網(wǎng)絡(luò)監(jiān)聽(tīng)測(cè)試實(shí)驗(yàn)

　　(2019-4-15)河南鄭州科技市場(chǎng)IT產(chǎn)品配送網(wǎng)-鄭州監(jiān)控安裝案例

　　一、實(shí)驗(yàn)?zāi)康?/p>

　　1、理解網(wǎng)絡(luò)監(jiān)聽(tīng)原理

　　2、熟悉網(wǎng)絡(luò)監(jiān)聽(tīng)方法

　　3、理解網(wǎng)絡(luò)流量

　　二、實(shí)驗(yàn)環(huán)境與設(shè)備

　　本實(shí)驗(yàn)在實(shí)際因特網(wǎng)環(huán)境下進(jìn)行操作，需要的設(shè)備有：一臺(tái)PC機(jī)，WireShark監(jiān)聽(tīng)軟件。WireShark監(jiān)聽(tīng)軟件可從網(wǎng)址：http://www.wireshark.org/下載。

　　實(shí)驗(yàn)配置如圖所示。

　　三、實(shí)驗(yàn)原理

　　1、網(wǎng)絡(luò)協(xié)議分析器

　　如果使用Web瀏覽器或OICQ聊天這樣的網(wǎng)絡(luò)軟件，必須有網(wǎng)絡(luò)連接才能工作，然而，你知道它們?cè)谝蛱鼐W(wǎng)上傳送的是什么類型的信息嗎?

　　例如，計(jì)算機(jī)要對(duì)遠(yuǎn)程Web服務(wù)器發(fā)送什么數(shù)據(jù)來(lái)獲取它需要的網(wǎng)頁(yè)呢?計(jì)算機(jī)如何將郵件發(fā)給指定的人呢?

　　可以通過(guò)網(wǎng)絡(luò)協(xié)議分析器(如WireShark)來(lái)協(xié)助觀察網(wǎng)絡(luò)會(huì)話的細(xì)節(jié)。網(wǎng)絡(luò)協(xié)議分析器是一個(gè)能記錄所有網(wǎng)絡(luò)分組，并以人們可讀的形式顯示的軟件。在監(jiān)聽(tīng)重流量網(wǎng)絡(luò)時(shí)，允許用戶過(guò)濾掉不想要的分組或查看感興趣的特定分組，而且還能為用戶提供所有分組的統(tǒng)計(jì)概要。

　　2、網(wǎng)絡(luò)監(jiān)聽(tīng)原理

　　在共享式局域網(wǎng)中，位于同一網(wǎng)段的每臺(tái)主機(jī)都可以截獲在網(wǎng)絡(luò)中傳輸?shù)乃袛?shù)據(jù)，正常情況下，一個(gè)網(wǎng)卡只響應(yīng)目的地址為單播地址和廣播地址的MAC幀而忽略其它MAC幀，網(wǎng)卡接收這兩種幀時(shí)，通過(guò)CPU產(chǎn)生一個(gè)硬件中斷，然后由操作系統(tǒng)負(fù)責(zé)處理該中斷，對(duì)數(shù)據(jù)幀中的數(shù)據(jù)做進(jìn)一步處理。如果將網(wǎng)卡設(shè)置為混雜(promiscuous)模式，則可接收所有經(jīng)過(guò)該網(wǎng)卡的數(shù)據(jù)幀。

　　交換式網(wǎng)絡(luò)設(shè)備能將數(shù)據(jù)準(zhǔn)確地發(fā)給目的主機(jī)，而不會(huì)同時(shí)發(fā)給其他計(jì)算機(jī)，所在在交換網(wǎng)絡(luò)環(huán)境下，實(shí)現(xiàn)數(shù)據(jù)包的監(jiān)聽(tīng)要復(fù)雜些，主要方法有：

　　(1)對(duì)交換機(jī)實(shí)行端口鏡像，將其他端口的數(shù)據(jù)全部映射到鏡像端口，連接在鏡像端口上的計(jì)算機(jī)就可以實(shí)施監(jiān)聽(tīng)了。

