实验一sniffer抓包工具的应用

sniffer 实验报告Sniffer实验报告引言：在当今数字化时代，网络安全问题备受关注。

Sniffer作为一种网络安全工具，被广泛应用于网络流量监测、数据包分析和安全漏洞发现等领域。

本报告旨在介绍Sniffer的原理、应用以及实验结果，并探讨其在网络安全中的重要性。

一、Sniffer的原理与工作方式Sniffer是一种网络数据包嗅探器，它能够截获经过网络的数据包，并对其进行分析和解码。

其工作原理主要包括以下几个步骤：1. 网络接口监听：Sniffer通过监听网络接口，获取经过该接口的数据包。

这可以通过底层网络协议（如以太网、无线网络等）提供的API实现。

2. 数据包截获：一旦Sniffer监听到网络接口上的数据包，它会将其截获并保存在内存或磁盘中，以便后续分析。

3. 数据包解析：Sniffer对截获的数据包进行解析，提取其中的关键信息，如源IP地址、目标IP地址、协议类型、端口号等。

这些信息可以帮助分析人员了解网络流量的来源、目的和内容。

4. 数据包分析：通过对解析得到的数据包进行深入分析，Sniffer可以检测网络中的异常行为、安全漏洞以及潜在的攻击。

二、Sniffer的应用领域Sniffer作为一种功能强大的网络安全工具，在各个领域都有广泛的应用。

以下是几个典型的应用场景：1. 网络管理与监控：Sniffer可以用于监测网络流量，分析网络性能和带宽利用情况。

通过对数据包的分析，可以及时发现网络故障和异常，提高网络管理的效率。

2. 安全漏洞发现：Sniffer可以检测网络中的异常流量和未经授权的访问行为，帮助发现系统的安全漏洞。

它可以捕获潜在的攻击数据包，并通过分析判断是否存在安全威胁。

3. 网络流量分析：Sniffer可以对网络流量进行深入分析，了解用户的行为习惯、访问偏好以及网络应用的使用情况。

这对于网络服务提供商和广告商来说，有助于优化服务和精准投放广告。

4. 数据包调试与故障排查：在网络通信过程中，数据包传输可能会出现错误或丢失。

实验2 wireshark或sniffer抓包软件使用实本次实验使用wireshark抓包软件。

开启的应用程序有：IE，QQ, QQ音乐。

过滤的UDP 的报文。

结果：抓取的报文：14 2.915765000 tencent_private DFAUT QQMusicExternal.exe 222.18.168.170119.177.224.41 UDP 121 Source port: http Destination port: hosts2-ns即第14号报文，时间为2.915765000，应用程序名称：tencent_private，应用哈希：DFAUT, 应用程序模块：QQMusicExternal.exe，源地址：222.18.168.170，目标地址：119.177.224.41，协议：UDP，包长度：121，信息：源端口：http；目的端口：hosts2-ns。

结果说明：链路层：以太网；网络层：IP协议；传输层：UDP；应用层：qq的私有协议。

详细情况：展开后的情况：（由于此段最后一项过长不好截图，故将其复制过来了）Frame 14: 121 bytes on wire (968 bits), 121 bytes captured (968 bits) on interface 0Interface id: 0Encapsulation type: Ethernet (1)Arrival Time: Dec 3, 2013 11:15:50.371006000 中国标准时间Time shift for this packet: 0.000000000 secondsEpoch Time: 1386040550.371006000 secondsTime delta from previous captured frame: 0.010828000 secondsTime delta from previous displayed frame: 0.010828000 secondsTime since reference or first frame: 2.915765000 secondsFrame Number: 14Frame Length: 121 bytes (968 bits)Capture Length: 121 bytes (968 bits)Frame is marked: FalseFrame is ignored: FalseProtocols in frame: eth:ai:ip:udp:dataColoring Rule Name: Checksum ErrorsColoring Rule String: eth.fcs_bad==1 || ip.checksum_bad==1 || tcp.checksum_bad==1 || udp.checksum_bad==1 || sctp.checksum_bad==1 || mstp.checksum_bad==1 || cdp.checksum_bad==1 || edp.checksum_bad==1 || wlan.fcs_bad==1画面14：121字节线（968位），121个字节（968位）捕获接口0接口编号：0封装类型：以太网（1）到达时间：2013年12月3日50.371006000中国标准时间11:15:这个包的时间变化：0秒时间：1386040550.371006000秒以前捕获的帧时间三角：0.010828000秒从以前的显示帧时间三角洲：0.010828000秒由于参考或第一帧的时间：2.915765000秒帧号：14帧长度：121字节（968位）捕获长度：121字节（968位）帧标记：假框架是忽视：假协议的框架：ETH：AI：IP UDP数据：：着色规则名称：校验和错误着色规则字符串：ETH。

