用来监视所有在网络上被传送的包,并分析其内容的程序。它通常被用来检查网络工作情况,或是用来发现网络程序的bugs。通过ethereal对TCP、UDP、SMTP、telnet和FTP等常用协议进行分析,非常有助于网络故障修复、分析以及软件和协议开发。,它以开源、免费、操作界面友好等优点广为世界各地网络研究人员使用为网络协议分析搭建了一个良好的研究平台。 1.1课程设计的内容 (1)掌握数据包捕获和数据包分析的相关知识; (2)掌握Ethreal软件的安装、启动,并熟悉用它进行局域网数据捕获和分析的功能; (3)设计一个简单的数据包捕获与分析软件。 1.2课程设计的要求 (1)按要求编写课程设计报告书,能正确阐述设计结果。 (2)通过课程设计培养学生严谨的科学态度,认真的工作作风和团队协作精神。 (3)学会文献检索的基本方法和综合运用文献的能力。 (4)在老师的指导下,要求每个学生独立完成课程设计的全部内容。

Ip数据包捕获设计报告

解析IP数据包程序设计与实现 学生姓名:梁帅指导老师:谢晓巍 摘要现如今,计算机网络已经彻彻底底地改变了人们的生活。大量的数据都是经过计算机网络传输的,而TCP/IP协议是计算机网络中最重要的协议之一。计算机网络中绝大多数数据都是以IP数据包的形式发送和接受的。所以IP数据包的捕获是很多计算机安全技术的基础。本课程设计实现了可以捕获流经本地网卡的IP数据包并将其头部信息解析输出的程序。 关键词TCP/IP;IP数据包;计算机网络;捕获

Design and implementation of IP data packet Student name: LIANG Shuai Advisor:XIE Xiao-wei Abstract Nowadays, computer network has completely changed people's life. A large amount of data is transmitted through computer networks, and the TCP/IP protocol is one of the most important protocols in computer networks. Most of the data in the computer network are sent and received in the form of IP data packets. So IP packet capture is the basis of many computer security technology. This course is designed to capture the IP data packet that flows through the local network card and the program to parse the output of its head. Key words TCP/IP;IP data packet;Computer network;Capture

IP及IPSEC协议数据包的捕获与分析分析

IP及IPSEC协议数据包的捕获与分析 为了掌握掌握IP和IPSEC协议的工作原理及数据传输格式,熟悉网络层的协议。我进行了以下实验:首先用两台PC互ping并查看其IP报文,之后在两台PC上设置IPSEC互ping并查看其报文。最终分析两者的报文了解协议及工作原理。 一、用两台PC组建对等网: 将PC1与PC2连接并分别配置10.176.5.119和10.176.5.120的地址。如图1-1所示。 图1-1 二、两PC互ping: IP数据报结构如图1-2所示。 图1-2 我所抓获的报文如图1-3,图1-4所示:

图1-3 请求包 图1-4 回应包 分析抓获的IP报文: (1)版本:IPV4 (2)首部长度:20字节 (3)服务:当前无不同服务代码,传输忽略CE位,当前网络不拥塞

(4)报文总长度:60字节 (5)标识该字段标记当前分片为第1367分片 (6)三段标志分别指明该报文无保留、可以分段,当前报文为最后一段 (7)片偏移:指当前分片在原数据报(分片前的数据报)中相对于用户数据字段 的偏移量,即在原数据报中的相对位置。 (8)生存时间:表明当前报文还能生存64 (9)上层协议:1代表ICMP (10)首部校验和:用于检验IP报文头部在传播的过程中是否出错 (11)报文发送方IP:10.176.5.120 (12)报文接收方IP:10.176.5.119 (13)之后为所携带的ICMP协议的信息:类型0指本报文为回复应答,数据部分 则指出该报文携带了32字节的数据信息,通过抓获可看到内容为:abcdefghijklmnopqrstuvwabcdefghi 三、IPSec协议配置: 1、新建一个本地安全策略。如图1-5。 图1-5 2、添加IP安全规则。如图1-6.

