網絡監聽測試實驗
網絡監聽測試實驗
(2019-4-15)河南鄭州科技市場IT產品配送網-鄭州監控安裝案例
一、實驗目的
1、理解網絡監聽原理
2、熟悉網絡監聽方法
3、理解網絡流量
二、實驗環境與設備
本實驗在實際因特網環境下進行操作,需要的設備有:一臺PC機,WireShark監聽軟件。WireShark監聽軟件可從網址:http://www.wireshark.org/下載。
實驗配置如圖所示。
三、實驗原理
1、網絡協議分析器
如果使用Web瀏覽器或OICQ聊天這樣的網絡軟件,必須有網絡連接才能工作,然而,你知道它們在因特網上傳送的是什么類型的信息嗎?
例如,計算機要對遠程Web服務器發送什么數據來獲取它需要的網頁呢?計算機如何將郵件發給指定的人呢?
可以通過網絡協議分析器(如WireShark)來協助觀察網絡會話的細節。網絡協議分析器是一個能記錄所有網絡分組,并以人們可讀的形式顯示的軟件。在監聽重流量網絡時,允許用戶過濾掉不想要的分組或查看感興趣的特定分組,而且還能為用戶提供所有分組的統計概要。
2、網絡監聽原理
在共享式局域網中,位于同一網段的每臺主機都可以截獲在網絡中傳輸的所有數據,正常情況下,一個網卡只響應目的地址為單播地址和廣播地址的MAC幀而忽略其它MAC幀,網卡接收這兩種幀時,通過CPU產生一個硬件中斷,然后由操作系統負責處理該中斷,對數據幀中的數據做進一步處理。如果將網卡設置為混雜(promiscuous)模式,則可接收所有經過該網卡的數據幀。
交換式網絡設備能將數據準確地發給目的主機,而不會同時發給其他計算機,所在在交換網絡環境下,實現數據包的監聽要復雜些,主要方法有:
(1)對交換機實行端口鏡像,將其他端口的數據全部映射到鏡像端口,連接在鏡像端口上的計算機就可以實施監聽了。
(2)將監聽程序放在網關或代理服務器上,可抓取整個局域網的數據包。
網絡監聽的防范方法主要有:從邏輯或物理上對網絡分段;以交換機代替共享共享集線器;使用加密技術;劃分VLAN。
四、實驗內容
1、用WireShark觀察一個輕流量網絡
2、用WireShark觀察一個重流量網絡
五、實驗步驟
1、用WireShark觀察一個輕流量網絡
WireShark是開源軟件,可以運行于Windows/Linux/Unix等多種操作系統平臺,用來捕獲和分析網絡數據包。安裝WireShark包括兩個部分,一個是安裝WireShark本身,另一個是安裝WinPcap(免費的抓包驅動開發包)。Wireshark安裝包里包含了最新版的WinPcap安裝包。如果沒有安裝WinPcap ,WireShark將無法捕捉網絡流量,但可以打開已有的捕捉包文件。
啟動WireShark,要想捕獲一個跟蹤記錄,可以從菜單Capture中選擇Start,并用Capture Options對話框來指定跟蹤記錄的各個方面。
(1)使用Capture Options對話框
? Interface(接口):
在接口下拉菜單中,可以選擇要跟蹤的接口,例如,如果機器同時擁有多個網卡(如以太網卡和無線網卡),必須選擇其中一個進行監聽。
? Capture packets in promiscuous mode(在混雜模式捕獲分組):
如果監聽計算機在一個共享網段上,如一個無線局域網或一個以太網集線器上,則網絡接口能探測到所有分組,包括那些發到其他機器上的分組。但是一般情況下,目的地為其他計算機的分組會被忽略掉,如果把網絡接口設置為“混雜模式”,它將記錄下所有分組。
? Limit each packed in N bytes(將每個分組限制在N字節內):
一般情況下,分組的數據部分會占據大多數空間,但通常首部包含了最有用的信息(源地址、目的地址、分組類型等),如果不需要觀察數據,可以捕獲首部,計算出首部的最大字節數。
? Capture Filter(捕獲過濾器):
可以指定一個捕獲過濾器來限制捕獲的分組數量,只有那些匹配過濾規則的分組才會被記錄下來。例如:過濾規則host 192.168.0.1用來捕獲那些進出IP地址192.168.0.1的主機的分組。
? Capture Files(捕獲文件):
可以指定將捕獲到的分組直接保存在一個文件中,而不是保存在內存中。選擇Use Multi files,可以將捕獲的分組保存在多個文件中,在每個文件寫滿或指定秒數后交換文件。
? Display Options(顯示選項):
可以選擇顯示實時更新的分組(Updata list of packets in real time),可以讓顯示屏自動滾動到最后捕獲的分組(Automatic scrolling in live capture)。
? Stop Capture(停止捕獲):
