Sniffer工具在计算机网络教学中应用探究.docVIP

Sniffer工具在计算机网络教学中应用探究【摘要】以应用Sniffer工具为实践方法，在计算机网络课程的教学中，理论与实际结合，解决实际存在的网络问题，既巩固知识，也培养兴趣，最终能够培养学生的自我学习能力和实践能力。 【关键字】Sniffer工具；计算机网络教学；自我学习能力；实践能力 中图分类号：G623.58 在传统教学模式中，计算机网络课程偏向于静态的教学方法，尤其对于各种网络协议的学习，教师在讲台上讲，学生在座位上听；至多再加入一些练习和考试。然而计算机学科是一门实践的学科，在如此发达的网络时代，这种传统的教学方法显得有一些单调，不能激发学生的学习兴趣，也难以产生良好的学习效果；我们需要能够在不增加教学成本的前提下，不断尝试不同的教学方法，通过实践来让网络课程的教学焕发活力。 Sniffer工具是用来抓取网络数据包的一类软件，通过将本机网卡为混杂模式，使其可以抓取所有流经本机网卡的数据包（本文对于Sniffer工具抓取的信息统称数据包），其捕获的数据包中包含了各层网络协议的报头与数据信息，可以为教学提供现实意义的参考。我们选取Sniffer Pro作为Sniffer工具，以获得各层协议在现实环境中的应用情况。 一、TCP协议分析 TCP/IP协议簇是事实上的网络协议通讯标准，TCP协议的学习重点包括连接的建立与终止、流量控制与拥塞控制。传统教学中，TCP的Socket编程是TCP协议的一个重要的实验，该实验使用高级编程语言提供的网络接口，完成TCP的相关活动；通过构建服务器端和客户端的TCP通讯，了解TCP的运行原理。结合使用Sniffer工具，会起到一个更好的效果。 TCP协议的连接是通过三次握手来进行的，以SYN标志位发起连接，SEQ为数据包（Segment）的序列号，ACK为确认序号，TCP通过SEQ与ACK的对应关系来确保数据包是否传送成功。 上图是截取的一个FTP连接建立的过程，主机A为（客户机），主机B为TIANFU-AF7C424A（服务器）；截图只显示了摘要信息，在抓取数据包后，可以清晰的看到这台主机是如何与FTP服务器建立连接的： 1） 序号为1的数据包，首先主机在自己的端口52807上发起一个到服务器TIANFU-AF7C424A的21端口的TCP连接请求（SYN标记位），我们知道，21端口是一个Well-Known port，可以预测这是一个FTP连接；此时的SEQ为3367193685 2） 序号为2的数据包，服务器TIANFU-AF7C424A从自己的21端口给出了对于数据包1的回复，目的端口是的52807；2号数据包同样含有一个SYN标记位，所不同的是，它有了一个ACK的确认，其值为3367193686，刚好是1号数据包的SEQ+1；此时，其SEQ的值为1611317685 3） 序号为3的数据包，TCP连接需要3次握手才能成功，主机在收到服务器的确认包后，将2号数据包的SEQ+1作为自己的ACK发给服务器，其值为1611317686。到此为止，TCP连接建立完毕。 我们还可以通过观察数据包的头部结构来进行更深入的对比学习；使教学、编程与抓包分析相结合，学生在TCP协议的学习上一定会得到更多的收获。 二、ARP命令中IP地址与MAC地址的绑定分析 ARP协议的主要功能是负责将IP地址解析成MAC地址，从而为链路层的寻址提供支持。ARP攻击是常见的局域网攻击，也是在高校宿舍网中经常发生的攻击之一，常会导致大面积断网，乃至于局域网的瘫痪。 将主机的IP与MAC地址绑定是解决ARP攻击的最简单且有效的方法，通过实验，我们不但要解决ARP攻击问题，也要能够了解ARP攻击原理；激发学生的学习兴趣。 1. 使用ipconfig命令取得网关地址 得到网关的IP地址为2，下一步我们将会把一个错误的MAC地址绑定到这个IP地址上，并观察结果 2. 绑定错误的网关MAC地址，测试并监控网络 a） 绑定IP与错误MAC地址 先查看本地ARP缓存，得到正确的MAC地址：38-22-d6-e0-3f-04 将IP地址2绑定到错误的MAC地址：38-22-d6-e0-3f-77，完成绑定后的，再次查看ARP缓存，发现网关IP 2已经绑定到了错误的物理地址，且类型为静态。 b） Ping网关IP，使用Sniffer Pro获取ping数据 可以截取到的ICMP的包仅有从本机发出的包，而没有回应，数量为4；这正是ping命令默认发出的4个数据包，且都以超时结束；观察数据包的详细情况，可以发现在链路层上，使用了错误的目的地址38-22-d6-e0-3f-77，如果遭遇ARP攻击，就会出现类似的情况。 c） 使用浏览器上网，通过Sniffer Pro获取相关数据 上图中，可以观察到本机一直在像DNS服务器请求同一网站的各种