Sniffer嗅探、抓包实验

Sniffer嗅探、抓包实验 实验目的 通过实验,掌握常用嗅探工具的安装与使用方法,理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构,了解FTP、HTTP等协议明文传输的特性,建立安全意识,防止此类协议传输明文造成的泄密。 建议实验工具 Sniffer Pro、FsSniffer或SQLServerSniffer等、至少两台安装了Windows 2000或XP的PC机,其中一台安装Sniffer软件,两台PC机互联。 实验用时 3学时(约120分钟) 实验原理 Sniffer即网络嗅探器,用于监听网络中的数据包,分析网络性能和故障,主要用于网络管理和维护,通过它,可以诊断处通过常规工具难以解决的疑难问题,包括计算机之间的异常通信,不同网络协议的通信流量,每个数据包的源地址和目的地址等,可以提供非常详细的信息。 实验步骤: 1、首先安装Sniffer软件。安装过程有关图片如下:如果此过程速度比较缓慢,一般与电脑速度较慢有关。安装完成后重新启动计算机。注意:需要重新启动才可以使用sniffer。 2、启动Sniffer。可以看到它的 界面如下:包括工具栏、网络监视面 板、多种视图等,其中,Dashboard可以监控网络的利用率、流量、及错误报文等内容,从Host table可以直观的看出连接的主机,用其IP显示。 3、获取被监视方机器的IP,假设A机监视B机的活动,A应知道B机的IP 地址,在实验环境下,操作B机的同学可以输入Ipconfig命令查询自己的IP 地址,并告之操作A机的同学。 4、选中Monitor菜单下的Matirx或直接点击网络性能监视快捷键,可以看到网络中的Traffic Map视图,单击左下角的MAC地址,IP地址或IPX使视图

sniffer嗅探器基本知识

嗅探器 嗅探器保护网络 嗅探器是一种监视网络数据运行的软件设备,协议分析器既能用于合法网络管理也能用于窃取网络信息。网络运作和维护都可以采用协议分析器:如监视网络流量、分析数据包、监视网络资源利用、执行网络安全操作规则、鉴定分析网络数据以及诊断并修复网络问题等等。非法嗅探器严重威胁网络安全性,这是因为它实质上不能进行探测行为且容易随处插入,所以网络黑客常将它作为攻击武器。 目录 编辑本段简介 嗅探器最初由 Network General 推出,由 Network Associates 所有。最近,Network Associates 决定另开辟一个嗅探器产品单元,该单元组成一家私有企业并重新命名为 Network General,如今嗅探器已成为 Network General 公司的一种特征产品商标,由于专业人士的普遍使用,嗅探器广泛应用于所有能够捕获和分析网络流量的产品。 编辑本段网络技术与设备简介 在讲述Sniffer的概念之前,首先需要讲述局域网设备的一些基本概念。 数据在网络上是以很小的称为帧(Frame)的单位传输的,帧由几部分组成,不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型,然后通过网卡发送到网线上,通过网线到达它们的目的机器,在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧,并告诉操作系统帧已到达,然后对其进行存储。就是在这个传输和接收的过程中,存在安全方面的问题。 每一个在局域网(LAN)上的工作站都有其硬件地址,这些地址惟一地表示了网络上的机器(这一点与Internet地址系统比较相似)。当用户发送一个数据包时,这些数据包就会发送到LAN上所有可用的机器。 在一般情况下,网络上所有的机器都可以“听”到通过的流量,但对不属于自己的数据包则不予响应(换句话说,工作站A不会捕获属于工作站B 的数据,而是简单地忽略这些数据)。如果某个工作站的网络接口处于混杂

