【正文】 下，由于網(wǎng)絡中所有終端的對外數(shù)據(jù)交換行為，如瀏覽網(wǎng)站、上傳下載等，都是各終端與網(wǎng)關(guān)在數(shù)據(jù)鏈路層中進行的，為了分析鏈路層的數(shù)據(jù)交換行為，需要獲取MAC地址的連接情況。 主機列表圖矩陣點擊快捷操作菜單上的圖標，或選擇【監(jiān)視器】菜單內(nèi)的【矩陣】選項，可以顯示全網(wǎng)的所有連接情況，即主機會話情況。(a)為當前主機與物理地址為000BAB2AB6F4的主機的通信狀況，二者之間已經(jīng)發(fā)生鏈接；(b)為當前整個網(wǎng)絡的連接示意圖。從圖中可以看出源主機正在運行的協(xié)議和該寫一下的請求和回復數(shù)據(jù)包的大小，即該窗口中顯示了局域網(wǎng)內(nèi)的通信及數(shù)據(jù)傳輸大小，并且顯示了本地計算機與Web網(wǎng)站的IP地址。 (a)網(wǎng)絡協(xié)議鏈接狀況(MAC) (b)網(wǎng)絡協(xié)議鏈接狀況(IP)(c) 數(shù)據(jù)傳輸量柱狀圖 ART監(jiān)視功能圖，請求響應時間用來顯示網(wǎng)絡中Web網(wǎng)站的連接情況，可以看到局域網(wǎng)中有哪些計算機正在上網(wǎng)，瀏覽的是哪些網(wǎng)站等。利用應用響應時間的監(jiān)視功能，可以快速獲得某一業(yè)務的響應時間。通過這些信息可以建立網(wǎng)絡運行狀態(tài)基線，設置網(wǎng)絡異常的報警閾值。如果想延長采樣時間，可以通過修改采樣間隔時間或者設置緩沖區(qū)屬性的方式。此外，還可以靈活的選擇多種采樣項目。通過這些信息可以建立網(wǎng)絡運行狀態(tài)基線，設置網(wǎng)絡異常的報警閾值。 歷史取樣樣圖協(xié)議分布分析網(wǎng)絡中不同協(xié)議的使用情況。 網(wǎng)絡協(xié)議使用量餅狀圖 響應時間分布圖全局統(tǒng)計表全局統(tǒng)計數(shù)據(jù)能夠顯示網(wǎng)絡的總體活動情況，并確認各類數(shù)據(jù)包通信負載大小，從而分析網(wǎng)絡的總體性能及存在的問題。n 粒度分布：根據(jù)數(shù)據(jù)包大小與監(jiān)測到的通信總量之比，顯示每個數(shù)據(jù)包的發(fā)生頻率。 主機通信量分布圖警告日志 警報日志用于全面檢測和記錄網(wǎng)絡異常事件，一旦超過用戶設置的閾值參數(shù)，警報器會在警報日志中記錄相應事件。從圖中可以看到在6月13日，有Minor發(fā)送了一個Expert的錯誤。其中，“地址”選項卡是最常用的過濾手段，包括MAC地址、IP地址和IPX地址的過濾定義。 IP地址過濾設定界面 在“高級”設置欄目內(nèi)，可以定義數(shù)據(jù)包大小，緩沖區(qū)大小以及文件存放位置等。 （五） FTP協(xié)議分析按照實際需要，定義過濾器，并應用該過濾器捕獲FTP協(xié)議信息。為了實現(xiàn)以上功能，需要先對過濾器進行設置。登錄FTP站點，位置信息為“”，用戶名和密碼均為匿名(anonymous)。通過點選【捕獲停止】或者【停止并顯示】按鈕停止sniffer捕獲操作，并把捕獲的數(shù)據(jù)包進行解碼和顯示。 Sniffer捕獲FTP登陸信息截圖 Sniffer捕獲FTP登陸信息解碼截圖 。運行數(shù)據(jù)包捕獲功能。如果計算機安裝的是WINDOWS 7操作系統(tǒng)。 (a) Telnet登陸圖 (b)登陸成功由于telnet登錄時口令部分不回顯，只能抓取從client到server的報文才能獲取明文口令。缺省情況下，telnet登錄時進入字符輸入模式，而非行輸入模式，此時基本上是客戶端一有擊鍵就立即向服務器發(fā)送字符，TCP數(shù)據(jù)區(qū)就一個字節(jié)。 定向捕獲設置圖 用戶名和密碼再次重復捕獲過程，即可顯示用戶名和明文密碼，用戶名為“administrator”，口令為“123456”五、實驗分析正常情況下，網(wǎng)絡只接受與目的地址為自己的數(shù)據(jù)報，但通過Sniffer 程序可以將網(wǎng)絡適配卡設置為雜亂模式狀態(tài)，用以接收傳輸在網(wǎng)絡上的每一個信息包。一般情況下，要激活這種方式，內(nèi)核必須支持這種偽設備Bpfliter ，而且需要root 權(quán)限來運行這種程序，所以sniffer 需要root 身份安裝，如果只是以本地用戶的身份進入了系統(tǒng)，那么不可能嗅探到root 的密碼，因此不能運行Sniffer。如何捕獲HTTP協(xié)議下的用戶名和密碼。之后被嗅探主機開啟服務，比如瀏覽網(wǎng)頁。分析TCP協(xié)議的頭結(jié)構(gòu)，以及兩臺主機之間建立連接的過程。主機連接過程TCP是因特網(wǎng)中的傳輸層協(xié)議，使用三次握手協(xié)議建立連接。這種建立連接的方法可以防止產(chǎn)生錯誤的連接，TCP使用的流量控制協(xié)議是可變大小的滑動窗口協(xié)議。服務器端收到SYN報文，回應一個SYN （SEQ=y）ACK(ACK=x+1）報文，進入SYN_RECV狀態(tài)。三次握手完成，TCP客戶端和服務器端成功地建立連接，可以開始傳輸數(shù)據(jù)了六、實驗體會此次實驗里，我對sniffer軟件的應用有了新的了解。在完成Sniffer Pro軟件安裝后，剛開始打不開，這是由于電腦所配備的java環(huán)境與Sniffer Pro軟件自帶的腳本沖突。對于不同協(xié)議下數(shù)據(jù)包的分析可以根據(jù)協(xié)議的包的大小進行篩選過濾，更容易找到想要的包。實驗二、剖析遠程控制程序一、實驗目的軟件的安裝與使用通過本實驗，學會在Windows環(huán)境下安裝pcAnywhere。 配置主控端（Remotes）通過本實驗，學會在Windows環(huán)境下安裝pcAnywhere主控端。二、實驗儀器與器材 pcAnywhere軟件系統(tǒng)1套、PC（Windows XP/Windows 7）1臺三、實驗原理遠程控制，是指管理人員在異地通過計算機網(wǎng)絡連通被控制的計算機，將被控計算機的桌面顯示到自己的計算機上，通過本地計算機對遠端計算機進行配置、軟件安裝、文件編輯等工作。當操作者使用主控計算機控制被控計算機時，可以啟動被控端計算機的應用程序，使用被控端的文件資料，甚至可以利用被控端計算機的外部設備和通信設備來進行工作。位于本地的計算機是操作指令的發(fā)出段，成為主控端或客戶端；非本地的被控計算機叫做被控端或服務器端。它的控制過程一般是先在主控端上執(zhí)行客戶端程序，像一個普通客戶一樣向被控端電腦中的服務器端程序發(fā)出信號，建立一個特殊的遠程服務，然后通過這個遠程服務，使用各種遠程控制功能發(fā)送遠程控制命令，控制被控端電腦中的各種應用程序運行，這種遠程控制方式稱為基于遠程服務的遠程控制。此類軟件可以用在一些網(wǎng)絡使用較為復雜、需要大量維護、管理工作的環(huán)境。