Sniffer培训课程
实验一sniffer抓包工具的应用
洛阳理工学院实验报告
系别计算机与信
息工程系
班级学号姓名
课程名称网络安全实验日期2014.10.23 实验名称Sniffer抓包工具的应用成绩
实验目的:
通过实验掌握Sniffer工具的使用,理解TCP/IP 协议中TCP、IP、ICMP数据包的结构,以及TCP三次握手的过程。
实验条件:
虚拟机平台,Windows Server 2003和XP
实验内容:
一、 ICMP包
1.先将虚拟机Windows Server 2003和XP ping通。
(如图1、2)
图1 在XP上ping Windows Server显示
图2 ICMP包死亡之ping
2.打开XP中的Sniffer程序,点击开始按钮进行抓包。
(如图3)
图3 抓包结果
二、TCP三次握手
1.在windows server上建ftp,然后在XP上架设ftp,打开Sniffer的过滤器进行双向抓包。
(如图4、5)
图4 windows server的ftp显示图5 打开Filter设置ip
2.第一次握手如图6所示。
图6 第一次握手显示结果 3.第二次握手如图7所示。
图7 第二次握手显示结果4.第三次握手如图8所示。
图8 第三次握手显示结果5.过滤器显示如图9、10。
图9 过滤器(TOP10 总比特数)
图10 Traffic Map 的IP地址显示
实验总结:
通过这次试验我了解到Sniffer工具的使用以及TCP三次握手的过程,在这次试验中其实有许多不懂的地方,还好在同学的帮助下解决了许多问题,关于这方面我觉得知识方面有些欠缺,以后会多加努力。
实验四使用sniffer分析DNS协议和DHCP协议
实验四使用snif fer分析D NS协议和DHCP协议一、实验目的和要求通过本实验,学生可以使用W indo ws 2003提供的DNS服务功能,进行域名解析,将域名解析成I P地址。
利用Wind ows 2003提供的DNS服务功能,创建DNS服务器,进行域名解析。
二、实验主要仪器和设备硬件:服务器1台、工作站2台、交换机1台。
软件:window s 2003 server操作系统1套、其它Wind ows操作系统1套。
三、实验方法与步骤(需求分析、算法设计思路、流程图等)在网络中,每一台主机都有一个唯一的32位二进制IP地址来标识,这是网络中主机之间进行通信的基础。
这个32位二进制IP地址用四段十进制数来表示,各段之间用来[?]“.”分隔开来,如218.22.182.219,这些IP地址都是毫无记忆规律的。
如果要求人们记住这些I P地址,那将是不可想象的。
为了既方便人们记忆,又能实现主机之间的通信,DNS(Domain Name System,域名系统)就应运而生了。
DNS域名系统主要实现I nter net上主机的符号域名与IP地址之间的转换服务,也称名字服务或域名服务。
1、DNS系统DNS采用的是有层次的名字空间,实行了分布式数据库系统,并采用了基于域的命名机制。
它的主要作用是把一个主机域名或E-mail地址映射成一个32位的I P地址。
DNS服务采用的是客户机/服务器模式,在客户机端发出DNS请求的程序称为域名解析器,在服务器端完成DNS响应的程序称为域名服务器。
域名解析器为应用程序向域名服务器发出DNS请求,即DNS查询,域名服务器采用迭代查询或递归查询,将查询结果返回给域名解析器。
2、 DNS域名结构DNS域名系统是一个层次化、基于域命名机制的命名系统,它是一个树状结构,它的形状像是一棵倒画的树,并使用分布式数据库实现。
范伟导老师Sniffer课程资料
范伟导老师Sniffer课程资料(一)如果有人问我们Sniffer是什么?大家都会说是协议分析仪,你看sniffer网站上说的是应用和网络分析系统。
究竟Sniffer是什么样的一个东西,我们要了解他的发展过程。
第一阶段是抓包和解码,也就是把网络上的数据包抓下来,然后进行解码,那时候谁能解开的协议多,谁就是老大,Sniffer当时能解开的协议最多,也就理所当然地成了老大,现在Sniffer能解开550种协议,还是业界最多的,第二阶段是专家系统,也就是通过抓下来的数据包,根据他的特征和前后时间戳的关系,判断网络的数据流有没有问题,是哪一层的问题,有多严重,专家系统都会给出建议和解决方案,现在Sniffer的专家系统还是业界最强的第三阶段是把网络分析工具发展成网络管理工具,要作为网络管理工具,就必须能部署在网络中心,能长期监控,能主动管理网络,能排除潜在问题。
我们看一下,Sniffer究竟有什么用?第一,Sniffer可以帮助我们评估业务运行状态,如果你能告诉老板说,我们的业务运行正常,性能良好,比起你跟老板报告说网络没有问题,我想老板会更愿意听前面的报告,但我们要做这样的报告,光说是不行的,必须有根据,我们能提供什么样的根据呢。
比如各个应用的响应时间,一个操作需要的时间,应用带宽的消耗,应用的行为特征,应用性能的瓶颈等等,到第二门课,我会告诉大家怎么做到有根有据。
第二,Sniffer能够帮助我们评估网络的性能,比如,各连路的使用率,网络的性能的趋势,网络中哪一些应用消耗最多带宽,网络上哪一些用户消耗最多带宽,各分支机构流量状况,影响我们网络性能的主要因素,我们可否做一些相应的控制,等等第三,Sniffer帮助我们快速定位故障,这个大家比较有经验,我们记住Sniffer的三大功能:monitor,expert,decode这三大功能都可以帮助我们快速定位故障,我后面通过案例演示给大家看,大家再做做实验,很快就上手了(同学问:范老师,是否要学Sniffer必须对协议很熟,)不一定,我们可以通过Sniffer来学习各种协议,比如ospf,以前学网络的时候,讲OSPF的LSA好像很复杂,你用Sniffer看看,其实他的协议结构还是不复杂的,一般情况下,我会要求学Sniffer的学员有CCNP的基础,或者有几年的网络管理经验,我自己也是这样,刚开始只是用Sniffer抓抓包,抓下来也不知道怎么分析,当我学完CCNP后,学了CIT,以为自己不错了,会排除很多网络故障,但实际上很多问题我还是解决不了,比如网络慢,他又不断,断了我很快能解决,网络慢,或者丢包,一般的排错知识还是很难的,那时候开始学Sniffer,才发现很好用第四,Sniffer可以帮助我们排除潜在的威胁,我们网络中有各种各样的应用,有一些是关键应用,有一些是OA,有一些是非业务应用,还有一些就是威胁,他不但对我们的业务没有帮助,还可能带来危害,比如病毒、木马、扫描等,Sniffer可以快速地发现他们,并且发现攻击的来源,这就为我们做控制提供根据,比如我们要做QOS,不是说随便根据应用去分配带宽就解决了,我们要知道哪一些应用要多少带宽,带宽如何分配,要有根有据。
