Sniffer工具使用实验报告.docx

《Sniffer工具使用实验报告.docx》由会员分享，可在线阅读，更多相关《Sniffer工具使用实验报告.docx（6页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Sniffer工具使用实验报告 Sniffer工具运用试验报告 学 院： 计算机科学与工程学院 班 级： 专 业： 学生姓名： 学 号： 书目 试验目的 1 试验平台 1 试验内容 2 试验1：抓ping和回应包 2 试验要求： 2 试验过程与分析 2 试验2 ：捕获内网发往外网的重要数据 3 试验要求： 3 试验过程与分析： 4 试验3 ：Arp包编辑发送 5 试验要求： 5 试验过程与分析： 5 试验4 ：ARP欺瞒 6 试验要求： 6 试验过程与分析 7 试验深化分析： 10 试验5：交换机端口镜像的简洁配置 10 试验要求： 10 试验过程与分析： 11 试验心得 12 试验目的 了解

2、闻名协议分析软件sniffer的主要功能，以及sniffer能处理什么网络问题 试验平台 Sniffer软件是NAI公司推出的功能强大的协议分析软件。 与Netxray比较，Sniffer支持的协议更丰富，如Netxray不支持PPPOE协议，但Sniffer能快速解码分析；Netxray不能在Windows 2000和Windows XP上正常运行，而SnifferPro 4.6可以运行在各种Windows平台上。缺点：运行时须要的计算机内存比较大，否则运行比较慢 功能： 1）捕获网络流量进行具体分析 2)利用专家分析系统诊断问题 3）实时监控网络活动 4）收集网络利用率和错误等 试验内容

3、试验1：抓ping和回应包 试验要求： Ping xxxxt 视察icmp:echo和icmp:echo(reply)包信息 试验过程与分析 1）设置过滤器过滤ICMP协议 2）让Sniffer起先抓包 Ping 222.201.146.92 t 截获包如下 Echo包： ICMP头后面abcde为填充内容（数据填充码），纯熟用来凑够一个帧大小 Echo reply包 与Echo包对比可知，ID和sequence number是一样的。同样ICMP头后面abcde为填充内容（数据填充码），纯熟用来凑够一个帧大小 试验2 ：捕获内网发往外网的重要数据 试验要求： 捕获条件可选择协议dns(tcp

4、),http,pop,smtp,地址为本机IP到any 登陆华南目棉BBS或华工教学在线或其他网络论坛。用sniffer可找到用户名和密码 summary域出现“POST”，就可找到用户名和密码。假如是登录邮箱，如163，sina，sohu等，则只能看到用户名，密码是加密的。试验过程与分析： 1）先打开华工教学在线输入帐号密码 2）捕获条件可选择协议dns(tcp),http,pop,smtp,地址为本机IP到any 3）Sniffer起先捕获，再点登陆（纯熟为了削减捕获到多余http报文） 在捕获的报文里右键find frame 4）搜寻POST，POST为向服务器提交数据的http报文（一

5、般为提交表单内容） 可定位到包含帐号密码的报文，如下 5）下面是其data域内帐号密码的内容，可知这里密码没加密的 试验3 ：Arp包编辑发送 试验要求： 先捕获一个ARP包（Ping），右击发送（send frames）􀂇发送编辑窗口 试验过程与分析： 1）用Ping吩咐可以引发个arp报文 缘由：因为本机器要向目标主机发送报文时，会查询本地的ARP表，找到目标的IP地址对应的MAC地址的话，就会干脆传输。假如未找到，就会广播一个ARP报文恳求目标的MAC地址 2）因此假如ping时没截获到arp报文，可以先arp d删除arp缓冲表 对其中1个arp右击send fram