IP及IPSEC协议数据包的捕获与分析

IP及IPSEC协议数据包的捕获与分析

IP及IPSEC协议数据包的捕获与分析 为了掌握掌握IP和IPSEC协议的工作原理及数据传输格式,熟悉网络层的协议。我进行了以下实验:首先用两台PC互ping并查看其IP报文,之后在两台PC上设置IPSEC互ping并查看其报文。最终分析两者的报文了解协议及工作原理。 一、用两台PC组建对等网: 将PC1与PC2连接并分别配置10.176.5.119和10.176.5.120的地址。如图1-1所示。 图1-1 二、两PC互ping: IP数据报结构如图1-2所示。 图1-2 我所抓获的报文如图1-3,图1-4所示:

图1-3 请求包 图1-4 回应包 分析抓获的IP报文: (1)版本:IPV4 (2)首部长度:20字节 (3)服务:当前无不同服务代码,传输忽略CE位,当前网络不拥塞

(4)报文总长度:60字节 (5)标识该字段标记当前分片为第1367分片 (6)三段标志分别指明该报文无保留、可以分段,当前报文为最后一段 (7)片偏移:指当前分片在原数据报(分片前的数据报)中相对于用户数据字段 的偏移量,即在原数据报中的相对位置。 (8)生存时间:表明当前报文还能生存64 (9)上层协议:1代表ICMP (10)首部校验和:用于检验IP报文头部在传播的过程中是否出错 (11)报文发送方IP:10.176.5.120 (12)报文接收方IP:10.176.5.119 (13)之后为所携带的ICMP协议的信息:类型0指本报文为回复应答,数据部分 则指出该报文携带了32字节的数据信息,通过抓获可看到内容为:abcdefghijklmnopqrstuvwabcdefghi 三、IPSec协议配置: 1、新建一个本地安全策略。如图1-5。 图1-5 2、添加IP安全规则。如图1-6.

实验1:网络数据包的捕获与协议分析

实验报告 ( 2014 / 2015 学年第二学期) 题目:网络数据包的捕获与协议分析 专业 学生姓名 班级学号 指导教师胡素君 指导单位计算机系统与网络教学中心 日期2015.5.10

实验一:网络数据包的捕获与协议分析 一、实验目的 1、掌握网络协议分析工具Wireshark的使用方法,并用它来分析一些协议; 2、截获数据包并对它们观察和分析,了解协议的运行机制。 二、实验原理和内容 1、tcp/ip协议族中网络层传输层应用层相关重要协议原理 2、网络协议分析工具Wireshark的工作原理和基本使用规则 三、实验环境以及设备 Pc机、双绞线、局域网 四、实验步骤 1.用Wireshark观察ARP协议以及ping命令的工作过程: (1)打开windows命令行,键入“ipconfig -all”命令获得本机的MAC地址和缺省路由器的IP地址;结果如下: (2)用“arp -d”命令清空本机的缓存;结果如下 (3)开始捕获所有属于ARP协议或ICMP协议的,并且源或目的MAC地址是本机的包。(4)执行命令:ping https://www.360docs.net/doc/965855227.html,,观察执行后的结果并记录。

此时,Wireshark所观察到的现象是:(截图表示) 2.设计一个用Wireshark捕获HTTP实现的完整过程,并对捕获的结果进行分析和统计。(截 图加分析) 3.设计一个用Wireshark捕获ICMP实现的完整过程,并对捕获的结果进行分析和统计。要求:给出捕获某一数据包后的屏幕截图。以16进制形式显示其包的内容,并分析该ICMP 报文。(截图加分析) 4. 设计一个用Wireshark捕获IP数据包的过程,并对捕获的结果进行分析和统计(截图加分析) 要求:给出捕获某一数据包后的屏幕截图。以16进制形式显示其包的内容,并分析在该数据包中的内容:版本首部长度、服务类型、总长度、标识、片偏移、寿命、协议、源Ip地址、目的地址 五、实验总结