范伟导老师Sniffer课程资料
范伟老师第二天资料好,大家都打开了吗,有问题随时告诉我,(跑去解答问题去了)如果大家在上课的时候有任何疑问,随时可以打断我,不用给我面子,我也不一定能回答所有问题,不过没关系,交流总会进步的。
好,我们继续第一个我要介绍的是local agent。
Select 什么叫local agent,大家打开file settings这时候,大家可能只看到一个local 下面是你的网卡,这就叫做一个local agent。
事实上,一个local agent 就像一个探针。
我们知道Sniffer的工作原理很简单,就是把网卡设成混杂模式(叫做promiscuous),所谓混杂模式,就是把所有数据包接受下来放入内存,大家知道一般情况下,PC机只接受目的mac地址为自己网卡或广播、组播的数据包。
sniffer就是这样把所有数据包都接收下来,在进行分析。
大家看我这里有多个agent,怎样可以做多个agent呢,可以不同网卡做不同的agent,就像你们的分布式sniffer一样,有多个网卡,那就是多个agent,infinistream也一样。
其实一个网卡,也可以做多个agent,大家试一下,new一个,给他加上说明,就叫101把,选中你们的网卡,下面选no pod,copy setting留空,那个pod是你外接sniffer book时候用的。
大家看看你们的agent多了一个,101括号local_2。
对不对(同学们:对)好,不错。
我们为什么建立多个agent 呢。
不同的agent可以定义不同的阀值,可以有不同的过滤器,可以有不同的触发器,不同的地址本。
比如说,你们有一台笔记本装着sniffer,大家都用它,那不同的工程师可以自己定义一个agent,自己定义自己的过滤器,互不干涉,比如不同的网段有不同的阀值,也可以定义不同的agent。
那agent的参数保存在哪里呢,大家打开c:\program files\nai\sniffernt\program,大家看到local local_2,这就是两个不同的agent保存参数的地方。
基于SNIFFER的“计算机网络”课程的实验设计
p fsin llb o o ue ewok,a d c n e tae n o e a n h s x e me t o ma e e pa ain. o r e so a a fc mp trn t r n o c nr td o n mo g te e e p r ns t k x ln to i Ke r s:S F ER;c u s x e me t y wo d NI F o re e p r n ;me s g n y i;ARP p oo o ;a d e s ma pn i sa e a a ss l r tc l d r s p ig
验 。 出 了每 个 实验 的 主要 内客及 使 用到 的 主要 工具 , 对其 中的一个 实验 作 了详 细说 明 。 给 并 关 键 词 :N F E S IF R;课 程 实验 ; 文分析 ;A P协议 ;地 址 映射 报 R 中图 分类 号 : P9 T33 文献标 识码 : A 文章 编号 :0676 (0 6 0 —620 10 —17 20 )604 3
据 。
本课 程实 验 仅 使 用 专 家 分 析 系 统 中的 协 议 分 析
( eoe 功 能 查 看 各 实 验 中 捕 获 到 的 数 据 报 文 。 D cd )
程 的实验 。结合 对“ 算 机 网 络 ” 程 的 教 学 经 验 , 计 课 及
实验开展 情 况 , 对 网络 实验 门槛 高 、 针 组织难 等 问题 提
基 于 S IF R的“ NF E 计算机 网络" 程 的实验设计 课
李朝 海 , 习友 宝
( 电子科 技 大学 电子工 程 学 院 ,成都 60 5 ) 10 4
摘 要 : 出 了在 不具备 专 业的 网络 实验 室 的 条件 下 , 用 S IF R软 件 来 架构 “ 算 机 网络 ” 程 实 提 利 NFE 计 课
实验五 Sniffer工具安装与使用
信息科学技术学院信息安全专业
《电子商务安全》实验报告
实验目的:
1. 提高对网络入侵和入侵原理的认识。
2. 提高对网络协议的认识。
3. 用Sniffer网络嗅探器进行网络检测的能力。
实验内容:
1.运用Sniffer Pro工具进行网络流量监控、通信主机IP查询、实时监控网络活动、包分析等。
2.监测主机正在窃听(sniffed)
3.阻止sniffer
具体实验步骤:
1.在多宿主主机下应选择正确物理网卡
2.输入特定主机的IP地址,便于更有目的的监控该主机
3,网络流量监控
4,通信主机IP查询
5,实时监控网络活动
a) 抓取某台机器的所有数据包
b) 抓取某台机器的指定协议的所有数据包(icmp)
c)抓取TELNET密码
d)启动浏览器,在http协议下登录邮箱,试抓用户名与密码,并分析
e)启动浏览器,在https协议下登录邮箱,试抓用户名与密码,并分析
实验心得:网络监视功能能够时刻监视网络统计,网络上资源的利用率,并能够监视网络流量的异常状况。
Sniffer程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太网卡)置为杂乱(promiscuous)模式状态的工具,一旦网卡设置为这种模式,它就能接收传输在网络上的每一个信息包。
基于Sniffer这样的模式,可以分析各种信息包并描述出网络的结构和使用的机器,由于它接收任何一个在同一网段上传输的数据包,所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。
