网络侦听工具Sniffer Pro的功能模块包括 【18】 、 【19】 、数据包分析和数据包生成等功能。Sniffer Pro的 【20】 收集一段时间内的各种网络流量信息，通过这些信息可以建立网络运行状态的基线、设置网络异常的报警阈值。

正确答案：64.2
64.2 解析：由图2-6 Detail(细节)窗格中“IP：Destination Address=[202.113.64.31，dns.tjut.edu.cn”可知，主机域名dns.tjut.edu.cn所对应的IP地址为202.113.64.3。图2-6解码(Decode)模块的[No.]列中标号为1”的那行报文，“Source Address(源IP地址)”为dns.tjut.edu.cn主机的IP地址为202.113.64-3。图2-6的[Source Address]和[DestAddress]列中共出现了202.113.64.3(即dns.tjut.edu.cn)、61.49.23.103等10个IP地址。假设这10个IP地址分别分配给10台主机，且均使用标准的子网掩码。其中，202.113.64.2、202.113.64.3、202.113.64.4这3个C类IP地址的网络号相同，即网络号均为202.113.64.0。由此可初步判断这3个IP地址所对应的3台主机可能处在同一个逻辑网段中。地址219.133.40.202也是一个C类IP地址，其他6个IP地址均是A类IP地址。经过计算，这7个IP地址所对应的主机相互独立，分散在不同逻辑网段中。可进一步判断这7个IP地址所对应的主机可能处于Internet中，那么网络号均为202.113.64.0的3台主机则处于该园区网中(如防火墙的DMZ区)。根据数据包源IP地址、目的IP地址信息及其对应数据传输方向，结合图2-6所给出的其他信息，可以画出如图2-9所示的网络拓扑结构示意图。图2-9中序号①～⑩对应于图2-6中[No.]列中“1”至“16”。图2-9中未示意出IP地址为219.133.40.202和121.21.241.47的主机。

(1)通常，Web服务器使用超文本传输协议(HTTP)为客户端提供网页信息浏览服务。在图2-6中与HTTP相关的信息标号为“5”、“7”、“13”、“17”行。这4行总共涉及到202.113.64.2、117.88.130.81和121.21.241.47三个IP地址，且有共同特点：均以地址202.113.64.2作为数据包的源IP地址。其中，标号为“5”行[Summary]列中“HTTP：R Port=1753 1440 bytes ofdata”表示：该行[SourceAddress]列中“202.113.64.2”的主机给该行[DestAddress]列中“117.88.130.81”主机的1753端口响应(Response)了1440字节的数据。同理可得出其他行的信息解释分别是：IP地址为202.113.64.2的主机给地址为117.88.130.81主机的1749端口、1757端口分别响应了1440字节的数据，IP地址为202.113.64.2的主机给地址为121.21.241.47主机的1308端口响应了1440字节的数据。由此可知，该园区网Web服务器的IP地址是202.113.64.2。由标号为“6”、“8”、“16”行[Summary]列中共同的信息“TCP：D=80”可知，该园区网Web服务器对外开放的服务端口是80。
(2)在图2-6中与主机59.50.174.113相关的行号为“14”。由该行[Summary]列中的信息“SMTP：R Port=3405 221 close connection”可知，源IP地址为202.113.64.4的主机向目的地址为59.50.174.113的主机发出了关闭SMTP(电子邮件传输协议)传输连接。其中，“221”为SMTP会话结束的应答码。
在图2-6中与地址202.113.64.4相关的行号有“2”和“3”。由行号为“2”的[Summary]列中信息“SMTP：C PORT=20289 TextData”可知，主机121.5.5.21通过20289端口号向主机202.113.64.4发出数据连接(Connect)的请求。由行号为“3”的[Summary]列中信息“TCP：D=20289 S=25 ACK=4118528534 WIN=31636”可知，主机202.113.64.4通过TCP 25端口号向主机121.5.5.21的20289端口号作出响应(ACK=4118528534)。由此可以判断，主机202.113.64.4是该园区网的E-mail服务器。
通常，电子邮件(E-mail)系统使用客户端/服务器(C/S)的工作方式。E-mail服务器通过对外开放TCP 25端口号被动地等待客户端的请求服务。在一次完整的E-mail通信过程中，共有两种场景使用到SMTP这一协议。场景一：客户端软件使用SMTP将邮件传递到发送方的邮件服务器；场景二：发送方邮件服务器使用SMTP将邮件发送到接收方的邮件服务器。另外，接收方客户端软件使用POP3/IMAP4从邮件服务器读取邮件。在本案例中，主机202.113.64.4是该园区网的E-mail服务器，对于场景一，主机59.50.174.113是一台请求提供电子邮件服务的客户端；对于场景二，主机59.50.174.113是一台电子邮件服务器(或SMTP服务器，或E-mail服务器)。
在图2-6中与主机61.49.23.103相关的行号有“1”和“4”。由行号为“1”的[Summary]列中信息“DNS：C ID=31512 P=QUERY NAME=update.uitv.com”可知，主机202.113.64.3向主机61.49.23.103发出“查询(QUERY)域名update.uitv.com所对应IP地址”的连接(Connect)的请求。由行号为“1”的[Summary]列中信息“DNS：R ID=31512 P=QUERY STAT=OK NAME=update.uitv.com可知，主机61.49.23.103向主机202.113.64.3响应“域名update.uitv.com查询解析成功(STAT=OK)”的信息。由此可知，主机61.49.23.103是一台转发域名服务器。
(3)在图2-6中共出现dns.tjut.edu.cn、update.uitv.corn、lib.tjut.edu.cn、isdIMG nClick=over(this) title=放大2.qq.corn 4个域名。其中，域名dns.tjut.edu.cn是该园区网DNS服务器(202.113.64-3)的主机域名。由于域名update.uitv.com是该园区网DNS服务器(202.113.64.3)向主机61.49.23.103转发的域名，因此可判断该域名与该园区网的域名无关。同理，域名isdIMG nClick=over(this) title=放大2.qq.com是该园区网DNS服务器(202.113.64.3)向主机219.133.40.202转发的域名，由此也可判断该域名与该园区网的域名无关。域名lib.tjut.edu.cn是处于Internet中主机61.138.129.156向该园区网DNS服务器(202.113.64.3)查询的域名，它是该园区网某台服务器(如图书馆)的主机域名。结合域名解析的树状逻辑层次结构的概念可知，该园区网的域名是tjut.edu.cn。