实训一、网络诊断工具Sniffer的使用一、Sniffer工具介绍概述Sniffer软件是NAI公司推出的功能强大的协议分析软件。

本文针对用SnifferPro网络分析器进行故障解决。

利用Sniffer Pro 网络分析器的强大功能和特征，解决网络问题，将介绍一套合理的故障解决方法。

与Netxray比较，Sniffer支持的协议更丰富，例如PPPOE协议等在Netxray并不支持，在Sniffer上能够进行快速解码分析。

Netxray不能在Windows 2000和Windows XP上正常运行，Sniffer Pro 4.6可以运行在各种Windows平台上。

Sniffer软件比较大，运行时需要的计算机内存比较大，否则运行比较慢，这也是它与Netxray相比的一个缺点。

功能简介下面列出了Sniffer软件的一些功能介绍，其功能的详细介绍可以参考Sniffer的在线帮助。

捕获网络流量进行详细分析利用专家分析系统诊断问题实时监控网络活动收集网络利用率和错误等在进行流量捕获之前首先选择网络适配器，确定从计算机的哪个网络适配器上接收数据。

位置：File->select settings选择网络适配器后才能正常工作。

该软件安装在Windows 98操作系统上，Sniffer可以选择拨号适配器对窄带拨号进行操作。

如果安装了EnterNet500等PPPOE软件还可以选择虚拟出的PPPOE 网卡。

对于安装在Windows 2000/XP上则无上述功能，这和操作系统有关。

本文将对报文的捕获几网络性能监视等功能进行详细的介绍。

下图为在软件中快捷键的位置。

捕获面板报文捕获功能可以在报文捕获面板中进行完成，如下是捕获面板的功能图：图中显示的是处于开始状态的面板捕获过程报文统计在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。

捕获报文查看Sniffer 软件提供了强大的分析能力和解码功能。

如下图所示，对于捕获的报文提供了一个Expert 专家分析系统进行分析，还有解码选项及图形和表格的统计信息。

Sniffer嗅探、抓包实验实验目的通过实验，掌握常用嗅探工具的安装与使用方法，理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构，了解FTP、HTTP等协议明文传输的特性，建立安全意识，防止此类协议传输明文造成的泄密。

建议实验工具Sniffer Pro、FsSniffer或SQLServerSniffer等、至少两台安装了Windows 2000或XP的PC机，其中一台安装Sniffer软件，两台PC机互联。

实验用时3学时（约120分钟）实验原理Sniffer即网络嗅探器，用于监听网络中的数据包，分析网络性能和故障，主要用于网络管理和维护，通过它，可以诊断处通过常规工具难以解决的疑难问题，包括计算机之间的异常通信，不同网络协议的通信流量，每个数据包的源地址和目的地址等，可以提供非常详细的信息。

实验步骤：1、首先安装Sniffer软件。

安装过程有关图片如下：如果此过程速度比较缓慢，一般与电脑速度较慢有关。

安装完成后重新启动计算机。

注意：需要重新启动才可以使用sniffer。

2、启动Sniffer。

可以看到它的界面如下：包括工具栏、网络监视面板、多种视图等，其中，Dashboard可以监控网络的利用率、流量、及错误报文等内容，从Host table可以直观的看出连接的主机，用其IP显示。

3、获取被监视方机器的IP，假设A机监视B机的活动，A应知道B机的IP 地址，在实验环境下，操作B机的同学可以输入Ipconfig命令查询自己的IP 地址，并告之操作A机的同学。

4、选中Monitor菜单下的Matirx或直接点击网络性能监视快捷键，可以看到网络中的Traffic Map视图，单击左下角的MAC地址，IP地址或IPX使视图显示相应主机的MAC地址、IP地址或IPX地址，每条线表示两台机器之间的通信连接。