这成为黑客们常用
的扩大战果的方法,用来夺取其他主机的控制权。
范伟导老师Sniffer课程资料(三)
好,我们继续看第二个monitor功能,Host table,我们叫他主机列表这是非常好用的一个功能,有什么用呢?第一看流量最大的TOP10主机,第二看广播量有多少,当时我发现冲击波、振荡波的时候,就是看这个host table,发现有大量的全子网广播第三可以快速过滤单一主机流量。
第四通过过滤功能可以看到单一业务主机的流量分布,当然也可以通过镜像接口去实现我们一个一个来看。
首先TOP10主机,我们可以点击各列的标题来排序,方便我们分析,比如收发包情况。
大家可以试一下。
第二广播量有多少我们点击broadcast或multicast的标题,查看广播量,有一点要注意,不要忘记看MAC层的广播和组播,因为MAC的广播不一定有IP头,比如ARP,同样IP的广播在MAC也可能是单播,比如子网广播。
MAC层的广播是目的MAC为48个1,MAC层的组播为目的MAC第一个字节最低位是1。
(范老师有板书,我的本子上有,懒得画了)IP的广播有三种:255.255.255.255叫本地广播,也叫直播,direct broadcast,不跨路由器。
172.16.33.255叫子网广播,广播给172.16.33.0这个子网,可以跨路由器。
172.16.255.255叫全子网广播,广播给172.16.0.0这个主网,可以跨路由器。
大家以前学网络的时候,老师会给一个概念,说路由器是三层设备,隔离广播,对吧,我也是这样给同学介绍的,但我在后面会告诉同学,并不是所有广播都隔离。
事实上只有255.255.255.255这类本地广播,路由器才不转发,对于子网广播和全子网广播,路由器是转发的,这是为什么呢?我们来看4个255的广播,在MAC的封装中,对应的目的MAC是广播,而子网广播和全子网广播,对应的目的MAC是单播,所以路由器会转发。
(范老师在演示)所以我们注意到,路由器隔离的广播是目的MAC为全1的广播,对于目的MAC是单播的上层广播,路由器是不能隔离的。
sniffer 教程
sniffer 教程
Sniffer是一个网络流量分析工具,用于截获和分析网络数据包。
它可以用于网络管理、网络安全监测、漏洞分析等目的。
下面是一些关于使用Sniffer的基本教程:
1. 安装Sniffer软件:首先,您需要从Sniffer官方网站或其他可靠的软件下载站点下载并安装Sniffer软件。
安装过程通常与常规软件安装类似,您只需按照安装向导的指示进行操作。
2. 启动Sniffer:安装完成后,在您的计算机上找到Sniffer 的快捷方式或应用程序图标,双击打开Sniffer。
3. 设置网络接口:在Sniffer界面上,您需要选择要监测的网络接口。
通常,您可以选择您的计算机上的网络接口(如以太网、Wi-Fi等)。
选择要监测的网络接口后,单击“开始”或类似的按钮以开始捕获网络数据包。
4. 监测网络流量:一旦Sniffer开始捕获网络数据包,它将显示经过所选网络接口的流量。
您可以在Sniffer界面上查
看捕获的数据包,并从中提取关键信息,如源地址、目的地址、协议类型等。
5. 分析网络流量:Sniffer还提供了一些分析工具,如过滤器、统计数据、图形化界面等,以帮助您分析捕获的网络流量。
您可以使用这些工具来过滤特定类型的数据包,生成统计报告,可视化网络流量数据等。
需要注意的是,使用Sniffer工具需要具备一定的网络知识和技能,以有效地利用捕获的数据包进行分析。
此外,出于安全和合法性的考虑,在使用Sniffer时,请确保遵守相关法律和规定,并仅在授权范围内使用该工具。
snaffer软件的使用
软件使用指南在日常的局域网维护中,对于一款软件,不仅要知道其表面的功能,更要深入了解其工作原理,这样才能更有效地挖掘软件更高级的应用及功能,以此来解决网络中的疑难故障。
下面结合一些日常网络故障实例,介绍一下Sniffer在局域网维护中的综合应用。
Sniffer软件是NAI公司推出的功能强大的协议分析软件,具有捕获网络流量进行详细分析、实时监控网络活动、利用专家分析系统诊断问题、收集网络利用率和错误等功能。
Sniffer Pro 4.6可以运行在各种Windows平台上,只要安装在网络中的任何一台机器上,都可以监控到整个网络。
以下以Sniffer 4.7.5汉化版本为例,介绍一下Snffer在局域网维护中的具体应用。
一、Sniffer软件的安装在网上下载Sniffer软件后,直接运行安装程序,系统会提示输入个人信息和软件注册码,安装结束后,重新启动,之后再安装Sniffer汉化补丁。
运行Sniffer程序后,系统会自动搜索机器中的网络适配器,点击确定进入Sniffer主界面。
二、Sniffer软件的使用打开Sniffer软件后,会出现主界面(如图1),显示一些机器列表和Sniffer软件目前的运行情况,上面是软件的菜单,下面有一些快捷工具菜单,左侧还有一排快捷菜单按钮。
由于使用的是汉化版软件,因此部分词语汉化不是太准确。
1、获取网络中的机器列表Sniffer软件运行后,首先要搜索网络中的机器。
在"工具”菜单中找到"地址簿”选项并运行,在"地址簿”中的左侧工具菜单中,可以找到一个"放大镜”的图标,这是"自动搜索”的按钮。
运行"自动搜索”功能后,在IP地址段中输入网络的开始IP地址和结束地址,然后系统会自动搜索。
搜索完成后,会出现一个如图1的机器列表。
2、保存机器列表Sniffer搜索网络中所有的机器列表后,可以在"数据库”菜单中选择"保存地址簿”选项,将当前的机器列表保存,以备日后使用。
919615-网络安全技术与实践-第5章 黑客攻防与检测防御
5.1 黑客概述
5.1.2 黑客攻击的入侵方式
1. 系统漏洞产生的原因
其他:协议、系统、路由、传输、 DB、技术、管理及法规等
系统漏洞又称缺陷。漏洞是在硬件、软件、协议 的具体实现或系统安全策略上存在的缺陷,从而可使 攻击者能够在未授权的情况下访问或破坏系统。
产生漏洞的主要原因:
上海市精品课程 网络安全技术
上海市教育高地建设项目 高等院校规划教材
第5章 黑客攻防与检测防御
目录
1
5.1 黑客的概念及入侵方式
2
5.2 黑客攻击的目的及过程
