【正文】 c) 捕獲條件定義界面圖 (c)中可以看出，Sniffer支持通過源主機和目的主機來捕獲報文進行分析，可以單線監(jiān)聽數(shù)據(jù)通信。輸入方式為IP地址，如：。基本的捕獲條件有兩種：1．鏈路層捕獲：按照源MAC地址和目的MAC地址設定捕獲條件，輸入方式為十六進制MAC地址，如：DA98A0BC3DFE。(a) 矩陣分析 (b)主機列表統(tǒng)計分析圖 (c) 協(xié)議統(tǒng)計分析圖 (d) 會話統(tǒng)計分析圖(b)中可以看到各個主機的相關(guān)信息，如IP地址、MAC地址等；(c)中可以看到當前使用的協(xié)議(IP)的數(shù)據(jù)包的數(shù)量和字節(jié)總數(shù)；(d)中可以看到會話的種類和字節(jié)數(shù)等信息。對其中的報文逐一分析是不現(xiàn)實的。從圖中可以看到，在2016年6月25日18:16:52，名為F55()。單擊專家系統(tǒng)下方的【解碼】按鈕，就可以對具體的記錄進行解碼分析。從圖中可以看到，名為F55的主機，其DLC地址為BCAEC5978167，正在運營138號端口上的NetBios服務。選擇其中關(guān)于主機名為“F55”的報文進行解碼分析。Sniffer可以對服務、應用、鏈接、DLC等進行報文的捕獲，捕獲到的報文可分為3種——“Diagnoses”、“Symptoms”、“Objects”，其中Diagnoses捕獲的是出錯特別嚴重的報文、Symptoms捕獲的是一般出錯的報文，Objects是沒有出錯的報文。在專家系統(tǒng)中，還為用戶提供了用于檢測路由故障的路由信息協(xié)議分析，如果選擇RIP分析方式，則需將“對象”設置項中的連接層和應用層定義為“分析”，通過“顯示”菜單下的“顯示設置”選項，可以自定義要顯示的分析內(nèi)容。首先，應根據(jù)網(wǎng)絡協(xié)議環(huán)境對專家系統(tǒng)的協(xié)議、RIP選項、硬件等進行設置。此外，也可以通過指定文件名前綴和脫機文件數(shù)對捕獲信息進行存儲。 捕獲緩沖區(qū)設置圖 報文分析捕獲到的報文存儲在緩沖區(qū)內(nèi)。 報文捕獲統(tǒng)計信息截圖在不同的條件下，對緩沖區(qū)的要求有所不同，為了適應這些要求，可以對捕獲緩沖區(qū)進行設置來達到我們的要求。，其上部是報文捕捉的各項快捷方式，中部是各項Sniffer可進行的操作的快捷方式，下部是捕捉報文緩沖區(qū)的大小。（二）數(shù)據(jù)包捕獲實驗報文捕獲數(shù)據(jù)包捕捉，是截取所有的數(shù)據(jù)包，并放在磁盤緩沖區(qū)中，便于分析。 用戶信息截圖 軟件設置截圖完成上述實驗后，即完成了Sniffer軟件整個的安裝過程。 軟件注冊用戶為ps sp，郵箱為DSAFAS等關(guān)鍵的注冊信息。用戶單擊“下一步”按鈕時，系統(tǒng)會提示用戶保存關(guān)鍵性的注冊信息，其生成一個文本格式的文件。當用戶的注冊信息驗證通過后，用戶被告知系統(tǒng)分配的身份識別碼，以便用戶進行后續(xù)的服務和咨詢。完成注冊操作后，需要設置網(wǎng)絡連接情況。在注冊用戶時，必須填寫必要的注冊信息，為之后軟件公司識別用戶提供信息，依次填寫個人信息。選擇默認安裝路徑進行安裝。在網(wǎng)上下載Sniffer進行任何在此軟件上的實驗都需要安裝。Sniffer Pro軟件的主要作用可以體現(xiàn)在以下方面：1．Sniffer可以評估業(yè)務運行狀態(tài)，如各種應用的響應時間，一個操作需要的時間，應用帶寬的消耗，應用的行為特征，應用性能的瓶頸等；2．