Sniffer抓包分析手册

Sniffer抓包分数据包分析手册 前言 现在大家在一线解决故障过程中,经常会利用sniffer软件来分析网络中的数据包,从而为故障的解决及相关的部门(如研发)提供更有说服力的数据。应该来说,sniffer的包文对于解决问题确实起到了很大的作用,但很多时候有些人所提供的sniffer数据包什么数据都抓,很混,要花很大的力气才能对看明白该数据包,另外,很多时候没有给出相应的抓包的网络拓扑图,数据包中的源端口、目的端口、IP地址等方面的说明,这样不利于相关人员的分析和定位。为此,我做个这方面的case,供大家参考,望大家能够提供更有价值的数据给相关的人员。

认证客户端与NAS 设备(交换机)报文交互 一、捕获数据包拓扑图: 1、 捕获认证客户端电脑(192.168.0.241/24)与S2126G 交换机交互的报文; 2、 捕获S2126G 交换机与SAMII 服务器(192.168.0.232)交互的报文; 三、所捕获得到的sniffer 报文的文件命名:请尽可能采用一目了然的文件名,即从文件名即 可以大概知道该sniffer 的报文的内容;同时,对于每个sniffer 文件,请用一个readme.txt 简短地说明,这样便于相关的人员能够更好地知道sniffer 报文的内容; 四、交换机的配置: show run Building configuration... Current configuration : 633 bytes version 1.0 hostname Switch radius-server host 192.168.0.232 aaa authentication dot1x aaa accounting server 192.168.0.232

计算机网络实验八 Sniffer Pro数据包捕获与协议分析汇编

惠州学院《计算机网络》实验报告 实验08 Sniffer Pro数据包捕获与协议分析 1. 实验目的 (1)了解Sniffer的工作原理。 (2)掌握SnifferPro工具软件的基本使用方法。 (3)掌握在非交换以太网环境下侦测、记录、分析数据包的方法。 2. 实验原理 数据在网络上是以很小的被称为“帧”或“包”的协议数据单元(PDU)方式传输的。以数据链路层的“帧”为例,“帧”由多个部分组成,不同的部分对应不同的信息以实现相应的功能,例如,以太网帧的前12个字节存放的是源MAC地址和目的MAC地址,这些数据告诉网络该帧的来源和去处,其余部分存放实际用户数据、高层协议的报头如TCP/IP 的报头或IPX报头等等。帧的类型与格式根据通信双方的数据链路层所使用的协议来确定,由网络驱动程序按照一定规则生成,然后通过网络接口卡发送到网络中,通过网络传送到它们的目的主机。目的主机按照同样的通信协议执行相应的接收过程。接收端机器的网络接口卡一旦捕获到这些帧,会告诉操作系统有新的帧到达,然后对其进行校验及存储等处理。 在正常情况下,网络接口卡读入一帧并进行检查,如果帧中携带的目的MAC地址和自己的物理地址一致或者是广播地址,网络接口卡通过产生一个硬件中断引起操作系统注意,然后将帧中所包含的数据传送给系统进一步处理,否则就将这个帧丢弃。 如果网络中某个网络接口卡被设置成“混杂”状态,网络中的数据帧无论是广播数据帧还是发向某一指定地址的数据帧,该网络接口卡将接收所有在网络中传输的帧,这就形成了监听。如果某一台主机被设置成这种监听(Snfffing)模式,它就成了一个Sniffer。 一般来说,以太网和无线网被监听的可能性比较高,因为它们是一个广播型的网络,当然无线网弥散在空中的无线电信号能更轻易地截获。 3. 实验环境与器材 本实验在虚拟机中安装SnifferPro4.7版本,要求虚拟机开启FTP、HTTP等服务,即虚拟机充当服务器,物理机充当工作站。 物理机通过Ping命令、FTP访问及网页访问等操作实验网络数据帧的传递。 4. 实验内容 介绍最基本的网络数据帧的捕获和解码,详细功能请参阅本教材辅助材料。 (1)Sniffer Pro 4.7的安装与启动 1)启动Sniffer Pro 4.7。在获取Sniffer Pro 4.7软件的安装包后,运行安装程序,按要求输入相关信息并输入注册码,若有汉化包请在重启计算机前进行汉化。完成后重启计算机,点击“开始”→“程序”→“Sniffer Pro”→“Sniffer”,启动“Sniffer Pro 4.7”程序。 2)选择用于Sniffer的网络接口。如果计算机有多个网络接口设备,则可通过菜单“File”→“Select Settings”,选择其中的一个来进行监测。若只有一块网卡,则不必进行此步骤。