5、单击Capture--Define Filter—Advanced，选中IP—TCP—FTP，然后单击OK。

教师：
4. Matrix矩阵的应用
点击图Matrix图标，出现全网的连接示意图，图中绿线表
示正在发生的网络连接绿色线表示过去发生的连接。

将鼠
标放到线上可以看出连接情况。

很多人用他来发现病毒，
其实用他来评估网络状况和异常流量，是一个很好用的工
具。

如要查看哪那一台主机的连接数最多，鼠标右键在弹
出的菜单中可选择放大（zoom）此图。

找到对外连接最多
的机器，选中后，按鼠标右键，选show select nodes，就可
以查看特定的点对多点的网络连接。

6.抓某台机器的所有数据包
6.1抓取192.168.0.46这台机器的所有数据包。

如下图选择这台机器。

点击左侧捕获图标望远镜图标变红时，表示已捕捉到数据
五、实验数据及结果分析：
1、数据报文分层
如下表所示为网络结构中的四层协议，不同层次完成不同的功能，每一层都有众多协议组成。

应用层---------------Telnet、Ftp和Email等
传输层---------------TCP 和UDP
2、以太报文结构
如下表所示为Ethernet帧结构
DMAC SMAC TYPE DATA/PAD
这种类型报文结构为：目的MAC地址（６bytes）+源MAC地址（６bytes）＋上层协议类型（2bytes）+数据字段（
于是，如图所示，解码表中分别显示各字段内容，若要查看MAC详细内容，鼠标点击上面解码框中地址，在下面的表格中回以黑色突出显示对应的１６进制编码。

实验二、Sniffer的使用一、实验目的：Sniffer是一个完善的网络监听工具。

使用Sniffer的目的是截获通信的内容，同时能对数据包的内容进行协议分析，使同学们加深对IP协议、TCP协议、UDP协议和ICMP协议的认识。

二、实验环境与设备：安装有vmware和sniffer软件的计算机。

三、实验考核：按照实验手册的步骤，通过截图的方式完成实验报告。

四、实验步骤：1、设置Sniffer1．在抓包过滤器窗口中，选择Address选项卡。

2．窗口中需要修改两个地方：在Address下拉列表中，选择抓包的类型是IP，在Station1下面输入主机的IP地址；在与之对应的Station2下面输入虚拟机的IP地址.3．设置完毕后，点击该窗口的Advanced选项卡，拖动滚动条找到IP项，将IP和ICMP选中。

4．向下拖动滚动条，将TCP和UDP选中，再把TCP下面的FTP和Telnet两个选项选中。

5．这样Sniffer的抓包过滤器就设置完毕了，后面的实验也采用这样的设置。

选择菜单栏Capture下Start菜单项，启动抓包以后，在主机的DOS窗口中Ping虚拟机。

6.等Ping指令执行完毕后，点击工具栏上的停止并分析按钮。

7. 在出现的窗口选择Decode选项卡，可以看到数据包在两台计算机间的传递过程。

2、抓取Ping指令发送的数据包1．Sniffer的设置抓取Ping指令发送的数据包，命令执行如图所示。

2. 其实IP报头的所有属性都在报头中显示出来，可以看出实际抓取的数据报和理论上的数据报一致。

3、抓取TCP数据包1．启动Sniffer，然后在主机的DOS命令行下利用FTP指令连接目标主机上的FTP服务器，连接过程如图所示。

2．登录FTP的过程是一次典型的TCP连接，因为FTP服务使用的是TCP协议。

分析TCP报头的结构：3. TCP协议的三次“握手”在FTP的会话过程中也明显的显示出来。

4 .首先分析建立“握手”第一个过程包的结构5. SYN为1，开始建立请求连接，需要对方计算机确认6. 对方计算机确认返回的数据包如图所示。

Sniffer抓包试验试验目的：1、练习Sniffer抓包工具的使用2、使用Sniffer抓包工具学习TCP/IP协议试验拓扑：Sniffer工作站（物理机）FTP服务器（虚拟机）注意：首先要规划好工作站和服务器的IP。

确保工作站和服务器之间的网络连通性步骤一：先搭建（在Windows2003虚拟机中）安装FTP服务器组件1、在虚拟机上挂载Windows2003系统光盘注意：双击打开光盘2、启动虚拟机后，在运行输入“appwiz.cpl”。