Sniffer能夠評估網(wǎng)絡的性能，如各鏈路的使用率，網(wǎng)絡性能趨勢，消耗最多帶寬的具體應用，消耗最多帶寬的網(wǎng)絡用戶；3．Sniffer可以快速定位故障；4．Sniffer可以排除潛在的威脅，如病毒、木馬、掃描等，并且發(fā)現(xiàn)攻擊的來源，為控制提供根據(jù)，對于類似蠕蟲病毒一樣對網(wǎng)絡影響大的病毒有效；，sniffer通過發(fā)現(xiàn)網(wǎng)絡中的行為特征來判斷網(wǎng)絡是否有異常流量，所以Sniffer可能比防病毒軟件更快發(fā)現(xiàn)病毒；5．Sniffer可以做流量的趨勢分析，通過長期監(jiān)控，可以發(fā)現(xiàn)網(wǎng)絡流量的發(fā)展趨勢，為將來網(wǎng)絡改造提供建議和依據(jù)；6．應用性能預測，Sniffer能夠根據(jù)捕獲的流量分析一個應用的行為特征；Sniffer包括了四大功能：監(jiān)控、顯示、數(shù)據(jù)包捕捉和專家分析系統(tǒng)，通過該軟件，可以長期的對其他計算機的進行的服務類型、所處的網(wǎng)絡拓撲等信息進行嗅探，為檢測其他計算機系統(tǒng)打下基礎。利用Sniffer Pro 網(wǎng)絡分析器的強大功能和特征，解決網(wǎng)絡問題。工程網(wǎng)絡安全實驗實驗報告作者：日期：學號2013成績實驗報告網(wǎng)絡安全實驗姓 名：班 級：20132111指導教師：趙國冬實驗時間：哈爾濱工程大學2016年06月目 錄實驗一、網(wǎng)絡分析器應用實驗 3一、實驗目的 3二、實驗儀器與器材 3三、實驗原理 3四、實驗過程與測試數(shù)據(jù) 4五、實驗分析 20六、實驗體會 21實驗二、剖析遠程控制程序 22一、實驗目的 22二、實驗儀器與器材 22三、實驗原理 22四、實驗過程與測試數(shù)據(jù) 23五、實驗分析 34六、實驗體會 35實驗三、SSL、VPN應用及防護墻技術(shù) 36一、實驗目的 36二、實驗儀器與器材 36三、實驗原理 36四、實驗過程與測試數(shù)據(jù) 37五、實驗分析 42六、實驗體會 43實驗四、入侵檢測系統(tǒng)分析與應用 44一、實驗目的 44二、實驗儀器與器材 44三、實驗原理 44四、實驗過程與測試數(shù)據(jù) 45五、實驗分析 54六、實驗體會 54實驗五、虛擬蜜罐分析與實踐 55一、實驗目的 55二、實驗儀器與器材 55三、實驗原理 55四、實驗過程與測試數(shù)據(jù) 55五、實驗分析 61六、實驗體會 62綜合成績 63實驗一、網(wǎng)絡分析器應用實驗一、實驗目的通過本實驗，學會在Windows環(huán)境下安裝Sniffer；能夠運用Sniffer捕獲報文；熟練掌握Sniffer的各項網(wǎng)絡監(jiān)視模塊的使用；熟練運用網(wǎng)絡監(jiān)視功能，撰寫網(wǎng)絡動態(tài)報告；理解常用Sniffer工具的配置方法，明確多數(shù)相關(guān)協(xié)議的明文傳輸問題；理解TCP/IP主要協(xié)議冊報頭結(jié)構(gòu)，掌握TCP/IP網(wǎng)絡的安全風險；掌握利用Sniffer軟件捕獲和分析網(wǎng)絡協(xié)議的具體方法。二、實驗儀器與器材Sniffer Pro軟件系統(tǒng)1套PC機（win xp/ win7)1臺三、實驗原理Sniffer Pro軟件是NAI公司推出的功能強大的協(xié)議分析軟件。本實驗使用的軟件版本為SnifferPro_4_70_530。