实验二 使用sniffer pro进行网络分析 (1).doc

实验二、使用sniffer pro进行网络分析一、实验目的1、学会用Sniffer Pro网络分析器的主要功能；2、利用Sniffer Pro 网络分析器的强大功能和特征，解决网络故障和问题二、实验理论基础Sniffer软件是NAI公司推出的功能强大的协议分析软件Sniffer支持的协议比较丰富，例如PPPOE协议等在Netxray并不支持，在Sniffer上能够进行快速解码分析Sniffer Pro 4.6可以运行在各种Windows平台上Sniffer软件有如下主要功能：l 捕获网络流量进行详细分析；l 利用专家分析系统诊断问题；l 实时监控网络活动；l 收集网络利用率和错误等三、实验条件：LAN、windows系统、sniffer pro软件四、实验内容4.1监听口的设置在进行流量捕获之前首先选择网络适配器，确定从计算机的哪个网络适配器上接收数据位置：File->select settings4.2 报文捕获解析捕获面板4.2.1 捕获过程报文统计在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率4.2.2 捕获报文查看Sniffer软件提供了强大的分析能力和解码功能。

如下图所示 专家分析　 专家分析系统提供了一个智能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看帮助获得在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因　 解码分析下图是对捕获报文进行解码的显示，通常分为三部分，目前大部分此类软件结构都采用这种结构显示对于解码主要要求分析人员对协议比较熟悉，这样才能看懂解析出来的报文使用该软件是很简单的事情，要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻工具软件只是提供一个辅助的手段因涉及的内容太多，这里不对协议进行过多讲解，请参阅其他相关资料对于MAC地址，Snffier软件进行了头部的替换，如00e0fc开头的就替换成Huawei，这样有利于了解网络上各种相关设备的制造厂商信息　 功能是按照过滤器设置的过滤规则进行数据的捕获或显示在菜单上的位置分别为 Capture->Define Filter和Display->Define Filter。

过滤器可以根据物理地址或IP地址和协议选择进行组合筛选 统计分析对于Matrix，Host Table，Portocol Dist. Statistics等提供了丰富的按照地址，协议等内容做了丰富的组合统计，比较简单，可以通过操作很快掌握这里就不再详细介绍了4.2.3 设置捕获条件基本的捕获条件有两种：1、链路层捕获，按源MAC和目的MAC地址进行捕获，输入方式为十六进制连续输入，如：00E0FC1234562、IP层捕获，按源IP和目的IP进行捕获输入方式为点间隔方式，如：10.107.1.1如果选择IP层捕获条件则ARP等报文将被过滤掉 高级捕获条件在“Advance”页面下，你可以编辑你的协议捕获条件.在协议选择树中可以选择所需要捕获的协议条件，如果什么都不选，则表示忽略该条件，捕获所有协议在捕获帧长度条件下，可以捕获，等于、小于、大于某个值的报文在错误帧是否捕获栏，可以选择当网络上有如下错误时是否捕获在保存过滤规则条件按钮“Profiles”，可以将当前设置的过滤规则，进行保存，在捕获主面板中，可以选择你保存的捕获条件 任意捕捉条件在Data Pattern下，你可以任意编辑捕获条件，如下图：4.3 报文放送：4.3.1 编辑报文发送Sniffer软件报文发送功能就比较弱，如下是发送的主面板图：　 发送前，需要先编辑报文发送的内容。

点击发送报文编辑按钮可得到如下的报文编辑窗口：　 首先要指定数据帧发送的长度，然后从链路层开始，一个一个将报文填充完成，如果是NetXray支持可以解析的协议，从“Decode”页面中，可看见解析后的直观表示4.3.2 捕获编辑报文发送将捕获到的报文直接转换成发送报文，然后修修改改可也如下是一个捕获报文后的报文查看窗口：选中某个捕获的报文，用鼠标右键激活菜单，选择“Send Current Packet”，这时就会发现，该报文的内容已经被原封不动的送到“发送编辑窗口”中了这时，再修修改改，就比全部填充报文省事多了发送模式有两种：连续发送和定量发送可以设置发送间隔，如果为0，则以最快的速度进行发送4.4、网络监视功能网络监视功能能够时刻监视网络统计，网络上资源的利用率，并能够监视网络流量的异常状况，这里只介绍一下Dashbord和ART，其他功能可以参看帮助，或直接使用即可，比较简单4.4.1 Dashbord Dashbord可以监控网络的利用率，流量及错误报文等内容通过应用软件可以清楚看到此功能4.4.2 Application Response Time (ART)：Application Response Time (ART) 是可以监视TCP/UDP应用层程序在客户端和服务器响应时间，如HTTP,FTP,DNS等应用。

