網絡監聽測試實驗

　　(2019-4-15)河南鄭州科技市場IT產品配送網-鄭州監控安裝案例

　　一、實驗目的

　　1、理解網絡監聽原理

　　2、熟悉網絡監聽方法

　　3、理解網絡流量

　　二、實驗環境與設備

　　本實驗在實際因特網環境下進行操作，需要的設備有：一臺PC機，WireShark監聽軟件。WireShark監聽軟件可從網址：http://www.wireshark.org/下載。

　　實驗配置如圖所示。

　　三、實驗原理

　　1、網絡協議分析器

　　如果使用Web瀏覽器或OICQ聊天這樣的網絡軟件，必須有網絡連接才能工作，然而，你知道它們在因特網上傳送的是什么類型的信息嗎?

　　例如，計算機要對遠程Web服務器發送什么數據來獲取它需要的網頁呢?計算機如何將郵件發給指定的人呢?

　　可以通過網絡協議分析器(如WireShark)來協助觀察網絡會話的細節。網絡協議分析器是一個能記錄所有網絡分組，并以人們可讀的形式顯示的軟件。在監聽重流量網絡時，允許用戶過濾掉不想要的分組或查看感興趣的特定分組，而且還能為用戶提供所有分組的統計概要。

　　2、網絡監聽原理

　　在共享式局域網中，位于同一網段的每臺主機都可以截獲在網絡中傳輸的所有數據，正常情況下，一個網卡只響應目的地址為單播地址和廣播地址的MAC幀而忽略其它MAC幀，網卡接收這兩種幀時，通過CPU產生一個硬件中斷，然后由操作系統負責處理該中斷，對數據幀中的數據做進一步處理。如果將網卡設置為混雜(promiscuous)模式，則可接收所有經過該網卡的數據幀。

　　交換式網絡設備能將數據準確地發給目的主機，而不會同時發給其他計算機，所在在交換網絡環境下，實現數據包的監聽要復雜些，主要方法有：

　　(1)對交換機實行端口鏡像，將其他端口的數據全部映射到鏡像端口，連接在鏡像端口上的計算機就可以實施監聽了。

　　(2)將監聽程序放在網關或代理服務器上，可抓取整個局域網的數據包。

　　網絡監聽的防范方法主要有：從邏輯或物理上對網絡分段;以交換機代替共享共享集線器;使用加密技術;劃分VLAN。

　　四、實驗內容

　　1、用WireShark觀察一個輕流量網絡

　　2、用WireShark觀察一個重流量網絡

　　五、實驗步驟

　　1、用WireShark觀察一個輕流量網絡

　　WireShark是開源軟件，可以運行于Windows/Linux/Unix等多種操作系統平臺，用來捕獲和分析網絡數據包。安裝WireShark包括兩個部分，一個是安裝WireShark本身，另一個是安裝WinPcap(免費的抓包驅動開發包)。Wireshark安裝包里包含了最新版的WinPcap安裝包。如果沒有安裝WinPcap ，WireShark將無法捕捉網絡流量，但可以打開已有的捕捉包文件。

　　啟動WireShark，要想捕獲一個跟蹤記錄，可以從菜單Capture中選擇Start，并用Capture Options對話框來指定跟蹤記錄的各個方面。

　　(1)使用Capture Options對話框

　　? Interface(接口)：

　　在接口下拉菜單中，可以選擇要跟蹤的接口，例如，如果機器同時擁有多個網卡(如以太網卡和無線網卡)，必須選擇其中一個進行監聽。

　　? Capture packets in promiscuous mode(在混雜模式捕獲分組)：

　　如果監聽計算機在一個共享網段上，如一個無線局域網或一個以太網集線器上，則網絡接口能探測到所有分組，包括那些發到其他機器上的分組。但是一般情況下，目的地為其他計算機的分組會被忽略掉，如果把網絡接口設置為“混雜模式”，它將記錄下所有分組。

　　? Limit each packed in N bytes(將每個分組限制在N字節內)：

　　一般情況下，分組的數據部分會占據大多數空間，但通常首部包含了最有用的信息(源地址、目的地址、分組類型等)，如果不需要觀察數據，可以捕獲首部，計算出首部的最大字節數。

　　? Capture Filter(捕獲過濾器)：

　　可以指定一個捕獲過濾器來限制捕獲的分組數量，只有那些匹配過濾規則的分組才會被記錄下來。例如：過濾規則host 192.168.0.1用來捕獲那些進出IP地址192.168.0.1的主機的分組。

　　? Capture Files(捕獲文件)：

　　可以指定將捕獲到的分組直接保存在一個文件中，而不是保存在內存中。選擇Use Multi files，可以將捕獲的分組保存在多個文件中，在每個文件寫滿或指定秒數后交換文件。

　　? Display Options(顯示選項)：

　　可以選擇顯示實時更新的分組(Updata list of packets in real time)，可以讓顯示屏自動滾動到最后捕獲的分組(Automatic scrolling in live capture)。