（该命令可以直接打开“添加删除程序对话框”）3、选中“添加/删除Windows组件”4、选中“应用程序服务器”，再打开“详细信息”5、如下操作。

打开“详细信息”6、选中如下组件，点击确定FTP服务器组件安装完成！步骤二：搭建FTP服务器1、在虚拟机的E盘建立文件夹“资料”，并在该文件夹下建立文件“FTP”（测试使用）2、打开“IIS管理器”3、右击打开“属性”4、设置FTP服务器的IP（IP为自己服务器的IP哦）4、设置FTP服务器的主目录（使用刚才建立的目录“资料”）5、取消“允许匿名连接”5、建立本地账号(使用学员的名字定义)。

用来访问FTP服务器6、测试FTP服务器测试成功！！步骤2：设置抓包策略1、打开工作站上的Sniffer抓包工具3、定义要抓包的IP地址对下面的“位置1”“位置2”一定要设置自己所使用的客户端和服务端得IP哦4、定义要抓取的数据包的类型：IP----TCP------FTP5、单击开始按钮，开始抓包6、停止并显示抓包容第一次握手：第二次握手：第三次握手：至此，三次握手结束，开始传输数据！TCP断开需要四次握手：呵呵！如果你的眼睛是贼亮的话，还能抓到登录用户的用户名和密码。

sniffer实验报告实验报告：Sniffer实验引言：Sniffer是一种网络工具，用于捕获和分析网络数据包。

它可以帮助我们了解网络通信的细节，并帮助网络管理员识别和解决网络问题。

本实验旨在介绍Sniffer的原理和应用，以及通过实际操作来深入了解其功能和效果。

一、Sniffer的原理和工作机制Sniffer工作在网络的数据链路层，通过监听网络上的数据包来获取信息。

它可以在网络中的一个节点上运行，或者通过集线器、交换机等设备进行监测。

Sniffer通过网卡接口，将数据包拷贝到自己的缓冲区中，然后进行解析和分析。

二、Sniffer的应用领域1. 网络故障排查：Sniffer可以帮助管理员快速定位网络故障的原因，通过捕获数据包并分析其中的错误信息，找到导致网络中断或延迟的问题源。

