实验手册

实验二 利用分组嗅探器分析网络流量、故障

一、 实验目的及任务

3、了解镜像端口的配置。

4、根据sniffer对网络流量、收发数据包情况判断网络故障。

二、 实验环境

与因特网连接的计算机网络系统； 主机操作系统为windowsxp； 交换机三台

三、 预备知识

当使用Sniffer捕获数据时，可以使用它的监控功能查看当前网络中的数据传输情况。Sniffer具有7大监控功能，包括：Dashboard（仪表）、Host Table（主机列表）、Matrix（矩阵）、ART（Application Response Time，应用响应时间）、History Sample（历史采样）、Protocol Distribution（协议分类）和Global Statistics（球状统计）。这些功能可以实时显示当前网络中传输的数据，便于网络管理员及时发现故障并解决。

如果局域网使用交换机或路由器与外部网络进行连接，若欲使用Sniffer实现对端口流量的监控，就必须配置端口镜像，并将安装Sniffer的计算机连接至该镜像目的端口。若欲实现对整个网络的监控，那么，就应当将总出口（即连接路由器或代理服务器的端口）设置为目的端口。

所谓端口镜像，是指把交换机一个或多个端口（或VLAN）的数据镜像到一个或多个端口的方法。端口镜像简单地说，就是把交换机一个（数个）端口（源端口）的流量完全复制一份，从另外一个端口（目的端口）发出去，以便网络管理人员从目的端口通过分析源端口的流量来找出网络存在问题的原因。

四、 实验步骤

一、 设置镜像端口

基于端口的镜像是把被镜像端口的进出数据报文完全拷贝一份到镜像端口，这样来进行流量观测或者故障定位。

在华为交换机s3100上配置镜像端口

1. 配置镜像（观测）端口 [SwitchA]monitor-port e0/8

2. 配置被镜像端口

[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2

拓扑说明：Vlan连接S3100交换机的F0/1端口，即来源端口，需要分析的端口，sniffer分析主机连接在S3100交换机的F0/2端口，即目标端口。 二 、从sniffer下手揪出ARP病毒

一 判断ARP欺骗病毒发作迹象

一般来说ARP欺骗病毒发作主要有以下几个特点，首先网络速度变得非常缓慢，部分计算机能够正常上网，但是会出现偶尔丢包的现象。例如ping网关丢包。而其他大部分计算机是不能够正常上网的，掉包现象严重。但是这些不能上网的计算机过一段时间又能够自动连上。ping网关地址会发现延迟波动比较大。另外即使可以正常上网，象诸如邮箱，论坛等功能的使用依然出现无法正常登录的问题。 二 确认ARP欺骗病毒发作

当我们企业网络中出现了和上面描述类似的现象时就需要我们在本机通过arp显示指令来确认病毒的发作了。

第一步：通过“开始->运行”，输入CMD指令后回车。这样我们将进入命令提示窗口。 第二步：在命令提示窗口中我们输入ARP -A命令来查询本地计算机的ARP缓存信息。在显示列表中的physical address列就是某IP对应的MAC地址了。考试大提示如果企业没有进行任何MAC与IP地址绑定工作的话，ARP模式列显示的都是dynamic动态获得。当我们发现arp -a指令执行后显示信息网关地址对应的MAC地址和正确的不同时就可以百分之百的确定ARP欺骗病毒已经在网络内发作了。例如正常情况下笔者网络内网关地址192.168.2.1对应的MAC地址是00-10-5C-AC-3D-0A，然而执行后却发现192.168.2.1对应的MAC地址为00-10-5c-ac-31-b6。网关地址MAC信息错误或变化确认是ARP病毒造成的。 第三步：我们用笔将错误的MAC地址记录下来，为日后通过sniffer排查做准备。 三 使用sniffer下手揪出ARP病毒