3
5.3 常见黑客攻防技术
4
5.4 网络攻击的防范策略和措施
5
5.5 入侵检测与防御系统概述
6
5.6 Sniffer网络检测实验
7
5.7 本章小结
方式一:定向关闭指定服务的端口。计算机的一些网络服 务为系统分配默认的端口,应将闲置服务-端口关闭。
5.3 常用黑客攻防技术
关闭DNS端口服务
操作方法与步骤: 1)打开“控制面板”窗口。 2)打开“服务”窗口。
“控制面板”→“管理工具”→“服务”,选择DNS。 3)关闭DNS服务
在“DNS Client 的属性”窗口.启动类型项:选择“自动” 服务状态项:选<停止>-<确定>。在服务选项中选择关闭掉一些 没使用的服务,如FTP服务、DNS服务、IIS Admin服务等,对应 的端口也停用。
5.3 常用黑客攻防技术
5.3.1 端口扫描攻防
端口扫描是管理员发现系统的安全漏洞,加强系统的安全 管理,提高系统安全性能的有效方法。端口扫描成为黑客发现 获得主机信息的一种最佳手段。
实训五:Sniffer软件使用
Sniffer软件使用一、实训要求学会安装使用sniffer 软件,学会掌握sniffer 软件使用二、实训目的Sniffer的主要是分析网络的流量,来发现网络的问题,学sniffer 的简单使用。
三、实训内容3.1捕获数据通过Sniffer进行网络和协议分析,需要先捕获网络中的数据。
默认状态下,由于Sniffer 没有进行过滤设置,会捕获网络中所有数据。
(1)单击工具栏上的按钮,或依次选择“Capture”-“Stare”选项,显示“Expert”窗口,Sniffer开始捕获的各种数据,能显示捕获的数据的概要信息,如下图所示:(2)如图要查看当前捕获的各种数据,单击对话框左侧的“service”、“connection”选项,在右侧即可显示相应的数据的概要信息。
单击“Objects”选项开卡、可显示当前所监视对象的详细信息,如下图可显示:(3)当前Sniffer捕获一定的数据,就可以停止捕获并进行分析。
单击工具上的快捷按钮,或依次选择“Caputure”- “Stop”选项。
即可停止捕获。
从而了解网络的使用状况。
3.2 查看分析捕获的数据依次选择“Capture”- “Display”选项,即可查看所有捕获的内容了。
选择该窗口下方的“Dcecode”选项卡,显示如下图所示窗口,该窗口共分为3个部分,由上到下依次为:总结、详细材料和Hex窗口的内容,可以查看所捕获的每一个帧的详细。
MatrixSniffer的矩阵功能可以直观地显示网络中各种计算机之间的连接。
单击窗口下方的“Matrix”标签,如下图所示,以“Matrix”方式显示了网络中各种计算机之间的连接情况,默认以MAC地址代表计算机。
(“Matrix”图表)(显示IP连接)Host Table主要列表是一个很有用的功能,如下图所示,显示出该捕获过程中各计算机所传输的数据,并且可以根据所传输数据的多少来排列。
3.2 保存数据当捕获结束后,依次选择“File”- “Save”选项,即可当前已捕获的数据保存到硬盘上,当日后再想重新分析时,可“File”菜单中的“Open”选项,选择事先保存的文件即可。
Sniffer使用教程
目录第1章 Sniffer软件简介......................................................... 1-11.1 概述....................................................................... 1-11.2 功能简介................................................................... 1-1第2章报文捕获解析............................................................. 2-12.1 捕获面板................................................................... 2-12.2 捕获过程报文统计........................................................... 2-12.3 捕获报文查看............................................................... 2-22.4 设置捕获条件............................................................... 2-4第3章报文放送................................................................. 3-13.1 编辑报文发送............................................................... 3-13.2 捕获编辑报文发送........................................................... 3-2第4章网络监视功能............................................................. 4-14.1 Dashbord ................................................................... 4-14.2 Application Response Time (ART) ............................................ 4-1第5章数据报文解码详解......................................................... 5-15.1 数据报文分层............................................................... 5-15.2 以太报文结构............................................................... 