实验4 端口镜像与协议分析
一、实验要求
●理解端口镜像功能;
●掌握端口镜像的配置方法;
●掌握Sniffer网络协议分析仪的基本使用方法。
二、实验说明
端口镜像(Port Mirroring)是在交换机上,通过将一个或多个源端口的数据流量转发到某一个指定端口来实现对网络的监听镜像的功能,以对被监控流量进行故障定位、流量分析、流量备份等。镜像目标端口(监控端口)一般直接与监控主机(安装有Sniffer等分析软件)相连。
端口镜像监视到进出网络的所有数据包,供安装了监控软件的管理服务器抓取数据,如网吧需提供此功能把数据发往公安部门审查。而企业出于信息安全、保护公司机密的需要,也需要网络中有一个端口能提供这种实时监控功能。在企业中用端口镜像功能,可以很好地对企业内部的网络数据进行监控管理,在网络出现故障的时候,可以很好地做到故障定位。
本实验通过讲解端口镜像的配置方法,并利用telnet远程登录使用TCP的三次握手机制,来进一步讲述了Sniffer网络协议分析仪的基本使用方法。
通过本实验的学习,使读者在后面的学习中能更深层次地分析网络数据的传递过程。
三、实验拓扑
实验拓扑如图4-1所示。
图4-1 端口镜像与协议分析实验拓扑
四、实验过程
1.R1的配置过程
2.R2的配置过程
3.SW的配置过程
4.在VPC(虚拟PC)上的配置
5.在XPC(本机)上的设置
在本机上的设置如图4-2所示。
图4-2 本机上的设置
在图4-2中,是对环回网卡配置IP地址,一般可配置在与R1、R2相连接口的同一网段,但是,也可以配置在其他网段,甚至让其白动获取IP地址也可以实现数据的捕获。
6.在本机上启动Sniffer
启动Sniffer后,出现选择与Sniffer绑定的网卡的窗口,如图4-3所示。
图4-3 选择与Sniffer绑定的网卡
在图4-3中,选择“Microsoft Loopback Adapter”环回网卡(第一次启动Sniffer时,一般还会有本机的物理网卡),然后单击“确定”按钮,即进入图4-4所示界面。
图4-4 开始捕获数据
如果Sniffer在安装过程中设置不当,可能单击“确定”按钮后不能正常进入图4-4所示界面,这时可以按图4-5所示的方式操作。
图4-5 勾选Log Off
勾选“Log Off”选项后,单击“确定”按钮,可以进入图4-6所示界面,然后单击“File”文件菜单下的“Log On”命令登录。
图4-6 选择Log On
在图4-6中,单击“Log On”后也可进入图4-4所示界面(正常情况下不需要图4-5和图4-6所示的操作过程)。
此时,我们到路由器R1上对R2进行远程登录。
然后,按图4-7所示,停止捕获。
图4-7 停止捕获
在停止捕获后,出现图4-8所示界面,单击“Decode”按钮。
图4-8 单击“Decode”按钮
在单击“Decode”按钮后,可以对捕获的代码进行查看分析。在此先看一下telnet建立TCP连接时“三次握手”的过程示意图,如图4-9所示。
图4-9 TCP的“三次握手”
在图4-9中,提供的是TCP建立时的三次握手过程中SYN和ACK的参数值,这是大多数参考资料都可以看到的,在此可以通过Sniffer来分析和证实这些参数值,以及TCP的三次握手的具体过程。
TCP的三次握手过程如图4-10~图4-12所示。
在图4-12中第三次握手没有注释,可参照前两次握手白行分析。
除了图4-10~图4-12中所标识的内容外,还可以从Sniffer中看到更多关于网络协议的相关信息,例如在TCP段中,包括源端口、目标端口、序列号等信息,通过Sniffer协议分析,可以充分证实很多资料以文字方式所述的理论知识。
图4-10 TCP的第一次握手
图4-11 TCP的第二次握手
图4-12 TCP的第三次握手
然后,继续查看远程登录后面的操作,如图4-13和图4-14所示。
图4-13 远程登录过程一
图4-14 远程登录过程二
在图4-14中显示的是在R1上输入的命令和R1应答所收到的命令字符序列。
在虚拟PC上ping R2:
同样,镜像到本机后,通过Sniffer分析其ping的过程,如图4-15所示。
图4-15 虚拟PC上ping R2
关于Sniffer的简单应用,就分析到此,读者可以通过Sniffer软件,去分析所有的网络协议的工作过程,凡是你所知道的,都可以用本实验类似的方式进行分析,从而加深对网络协议工作过程的本质的理解。
下面简单证实一下为什么在DynamipsGUI中的虚拟PC不能完成某些实验,这里以telnet为例:
可见虚拟PC的功能非常有限,可通过将PC桥接到DynamipsGUI上以提供更多、更强大的功能。
清空交换机的端口镜像:
SW(config)#no monitor session 1