　　? Stop Capture(停止捕獲)：

　　可以設置在捕獲到一定數量的分組，跟蹤記錄到達一定大小或在一個特定的時間后自動停止跟蹤，而不需要手動停止。

　　? Name Resolution(名字解析)：

　　選擇“Enable MAC name resolution”,可以將MAC地址的前24位成廠商的名稱。選擇“Enable network name resolution”,可以將IP地址轉化成域名。選擇“Enable transport name resolution”,可以將熟知端口轉化成協議。

　　(2)開始捕獲分組

　　在本實驗中，我們選擇以太網接口，其他選項默認。關閉所有其它使用網絡的應用程序，然后點擊Start按鈕開始跟蹤，例如：打開IE瀏覽器，在網址欄中輸入網址：www.baidu.com(百度搜索網頁比較簡單，流量小)，大約30秒后點擊Stop按鈕停止跟蹤。將跟蹤結果保存到文件2-1.pcap中。

　　在跟蹤文件2-1.pacp中保存了部分分組，而在重流量網絡中，相同的時間里捕獲的分組數量遠不止這些。

　　輕流量網絡的監聽結果

　　(3)列表框、協議框、原始框

　　在WireShark主窗口的最上面的方框稱為列表框，顯示的是捕獲分組的時間、源地址、目的地址、協議等信息。

　　中間的方框稱為協議框，顯示在列表框中所選中分組的協議細節：物理層、以太網幀、IP分組、TCP分組和HTTP報文等。對于每個協議，都可展開更多詳細信息，如點擊IP層前的+號，可以看到IP首部的許多字段及每個字段的值。

　　主窗口的最下面方框稱為原始框，顯示了分組中包含數據的每個字節，從中可以觀察到最原始的傳輸數據。方框左邊顯示十六進制數據，右邊顯示的是對應的ASCII碼。

　　(4)監聽記錄的概要統計

　　選擇Statistics菜單的Summary菜單項，Protocol Hierarchy菜單項來觀察監聽記錄的統計數據，如分組數量、通信總字節數、協議包比例等。

　　2、用WireShark觀察一個重流量網絡

　　在一個重流量網絡中，監聽軟件每秒可以捕獲到數量巨大的分組，這可能會造成監聽軟件的信息過載，使部分分組丟失。一般應設置捕獲過濾器、去除Capture Options對話框中的Name Resolution中的選項、顯示實時更新的分組選項(Updata list of packets in real time)，或者限制捕獲分組的大小等。

　　啟動WireShark軟件，不用進行任何設置，直接開始監聽。為了制造一個重流量網絡，可以啟動QQ軟件，打開瀏覽器，訪問多個網頁，并從網絡上下載一個大文件，或者可以在線播放音頻/視頻文件等。大約30秒后停止監聽，將監聽結果保存在文件2-2.pcap中。

　　比較兩個監聽文件2-1.pcap和2-2.pcap，體會輕流量網絡和重流量網絡在捕獲分組數量上的差別。

　　重流量網絡的監聽結果

　　(1)捕獲過濾器Capture Filter

　　匹配規則：dst host 192.168.0.1 //只監聽目的IP地址是192.168.0.1的分組。

　　匹配規則：src host 192.168.0.1 //只監聽源IP地址是192.168.0.1的分組。

　　匹配規則：port 80 //只監聽源或目的端口號為80的分組。

　　匹配規則：src port 80 //只監聽源端口號為80的分組。

　　匹配規則：dst port 80 //只監聽目的端口號為80的分組。

　　匹配規則：tcp //只監聽TCP分組。

　　匹配規則：udp //只監聽UDP分組。

　　可以使用and、 or、 not對單個匹配規則進行組合，如：

　　匹配規則：host 192.168.0.1 and not port 80 //監聽進出192.168.0.1的機器的非HTTP通信分組。

　　(2)顏色過濾器(Color Filter)

　　通過設定的匹配規則和背景色/前景色來指定匹配這些規則的分組用什么顏色來顯示，以便把不同類型的分組區別顯示。

　　在菜單View中選擇Coloring Rules…菜單項，打開顏色過濾器。要創建一個新規則，點擊new按鈕，為新規則輸入一個名字和一個顯示過濾器表達式，然后選擇前景色和背景色。 例如：

　　輸入一個過濾器((tcp.dstport==80) || (tcp.srcport==80)),取名為HTTPcolor，改變前景色和背景色。

　　應用這個過濾器時，列表框中所有的HTTP分組都會根據設定的顏色顯示。

　　(3)顯示過濾器(Filter)

　　可以把監聽到的分組中不感興趣的分組忽略掉，只顯示出與規則匹配的分組。如果在Filter中(紅線標注處)輸入表達式：ip.dst eq 192.168.0.100，回車后列表框中將只顯示出源IP地址為192.168.0.100的分組。

　　河南鄭州科技市場IT產品配送網----------監控安裝、弱電施工聯系電話：17739760690(同微信)