5-15.3 IP协议.................................................................... 5-35.4 ARP协议................................................................... 5-55.5 PPPOE协议................................................................. 5-65.6 Radius协议................................................................ 5-9关键词:Sniffer 协议分析摘要:本文对Sniffer软件的功能和使用作了简要的介绍,讲述了利用工具软件解决问题的思路和一些分析方法。
范伟导老师Sniffer课程资料(四)
我们注意到这台机器向公网发出大量的ICMP包,那是在作什么?(同学们:在ping)对!PING采用ICMP协议,ping可以用来扫描,也可以用来攻击。
扫描就是看那一台机器活着,接着扫描端口,在攻击,所以扫描是攻击主机的前奏。
另外,还可以用ping 来冲击路由器,或占用带宽,是一种DOS攻击。
大家看这个过程更像哪一种类型。
(同学们:扫描,DOS攻击)一般情况下,扫描会是比较连续的地址,我们看这个地址并不连续,我们先排除扫描,当然不是绝对的,也有比较聪明的扫描。
有同学说,这是DOS攻击,那是冲击路由器,还是占用带宽?(同学们:冲击路由器)嘿,这次比较统一,我也觉得他在冲击路由器,我们看,他的目标地址基本不在一个网段,这样路由器收到这样的数据包会消耗大量资源在查找路由表上面。
所以对路由器有一定冲击。
一般来说,如果他想占用带宽的话,会发大包,我们发现,包的长度不大,并且一秒钟才发10几个包,所以对贷款冲击不大。
或许大家会觉得这没秒10几个包对路由器冲击也不大呀。
大家想像一下,如果有很多机器在作这个操作,那影响就会很大。
大家自己在找一找,是否还有其他机器在作同类事情。
(同学们找出7台这样的机器)好大家找出7台这样的机器,怎么找出来的?有同学用钢材的办法,有同学用过滤,都市好办法。
现在假设在你们的网络中出现这样的情况,我们发现了异常,接下来怎么做?(同学们:找到这台机器)然后呢?我们可以看看这台机器的任务管理器,看看有什么不常见的进程,把他去掉,看是否解决。
在看其他的机器,是否有类似的特征。
这是我的一个学员发给我的,当时他发现这7台机器都有一个特殊的进程,但是他的防病毒软件没有查出来。
他手工解决了。
这很好说明用Sniffer可以比防病毒软件更快发现病毒,因为防病毒软件是后知后觉得,什么意思?防病毒软件必须有相应的特征才能查病毒。
而Sniffer通过流量可以发现一些特征,一些异常。
但是有一点,我们不能拿Sniffer当防病毒软件用,那不是他的特长,同时也太低沽Sniffer 的功能了(同学们笑)好我们在看看扫描是怎么一回事,大家看这个trace file(范老师在演示,我就不写了)先是ARP扫描,再端口扫描,接下来就是攻击了。
Sniffer_Pro中文使用教程
Sniffer Pro中文使用教程第1章 Sniffer软件简介 .............................................................................................................. 1-11.1 概述 ............................................................................................................................. 1-11.2 功能简介...................................................................................................................... 1-1第2章报文捕获解析.................................................................................................................. 2-12.1 捕获面板...................................................................................................................... 2-12.2 捕获过程报文统计 ....................................................................................................... 2-12.3捕获报文查看.............................................................................................................. 2-22.4设置捕获条件.............................................................................................................. 2-3第3章报文放送 ........................................................................................................................ 3-13.1 编辑报文发送............................................................................................................... 