IP 数据报捕获与分析实验报告

实验报告 专业班级成绩评定______ 学号姓名教师签名______ 实验题目IP 数据报捕获与分析实验时间 一、实验目的: 1.掌握IP数据报格式。 2.理解IP协议的工作原理及工作过程。 3.掌握使用wireshark捕获IP等数据报并分析。 二、实验环境:以太网。 三、实验内容: 1.熟悉WinPcap的体系构架和提供的函数。 2.学习IP数据报校验和计算方法。 3.掌握使用wireshark捕获IP等数据报。 4.对捕获的IP数据报进行分析。 四、实验步骤: 1.在PING之前先运行wireshark熟悉页面并进行一些设置

a.单击Capture Filter过滤器:可以设置捕捉一些特殊规则 的数据报。 b.在选中Capture packets in promiscuous mode:可以设置 为混合全处理模式。 c.可以点击Start开始捕捉。过一段时间后,点击Stop停止, 观察捕捉到的数据报,并进行分析。 2.使用wireshark捕获和分析IP数据包。 a.打开wireshar并开始捕获数据包。 b.然后在系统的“开始”—“运行”—输入“CMD”命令,进 入DOS命令窗口,并输入“ping”命令测试网络的情况. c.如“ping 192.168.0.1”。 Ping 命令的使用

d.再回到wireshar点击停止后查看捕获到的数据,双击打开 “ping”后的数据包,分析数据包的内容。 分片的数据包 (以下图片全部通过wireshark捕获数据包,然后用QQ中的截图功能截取) IP协议节点

IP协议节点 上面节点说明如下: 3.进制数据包窗口 16进制数据包窗口将数据包的所有内容以16进制的形式显示出来,如下所示:

ip数据包的捕获与解析代码

// PackCaptureDlg.h:header file #define IPV4_WERSION 4 #define IPV6_WERSION 6 #define ICMP_PACKET 1 #define IGMP_PACKET 2 #define TCP_PACKET 6 #define EGP_PACKET 8 #define UDP_packet 17 #define OSPF_PACKET 89 class CPackCaptureDlg:public CDialog { public: //{{AFX_DATA(CFindHostDlg) enum {IDO=IDO_PACKCAPTURE_DIALOG}; int m_Count; CString m_Packet; //}}AFX_DATA protected: //{{AFX_MSG(CFindHostDlg) afx_msg void OnCapture(); //}}AFX_MSG private: typedef struct IP_HEAD //IP头部结构 { union { unsigned char Version; //版本(字节前四位) unsigned char HeadLen; //头部长度(字节后四位) }; unsigned char ServiceType; //服务类型 unsigned short TotalLen; //总长度 unsigned short Identifier; //标识符 union { unsigned short Flags; //标志位(字前三位) unsigned short FragOffset;

