北郵網(wǎng)絡(luò)管理實(shí)驗(yàn)報(bào)告實(shí)驗(yàn)三計(jì)算機(jī)與網(wǎng)絡(luò)資源的探測(cè)和掃描實(shí)驗(yàn)報(bào)告.doc

信息與通信工程學(xué)院網(wǎng)絡(luò)管理實(shí) 驗(yàn) 報(bào) 告專業(yè) 信息工程 班級(jí) 2013211124 姓名 曹爽 學(xué)號(hào) 2013210640 實(shí)驗(yàn)三 計(jì)算機(jī)與網(wǎng)絡(luò)資源的探測(cè)和掃描一、 實(shí)驗(yàn)?zāi)康氖煜niffer界面并掌握Sniffer工具的使用方法，學(xué)習(xí)Sniffer監(jiān)控網(wǎng)絡(luò)的模式，實(shí)現(xiàn)網(wǎng)絡(luò)性能監(jiān)控、節(jié)點(diǎn)狀態(tài)查看，掌握Sniffer數(shù)據(jù)包過(guò)濾的基本設(shè)置方法。實(shí)現(xiàn)廣播風(fēng)暴的監(jiān)控，HTTP、SNMP等協(xié)議數(shù)據(jù)包的捕獲，以理解TCP/IP協(xié)議族中多種協(xié)議的數(shù)據(jù)結(jié)構(gòu)、會(huì)話連接建立和終止的過(guò)程、TCP序號(hào)、應(yīng)答序號(hào)的變化規(guī)律。并且，通過(guò)實(shí)驗(yàn)了解HTTP等協(xié)議明文傳輸?shù)奶匦裕越踩庾R(shí)，防止HTTP等協(xié)議由于傳輸明文密碼造成的泄密。二、 實(shí)驗(yàn)要求1、使用Sniffer Pro監(jiān)視本地網(wǎng)內(nèi)的主機(jī)間通信、協(xié)議分布和主機(jī)通信流量統(tǒng)計(jì)。2、設(shè)置Sniffer監(jiān)控過(guò)濾器，過(guò)濾ARP協(xié)議包。3、使用Sniffer Pro來(lái)檢測(cè)廣播風(fēng)暴和它的來(lái)源，設(shè)置廣播流量過(guò)濾器，捕獲HTTP等協(xié)議數(shù)據(jù)包并進(jìn)行分析。三、 實(shí)驗(yàn)工具Sniffer Portable。四、 實(shí)驗(yàn)步驟1. 熟悉Sniffer Portable并監(jiān)控網(wǎng)絡(luò)性能啟動(dòng)之前需要選擇監(jiān)控的網(wǎng)卡，如下圖所示。啟動(dòng)程序后，主界面如下圖所示。第一個(gè)儀表盤顯示傳輸數(shù)據(jù)時(shí)所占用的端口帶寬與端口能夠處理的最大帶寬值的百分比；第二個(gè)儀表盤顯示當(dāng)前數(shù)據(jù)包的傳輸速度；第三個(gè)儀表盤顯示當(dāng)前數(shù)據(jù)包傳輸過(guò)程中的出錯(cuò)率。也可以選擇表格的形式讀取儀表盤中的數(shù)據(jù)，如下圖所示。除了使用儀表盤表示網(wǎng)絡(luò)的當(dāng)前狀況外，還可以使用其他幾種模式來(lái)查看網(wǎng)絡(luò)當(dāng)前運(yùn)營(yíng)的狀態(tài)。第一種是主機(jī)列表模式，選擇“Host Table”，顯示如下圖，可以從中看出與當(dāng)前主機(jī)相連接的信息。在選擇了IP標(biāo)簽之后，就可以看到與本機(jī)相連的所有IP地址及信息。主機(jī)列表也有餅狀圖、柱狀圖等顯示模式，如下圖所示。第二種模式是矩陣模式，選擇“Matrix”可顯示下圖。從圖中可以看出各個(gè)IP互聯(lián)的情況。矩陣分布還有大綱列表的查看方式，如下圖所示。這里具體顯示出兩個(gè)通信的主機(jī)的IP地址、包裹數(shù)、字節(jié)數(shù)等等。除此之外還有應(yīng)用響應(yīng)時(shí)間模式、協(xié)議分布模式、全局統(tǒng)計(jì)模式等等，如下圖所示。2. 監(jiān)控節(jié)點(diǎn)狀態(tài)我們還可以對(duì)網(wǎng)絡(luò)中的節(jié)點(diǎn)進(jìn)行監(jiān)控，可以選擇新建或者搜索監(jiān)控主機(jī)，選擇自動(dòng)搜索，設(shè)置如下。搜索結(jié)果如下。也可以手動(dòng)添加新地址，比如添加36，結(jié)果如下。之后可以查看監(jiān)控網(wǎng)絡(luò)的主機(jī)列表，大綱主機(jī)列表如下圖所示，列表中包括了監(jiān)控網(wǎng)絡(luò)中所有連接的站點(diǎn)。