3-13.2捕获编辑报文发送....................................................................................................... 3-2第4章网络监视功能.................................................................................................................. 4-14.1 Dashbord ..................................................................................................................... 4-14.2 Application Response Time (ART) ............................................................................. 4-1第5章数据报文解码详解 .......................................................................................................... 5-15.1数据报文分层.............................................................................................................. 5-15.2以太报文结构.............................................................................................................. 5-15.3 IP协议.......................................................................................................................... 5-35.4 ARP协议...................................................................................................................... 5-45.5 PPPOE协议 ................................................................................................................... 5-65.6 Radius协议.................................................................................................................. 5-9第1章 Sniffer软件简介1.1 概述Sniffer软件是NAI公司推出的功能强大的协议分析软件。
Sniffer网络抓包实验报告
实验报告填写时间:图1(2)捕获报文Sniffer软件提供了两种最基本的网络分析操作,即报文捕获和网络性能监视(如图2)。
在这里我们首先对报文的捕获加以分析,然后再去了解如何对网络性能进行监视。
图2捕获面板报文捕获可以在报文捕获面板中进行,如图2中蓝色标注区所示即为开始状态的报文捕获面板,其中各按钮功能如图3所示图3捕获过程的报文统计在报文统计过程中可以通过单击Capture Panel 按钮来查看捕获报文的数量和缓冲区的利用率(如图4、5)。
图4图5三、Sniffer菜单及功能简介Sniffer进入时,需要设置当前机器的网卡信息。
进入Sniffer软件后,会出现如图2的界面,可以看到Sniffer软件的中文菜单,下面是一些常用的工具按钮。
在日常的网络维护中,使用这些工具按钮就可以解决问题了。
1、主机列表按钮:保存机器列表后,点击此钮,Sniffer会显示网络中所有机器的信息,其中,Hw地址一栏是网络中的客户机信息。
网络中的客户机一般都有惟一的名字,因此在Hw地址栏中,可以看到客户机的名字。
对于安装Sniffer的机器,在Hw地址栏中用“本地”来标识;对于网络中的交换机、路由器等网络设备,Sniffer只能显示这些网络设备的MAC 地址。
入埠数据包和出埠数据包,指的是该客户机发送和接收的数据包数量,后面还有客户机发送和接收的字节大小。
可以据此查看网络中的数据流量大小。
2、矩阵按钮:矩阵功能通过圆形图例说明客户机的数据走向,可以看出与客户机有数据交换的机器。
使用此功能时,先选择客户机,然后点击此钮就可以了。
3、请求响应时间按钮:请求响应时间功能,可以查看客户机访问网站的详细情况。
当客户机访问某站点时,可以通过此功能查看从客户机发出请求到服务器响应的时间等信息。
4、警报日志按钮:当Sniffer监控到网络的不正常情况时,会自动记录到警报日志中。
所以打开Sniffer软件后,首先要查看一下警报日志,看网络运行是否正常。
sniffer使用及图解教程
sniffer使用及图解注:sniffer使用及图解sniffer pro 汉化注册版下载黑白影院高清免费在线电影聚集网无聚集无生活,聚集网络经典资源下载sniffer软件的安装还是比较简单的,我们只需要按照常规安装方法进行即可。
需要说明的是:在选择sniffer pro的安装目录时,默认是安装在c:\program files\nai\snifferNT目录中,我们可以通过旁边的Browse按钮修改路径,不过为了更好的使用还是建议各位用默认路径进行安装。
在注册用户时,随便输入注册信息即可,不过EMAIL一定要符合规范,需要带“@”。