2. 安全监测：Sniffer可以用于检测网络中的恶意行为，如入侵、数据泄露等。

通过分析数据包的内容和流量模式，管理员可以发现异常活动并采取相应措施。

3. 性能优化：Sniffer可以监测网络的吞吐量、延迟等性能指标，帮助管理员优化网络结构和配置，提高网络的传输效率和响应速度。

4. 协议分析：Sniffer可以解析各种网络协议，包括TCP/IP、HTTP、FTP等，帮助管理员了解网络通信的细节和流程，从而更好地管理和优化网络。

三、实验步骤与结果1. 硬件准备：连接电脑和网络设备，确保网络正常运行。

2. 软件安装：下载并安装Sniffer软件，如Wireshark等。

3. 打开Sniffer软件：选择合适的网卡接口，开始捕获数据包。

4. 分析数据包：通过过滤器设置，选择需要分析的数据包类型，如HTTP请求、FTP传输等。

5. 结果分析：根据捕获的数据包，分析网络通信的细节和问题，并记录相关信息。

6. 故障排查与优化：根据分析结果，定位网络故障的原因，并采取相应措施进行修复和优化。

实验结果显示，Sniffer软件成功捕获了网络中的数据包，并能够准确地分析其中的内容和流量模式。

sniffer实验报告Sniffer实验报告引言：在现代信息技术高度发达的时代，网络安全问题日益突出。

为了保护个人隐私和网络安全，网络管理员和安全专家需要不断寻找新的方法和工具来监测和防止网络攻击。

Sniffer（嗅探器）作为一种常见的网络安全工具，可以帮助我们分析网络流量并检测潜在的威胁。

本实验旨在了解Sniffer的工作原理和应用，并通过实际操作来验证其有效性。

一、Sniffer的工作原理Sniffer是一种网络数据包分析工具，其基本原理是通过监听网络接口，捕获经过该接口的数据包，并对其进行解析和分析。

Sniffer可以在本地网络或互联网上的任何位置运行，以便监测和分析网络流量。

它可以截取各种类型的数据包，包括TCP、UDP、ICMP等，并提取其中的关键信息，如源IP地址、目标IP地址、端口号等。

二、Sniffer的应用场景1. 网络安全监测：Sniffer可以帮助网络管理员及时发现和分析潜在的网络攻击，如端口扫描、DDoS攻击等。

通过监测网络流量，Sniffer可以检测到异常的数据包，并对其进行分析，提供有关攻击者的信息和攻击方式的线索。

2. 网络故障排查：当网络出现故障时，Sniffer可以帮助我们快速定位问题所在。

通过捕获和分析数据包，我们可以了解网络中的通信情况，查找网络设备的故障点，并进行相应的修复。

3. 网络性能优化：Sniffer可以帮助我们监测和分析网络的性能瓶颈，并提供优化建议。

通过分析网络流量和延迟情况，我们可以找到网络中的瓶颈节点，并采取相应的措施来提高网络的性能和稳定性。

三、实验过程和结果为了验证Sniffer的有效性，我们在实验室环境中搭建了一个小型网络，并使用Sniffer来捕获和分析数据包。

实验中，我们使用了Wireshark作为Sniffer工具，并连接了一台电脑和一个路由器。

首先，我们启动Wireshark，并选择要监听的网络接口。

然后，我们开始捕获数据包，并进行一段时间的网络活动，包括浏览网页、发送电子邮件等。

欢迎阅读实训一、网络诊断工具Sniffer的使用一、Sniffer工具介绍概述Sniffer软件是NAI公司推出的功能强大的协议分析软件。

本文针对用Sniffer Pro网络分析器进行故障解决。

利用Sniffer Pro 网络分析器的强大功能和特征，解决网络问题，将介绍一套合理的故障解决方法。

与Netxray比较，Sniffer支持的协议更丰富，例如PPPOE协议等在Netxray并不支持，在Sniffer上能够进行快速解码分析。

Netxray不能在Windows 2000和Windows XP上正常运行，SnifferNetxray专家分分析系统提供了一个只能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。

在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。

对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因。

解码分析下图是对捕获报文进行解码的显示，通常分为三部分，目前大部分此类软件结构都采用这种结构显示。

对于解码主要要求分析人员对协议比较熟悉，这样才能看懂解析出来的报文。

使用该软件是很简单的事情，要能够利用软件解码分析来解决问题关键是要对各种层次的协议欢迎阅读了解的比较透彻。

工具软件只是提供一个辅助的手段。

因涉及的内容太多，这里不对协议进行过多讲解，请参阅其他相关资料。

对于MAC地址，Snffier软件进行了头部的替换，如00e0fc开头的就替换成Huawei，这样有利于了解网络上各种相关设备的制造厂商信息。

功能是按照过滤器设置的过滤规则进行数据的捕获或显示。

在菜单上的位置分别为Capture->Define Filter和Display->Define Filter。

过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。

ble sniffer抓包原理
【实用版】
目录
1.蓝牙嗅探器（ble sniffer）的概念与作用
2.蓝牙嗅探器的抓包原理
3.实际应用案例
正文
蓝牙嗅探器（ble sniffer）的概念与作用
蓝牙嗅探器（Ble Sniffer）是一种用于捕获蓝牙低功耗（BLE）设备之间通信的工具。

它可以监视并捕获两个蓝牙设备之间的数据传输过程，这对于开发者来说是非常有用的，因为它可以帮助我们分析蓝牙设备的通信过程，从而更好地理解其工作原理和改进通信效果。

蓝牙嗅探器的抓包原理
蓝牙嗅探器的抓包原理基于蓝牙低功耗（BLE）技术的特性。

BLE 技术是一种基于广播的技术，设备在发送数据时，会将数据包广播到周围的设备。

蓝牙嗅探器会捕获这些广播的数据包，并对其进行解析和分析。

具体的抓包过程可以分为以下几个步骤：
1.启动蓝牙嗅探器：首先，需要启动蓝牙嗅探器，使其进入捕获模式。

2.搜索附近的蓝牙设备：蓝牙嗅探器会自动搜索周围的蓝牙设备，并将其显示在设备的列表中。

3.选择要捕获的设备：用户可以根据需要，选择要捕获的设备，并开始捕获数据包。

4.捕获数据包：蓝牙嗅探器会捕获所选设备发送的所有数据包，并将其保存在本地。

5.解析和分析数据包：捕获到的数据包可以被解析和分析，以获取设备之间的通信信息。

实际应用案例
蓝牙嗅探器在实际应用中，可以用于许多场景，例如：
1.蓝牙设备开发：开发人员可以使用蓝牙嗅探器来监视和分析蓝牙设备的通信过程，以便更好地理解其工作原理和优化通信效果。

