网络监听测试实验
网络监听测试实验
(2019-4-15)河南郑州科技市场IT产品配送网-郑州监控安装案例
一、实验目的
1、理解网络监听原理
2、熟悉网络监听方法
3、理解网络流量
二、实验环境与设备
本实验在实际因特网环境下进行操作,需要的设备有:一台PC机,WireShark监听软件。WireShark监听软件可从网址:http://www.wireshark.org/下载。
实验配置如图所示。
三、实验原理
1、网络协议分析器
如果使用Web浏览器或OICQ聊天这样的网络软件,必须有网络连接才能工作,然而,你知道它们在因特网上传送的是什么类型的信息吗?
例如,计算机要对远程Web服务器发送什么数据来获取它需要的网页呢?计算机如何将邮件发给指定的人呢?
可以通过网络协议分析器(如WireShark)来协助观察网络会话的细节。网络协议分析器是一个能记录所有网络分组,并以人们可读的形式显示的软件。在监听重流量网络时,允许用户过滤掉不想要的分组或查看感兴趣的特定分组,而且还能为用户提供所有分组的统计概要。
2、网络监听原理
在共享式局域网中,位于同一网段的每台主机都可以截获在网络中传输的所有数据,正常情况下,一个网卡只响应目的地址为单播地址和广播地址的MAC帧而忽略其它MAC帧,网卡接收这两种帧时,通过CPU产生一个硬件中断,然后由操作系统负责处理该中断,对数据帧中的数据做进一步处理。如果将网卡设置为混杂(promiscuous)模式,则可接收所有经过该网卡的数据帧。
交换式网络设备能将数据准确地发给目的主机,而不会同时发给其他计算机,所在在交换网络环境下,实现数据包的监听要复杂些,主要方法有:
(1)对交换机实行端口镜像,将其他端口的数据全部映射到镜像端口,连接在镜像端口上的计算机就可以实施监听了。
(2)将监听程序放在网关或代理服务器上,可抓取整个局域网的数据包。
网络监听的防范方法主要有:从逻辑或物理上对网络分段;以交换机代替共享共享集线器;使用加密技术;划分VLAN。
四、实验内容
1、用WireShark观察一个轻流量网络
2、用WireShark观察一个重流量网络
五、实验步骤
1、用WireShark观察一个轻流量网络
WireShark是开源软件,可以运行于Windows/Linux/Unix等多种操作系统平台,用来捕获和分析网络数据包。安装WireShark包括两个部分,一个是安装WireShark本身,另一个是安装WinPcap(免费的抓包驱动开发包)。Wireshark安装包里包含了最新版的WinPcap安装包。如果没有安装WinPcap ,WireShark将无法捕捉网络流量,但可以打开已有的捕捉包文件。
启动WireShark,要想捕获一个跟踪记录,可以从菜单Capture中选择Start,并用Capture Options对话框来指定跟踪记录的各个方面。
(1)使用Capture Options对话框
Interface(接口):
在接口下拉菜单中,可以选择要跟踪的接口,例如,如果机器同时拥有多个网卡(如以太网卡和无线网卡),必须选择其中一个进行监听。
Capture packets in promiscuous mode(在混杂模式捕获分组):
如果监听计算机在一个共享网段上,如一个无线局域网或一个以太网集线器上,则网络接口能探测到所有分组,包括那些发到其他机器上的分组。但是一般情况下,目的地为其他计算机的分组会被忽略掉,如果把网络接口设置为“混杂模式”,它将记录下所有分组。
Limit each packed in N bytes(将每个分组限制在N字节内):
一般情况下,分组的数据部分会占据大多数空间,但通常首部包含了最有用的信息(源地址、目的地址、分组类型等),如果不需要观察数据,可以捕获首部,计算出首部的最大字节数。
Capture Filter(捕获过滤器):
可以指定一个捕获过滤器来限制捕获的分组数量,只有那些匹配过滤规则的分组才会被记录下来。例如:过滤规则host 192.168.0.1用来捕获那些进出IP地址192.168.0.1的主机的分组。
Capture Files(捕获文件):
可以指定将捕获到的分组直接保存在一个文件中,而不是保存在内存中。选择Use Multi files,可以将捕获的分组保存在多个文件中,在每个文件写满或指定秒数后交换文件。
Display Options(显示选项):
可以选择显示实时更新的分组(Updata list of packets in real time),可以让显示屏自动滚动到最后捕获的分组(Automatic scrolling in live capture)。
Stop Capture(停止捕获):