(如图1)图1 点击放大注册诸多数据后我们就来到设置网络连接状况了,一般对于企业用户只要不是通过“代理服务器”上网的都可以选择第一项——direct connection to the internet。
(如图2)图2接下来才是真正的复制sniffer pro必需文件到本地硬盘,完成所有操作后出现setup complete提示,我们点finish按钮完成安装工作。
由于我们在使用sniffer pro时需要将网卡的监听模式切换为混杂,所以不重新启动计算机是无法实现切换功能的,因此在安装的最后,软件会提示重新启动计算机,我们按照提示操作即可。
(如图3)重新启动计算机后我们可以通过sniffer pro来监测网络中的数据包。
我们通过“开始->所有程序->sniffer pro->sniffer”来启动该程序。
第一步:默认情况下sniffer pro会自动选择你的网卡进行监听,不过如果不能自动选择或者本地计算机有多个网卡的话,就需要我们手工指定网卡了。
方法是通过软件的file菜单下的select settings来完成。
第二步:在settings窗口中我们选择准备监听的那块网卡,记得要把右下角的“LOG ON”前打上对勾才能生效,最后点“确定”按钮即可。
sniff教程
sniff教程sniff教程一.有关sniffer及sniffer的含义sniffers(嗅探器)几乎和internet有一样久的历史了.sniffer是一种常用的收集有用数据方法,这些数据可以是用户的帐号和密码,可以是一些商用机密数据等等。
随着internet及电子商务的日益普及,internet的安全也越来越受到重视。
在internet安全隐患中扮演重要角色之一的sniffer以受到越来越大的关注,所以今天我要向大家介绍一下介绍sniffer以及如何阻止sniffer。
大多数的黑客仅仅为了探测内部网上的主机并取得控制权,只有那些"雄心勃勃"的黑客,为了控制整个网络才会安装特洛伊木马和后门程序,并清除记录。
他们经常使用的手法是安装sniffer。
在内部网上,黑客要想迅速获得大量的账号(包括用户名和密码),最为有效的手段是使用"sniffer" 程序。
这种方法要求运行sniffer 程序的主机和被监听的主机必须在同一个以太网段上,故而在外部主机上运行sniffer是没有效果的。
再者,必须以root的身份使用sniffer 程序,才能够监听到以太网段上的数据流。
谈到以太网sniffer,就必须谈到以太网sniffing。
那么什么是以太网sniffer呢?以太网sniffing是指对以太网设备上传送的数据包进行侦听,发现感兴趣的包。
如果发现符合条件的包,就把它存到一个log文件中去。
通常设置的这些条件是包含字"username"或"passWord"的包。
它的目的是将网络层放到promiscuous模式,从而能干些事情。
promiscuous模式是指网络上的所有设备都对总线上传送的数据进行侦听,并不仅仅是它们自己的数据。
根据第二章中有关对以太网的工作原理的基本介绍,可以知道:一个设备要向某一目标发送数据时,它是对以太网进行广播的。
sniffer使用教程
Sniffer使用教程测试中心:黄铧焕2005.01.01目 录一 SNIFFER(嗅探器)基础知识 (3)1预备知识 (3)1.1 HUB工作原理 (3)1.2 网卡工作原理 (4)1.3 局域网工作原理 (4)2S NIFFER原理 (5)二 SNIFFER PRO软件软件说明 (7)1S NIFFER P RO网络监控的几种模式 (7)1.1 moniteràhost table (7)1.2 monitoràmatrix (7)1.3 monitoràprotocol distribution 查看协议分布状态,可以看到不同颜色的区块代表不同的网络协议81.4 monitoràdashboard (9)1.5 monitor-size distribution (9)1.6 monitoràapplication responsetime (10)2S NIFFER P RO抓包使用说明 (10)2.1 捕获数据包前的准备工作 (10)2.2 捕获数据包时观察到的信息 (14)2.3 捕获数据包后的分析工作 (15)2.4 sniffer提供的工具应用 (16)2.4.1 包发生器使用详解 (16)一SNIFFER(嗅探器)基础知识Sniffer(嗅探器)是一种常用的收集有用数据方法,这些数据可以是用户的帐号和密码,可以是一些商用机密数据等等。
Snifffer可以作为能够捕获网络报文的设备,ISS为Sniffer这样定义:Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。
Sniffer的正当用处主要是分析网络的流量,以便找出所关心的网络中潜在的问题。
例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题判断。
在合理的网络中,sniffer的存在对系统管理员是致关重要的,系统管理员通过sniffer可以诊断出大量的不可见模糊问题,这些问题涉及两台乃至多台计算机之间的异常通讯有些甚至牵涉到各种的协议,借助于sniffer%2C 系统管理员可以方便的确定出多少的通讯量属于哪个网络协议、占主要通讯协议的主机是哪一台、大多数通讯目的地是哪台主机、报文发送占用多少时间、或着相互主机的报文传送间隔时间等等,这些信息为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Sniffer培训课程(一)2007-06-04 03:31范伟老师的Sniffer培训课程资料前言:范老师现在是Sniffer中国技术服务中心的技术总监,是中国唯一的Sniffer大师(SCM),他有丰富的经验和经典案例,讲课讲得不错。
我是范老师的学生,我2005年学习了Sniffer,发现收获很大,但我不能透露我的单位,因为我想范老师不会允许我把他的讲课内容公开。
以下内容是我根据上课录音编写的,基本上是范老师的原话。
我整理了一个星期才整理出来,因为范老师在上课时有很多笔书,整理起来很困难,有人会问,为什么不把录音共享出来,主要是课程中很多实验,只有录音,作用不大,我把他整理成文字,看起来会方便一些,当我全部整理完,估计可以出书了,版权费给谁呢?哈哈我希望大家喜欢,如果反应良好,我把后面的内容也贴出来,很辛苦的,大家要珍惜。