正确答案：B
解析：本题考查的是sniffer的相关知识点。嗅探器(sniffer)是能够捕获网络报文的设备，可以理解为一个安装在计算机上的窃听设备，它可以用来窃听计算机在网络上所产生的众多的信息。在内部网上，黑客要想迅速获得大量的账号(包括用户名和密码)，最为有效的手段是使用sniffer程序。这种方法要求运行 Sniffer程序的主机和被监听的主机必须在同一个以太网段上，故而在外部主机上运行sniffer是没有效果的。再者，必须以root的身份使用 sniffer程序，才能够监听到以太网段上的数据流。以太网snjffing是指对以太网设备上传送的数据包进行侦听，发现感兴趣的包。如果发现符合条件的包，就把它存到log文件中去。通常设置的条件是包含usemame或password的包。以太网sniffing将网卡设置为混杂模式，该模式是指网络上的所有设备都对总线上传送的数据进行侦听，并不仅仅是它们自己的数据。sniffer通常运行在路由器，或有路由器功能的主机上。sniffer属第二层次的攻击。通常是攻击者已经进入了目标系统，然后使用sniffer这种攻击手段，以便得到更多的信息。

正确答案：
ping www.bupt.edu.cn
从报文段中可以看出，本题中的报文段是通过ICMP协议传输出错报告控制信息，所以本题中执行的命令一定为“ping”命令；由于在刚开始的时候进行了域名解析，说明“ping”后面的地址是以域名的形式写的，从报文端可以看出，该域名为www.bupt.edu.cn。所以在题目中使用的命令为ping www.bupt.edu.cn。

正确答案：B
解析：Sniffer是通过把网卡的工作模式设置成混杂工作模式，把所有经过网卡数据都接收下来，再进行分析，它可以是软件，也可以是硬件，硬件的Sniffer常常被称为网络分析仪。利用Sniffer可以进行报文捕获和分析，也可以进行网络监视。Sniffer既可以作为网络故障的诊断工具，也可以作为黑客嗅探和监听的工具，但不能用于防止黑客攻击网络。