當(dāng)然也可以選擇其他的查看模式，比如查看詳細(xì)主機(jī)列表，如下圖。此外還有柱狀圖、餅狀圖、矩陣分布的形式。在矩陣分布中也有大綱列表、詳細(xì)列表、柱狀圖、餅狀圖之分。3. 設(shè)置數(shù)據(jù)包捕獲過(guò)濾下圖顯示的是當(dāng)前的過(guò)濾器設(shè)置匯總。比如，選擇過(guò)濾只保留SIELAB04到SIELAB05的數(shù)據(jù)包，如下圖所示。在“Advanced”中可以選擇需要過(guò)濾的協(xié)議類型，比如選擇過(guò)濾HHTP類型，如下圖所示。之后定義捕獲數(shù)據(jù)包的緩沖區(qū)，如下圖所示。最后為這個(gè)新的過(guò)濾器設(shè)置名稱，如下圖所示。保存之后，在Select Filter界面選擇要使用的過(guò)濾器，即可實(shí)現(xiàn)過(guò)濾，如下圖所示。4. 監(jiān)控網(wǎng)絡(luò)風(fēng)暴首先設(shè)置一個(gè)名為“Broadcast”的過(guò)濾器。在Station1中選擇“Broadcast（FFFFFFFFFFFF）”, Station2中選擇“Any”，即可監(jiān)控網(wǎng)絡(luò)風(fēng)暴。在主界面中，選擇歷史樣本窗口，在窗口中選擇“Broadcasts/s”即可獲取廣播風(fēng)暴的樣本，如下圖所示。5. 捕獲HTTP數(shù)據(jù)包并進(jìn)行分析在過(guò)濾器中選擇協(xié)議時(shí)選中HTTP協(xié)議，如下圖所示，設(shè)置好的過(guò)濾器信息如下圖所示，可見(jiàn)只過(guò)濾出HTTP協(xié)議的數(shù)據(jù)。之后選中要捕獲的主機(jī)地址，右鍵點(diǎn)擊Capture，即可開(kāi)始捕獲，如下圖。開(kāi)始捕獲后，儀表盤會(huì)顯示捕獲到Packet的數(shù)量，如下圖。在捕獲過(guò)程中，打開(kāi)一個(gè)網(wǎng)頁(yè)，如北郵人論壇（如下圖所示），輸入賬號(hào)密碼登錄，之后停止捕獲。停止抓包后，分析捕獲的數(shù)據(jù)包，可以找到很多剛才上網(wǎng)的信息，比如下圖中選中的數(shù)據(jù)包，解析的結(jié)果是我登錄北郵人論壇的用戶名和密碼。除此之外還有很多其他的信息，如下圖所示。6. SNMP數(shù)據(jù)包的捕獲與分析首先新建一個(gè)過(guò)濾器，如下圖。之后按照之前的步驟，選擇監(jiān)視的主機(jī)，協(xié)議選擇SNMP協(xié)議，如下圖所示。選用該過(guò)濾器，如果被監(jiān)視的主機(jī)發(fā)來(lái)SNMP數(shù)據(jù)包（本實(shí)驗(yàn)中是通過(guò)MibBrowser軟件查看目的端主機(jī)sysName的值），即可捕獲，如下圖所示。解析數(shù)據(jù)包，可以發(fā)現(xiàn)被監(jiān)視主機(jī)的信息，如主機(jī)名稱。五、 習(xí)題解答1.觀察并統(tǒng)計(jì)網(wǎng)絡(luò)中各個(gè)協(xié)議的分布情況，統(tǒng)計(jì)當(dāng)前通信量最大的5種協(xié)議及各種協(xié)議所占的比重，完成下表。答：網(wǎng)絡(luò)中的協(xié)議NetBIOS_NS_UHTTPNetBIOS_DGM_UBootpcBootps各種協(xié)議的比重37.50%15.74%9.41%1.86%1.36%詳細(xì)信息如下圖所示。2.設(shè)置Sniffer監(jiān)控過(guò)濾器，過(guò)濾HTTP協(xié)議包，具體如下：（1）打開(kāi)主機(jī)列表監(jiān)控窗口，選擇Detail模式查看監(jiān)控?cái)?shù)據(jù)，并記錄該列表中捕獲到的協(xié)議與相關(guān)信息。（2）設(shè)置Sniffer的Monitor過(guò)濾器，使其僅檢測(cè)HTTP協(xié)議，觀察此時(shí)的主機(jī)列表窗口顯示內(nèi)容與（1）中顯示信息的區(qū)別，說(shuō)明使用Monitor過(guò)濾器的作用和優(yōu)點(diǎn)。答：設(shè)置過(guò)濾器的具體步驟在上文中敘述過(guò)了，這里比較設(shè)置過(guò)濾器與不設(shè)過(guò)濾器的情況下，主機(jī)列表窗口顯示內(nèi)容的區(qū)別。