Sniffer工具使用实验报告

Sniffer工具使用实验报告学院：计算机科学与工程学院班级：专业：学生姓名：学号：目录实验目的............................................................................................................................3实验平台............................................................................................................................3实验内容............................................................................................................................3实验1：抓ping和回应包........................................................................................3实验要求：.........................................................................................................3实验过程与分析.................................................................................................3实验2：捕获内网发往外网的重要数据................................................................4实验要求：.........................................................................................................4实验过程与分析：.............................................................................................5实验3：Arp包编辑发送.........................................................................................6实验要求：.........................................................................................................6实验过程与分析：.............................................................................................6实验4：ARP欺骗.....................................................................................................7实验要求：.........................................................................................................7实验过程与分析.................................................................................................8实验深入分析：...............................................................................................11实验5：交换机端口镜像的简单配置....................................................................11实验要求：.......................................................................................................11实验过程与分析：...........................................................................................12实验心得..........................................................................................................................13实验目的了解著名协议分析软件sniffer的主要功能，以及sniffer能处理什么网络问题实验平台Sniffer软件是NAI公司推出的功能强大的协议分析软件。与Netxray比较，Sniffer支持的协议更丰富，如Netxray不支持PPPOE协议，但Sniffer能快速解码分析；Netxray不能在Windows2000和WindowsXP上正常运行，而SnifferPro4.6可以运行在各种Windows平台上。缺点：运行时需要的计算机内存比较大，否则运行比较慢功能：1）捕获网络流量进行详细分析2)利用专家分析系统诊断问题3）实时监控网络活动4）收集网络利用率和错误等实验内容实验1：抓ping和回应包实验要求：Pingxxxx–t观察icmp:echo和icmp:echo(reply)包信息实验过程与分析1）设置过滤器过滤ICMP协议2）让Sniffer开始抓包Ping222.201.146.92–t截获包如下Echo包：ICMP头后面abcde……为填充内容（数据填充码），纯熟用来凑够一个帧大小Echoreply包与Echo包对比可知，ID和sequencenumber是一致的。同样ICMP头后面abcde……为填充内容（数据填充码），纯熟用来凑够一个帧大小实验2：捕获内网发往外网的重要数据实验要求：捕获条件可选择协议dns(tcp),http,pop,smtp,地址为本机IP到any登陆华南目棉BBS或华工教学在线或其他网络论坛。用sniffer可找到用户名和密码summary域出现“POST”，就可找到用户名和密码。如果是登录邮箱，如163，sina，sohu等，则只能看到用户名，密码是加密的。实验过程与分析：1）先打开华工教学在线输入帐号密码2）捕获条件可选择协议dns(tcp),http,pop,smtp,地址为本机IP到any3）Sniffer开始捕获，再点登陆（纯熟为了减少捕获到多余http报文）在捕获的报文里右键findframe4）搜索POST，POST为向服务器提交数据的http报文（一般为提交表单内容）可定位到包含帐号密码的报文，如下5）下面是其data域内帐号密码的内容，可知这里密码没加密的实验3：Arp包编辑发送实验要求：先捕获一个ARP包（Ping），右击发送（sendframes）�发送编辑窗口实验过程与分析：1）用Ping命令可以引发个arp报文原因：因为本机器要向目标主机发送报文时，会查询本地的ARP表，找到目标的IP地址对应的MAC地址的话，就会直接传输。如果未找到，就会广播一个ARP报文请求目标的MAC地址2）因此假如ping时没截获到arp报文，可以先arp–d删除arp缓冲表对其中1个arp右击sendframe，如下图包格式可参照下图修改实验4：ARP欺骗实验要求：通过ARP请求误导一台计算机建立错误的arp表（IP地址和MAC地址的映射关系表）。1）主机A和主机C：用“ARP–a”查看并记录arp高速缓存2）主机A、C设置过滤条件（只提取ARP和ICMP协议），开始捕包；主机ApingC,观察主机A、C上捕获的icmp报文，并记录MAC地址。3）攻击者B：a)攻击者B向主机A发arp请求报文（编辑，暂不发送）MAC层：源MAC：B的MAC目的MAC：A的MACARP层：源MAC：B的MAC源IP：C的IP（假冒C的IP）目的MAC：A的MAC目的IP：A的IPb)主机B向主机C发ARP请求报文（编辑，暂不发送）MAC层：源MAC：B的MAC目的MAC：C的MACARP层：源MAC：B的MAC源IP：A的IP（假冒A）目的MAC：C的MAC目的IP：C的IP4）近乎同时（一定要保证时间间隔很短）地发送3）编辑的报文。可设定时发送（每隔500ms发送一次）5）观察A和C的ARP表A:错误的arp表：C的IP和B的MACC:错误的arp表：A的IP和B的MAC实验过程与分析1）首先A与C互ping连通A:A:B:B:2）这时我做攻击者，可以先打开sniffer，pingA3）从里面找到A返回给我的ARPREPLY，对这个包右击点sendframe可以根据上表把MAC互换，再把目标IP写着AIP,源IP写着CIP要实现近乎同时（一定要保证时间间隔很短）地发送3）编辑的报文。可设定时发送（每隔500ms发送一次）修改后如下图4）把这包持续发出去后，会看到Aping不通C了查看arp表发现C的IP却是B的MAC5）对C如同对A操作之后结果实验深入分析：ARP协议是一直开放着接收ARPreply的。所以当计算机接收到ARPreply时，就会对本地的ARP表进行更新，将reply中的IP和MAC地址存储在ARP表中。因此，当B向A发送一个伪造的ARPreply，是B为了冒充C而伪造的，把源IP地址改为C的IP，而MAC地址是B自己的MAC，则当A接收到B伪造的ARPreply后，就会更新本地的ARP表，这样在A的ARP表中C的MAC地址已经变成是B的MAC了。而又因为局域网的通信是根据MAC地址进行的，导致A不能与C交流了实验5：交换机端口镜像的简单配置实验要求：A,B,C三台电脑。假设A,B,C外线分别接到交换机端口1，5，6.配置A,B的流量镜像到C观察A和B互ping的流量，C能捕获取消端口镜像，再次观察命令指导：SwitchenableSwitch#setdefault清空交换机配置，恢复到出厂设置Switch#writeSwitch#showstartup-configSwitch#reload重启交换机Switch#configterminal进入配置模式Switch(config)#monitorsessionsessionsourceinterfaceinterface-list{rx/tx/both}指定镜像源端口，session为session值，1～100，interface-list为镜像源端口列表，如ethernet0/0/1-4,rx为源端口接收流量，tx为源端口发出流量，both为出入两方面的流量Nomonitorsessionsessionsourceinterfaceinterface-list删除镜像源端口Switch(config)#monitorsessionsessiondestinationinterfaceinterface-number指定镜像目的端口注意：镜像目的端口必须和镜像源端口在同一vlan中。实验过程与分析：清空交换机配置，恢复到出厂设置重启交换机将端口1，7的流量镜像到端口8验证配置配置完毕。这里的AB为1、7端口，C为8端口。然后Apin