sniffer软件的初步使用方法

使用Sniffer工具分析以太网帧和IP数据报 一、实验目的 通过使用Sniffer Pro软件掌握Sniffer(嗅探器)工具的使用方法,实现捕捉FTP、HTTP等协议的数据包,以理解TCP/IP协议中多种协议的数据结构。 二、实验原理 Sniffer即网络嗅探器,用于监听网络中的数据包,分析网络性能和故障。Sniffer 主要用于网络管理和网络维护,系统管理员通过Sniffer可以诊断出通过常规工具难以解决的网络疑难问题,包括计算机之间的异常通信、不同网络协议的通信流量、每个数据包的源地址和目的地址等,它将提供非常详细的信息。 通常每个网络接口都有一个互不相同的硬件地址(MAC地址),同时,每个网段有一个在此网段中广播数据包的广播地址(代表所有的接口地址)。一般情况下,一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧,并由操作系统进一步进行处理,同时丢弃不是发给自己的数据帧。 通过Sniffer工具,可以将网络接口设置为“混杂”(promiscuous)模式。在这种模式下,网络接口就处于一个对网络进行“监听”的状态,它可以监听此网络中传输的所有数据帧-而不管数据帧的目标地址是广播地址还是自己或者其它网络接口的地址了。它将对遭遇的每一个数据帧产生硬件中断.交由操作系统对这个帧进行处理,比如截获这个数据帧,进而实现实时分析数据帧中包含的容。 当然,如果一个数据帧没有发送到目标主机的网络接口,则目标主机将无法监听到该帧。所以Sniffer所能监听到的信息将仅限于在同一个物理网络传送的数据帧.就是说和监听的目标中间不能有路由(交换)或其它屏蔽广播包的设备。因此。当Sniffer工作在由集线器(hub)构建的广播型局域网时,它可以监听到此物理网络所有传送的数据;而对于由交换机(switch)和路由器(router)构建的网络中,由于这些网络设备只根据目标地址分发数据帧,所以在这种网络中,Sniffer工具就只能监测到目标地址是自己的数据帧再加上针对广播地址的数据帧了。 Sniffer工作在OSI模型中的第2层,它一般在已经进入对方系统的情况下使用。实验中要注意,虽然Sniffer能得到在局域网中传送的大量数据,但是不加选择的接收所有的数据包,并且进行长时间的监听,那么你需要分析的数据量将是非常巨大的,并且会浪费大量硬盘空间。 Sniffer工具分为软件和硬件两大类,在这里我们主要以Sniffer Pro软件为例对Sniffer工具的使用方法和功能进行简单的介绍。当然,Sniffer软件工具还有很多种,例如 SQLServerSniffer、FsSniffer等,它们的功能和使用的环境有所不同,如果读者感兴趣,可以自己进行深入探索。 对于Sniffer工具的防可以从以下几个方面进行:首先,如果通过网管工具发现在局域网存在长时间占用较大带宽的计算机,这台计算机可能在进行嗅探:其次,Sniffer 的记录文件增长很快,通过分析文件系统大小的变换情况,可以找到这个文件;最后,如果计算机的网络接口处于混杂模式下(在Unix环境下通过ifconfig -a命令查看网络接口状态),则它很可能运行了Sniffer。通过上面的几种方法,可以对Sniffer进行分析监测。除了这些间接分析方法外,还可以利用AntiSniff工具,它具有直接检测Sniffer的功能,从而可以对Sniffer进行有效防。