可以設置在捕獲到一定數量的分組,跟蹤記錄到達一定大小或在一個特定的時間后自動停止跟蹤,而不需要手動停止。
? Name Resolution(名字解析):
選擇“Enable MAC name resolution”,可以將MAC地址的前24位成廠商的名稱。選擇“Enable network name resolution”,可以將IP地址轉化成域名。選擇“Enable transport name resolution”,可以將熟知端口轉化成協議。
(2)開始捕獲分組
在本實驗中,我們選擇以太網接口,其他選項默認。關閉所有其它使用網絡的應用程序,然后點擊Start按鈕開始跟蹤,例如:打開IE瀏覽器,在網址欄中輸入網址:www.baidu.com(百度搜索網頁比較簡單,流量小),大約30秒后點擊Stop按鈕停止跟蹤。將跟蹤結果保存到文件2-1.pcap中。
在跟蹤文件2-1.pacp中保存了部分分組,而在重流量網絡中,相同的時間里捕獲的分組數量遠不止這些。
輕流量網絡的監聽結果
(3)列表框、協議框、原始框
在WireShark主窗口的最上面的方框稱為列表框,顯示的是捕獲分組的時間、源地址、目的地址、協議等信息。
中間的方框稱為協議框,顯示在列表框中所選中分組的協議細節:物理層、以太網幀、IP分組、TCP分組和HTTP報文等。對于每個協議,都可展開更多詳細信息,如點擊IP層前的+號,可以看到IP首部的許多字段及每個字段的值。
主窗口的最下面方框稱為原始框,顯示了分組中包含數據的每個字節,從中可以觀察到最原始的傳輸數據。方框左邊顯示十六進制數據,右邊顯示的是對應的ASCII碼。
(4)監聽記錄的概要統計
選擇Statistics菜單的Summary菜單項,Protocol Hierarchy菜單項來觀察監聽記錄的統計數據,如分組數量、通信總字節數、協議包比例等。
2、用WireShark觀察一個重流量網絡
在一個重流量網絡中,監聽軟件每秒可以捕獲到數量巨大的分組,這可能會造成監聽軟件的信息過載,使部分分組丟失。一般應設置捕獲過濾器、去除Capture Options對話框中的Name Resolution中的選項、顯示實時更新的分組選項(Updata list of packets in real time),或者限制捕獲分組的大小等。
啟動WireShark軟件,不用進行任何設置,直接開始監聽。為了制造一個重流量網絡,可以啟動QQ軟件,打開瀏覽器,訪問多個網頁,并從網絡上下載一個大文件,或者可以在線播放音頻/視頻文件等。大約30秒后停止監聽,將監聽結果保存在文件2-2.pcap中。
比較兩個監聽文件2-1.pcap和2-2.pcap,體會輕流量網絡和重流量網絡在捕獲分組數量上的差別。
重流量網絡的監聽結果
(1)捕獲過濾器Capture Filter
匹配規則:dst host 192.168.0.1 //只監聽目的IP地址是192.168.0.1的分組。
匹配規則:src host 192.168.0.1 //只監聽源IP地址是192.168.0.1的分組。
匹配規則:port 80 //只監聽源或目的端口號為80的分組。
匹配規則:src port 80 //只監聽源端口號為80的分組。
匹配規則:dst port 80 //只監聽目的端口號為80的分組。
匹配規則:tcp //只監聽TCP分組。
匹配規則:udp //只監聽UDP分組。
可以使用and、 or、 not對單個匹配規則進行組合,如:
匹配規則:host 192.168.0.1 and not port 80 //監聽進出192.168.0.1的機器的非HTTP通信分組。
(2)顏色過濾器(Color Filter)
通過設定的匹配規則和背景色/前景色來指定匹配這些規則的分組用什么顏色來顯示,以便把不同類型的分組區別顯示。
在菜單View中選擇Coloring Rules…菜單項,打開顏色過濾器。要創建一個新規則,點擊new按鈕,為新規則輸入一個名字和一個顯示過濾器表達式,然后選擇前景色和背景色。 例如:
輸入一個過濾器((tcp.dstport==80) || (tcp.srcport==80)),取名為HTTPcolor,改變前景色和背景色。
應用這個過濾器時,列表框中所有的HTTP分組都會根據設定的顏色顯示。
(3)顯示過濾器(Filter)
可以把監聽到的分組中不感興趣的分組忽略掉,只顯示出與規則匹配的分組。如果在Filter中(紅線標注處)輸入表達式:ip.dst eq 192.168.0.100,回車后列表框中將只顯示出源IP地址為192.168.0.100的分組。
河南鄭州科技市場IT產品配送網----------監控安裝、弱電施工聯系電話:17739760690(同微信)