在許可協(xié)議中選擇“我接受許可協(xié)議中的條款”，并單擊“下一步”按鈕。在“安裝位置設置”中選擇pcAnywhere的安裝磁盤位置，默認路徑即可。 (a)自定義設置圖 (b)自定義設置圖，安裝pcAnywhere的主要程序，完成pcAnywhere的安裝。單擊“轉(zhuǎn)到高級視圖”選項，界面左側(cè)會有各種選擇項， 界面截圖 “高級選項”截圖配置被控端（hosts）選擇界面中的主機后，單擊添加功能，進入被控端的連接向?qū)?，選擇“我想使用電纜調(diào)制解調(diào)器/DSL/LAN/撥號互聯(lián)網(wǎng)ISP”單選項，單擊“下一步”按鈕，(a)所示；選擇連接模式，選擇“等待有人呼叫我”，(b)所示。 (a) 添加被控端選項 (b) 連接呼叫選項在驗證類型中選擇第一個選項則使用Windows現(xiàn)有賬戶，選擇第二個選項則是創(chuàng)建pcAnywhere新的用戶和密碼。 (a) 選擇賬戶 (b) 創(chuàng)建用戶單擊“下一步”按鈕，默認創(chuàng)建完成。在創(chuàng)建完成后程序會提示對新主機進行命名，例如，命名為“student”。連接信息：指的是建立連接時所使用的協(xié)議。設置：遠程控制中，被控制端只有建立安全機制，才能有效地保護系統(tǒng)不被惡意控制所破壞。安全：指可以設置本機的安全策略；保護項目：語序用戶輸入密碼來保護當前設置的被控端選項，保護任何人試圖查看或更改該被控端的選項時，都將需要輸入密碼來確認。 呼叫者設置 (a)安全選項設置圖 (b)保護項目設置 配置主控端（Remotes）設置好被控端后，另一項十分重要的工作就是配置主控端計算機。單擊下面的“添加”按鈕，在向?qū)е休斎氡豢囟擞嬎銠C的IP地址。 (a) 指定被控端計算機示意圖 (b) 連接成功示意圖右擊需要配置的連接項目，選擇“屬性”，彈出配置窗口。連接信息：設置方式和內(nèi)容與被控端的設置基本相同。 連接信息設置圖 。安全選項：用于設置主控端在遠程控制過程中使用的加密級別，默認是不加密的。(a) 加密設置 (b) 保護項目設置設置完畢后，右擊主控端，選擇“開始遠程控制”，即可自動連接至遠程主機的桌面實現(xiàn)安全的桌面遠程操作。作為主控端，選中遠程中的student，單擊左側(cè)的啟動連接或者雙擊student?？刂平缑嫒缦聢D所示，連接成功后將按要求進入遠程操作界面或者文件傳輸界面，可以在遠程操作界面中遙控被控計算機。啟動從機的pcAnywhere，在工具欄單擊“被控端”，再右擊工作區(qū)的“NETWORK，CABLE，DSL”選項，選擇“屬性”。選擇“呼叫者”，在“驗證類型”下拉列表中選擇pcAnywhere，右擊呼叫者列表，選擇新建。 協(xié)議選擇截圖 保護項目設置修改被控端的用戶登錄密碼，修改部分系統(tǒng)環(huán)境。其中，默認協(xié)議設為TCP/IP，不要更改。 主控端的基本配置圖任務三：遠程控制的實施運行從機的pcAnywhere，選擇“被控端”，雙擊“NETWORK，CABLE，DSL”，表示從機現(xiàn)在處于等待狀態(tài)，隨時接受主機的呼叫。任務四：在主機上對從機進行操縱單擊工具欄中的“改為全屏顯示”按鈕，可全屏顯示從機的桌面而隱藏主機的“開始”菜單和“任務欄”。 拷貝功能，單擊工具欄中的“查看修改聯(lián)機選項”按鈕，設置鎖定從機鍵盤，單擊工具欄中的“結(jié)束遠程控制對話”按鈕。本實驗中用