《网络安全与防护全套配套课件迟恩宇实训指导1.2-0snifferpro协议分析软件的使用》由会员分享,可在线阅读,更多相关《网络安全与防护全套配套课件迟恩宇实训指导1.2-0snifferpro协议分析软件的使用(19页珍藏版)》请在金锄头文库上搜索。
1、国家高等职业教育 网络技术专业教学资源库,计算机网络安全技术与实施,学习情境1:实训任务1.2,协议分析技术部署与 SnifferPro协议分析软件的使用,内容介绍,任务场景,1,任务相关工具软件介绍,2,任务设计、规划,3,任务实施及方法技巧,4,任务检查与评价,5,任务总结,6,任务场景,任务相关工具软件介绍,1. 协议分析技术简介 (1)协议分析 网络协议分析是指通过程序分析网络数据包的协议头和尾部,从而了解信息和相关的数据包在产生和传输过程中的行为。包含该程序的软件和设备就是协议分析器。 (2)协议分析器的功能 如果通过多层协议头尾和其相关信息来识别网络通信过程中可能出现的问题时,该协
2、议分析方法称之为专家分析。专家分析模式专门用于网络故障诊断和修复。同时为定义网络访问控制行为提供帮助。也有一些协议分析软件具用构造数据帧的功能,如NAI公司的Sniffer Pro。协议分析器既能用于合法网络管理也能用于窃取网络信息。网络运维护可以采用协议分析器:如监视网络流量、分析数据包、监视网络资源利用、执行网络安全操作规则,鉴定分析网络数据以及诊断并修复网络问题等等。本课程进行协议分析学习的目的是:通过协议分析深入学习掌握TCP/IP体系结构。为“专家分析”打下基础,为后续的访问控制与入侵检测做好铺垫。,任务相关工具软件介绍,(3)协议分析器的实现形式 网络协议分析器(Network P
3、rotocol Analyzer)还被称为网络嗅探器(Sniffer)、数据包分析器(Packet Analyzer)、网络嗅听器(Network Sniffing Tool)、网络分析器(Network Analyzer)等。协议分析器(protocol analyser)的工作从原理上要分为两个部分:数据捕获、协议分析。对这两部分的工作从实现的形式上来说有以下常见的4种形式: 纯软件的协议分析系统:使用率最多的协议分析软件PC网卡。 基于PC数据采集箱的便携式协议分析器:这种方式与上述采用协议分析软件PC网卡的主要区别就是专用的数据采集系统,在对复杂和高速的网络链路上要想全线速地扑捉或更有
4、效地进行实时数据过滤采用专用的数据采集方式是必须的。,任务相关工具软件介绍,(3)协议分析器的实现形式 手持式综合协议分析器:从协议分析仪发展的角度来说,网络维护人员越来越需要使用功能强大并能将多种网络测试手段集于一身的综合式测试分析手段,典型的协议分析仪上的功能延展就是加入网管功能、自动网络信息搜集功能、智能的专家故障诊断功能, 并且移动性能要有效。这种综合的协议分析仪或者说是综合的网络分析仪成为了当今网络维护和测试仪的主要发展趋势。例如FLUKE的协议分析系统。 分布式协议分析器:随着网络维护规模的加大,网络技术的变化,网络要害数据的采集也越来越困难。有时为了分析和采集数据,必须能在异地同
5、时进行采集,于是将协议分析仪的数据采集系统独立开来,能安置在网络的不同地方,由能控制多个采集器的协议分析仪平台进行治理和数据处理,这种应用模式就诞生了分布式协议分析仪。通常这种方式的造价会非常高的。,任务相关工具软件介绍,(4)软件的网络协议分析系统的安装部署 网络协议分析软件以嗅探方式工作,它必须要采集到网络中的原始数据包,才能准确分析网络故障。但如果安装的位置不当,采集不到所需要的数据包,从而会影响分析的结果。 网络协议分析软件的安装部署有以下几种情况: 共享式网络 :使用集线器(Hub)作为网络中心连接设备的网络是典型的共享式网络。在集线器所连接的网络中,可将网络协议分析软件安装在局域网