四、實驗過程與測試數(shù)據(jù)(一) 程序安裝實驗Sniffer Pro是需要安裝使用的軟件。安裝過程如下：下載安裝軟件。Pro軟件，點擊安裝，按順序進行。 (a) 安裝地址示意圖 (b) 用戶協(xié)議圖(c) 用戶信息圖填寫注冊信息。 (a) 個人信息圖 (b)個人信息圖設置網(wǎng)絡連接方式。從上至下依次有三個選項，一般情況下，用戶直接選擇第一項，即直接連接。 系統(tǒng)為用戶分配識別碼示意圖保存注冊信息。該注冊文件保存地址可以有用戶選定，以便用戶查詢。在軟件使用前，安裝程序會提示用戶安裝并設置Java環(huán)境，重新啟動計算機后，可以通過運行Sniffer Pro來監(jiān)測網(wǎng)絡中的數(shù)據(jù)包，首先進行設置。搭建好實驗環(huán)境后在之后可以進行其他的實驗了。其基本原理是通過軟件手段設置網(wǎng)絡適配器的工作模式，在該工作模式下，網(wǎng)卡接受包括與自己無關(guān)的所有的數(shù)據(jù)，達到網(wǎng)絡監(jiān)控和網(wǎng)絡管理的功能。從中可以看到緩沖器大小為8MB，當超過該緩沖器大小后，捕捉的報文將覆蓋原來的舊報文，在截圖的時刻之前，已接收21個報文，拒絕0個報文，已經(jīng)開始捕捉報文1秒?？梢栽O置緩沖區(qū)的大小，捕獲報文的存放地址、緩沖區(qū)滿時的動作等。使用者可以顯示和分析緩沖區(qū)內(nèi)的當前報文，也可以將報文保存到磁盤，加載和顯示之前保存的報文信息，進行離線分析和顯示。為了有效進行網(wǎng)絡分析，需要借助于專家分析系統(tǒng)。對專家系統(tǒng)進行配置。, (a) 專家選項設置圖 (b) 專家選項設置圖 (c) 專家系統(tǒng)閾值設置 (d) 指定分析協(xié)議設置 摘要顯示設置圖進行對捕獲報文的設置之后，點擊“捕獲報文”開始對報文進行捕獲。關(guān)于站點的報文出錯的有2個，正確的報文有45個，共捕獲到47個報文。 報文捕獲界面雙擊報文記錄。 捕獲報文詳細信息截圖 解碼分析對捕獲的報文進行解碼分析。頁面自上而下由三部分組成：捕獲的報文、解碼后的內(nèi)容、解碼后的二進制編碼信息。 報文解碼分析圖 統(tǒng)計分析每次進行報文捕獲，都可以得到一系列的報文。因此，對于各種報文信息，專家系統(tǒng)提供了【矩陣分析】，【主機列表】，【協(xié)議統(tǒng)計】以及【會話統(tǒng)計分析】等多種統(tǒng)計分析功能，可以按照MAC地址、IP地址、協(xié)議類型等內(nèi)容進行多種組合分析。 捕獲條件設置在sniffer環(huán)境下，可以通過【定義】的方式來對捕獲條件進行設置，獲得用戶需要的報文協(xié)議信息。2．IP層捕獲：按源IP地址和目的IP設定捕獲條件。特別注意的是，如果選擇IP層捕獲方式則ARP等類型報文信息將被過濾掉。（三）網(wǎng)絡監(jiān)視實驗“監(jiān)視器”菜單中，有以下監(jiān)視功能：儀表板、主機列表、矩陣、請求相應時間、歷史取樣、協(xié)議分布、全局統(tǒng)計表、警報日志等。在儀表板上方，可對監(jiān)視行為進行具體配置，并對監(jiān)視內(nèi)容進行重置。截圖當時的網(wǎng)絡使用率為0，網(wǎng)絡每秒通過的數(shù)量包為9297個，錯誤率為0。 網(wǎng)絡監(jiān)視詳細信息主機列表點擊快捷操作菜單上的圖標，或選擇【監(jiān)視器】菜單內(nèi)的【主機列表】選項，界面中顯示的是所有在線的本網(wǎng)主機地址以及外網(wǎng)服務器地址信息。通常情況