2.蓝牙设备测试：测试人员可以使用蓝牙嗅探器来测试蓝牙设备的通信效果，以便发现和解决通信问题。

实验一Sniffer网络嗅探器的使用
一、实验目的：
通过本实验，可以掌握一下技能：
（1）学会在windows环境下安装Sniffer；
（2）熟练掌握Sniffer的使用；
（3）要求能够熟练运用sniffer捕获报文，结合以太网的相关知识，分析一个自己捕获的以太网的帧结构。

二、实验环境及配置说明：
本实验采用一个已经连接并配置好的局域网环境。

任何两台PC机都能互相访问。

所有PC机上安装的都是Windows操作系统。

Sniffer程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太同卡)置为杂乱模式状态的工具，一旦同卡设置为这种模式，它就能接收传输在网络上的每一个信息包。

Sniffer 是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。

三、实验准备、原理及步骤
图1
五、实验要求
（1）捕捉Ping包
（2）捕捉自己的邮箱密码（3）查看TCP的三次握手过程。

使用Sniffer工具分析以太网帧和IP数据报一、实验目的通过使用Sniffer Pro软件掌握Sniffer(嗅探器)工具的使用方法，实现捕捉FTP、HTTP等协议的数据包，以理解TCP／IP协议中多种协议的数据结构。

二、实验原理Sniffer即网络嗅探器，用于监听网络中的数据包，分析网络性能和故障。

Sniffer 主要用于网络管理和网络维护，系统管理员通过Sniffer可以诊断出通过常规工具难以解决的网络疑难问题，包括计算机之间的异常通信、不同网络协议的通信流量、每个数据包的源地址和目的地址等，它将提供非常详细的信息。

通常每个网络接口都有一个互不相同的硬件地址(MAC地址)，同时，每个网段有一个在此网段中广播数据包的广播地址(代表所有的接口地址)。

一般情况下，一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，并由操作系统进一步进行处理，同时丢弃不是发给自己的数据帧。

通过Sniffer工具，可以将网络接口设置为“混杂”(promiscuous)模式。

在这种模式下，网络接口就处于一个对网络进行“监听”的状态，它可以监听此网络中传输的所有数据帧-而不管数据帧的目标地址是广播地址还是自己或者其它网络接口的地址了。

它将对遭遇的每一个数据帧产生硬件中断．交由操作系统对这个帧进行处理，比如截获这个数据帧，进而实现实时分析数据帧中包含的内容。

当然，如果一个数据帧没有发送到目标主机的网络接口，则目标主机将无法监听到该帧。

所以Sniffer所能监听到的信息将仅限于在同一个物理网络内传送的数据帧．就是说和监听的目标中间不能有路由(交换)或其它屏蔽广播包的设备。

因此。

当Sniffer 工作在由集线器(hub)构建的广播型局域网时，它可以监听到此物理网络内所有传送的数据；而对于由交换机(switch)和路由器(router)构建的网络中，由于这些网络设备只根据目标地址分发数据帧，所以在这种网络中，Sniffer工具就只能监测到目标地址是自己的数据帧再加上针对广播地址的数据帧了。

一、实验目的：练习sniffer工具的基本使用方法，用sniffer捕获报文并进行分析。

二、实验环境：通过集线器连接的多台PC，预装Windows 2000 Professional。

三、实验内容：
1、捕获数据包
（1）选择Monitor|Matrix命令，此时可看到网络中的Traffic Map 视图。

（2）选择Capture|Define Filter命令，然后在Advanced选项卡中选中IP，从而定义要捕捉的数据包类型。

（3）回到Traffic Map视图中，选中要捕捉的主机IP地址，然后单击鼠标右键，选择Capture命令，sniffer则开始捕捉指定IP地址的主机的数据包。

2、分析捕获的数据包
（1）从Capture Panel中看到捕获的数据包达到一定数量后，停止
捕捉，单击Stop and Display按钮，就可以停止捕获包。