一般来说最好的办法是找一台没有感染病毒的计算机连接到企业核心路由交换设备的镜像端口来抓取数据包。考试大提示如果没有镜像端口直接连接到网络中抓取也可以，只是所抓数据会不全，分析问题的周期比较长。 第一步：我们按照实际需要将用来分析故障的笔记本连接到交换机的镜像端口上。运行sniffer，在sniffer软件中打开dashboard面板，这个面板主要是扫描当前网络中数据包的宏观信息，即什么样的数据包有多少个。一般来说病毒都是以广播数据包来传播的，所以只需要查看每秒网络内的广播数据包数量就可以判断病毒危害的严重与否。在dashboard面板中我们可以看到broadcasts/s处显示的信息为26个，也就是说对当前网络抓取结果是一秒钟有26个广播数据包。和平常比要多一些。

第二步：接下来我们在sniffer软件中切换到hosttable主机列表中，具体查看到底哪个计算机发送的广播数据包最多。一般来说如果网络内有蠕虫病毒，那么这台主机的广播量要远远大于其他主机。例如本例中就会看到有一台计算机的广播数据包为14344个，是其他正常计算机发送包的1000倍还多。这样就可以判断该计算机有问题。

第三步：我们在sniffer软件中切换到协议分析标签(protocol distribution，看到网络内ARP数据包占用的比例比较大，达到了12%以上，这也是不正常的。一般来说一个正常的网络应该99%以上数据包都是IP数据包，ARP数据包小于1%。

第四步：接下来就该对嫌疑犯进行监控了，这在以前的文章中也介绍过，针对发送广播量最大的主机进行抓包分析，能够发现他不断的欺骗网关，向外发送的数据包目的地址都是连续的，声称他是192.168.2.0/24网段的主机，从而造成其他主机无法和正确网关进行正常

通讯，都被他欺骗了。

第五步：了解到出现问题计算机的MAC地址后我们通过查询sniffer监控的数据，特别是查看该MAC和真正网关地址通讯时数据包的内容就可以找到他的IP地址了。当然如果企业有DHCP服务器的话，也可以到DHCP服务器的地址租约池中查看该MAC地址对应的IP地址信息。总之我们可以通过多种方法来通过MAC找到IP地址，从而最终确定病毒的根源。

第六步：找到了这个有问题的MAC地址和IP地址后我们就可以针对该计算机进行断网隔离杀毒了。杀毒完毕连接到网络中问题全部解决，网络恢复正常。

五、思考题

搜索sniffer监测网络故障的其他应用

实验三 SOCKET编程基础实验

一、实验目的

? 基于TCP协议进行网络编程，并通过实验对结果进行验证，加深对TCP协议

以及其他网络基本概念理解。

? 了解和掌握《基于TCP－面向连接的应用程序》的运行机制和编程方法；

? 编写一个网络通信应用程序：客户机发出数据请求命令，服务器根据其命令提供数据

二、实验环境

运行Windws 2000/XP/2003操作系统的PC一台。

每台PC具有一块以太网卡，通过双绞线与局域网相连。 TCP/IP协议

三、实验内容

双人搭配实验，两人选择不同的操作系统环境，各编写一个程序，使用TCP/IP协议进行相互之间的发送和接收，两人实现简单的talk。 四、实验步骤 1、需求分析：

(1)服务器可以接收任何客户连接.。

(2)服务器在同一时刻只与一个客户通信，直到该客户退出才可以接收下一个客户。

(3)客户端程序使用参数输入服务器地址进行连接，随后接收服务器信息。 (4)服务器端以客户端IP地址向请求的客户发送信息，发送正确则显示发送字节数。

所以该程序包含两个独立程序的开发：客户端和服务器端，且服务器端是单客户循环服务器模式。

2、编写服务器的程序：包括编写启动服务器、处理客户连接、与客户端通信等代码。（附上核心代码）

3、客户端的程序：主要包括连接到服务器以及与服务器通信过程。（附上核心代码）

4、编译执行程序。

5 进行功能测试，记录测试步骤