　　(2)將監(jiān)聽(tīng)程序放在網(wǎng)關(guān)或代理服務(wù)器上，可抓取整個(gè)局域網(wǎng)的數(shù)據(jù)包。

　　網(wǎng)絡(luò)監(jiān)聽(tīng)的防范方法主要有：從邏輯或物理上對(duì)網(wǎng)絡(luò)分段;以交換機(jī)代替共享共享集線器;使用加密技術(shù);劃分VLAN。

　　四、實(shí)驗(yàn)內(nèi)容

　　1、用WireShark觀察一個(gè)輕流量網(wǎng)絡(luò)

　　2、用WireShark觀察一個(gè)重流量網(wǎng)絡(luò)

　　五、實(shí)驗(yàn)步驟

　　1、用WireShark觀察一個(gè)輕流量網(wǎng)絡(luò)

　　WireShark是開(kāi)源軟件，可以運(yùn)行于Windows/Linux/Unix等多種操作系統(tǒng)平臺(tái)，用來(lái)捕獲和分析網(wǎng)絡(luò)數(shù)據(jù)包。安裝WireShark包括兩個(gè)部分，一個(gè)是安裝WireShark本身，另一個(gè)是安裝WinPcap(免費(fèi)的抓包驅(qū)動(dòng)開(kāi)發(fā)包)。Wireshark安裝包里包含了最新版的WinPcap安裝包。如果沒(méi)有安裝WinPcap ，WireShark將無(wú)法捕捉網(wǎng)絡(luò)流量，但可以打開(kāi)已有的捕捉包文件。

　　啟動(dòng)WireShark，要想捕獲一個(gè)跟蹤記錄，可以從菜單Capture中選擇Start，并用Capture Options對(duì)話框來(lái)指定跟蹤記錄的各個(gè)方面。

　　(1)使用Capture Options對(duì)話框

　　? Interface(接口)：

　　在接口下拉菜單中，可以選擇要跟蹤的接口，例如，如果機(jī)器同時(shí)擁有多個(gè)網(wǎng)卡(如以太網(wǎng)卡和無(wú)線網(wǎng)卡)，必須選擇其中一個(gè)進(jìn)行監(jiān)聽(tīng)。

　　? Capture packets in promiscuous mode(在混雜模式捕獲分組)：

　　如果監(jiān)聽(tīng)計(jì)算機(jī)在一個(gè)共享網(wǎng)段上，如一個(gè)無(wú)線局域網(wǎng)或一個(gè)以太網(wǎng)集線器上，則網(wǎng)絡(luò)接口能探測(cè)到所有分組，包括那些發(fā)到其他機(jī)器上的分組。但是一般情況下，目的地為其他計(jì)算機(jī)的分組會(huì)被忽略掉，如果把網(wǎng)絡(luò)接口設(shè)置為“混雜模式”，它將記錄下所有分組。

　　? Limit each packed in N bytes(將每個(gè)分組限制在N字節(jié)內(nèi))：

　　一般情況下，分組的數(shù)據(jù)部分會(huì)占據(jù)大多數(shù)空間，但通常首部包含了最有用的信息(源地址、目的地址、分組類型等)，如果不需要觀察數(shù)據(jù)，可以捕獲首部，計(jì)算出首部的最大字節(jié)數(shù)。

　　? Capture Filter(捕獲過(guò)濾器)：

　　可以指定一個(gè)捕獲過(guò)濾器來(lái)限制捕獲的分組數(shù)量，只有那些匹配過(guò)濾規(guī)則的分組才會(huì)被記錄下來(lái)。例如：過(guò)濾規(guī)則host 192.168.0.1用來(lái)捕獲那些進(jìn)出IP地址192.168.0.1的主機(jī)的分組。