6、中任意一台主机上,此时软件可以捕获整个网络中所有的数据通讯。,互联网,集线器,任务相关工具软件介绍,(4)软件的网络协议分析系统的安装部署 具备镜像功能的交换式网络:使用交换机(Switch)作为网络的中心交换设备的网络即为交换式网络。网络中的交换机具备镜像功能时,可在交换机上配置好端口镜像,再将网络协议分析软件安装在连接镜像端口的主机上,此时软件可以捕获整个网络中所有的数据通讯。,互联网,交换机,镜像源端口,镜像目的端口,任务相关工具软件介绍,(4)软件的网络协议分析系统的安装部署 不具备镜像功能的交换式网络:一些简易的交换机可能并不具备镜像功能,不能通过端口镜像实现网络的监控分析。这时,可
7、采取在交换机与路由器或防火墙之间串接一个分接器Tap或集线器(Hub)的方法来完成数据捕获。当然,对于不同的分析需求,可以将其放置在适当的位置,但要保证所要分析的流量能经过分接器,互联网,交换机,Tap或集线器,任务相关工具软件介绍,(4)软件的网络协议分析系统的安装部署 代理服务器共享上网:在一些小型网络中,可能仍然通过代理服务器共享上网,对这种网络的分析,可直接将网络分析软件安装在代理服务器上就可以了。例如网路岗和科来等协议分析软件系统,这种结构中代理主机不仅可以分析协议,还可以进行访问行为的控制。,互联网,交换机,代理服务器,任务相关工具软件介绍,(5)软件的网络协议分析系统构成 在前面
8、所讲的几种协议分析系统的部署中,无论是哪一种网络类型,协议分析的主机网卡需要一个驱动,以保证网卡接收不是发送给自己的数据帧。即要保证网卡处于混杂模式! 协议分析软件:基于软件的协议分析系统的主机,协议分析主成程是进行协议分析的应用层软件。 网卡底层驱动:但很多协议分析软件需要底层的网卡驱动,如WinPcap来将网卡所能接收到的所有数据帧进行接收后提交给操作系统应用层,进而送达协议分析主程序。 网卡的工作模式:网卡在正常模式下不会将目的MAC不是(广播与多播帧除外)自己的数据帧提交到上层的操作系统处理。只有将网卡设置为混杂模式后,它才会将所接收的所有数据帧提交到操作系统及上层的应用程序。,任务相
9、关工具软件介绍,(6)常用的网络协议分析软件 常用的协议分析软件包括:Sniffer Pro、WireShark、Ethereal、Wildpackets Omnipeek、NetxRay、Iris、科来等网络协议分析软件,他们都包含数据捕获、数据分析功能,一些软件还包含协议数据包编辑和发送功能,如锐捷RG-PATS协议分析软件。但有一些软件不具有包发生器,如WireShark等。关于这些软件网上都有详细的教程。 此外,在WINDOWS2000及后续的服务器版中集成了协议分析器组件-网络监视器Network Monitor,也可以通过添加WINDOWS组件来安装此功能组件,完成协议分析功能。
10、我们这里重点以NAI公司的Sniffer Pro为例进行讲解,因为其功能强大,可以说它是协议分析软件的鼻祖。根据目前多数主机网卡为千兆的,早期版本不支持千兆网卡和无线网卡,建议选择Sniffer Pro V4.7.5 SP5(可识别千兆网卡和无线网卡)以上版本。,任务相关工具软件介绍,软 件 界 面,任务设计、规划,在要进行协议分析的网络关键流量处部署协议分析软件及主机,任务实施及方法技巧,本任务是基于Sniffer Pro软件对网络中的协议进行分析的前序任务,具体步骤及方法如下: 步骤一:安装Sniffer Pro软件 步骤二: Sniffer Pro软件启动与界面介绍 步骤三: 定义基本的
11、Sniffer Pro捕获条件 步骤四:查看ARP等协议数据报文 步骤五:使用过程中的注意事项(驱动层面的协议、多网卡选择等),任务检查与评价,任务检查与评价: 理解协议分析的原理与部署 理解网卡的工作模式 Sniffer Pro软件安装后能够正常使用 能够正确设备捕获条件,并能捕获网络中的ARP协议报文 能够根据不同的网络环境,在恰当的位置部署协议分析系统,任务检查与评价,任务评价:是否掌握基于软件的协议分析技术原理与方法,并且能力得到提升,具体评价要点参见下表:,任务总结,本任务围绕ICMP、ARP协议,介绍了基于Sniffer Pro软件的协议分析方法: 理解协议分析的原理与部署 理解网卡的工作模式 Sniffer Pro软件安装后能够正常使用 能够正确设备捕获条件,并能捕获网络中的ARP协议报文 能够根据不同的网络环境,在恰当的位置部署协议分析系统,谢谢您的收看! 请多提宝贵意见!,谢谢,