Default過(guò)濾器的信息如下，監(jiān)視的是所有與sielab05主機(jī)通信的數(shù)據(jù)，沒(méi)有協(xié)議限制。而設(shè)置的過(guò)濾器“HTTP&ARP”的信息如下，監(jiān)視的是通過(guò)HTTP協(xié)議與sielab05主機(jī)通信的數(shù)據(jù)。首先選擇Default過(guò)濾器，主機(jī)列表窗口顯示內(nèi)容如下，可以看出，有六種協(xié)議的數(shù)據(jù)。之后選擇HTTP&ARP過(guò)濾器，如下圖所示。主機(jī)列表窗口顯示內(nèi)容如下，可以看出，除了HTTP協(xié)議的其他協(xié)議數(shù)據(jù)被過(guò)濾掉了，只剩下了HTTP協(xié)議的數(shù)據(jù)。使用Monitor過(guò)濾器可以很方便地設(shè)置過(guò)濾的協(xié)議，只需要在Advanced選項(xiàng)卡中選中需要的協(xié)議即可，從而在眾多協(xié)議中篩選出需要的協(xié)議傳遞的數(shù)據(jù)。3.試監(jiān)控本網(wǎng)絡(luò)內(nèi)是否存在廣播風(fēng)暴。答：監(jiān)控網(wǎng)絡(luò)風(fēng)暴的詳細(xì)步驟在上文已經(jīng)敘述過(guò)了，監(jiān)控結(jié)果如下圖所示?？梢钥闯觯揪W(wǎng)絡(luò)內(nèi)存在廣播風(fēng)暴。4.試設(shè)置Sniffer過(guò)濾器，捕獲HTTP數(shù)據(jù)包并進(jìn)行分析。答：設(shè)置方法和捕獲步驟在上文已經(jīng)敘述過(guò)了，現(xiàn)選取一條HTTP數(shù)據(jù)進(jìn)行解析如下。從圖中可以看出，這條數(shù)據(jù)對(duì)應(yīng)的解析內(nèi)容為我登錄北郵人論壇時(shí)的賬號(hào)和密碼。5.任務(wù)二中嗅探HTTP信息所得到的數(shù)據(jù)包太多，不僅占用主機(jī)的硬盤資源，也給分析帶來(lái)很大麻煩，其實(shí)可以選擇“Define Filter”選項(xiàng)中的“Data Pattern”，這個(gè)功能可以進(jìn)行更加詳細(xì)的過(guò)濾設(shè)置，從而可以通過(guò)捕獲更少的數(shù)據(jù)包獲取最有用的數(shù)據(jù)，請(qǐng)研究如何設(shè)置這些選項(xiàng)，并寫出設(shè)置的詳細(xì)步驟及最終的捕獲結(jié)果。答：通過(guò)Data Pattern可以進(jìn)行更加詳細(xì)的過(guò)濾設(shè)置，如下圖，比如我選擇過(guò)濾協(xié)議類型為HTTP，端口號(hào)為1459的數(shù)據(jù)包，具體設(shè)置如下圖所示，點(diǎn)OK后即可完成過(guò)濾器設(shè)置。應(yīng)用過(guò)濾器后，可以發(fā)現(xiàn)原來(lái)各種協(xié)議的數(shù)據(jù)包只剩下了HTTP協(xié)議端口號(hào)為1459的數(shù)據(jù)包，如下圖所示。六、 心得體會(huì)這次實(shí)驗(yàn)是第二次上機(jī)實(shí)驗(yàn)，無(wú)論是任務(wù)量還是難度都比上一次有所增加。這次實(shí)驗(yàn)主要使用Sniffer軟件設(shè)置過(guò)濾器，探測(cè)并獲取網(wǎng)絡(luò)數(shù)據(jù)包，通過(guò)解析數(shù)據(jù)包可以發(fā)現(xiàn)許多上網(wǎng)時(shí)的數(shù)據(jù)信息，比如登錄時(shí)的用戶名和密碼，通過(guò)設(shè)置過(guò)濾器，也可以過(guò)濾出我們需要的數(shù)據(jù)包。在設(shè)置過(guò)濾器的時(shí)候，我發(fā)現(xiàn)無(wú)論我選擇過(guò)濾或者不過(guò)濾，其結(jié)果沒(méi)有很大區(qū)別，仔細(xì)研究后發(fā)現(xiàn)是選擇的位置不對(duì)。我應(yīng)該在Monitor下選擇過(guò)濾器，而不是在Capture下選擇，改正之后就出現(xiàn)了應(yīng)有的過(guò)濾效果。這次實(shí)驗(yàn)讓我了解到網(wǎng)絡(luò)中的數(shù)據(jù)是以各種協(xié)議的數(shù)據(jù)包的形式傳送的，并且協(xié)議的分