　　? Capture Files(捕獲文件)：

　　可以指定將捕獲到的分組直接保存在一個(gè)文件中，而不是保存在內(nèi)存中。選擇Use Multi files，可以將捕獲的分組保存在多個(gè)文件中，在每個(gè)文件寫滿或指定秒數(shù)后交換文件。

　　? Display Options(顯示選項(xiàng))：

　　可以選擇顯示實(shí)時(shí)更新的分組(Updata list of packets in real time)，可以讓顯示屏自動(dòng)滾動(dòng)到最后捕獲的分組(Automatic scrolling in live capture)。

　　? Stop Capture(停止捕獲)：

　　可以設(shè)置在捕獲到一定數(shù)量的分組，跟蹤記錄到達(dá)一定大小或在一個(gè)特定的時(shí)間后自動(dòng)停止跟蹤，而不需要手動(dòng)停止。

　　? Name Resolution(名字解析)：

　　選擇“Enable MAC name resolution”,可以將MAC地址的前24位成廠商的名稱。選擇“Enable network name resolution”,可以將IP地址轉(zhuǎn)化成域名。選擇“Enable transport name resolution”,可以將熟知端口轉(zhuǎn)化成協(xié)議。

　　(2)開(kāi)始捕獲分組

　　在本實(shí)驗(yàn)中，我們選擇以太網(wǎng)接口，其他選項(xiàng)默認(rèn)。關(guān)閉所有其它使用網(wǎng)絡(luò)的應(yīng)用程序，然后點(diǎn)擊Start按鈕開(kāi)始跟蹤，例如：打開(kāi)IE瀏覽器，在網(wǎng)址欄中輸入網(wǎng)址：www.baidu.com(百度搜索網(wǎng)頁(yè)比較簡(jiǎn)單，流量小)，大約30秒后點(diǎn)擊Stop按鈕停止跟蹤。將跟蹤結(jié)果保存到文件2-1.pcap中。

　　在跟蹤文件2-1.pacp中保存了部分分組，而在重流量網(wǎng)絡(luò)中，相同的時(shí)間里捕獲的分組數(shù)量遠(yuǎn)不止這些。

　　輕流量網(wǎng)絡(luò)的監(jiān)聽(tīng)結(jié)果

　　(3)列表框、協(xié)議框、原始框

　　在WireShark主窗口的最上面的方框稱為列表框，顯示的是捕獲分組的時(shí)間、源地址、目的地址、協(xié)議等信息。

　　中間的方框稱為協(xié)議框，顯示在列表框中所選中分組的協(xié)議細(xì)節(jié)：物理層、以太網(wǎng)幀、IP分組、TCP分組和HTTP報(bào)文等。對(duì)于每個(gè)協(xié)議，都可展開(kāi)更多詳細(xì)信息，如點(diǎn)擊IP層前的+號(hào)，可以看到IP首部的許多字段及每個(gè)字段的值。

　　主窗口的最下面方框稱為原始框，顯示了分組中包含數(shù)據(jù)的每個(gè)字節(jié)，從中可以觀察到最原始的傳輸數(shù)據(jù)。方框左邊顯示十六進(jìn)制數(shù)據(jù)，右邊顯示的是對(duì)應(yīng)的ASCII碼。

　　(4)監(jiān)聽(tīng)記錄的概要統(tǒng)計(jì)

　　選擇Statistics菜單的Summary菜單項(xiàng)，Protocol Hierarchy菜單項(xiàng)來(lái)觀察監(jiān)聽(tīng)記錄的統(tǒng)計(jì)數(shù)據(jù)，如分組數(shù)量、通信總字節(jié)數(shù)、協(xié)議包比例等。

　　2、用WireShark觀察一個(gè)重流量網(wǎng)絡(luò)

　　在一個(gè)重流量網(wǎng)絡(luò)中，監(jiān)聽(tīng)軟件每秒可以捕獲到數(shù)量巨大的分組，這可能會(huì)造成監(jiān)聽(tīng)軟件的信息過(guò)載，使部分分組丟失。一般應(yīng)設(shè)置捕獲過(guò)濾器、去除Capture Options對(duì)話框中的Name Resolution中的選項(xiàng)、顯示實(shí)時(shí)更新的分組選項(xiàng)(Updata list of packets in real time)，或者限制捕獲分組的大小等。