可以设置在捕获到一定数量的分组,跟踪记录到达一定大小或在一个特定的时间后自动停止跟踪,而不需要手动停止。
Name Resolution(名字解析):
选择“Enable MAC name resolution”,可以将MAC地址的前24位成厂商的名称。选择“Enable network name resolution”,可以将IP地址转化成域名。选择“Enable transport name resolution”,可以将熟知端口转化成协议。
(2)开始捕获分组
在本实验中,我们选择以太网接口,其他选项默认。关闭所有其它使用网络的应用程序,然后点击Start按钮开始跟踪,例如:打开IE浏览器,在网址栏中输入网址:www.baidu.com(百度搜索网页比较简单,流量小),大约30秒后点击Stop按钮停止跟踪。将跟踪结果保存到文件2-1.pcap中。
在跟踪文件2-1.pacp中保存了部分分组,而在重流量网络中,相同的时间里捕获的分组数量远不止这些。
轻流量网络的监听结果
(3)列表框、协议框、原始框
在WireShark主窗口的最上面的方框称为列表框,显示的是捕获分组的时间、源地址、目的地址、协议等信息。
中间的方框称为协议框,显示在列表框中所选中分组的协议细节:物理层、以太网帧、IP分组、TCP分组和HTTP报文等。对于每个协议,都可展开更多详细信息,如点击IP层前的+号,可以看到IP首部的许多字段及每个字段的值。
主窗口的最下面方框称为原始框,显示了分组中包含数据的每个字节,从中可以观察到最原始的传输数据。方框左边显示十六进制数据,右边显示的是对应的ASCII码。
(4)监听记录的概要统计
选择Statistics菜单的Summary菜单项,Protocol Hierarchy菜单项来观察监听记录的统计数据,如分组数量、通信总字节数、协议包比例等。
2、用WireShark观察一个重流量网络
在一个重流量网络中,监听软件每秒可以捕获到数量巨大的分组,这可能会造成监听软件的信息过载,使部分分组丢失。一般应设置捕获过滤器、去除Capture Options对话框中的Name Resolution中的选项、显示实时更新的分组选项(Updata list of packets in real time),或者限制捕获分组的大小等。
启动WireShark软件,不用进行任何设置,直接开始监听。为了制造一个重流量网络,可以启动QQ软件,打开浏览器,访问多个网页,并从网络上下载一个大文件,或者可以在线播放音频/视频文件等。大约30秒后停止监听,将监听结果保存在文件2-2.pcap中。
比较两个监听文件2-1.pcap和2-2.pcap,体会轻流量网络和重流量网络在捕获分组数量上的差别。
重流量网络的监听结果
(1)捕获过滤器Capture Filter
匹配规则:dst host 192.168.0.1 //只监听目的IP地址是192.168.0.1的分组。
匹配规则:src host 192.168.0.1 //只监听源IP地址是192.168.0.1的分组。
匹配规则:port 80 //只监听源或目的端口号为80的分组。
匹配规则:src port 80 //只监听源端口号为80的分组。
匹配规则:dst port 80 //只监听目的端口号为80的分组。
匹配规则:tcp //只监听TCP分组。
匹配规则:udp //只监听UDP分组。
可以使用and、 or、 not对单个匹配规则进行组合,如:
匹配规则:host 192.168.0.1 and not port 80 //监听进出192.168.0.1的机器的非HTTP通信分组。
(2)颜色过滤器(Color Filter)
通过设定的匹配规则和背景色/前景色来指定匹配这些规则的分组用什么颜色来显示,以便把不同类型的分组区别显示。
在菜单View中选择Coloring Rules…菜单项,打开颜色过滤器。要创建一个新规则,点击new按钮,为新规则输入一个名字和一个显示过滤器表达式,然后选择前景色和背景色。 例如:
输入一个过滤器((tcp.dstport==80) || (tcp.srcport==80)),取名为HTTPcolor,改变前景色和背景色。
应用这个过滤器时,列表框中所有的HTTP分组都会根据设定的颜色显示。
(3)显示过滤器(Filter)
可以把监听到的分组中不感兴趣的分组忽略掉,只显示出与规则匹配的分组。如果在Filter中(红线标注处)输入表达式:ip.dst eq 192.168.0.100,回车后列表框中将只显示出源IP地址为192.168.0.100的分组。
河南郑州科技市场IT产品配送网----------监控安装、弱电施工联系电话:17739760690(同微信)