（2）窗口中列出了捕捉到的数据，选中某一条数据后，下面分别
显示出相应的数据分析和原始的数据包。

单击窗口中的某一条数
据，可以看到下面相应的地方的背景变成灰色，表明这些数据与
之对应。

四、实验界面：
五、结论
sniffer软件是NAI公司推出的功能强大的协议分析软件。

Sniffer支持的协议丰富，解码分析速度快。

其中sniffer pro版可以运行在各种windows平台上。

Sniffer是一种常用的收集有用数据的方法，这些数据可以是用户的帐号和密码，还可以是一些商用机密数据等。

目录项目一Vmware虚拟机及sniffer抓包软件的使用项目二网络基本命令的使用项目三扫描和网络监听项目四后门与木马项目五操作系统安全配置方案项目六防火墙技术项目一Vmware虚拟机及sniffer抓包软件的使用一实验目的1、学会安装和使用vmware软件并能够熟练配置虚拟机。

2、学会使用sniffer软件抓取数据包。

二实验设备1、配置有vmware软件和sniffer软件的电脑多台。

2、局域网环境。

三实验学时4学时四实验内容1、安装vmware虚拟机。

2、配置vmware虚拟机。

1)在虚拟机中装操作系统，选择菜单栏“File”下的“New”菜单项，再选择子菜单“New Virtual Machine”。

2)有两种选择，选项“Typical”是典型安装，选项“Custom”是自定义安装，我们选择“Custom”安装方式。

点击按钮“下一步”。

3)进入选择操作系统界面，设置将来要安装的操作系统windows 2000 advanced sever. 点击按钮“下一步”.Used Bridged networking”，点击“下一步”。

Create a new virtual disk，点击下一步。

7）选择虚拟磁盘所要安装的目录，最后完成。

3、测试vmware虚拟机和局域网中其他电脑的连通性。

1）设置虚拟机的ip（与主机ip在同一网段）。

2）用ping命令测试虚拟机在局域网的连通性。

4、使用sniffer抓包1）进入Sniffer主界面，抓包之前必须首先设置要抓取数据包的类型。

选择主菜单Capture下的Define Filter菜单2）在Address下拉列表中，选择抓包的类型是IP。

3）点击该窗口的Advanced选项卡，拖动滚动条找到IP项，将IP 和ICMP选中。

4）主机的DOS窗口中Ping虚拟机，点击开始键，出现的窗口选择Decode选项卡，可以看到数据包在两台计算机间的传递过程。

五实验小结通过本次实验学生能够掌握vmware软件和sniffer软件的使用方法，为以后进一步学习打好基础。

实验报告填写时间：图1（2）捕获报文Sniffer软件提供了两种最基本的网络分析操作，即报文捕获和网络性能监视（如图2）。

在这里我们首先对报文的捕获加以分析，然后再去了解如何对网络性能进行监视。

图2捕获面板报文捕获可以在报文捕获面板中进行，如图2中蓝色标注区所示即为开始状态的报文捕获面板，其中各按钮功能如图3所示图3捕获过程的报文统计在报文统计过程中可以通过单击Capture Panel 按钮来查看捕获报文的数量和缓冲区的利用率（如图4、5）。

图4图5三、Sniffer菜单及功能简介Sniffer进入时，需要设置当前机器的网卡信息。

进入Sniffer软件后，会出现如图2的界面，可以看到Sniffer软件的中文菜单，下面是一些常用的工具按钮。

在日常的网络维护中，使用这些工具按钮就可以解决问题了。

1、主机列表按钮：保存机器列表后，点击此钮，Sniffer会显示网络中所有机器的信息，其中，Hw地址一栏是网络中的客户机信息。

网络中的客户机一般都有惟一的名字，因此在Hw地址栏中，可以看到客户机的名字。

对于安装Sniffer的机器，在Hw地址栏中用“本地”来标识；对于网络中的交换机、路由器等网络设备，Sniffer只能显示这些网络设备的MAC 地址。

入埠数据包和出埠数据包，指的是该客户机发送和接收的数据包数量，后面还有客户机发送和接收的字节大小。

可以据此查看网络中的数据流量大小。

2、矩阵按钮：矩阵功能通过圆形图例说明客户机的数据走向，可以看出与客户机有数据交换的机器。

使用此功能时，先选择客户机，然后点击此钮就可以了。

3、请求响应时间按钮：请求响应时间功能，可以查看客户机访问网站的详细情况。

当客户机访问某站点时，可以通过此功能查看从客户机发出请求到服务器响应的时间等信息。

4、警报日志按钮：当Sniffer监控到网络的不正常情况时，会自动记录到警报日志中。

所以打开Sniffer软件后，首先要查看一下警报日志，看网络运行是否正常。

一、实验项目名称Sniffer软件的使用二、实验目的使用Sniffer抓取主机到虚拟机或者到其他计算机的数据包,并做简要分析三、实验基本原理与电话电路不同，计算机网络是共享通讯通道的。