　　啟動(dòng)WireShark軟件，不用進(jìn)行任何設(shè)置，直接開(kāi)始監(jiān)聽(tīng)。為了制造一個(gè)重流量網(wǎng)絡(luò)，可以啟動(dòng)QQ軟件，打開(kāi)瀏覽器，訪問(wèn)多個(gè)網(wǎng)頁(yè)，并從網(wǎng)絡(luò)上下載一個(gè)大文件，或者可以在線播放音頻/視頻文件等。大約30秒后停止監(jiān)聽(tīng)，將監(jiān)聽(tīng)結(jié)果保存在文件2-2.pcap中。

　　比較兩個(gè)監(jiān)聽(tīng)文件2-1.pcap和2-2.pcap，體會(huì)輕流量網(wǎng)絡(luò)和重流量網(wǎng)絡(luò)在捕獲分組數(shù)量上的差別。

　　重流量網(wǎng)絡(luò)的監(jiān)聽(tīng)結(jié)果

　　(1)捕獲過(guò)濾器Capture Filter

　　匹配規(guī)則：dst host 192.168.0.1 //只監(jiān)聽(tīng)目的IP地址是192.168.0.1的分組。

　　匹配規(guī)則：src host 192.168.0.1 //只監(jiān)聽(tīng)源IP地址是192.168.0.1的分組。

　　匹配規(guī)則：port 80 //只監(jiān)聽(tīng)源或目的端口號(hào)為80的分組。

　　匹配規(guī)則：src port 80 //只監(jiān)聽(tīng)源端口號(hào)為80的分組。

　　匹配規(guī)則：dst port 80 //只監(jiān)聽(tīng)目的端口號(hào)為80的分組。

　　匹配規(guī)則：tcp //只監(jiān)聽(tīng)TCP分組。

　　匹配規(guī)則：udp //只監(jiān)聽(tīng)UDP分組。

　　可以使用and、 or、 not對(duì)單個(gè)匹配規(guī)則進(jìn)行組合，如：

　　匹配規(guī)則：host 192.168.0.1 and not port 80 //監(jiān)聽(tīng)進(jìn)出192.168.0.1的機(jī)器的非HTTP通信分組。

　　(2)顏色過(guò)濾器(Color Filter)

　　通過(guò)設(shè)定的匹配規(guī)則和背景色/前景色來(lái)指定匹配這些規(guī)則的分組用什么顏色來(lái)顯示，以便把不同類型的分組區(qū)別顯示。

　　在菜單View中選擇Coloring Rules…菜單項(xiàng)，打開(kāi)顏色過(guò)濾器。要?jiǎng)?chuàng)建一個(gè)新規(guī)則，點(diǎn)擊new按鈕，為新規(guī)則輸入一個(gè)名字和一個(gè)顯示過(guò)濾器表達(dá)式，然后選擇前景色和背景色。 例如：

　　輸入一個(gè)過(guò)濾器((tcp.dstport==80) || (tcp.srcport==80)),取名為HTTPcolor，改變前景色和背景色。

　　應(yīng)用這個(gè)過(guò)濾器時(shí)，列表框中所有的HTTP分組都會(huì)根據(jù)設(shè)定的顏色顯示。

　　(3)顯示過(guò)濾器(Filter)

　　可以把監(jiān)聽(tīng)到的分組中不感興趣的分組忽略掉，只顯示出與規(guī)則匹配的分組。如果在Filter中(紅線標(biāo)注處)輸入表達(dá)式：ip.dst eq 192.168.0.100，回車后列表框中將只顯示出源IP地址為192.168.0.100的分組。

　　河南鄭州科技市場(chǎng)IT產(chǎn)品配送網(wǎng)----------監(jiān)控安裝、弱電施工聯(lián)系電話：17739760690(同微信)