4.5、 据报文解码详解4.5.1数据报文分层如下图所示，对于四层网络结构，其不同层次完成不通功能每一层次有众多协议组成如上图所示在Sniffer的解码表中分别对每一个层次协议进行解码分析链路层对应“DLC”；网络层对应“IP”；传输层对应“UDP”；应用层对对应的是“NETB”等高层协议Sniffer可以针对众多协议进行详细结构化解码分析并利用树形结构良好的表现出来　 4.5.2 以太报文结构EthernetII以太网帧结构 Ethernet_II以太网帧类型报文结构为：目的MAC地址（6bytes）＋源MAC地址＋（6bytes）上层协议类型（2bytes）＋数据字段（46-1500bytes)＋校验（4bytes）Sniffer会在捕获报文的时候自动记录捕获的时间，在解码显示时显示出来，在分析问题时提供了很好的时间记录源目的MAC地址在解码框中可以将前3字节代表厂商的字段翻译出来，方便定位问题，例如网络上2台设备IP地址设置冲突，可以通过解码翻译出厂商信息方便的将故障设备找到，如00e0fc为华为，010042为Cisco等等如果需要查看详细的MAC地址用鼠标在解码框中点击此MAC地址，在下面的表格中会突出显示该地址的16进制编码。

IP网络来说Ethertype字段承载的时上层协议的类型主要包括0x800为IP协议，0x806为ARP协议IEEE802.3以太网报文结构上图为IEEE802.3SNAP帧结构，与EthernetII不通点是目的和源地址后面的字段代表的不是上层协议类型而是报文长度并多了LLC子层　 5.3 IP协议IP报文结构为IP协议头＋载荷，其中对IP协议头部的分析，时分析IP报文的主要内容之一，关于IP报文详细信息请参考相关资料这里给出了IP协议头部的一个结构版本：4——IPv4首部长度：单位为4字节，最大60字节TOS：IP优先级字段总长度：单位字节，最大65535字节标识：IP报文标识字段标志：占3比特，只用到低位的两个比特MF（More Fragment）MF=1，后面还有分片的数据包MF=0，分片数据包的最后一个DF（Dont Fragment）DF=1，不允许分片DF=0，允许分片段偏移：分片后的分组在原分组中的相对位置，总共13比特，单位为8字节寿命：TTL（Time To Live）丢弃TTL=0的报文协议：携带的是何种协议报文1 ：ICMP6 ：TCP17：UDP89：OSPF头部检验和：对IP协议首部的校验和源IP地址：IP报文的源地址目的IP地址：IP报文的目的地址 上图为sniffer 对Ip协议首部的协议分析结构，和IP首部各字段相对应，并给出各字段值所表示含义的英文解释。

4.5.4 ARP协议　 以下为ARP报文结构ARP分组具有如下的一些字段：HTYPE（硬件类型）这是一个16比特字段，用来定义运行ARP的网络的类型每一个局域网基于其类型被指派给一个整数例如，以太网是类型1ARP可使用在任何网络上PTYPE（协议类型）这是一个16比特字段，用来定义协议的类型例如，对IPv4协议，这个字段的值是0800ARP可用于任何高层协议HLEN（硬件长度）这是一个8比特字段，用来定义以字节为单位的物理地址的长度例如，对以太网这个值是6PLEN（协议长度）这是一个8比特字段，用来定义以字节为单位的逻辑地址的长度例如，对IPv4协议这个值是4OPER（操作）这是一个16比特字段，用来定义分组的类型已定义了两种类型：ARP请求（1），ARP回答（2）SHA（发送站硬件地址）这是一个可变长度字段，用来定义发送站的物理地址的长度例如，对以太网这个字段是6字节长SPA（发送站协议地址）这是一个可变长度字段，用来定义发送站的逻辑（例如，IP）地址的长度对于IP协议，这个字段是4字节长THA（目标硬件地址）这是一个可变长度字段，用来定义目标的物理地址的长度例如，对以太网这个字段是6字节长。

对于ARP请求报文，这个字段是全0，因为发送站不知道目标的物理地址TPA（目标协议地址）这是一个可变长度字段，用来定义目标的逻辑地址（例如，IP地址）的长度对于IPv4协议，这个字段是4字节长4.5.5 PPPOE协议PPPOE:简单来说可把PPPOE报文分成两大块，一大块是PPPOE的数据报头，另一块则是PPPOE的净载荷（数据域），对于PPPOE报文数据域中的内容会随着会话过程的进行而不断改变下图为PPPOE的报文的格式：? 数据报文最开始的4位为版本域，协议中给出了明确的规定，这个域的内容填充0x01 ? 紧接在版本域后的4位是类型域，协议中同样规定，这个域的内容填充为0x01 代码域占用1个字节，对于PPPOE 的不同阶段这个域内的内容也是不一样的 会话ID点用2个字节，当访问集中器还未分配唯一的会话ID给用户主机的话，则该域内的内容必须填充为0x0000，一旦主机获取了会话ID后，那么在后续的所有报文中该域必须填充那个唯一的会话ID值 长度域为2个字节，用来指示PPPOE数据报文中净载荷的长度 数据域，有时也称之为净载荷域，在PPPOE的不同阶段该域内的数据内容会有很大的不同。

在PPPOE的发现阶段时，该域内会填充一些Tag（标记）；而在PPPOE的会话阶段，该域则携带的是PPP的报文六、独立完成以下任务：任务一：抓取并分析ping程序收发的数据包任务二：使用IE登录自己邮箱，并利用sniffer获取自己邮箱的密码七、结论与思考1、思考各协议的作用与应用；2、思考如何利用协议分析进行网络故障分析与解决。