6、e，如下图 包格式可参照下图修改 试验4 ：ARP欺瞒 试验要求： 通过ARP恳求误导一台计算机建立错误的arp表（IP地址和MAC地址的映射关系表）。1）主机A和主机C：用“ARP a”查看并记录arp高速缓存 2）主机A、C设置过滤条件（只提取ARP和ICMP协议），起先捕包； 主机A ping C,视察主机A、C上捕获的icmp报文，并记录MAC地址。3）攻击者B： a)攻击者B向主机A发arp恳求报文（编辑，暂不发送） MAC层：源MAC：B的MAC 目的MAC：A的MAC ARP层：源MAC：B的MAC 源IP：C的IP（假冒C的IP） 目的MAC：A的MAC 目的IP：A的IP b

7、)主机B向主机C发ARP恳求报文（编辑，暂不发送） MAC层：源MAC：B的MAC 目的MAC：C的MAC ARP层：源MAC：B的MAC 源IP：A的IP （假冒A） 目的MAC：C的MAC 目的IP：C的IP 4）近乎同时（肯定要保证时间间隔很短）地发送3）编辑的报文。可设定时发送（每隔500ms发送一次） 5）视察A和C的ARP表 A: 错误的arp表：C的IP和B的MAC C:错误的arp表：A的IP和B的MAC 试验过程与分析 1）首先A与C互ping连通 A: A: B: B: 2）这时我做攻击者，可以先打开sniffer，ping A 3）从里面找到A返回给我的ARP REPLY

8、，对这个包右击点send frame 可以依据上表把MAC互换，再把目标IP写着A IP,源IP写着C IP 要实现近乎同时（肯定要保证时间间隔很短）地发送3）编辑的报文。可设定时发送（每隔500ms发送一次） 修改后如下图 4）把这包持续发出去后，会看到A ping 不通C了 查看arp表发觉C的IP却是B的MAC 5）对C犹如对A操作 之后结果 试验深化分析： ARP协议是始终开放着接收ARP reply的。所以当计算机接收到ARP reply时，就会对本地的ARP表进行更新，将reply中的IP和MAC 地址存储在ARP表中。因此，当B向A发送一个伪造的ARP reply，是B为了冒充C

9、而伪造的，把源IP地址改为C的IP，而 MAC地址是B自己的MAC，则当A接收到B伪造的ARP reply后，就会更新本地的ARP表，这样在A的ARP表中C的MAC地址已经变成是B的MAC了。而又因为局域网的通信是依据MAC地址进行的，导致A不能与C沟通了 试验5：交换机端口镜像的简洁配置 试验要求： A,B,C三台电脑。假设A,B,C外线分别接到交换机端口1，5，6. 配置A,B的流量镜像到C 视察A和B互ping的流量，C能捕获 取消端口镜像，再次视察 吩咐指导： Switch>enable Switch#setdefault 清空交换机配置，复原到出厂设置 Switch#write

10、 Switch#showstartup-config Switch#reload重启交换机 Switch#configterminal 进入配置模式 Switch(config)#monitorsession <session> source interface <interface-list>rx/tx/both 指定镜像源端口，<session>为session值，1100，<interface-list>为镜像源端口列表，如ethernet0/0/1-4,rx为源端口接收流量，tx为源端口发出流量，both为出入两方面的流量 No moni

11、tor session <session> source interface <interface-list> 删除镜像源端口 Switch(config)#monitorsession <session> destination interface <interface-number> 指定镜像目的端口 留意：镜像目的端口必需和镜像源端口在同一vlan中。 试验过程与分析： 清空交换机配置，复原到出厂设置 重启交换机 将端口1，7的流量镜像到端口8 验证配置 配置完毕。 这里的AB为1、7端口，C为8端口。然后A ping B的话，C里用sniffer可以看到他们之间的流量。如下图（已经过源目标IP端口流量过滤）： 取消镜像 这个时候就抓不到A、B间的通讯了。 试验心得 驾驭了如何运用sniffer进行抓包，懂得了如何运用sniffer去分析网络中的包信息，对网络协议有进一步理解，熬炼了动手实力，受益匪浅。 其中试验4由于在试验室做的时候没考虑好，截图截得不足，就回宿舍又做了一次试验4，可算是把arp攻击这一过程温故而知新了，最让人烦的就是这个构造包的窗口里的内容老是要一个个数字打上去，真希望sniffer下一版本把构包窗口做成单纯的文本编辑框。