共享意味着计算机能够接收到发送给其它计算机的信息。

一个主机上的Sniffe会将网络接口置为混杂模式以接收所有数据包。

四、主要仪器设备及耗材计算机一台、五、实验步骤1.双击安装程序，进入安装向导界面，如图所示：2.压缩包将进行自解压，随后出现几个窗口去不按照默认的安装选项进入下一步运行，Sniffer将自动安装到本地计算机上。

安装完毕后，重新启动Sniffer 就可以使用了。

3.使用Sniffer抓包，进入Sniffer主界面，抓包之前首先设置要抓取的数据包的类型。

选择主菜单“Capture”下的“Define Filter”菜单,如图：在出现的对话框中，选择“Address”选项卡，在下拉列表中，选择抓包的类型为IP,在“Station1”下面输入主机的IP地址，主机的IP地址是：172.17.1.114在与之对应的“Station2”下面输入虚拟机的IP地址，虚拟机的IP地址是172.17.1.2544.设置完毕后，单击“Advanced”选项卡，拖动滚动条找到IP项，将IP和ICMP选中，如图：向下拖动滚动条，将TCP和UDP选中，再把TCP下面的FTP和Telnet两个选项选中，如图继续拖动滚动条，选中UDP下面的DNS，这样就设置好了抓包过滤器。

5.选择菜单栏“Capture”下的“Start”菜单项，启动抓包以后，在主机的DOS窗口中Ping虚拟机，如图：Ping指令执行完毕后，单击工具栏上的“Stop and Display”按钮，如图所示：在出现的窗口选择“Decode”选项卡，可以看到数据包在两台计算机间的传递过程，如图所示：利用抓包软件所抓取的数据包：七、思考讨论题或体会或对改进实验的建议通过这次试验，自己对网络抓包工具Sniffer从下载到安装的全过程有了比较清晰的认识，培养了自己动手的能力。

Sniffer工具使用实验报告学院：计算机科学与工程学院班级：专业：学生姓名：学号：目录实验目的 (1)实验平台 (1)实验内容 (2)实验1：抓ping和回应包 (2)实验要求： (2)实验过程与分析 (2)实验2 ：捕获内网发往外网的重要数据 (3)实验要求： (3)实验过程与分析： (4)实验3 ：Arp包编辑发送 (5)实验要求： (5)实验过程与分析： (5)实验4 ：ARP欺骗 (6)实验要求： (6)实验过程与分析 (7)实验深入分析： (10)实验5：交换机端口镜像的简单配置 (10)实验要求： (10)实验过程与分析： (11)实验心得 (12)实验目的了解著名协议分析软件sniffer的主要功能，以及sniffer能处理什么网络问题实验平台Sniffer软件是NAI公司推出的功能强大的协议分析软件。

与Netxray比较，Sniffer支持的协议更丰富，如Netxray不支持PPPOE协议，但Sniffer能快速解码分析；Netxray不能在Windows 2000和Windows XP上正常运行，而SnifferPro 可以运行在各种Windows平台上。

缺点：运行时需要的计算机内存比较大，否则运行比较慢功能：1）捕获网络流量进行详细分析2)利用专家分析系统诊断问题3）实时监控网络活动4）收集网络利用率和错误等实验内容实验1：抓ping和回应包实验要求：Ping xxxx–t观察icmp:echo和icmp:echo(reply)包信息实验过程与分析1）设置过滤器过滤ICMP协议2）让Sniffer开始抓包Ping –t截获包如下Echo包：ICMP头后面abcde……为填充内容（数据填充码），纯熟用来凑够一个帧大小Echo reply包与Echo包对比可知，ID和sequence number是一致的。

同样ICMP头后面abcde……为填充内容（数据填充码），纯熟用来凑够一个帧大小实验2 ：捕获内网发往外网的重要数据实验要求：捕获条件可选择协议dns(tcp),http,pop,smtp,地址为本机IP到any登陆华南目棉BBS或华工教学在线或其他网络论坛。