IP数据包的捕获与分析文献综述

毕业设计(论文)文献综述 还有同名论文、任务书、和其他文件题目: IP数据包的捕获与分析 姓名: 学号: 系别: 专业: 年级: 指导教师:(签名) 年月日

一、研究背景 随着社会的飞速发展,科技的日新月异,互联网已经渗透到世界的各行各业和人民生活的各个方面,全社会对网络的依赖程度只增不减,整个世界通过网络正快速的融为一体,网络时代已经来临。但由于网络具有开放性,互联性,多样性,不均匀性等诸多特征,以至于网络中存在许多风险,例如黑客攻击,恶意软件等。这些风险的存在,严重的危险到网络上信息的完整性、保密性、真实性、可靠性。所以网络安全问题已越发受到人们的关注,而想要解决这些问题涉及的内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。技术方面主要侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因素的管理。如何更有效地保护重要的信息数据、提高计算机网络系统的安全性已经成为所有计算机网络应用必须考虑和必须解决的一个重要问题。 可以这样来定义网络数据安全:所谓网络数据安全,指的是网络系统的硬件、软件和数据信息能够受到保护,不会因为偶然或恶意的原因而遭到破坏、更改、泄露,同时系统能够连续、可靠地运行,网络服务不被中断。但在现实中,绝对安全的网络是没有的。 目前,我正处在高速的现代化建设阶段,政府部门、军队、企业、学校等都需要建立自己的网络和信息系统并实施保护,尤其是有关的重要部门更需要需要网络的安全保障。所以建立网络安全系统对我们具有重大的意义,而有效的实时监控和捕获可疑的网络信息就是建立网络安全系统的基础。 二、研究意义 随着个人计算机和互联网的普及,使我们从一个封闭的环境进入到一个开放的世界,越来越多的人开始使用网络这个媒介来发送,接收信息,计算机网络给人们生产和生活带来了巨大的便利。但是由于网络是一个面向大众的开放系统,它的这种特性决定了其对数据信息的保密和系统的安全性考虑并并不完备,存在着诸多的安全隐患。因此让有些个人或团体有机可乘,利用这些隐患和漏洞,通过网络来发送一些包含色情,反动等不良内容的信息,或通过网络入侵他人主机盗取信息和机密,达到破坏正常社会秩序的目的,以至于计算机网络的安全形势日趋严峻。因此,现在在计算机网络安全隐患中扮演重要角色之一的网络数据抓包软件受到越来越大的关注。 构建安全网络环境,除了通过主动的人为思想的预防以外,一套被动的网络安全检测机制也是必不可少的,通过运用标准的机制对网络中传输的各类型进行实时监控,对具有威胁性的信息进行甄别警报,这套机制的前提就是首先对网络中传输的信息进行捕获,对获取的信息解析筛查。而想要捕获这些信息,就要知道网络中的信息是以数据包的形式进行传输,想要获取信息,就必须对网络中的数据包进行捕获和分析,才能获得所需要的相应信息。所以对网络上传送的数据包进行有效的捕获与解析是目前网络监控的关键技术,

计算机网络实验应用层数据包的捕获和分析报告

计算机网络实验应用层数据包的捕获和分析报 告 文档编制序号:[KK8UY-LL9IO69-TTO6M3-MTOL89-FTT688]

淮海工学院计算机工程学院 实验报告书 课程名:《计算机网络》 题目:应用层数据报捕获和分析 班级: Z计121 学号: 93 姓名:薛慧君

1.目的与要求 熟悉网络数据包捕获与分析工具SNIFFER的操作和使用方法,掌握数据包捕获和分析的基本过程;掌握协议过滤器的设定方法,能够捕获并分析常见的网络层和运输层数据包。 2.实验内容 (1)运行SNIFFER软件并设定过滤器,将捕获数据包的范围缩小为常见的协议; (2)开始捕获数据包,同时制造特定协议的数据; (3)对捕获的数据包进行分析,解析出常见的网络层和运输层数据包的格式,重点要求解析出DNS、FTP、Telnet的数据包。 3.实验步骤 ①打开SnifferPro程序后,选择Capture(捕获)—Start(开始),或者使用F10键,或者是工具栏上的开始箭头。 ②一小段时间过后,再次进入Capture(捕获)菜单,然后选择Stop(停止)或者按下F10键,还可以使用工具栏。 ③还可以按F9键来执行“停止并显示”的功能,或者可以进入Capture(捕获)菜单,选择“停止并显示”。 ④停止捕获后,在对话框最下角增加了一组窗口卷标,包括高级、解码、矩阵、主机表单、协议分布和统计信息。

⑤选择解码卷标,可以看到SnifferPro缓冲器中的所有实际“数据”。分析该卷标结构及其内容。 具体结构:分割为上中下三个相连接的窗口,分别用于显示不同信息内容;内容: 1)最上面得窗口显示的是捕获各帧的数量和主要信息(包括帧编号,帧状态,源地址与目的地址,摘要等信息); 2)中间的窗口显示的是所选取帧的协议信息(DLC,IP,UDP及TCP协议等的协议内容); 3)最下面得窗口显示的是帧中协议各项内容对应的位置和机器码(默认以ASCII码显示)。 4. 测试数据与实验结果 实验1捕获DNS协议数据包 (1)设定过滤器,将捕获数据包的范围缩小为DNS协议;

相关文档
最新文档