大家不要放映,精华内容都在注释里。
大家有什么问题,可以发E-mail给范老师,[url=mailto:fanweidao@]fanweidao@[/url],记住如果他问你是谁,你说是北京移动或广东移动或工商银行随便一个省分行的,因为这些单位的学生特别多,他肯定搞不清楚。
哈哈,对不起了!范老师,我只是想帮你推广Sniffer.大家好!欢迎大家参加Sniffer的认证课程!先自我介绍一下!我叫范伟导,这是我的邮件,我现在没有工作(同学们:自由职业者)可以这么说。
介绍一下我的经历:毕业后我在一个台资电脑厂工作了一年,做硬件的。
后来到了日本三洋工作,作X400的软件开发,做ERP,用RPG开发,做了4年后来到了神州数码,作CISCO网络,原来在技术中心做实施,后来在培训中心做讲师,一共做了5年。
现在我是CISCO和Sniffer的授权讲师,不过现在我不想做CISCO了,想做Sniffer,因为我觉得网络分析是一个很好的技术方向。
等一下我还会跟大家聊一聊我们该往哪一个方向发展。
先看一下我们这个课程,这个课程事实上是两门课,第一门我们介绍怎样用Sniffer来做网络故障诊断,还有网络管理的一些方法和思路,第二门课我们介绍如何做应用的分析,这是Sniffer的新课程,我个人觉得非常好,以前的几个班学员也很喜欢。
第一门课我们会讲3天,第二门课我们会讲2天。
接下来的半个小时我们不讲书本知识,讲讲我的经历和Sniffer究竟能用来做什么,我们为什么要学Sniffer,其实我的目的是提起大家的学习兴趣,大家愿意学,我才讲的起劲。
要不我一边讲,大家在噼噼啪啪上网,那我就讲不下去了(同学们笑)。
大家做网络都很多年了,想想我们以前的10兆以太网,现在的万兆以太网,想想14.4k的modem,现在的2M宽带,以前的x25,桢中继,现在的SDH,MSTP,裸光纤。
大家都经历这些,但我们才工作几年?就这几年,变化这么大,我不知道大家的工资有没有变化这么大,(同学们大笑),从10兆到万兆,1000倍,几年工资张1000倍。
有点难(同学们:不是有点难,是很难,不可能)。
再看看我们工作的变化,以前能配配路由器就很牛了,现在似乎谁都会了,记得几年前,我帮一个小集成商配一台4000系列交换机,收了2000元,15分钟搞定。
(同学们:好爽,介绍一些给我们做),没有了说说你们的工作。
平常工作中做些什么(同学们:做做网线,杀病毒,帮领导装机器)大家想想,这是我们想做的工作吗,以前这些都不用我们做,现在大家感觉是不是地位在下降,工资也不涨,好歹我们也是蜘蛛级的人物呀,不是有个笑话说蜜蜂是空姐,做网络的是蜘蛛吗。
(同学们笑)我们该怎么办?现在说说我的观点,我们都希望工资能年年涨,不要求1000倍,(同学们:不要求那么高,一年20%就行了),20%?不止吧,从毕业到现在,你们工资不止年均涨不止20%吧。
(同学们:我们不能跟您比)也有可能,你们的起点高,我毕业的时候才有650元。
大家回顾一下,做IT的谁的收入高?1、销售2、领导3、咨询专家4、售前工程师5、售后工程师我们在座的有3个是网络中心的主任或科长,他们的收入肯定比一般工程师高,我祝愿你们步步高升,收入节节高。
在座大多数是网络工程师,我们该怎么走,其实你们现在的单位都很好,但将来怎样很难知道,比如前几年银行的收入令人羡慕,现在他们却担心降工资,现在移动的收入不错吧,我有汽车厂商的学员,他告诉我他们的收入比移动好点,(同学们:哇)这是他们自己说的,好多少就没说了,还有某政府单位的,什么单位不便说,他们没告诉我他们的收入,只说,价格少于4万的笔记本他们不用,哇靠,4万的笔记本,什么配置?(同学们:那是服务器)我们不能比,人比人,气死人。
我们没法进入这些公司的,还是脚踏实地一点好,但我们做技术的也要考虑如何提高我们的收入,做技术的要提高收入,地位是关键,前面大家说只做做线,杀杀病毒,我们的地位在下降,工资怎么长得起来呢?想想我们做技术的,谁的收入高,做数据库的比做服务器的高,为什么Oracle那么火,做服务器的比写程序的高,写程序的比做网络高,这是普遍现象,不说特殊情况。
其实大家发现一个特点没有,凡是掌握企业关键业务的收入都很高,你看作数据库的,数据库坏了,企业完蛋了,领导当然重视,现在不仅讲存储,还讲灾备,你看很多银行,北京一个数据中心,上海一个数据中心。
我们网络怎样,设计的都是高可靠性的端到端备份,出问题的机会很少,而当应用出什么问题,都说是网络问题。
举个例子,有个单位(税务的学员告诉我的),有一天应用突然变慢,大家都说网络慢了,我们用尽troubleshooting的技术也发现不了问题,结果作数据库的工程师偷偷改一下表空间,好了,没问题了,我们不知道怎么好了,做数据库的不说他们有问题,还说网络好了,领导问我网络怎么好的,我不知道呀,领导说:赶快查出原因,避免再出现类似问题,哇塞,怎么查,本来网络就没问题,查什么查。
(同学们笑)所以现在大家用一个字来形容我们的工作?你们会用什么字(同学们:累、苦)很贴切,苦、累所以我们不能一直停留在网络的troubleshooting,我们必须提高我们的地位,要不我们会累死。
怎么提高地位,我们必须了解我们的业务,也就是要了解应用,了解应用在我们网络上的行为特征,很重要的一个词行为特征。
当我们了解了业务的行为特征,我们能定位某一个问题的真正故障点,举个例子:网络应用变慢,可能的原因有什么?网络问题,服务器问题,数据库问题,应用程序问题,客户机问题。
如果我们能够判断是哪一部分问题,我们就有发言权了,比如说刚才那种情况,如果我们直接说这是数据库问题,不是网络问题,领导会问,你凭什么说是数据库问题,你可以拿出Sniffer,专家系统上写着,DB Slow Server response诊断,(范老师在演示)再看解码,做一个用户验证操作,花了1.731秒,有根有据,大家想一想,有了Sniffer我们可以了解我们的业务行为特征,可以排除我们的责任,不但工作轻松了,地位也提高了。
(同学们笑)以前我们应用出现问题的时候我们总是分头查找问题,结果往往是没有结果,因为这种查找方式范围太大了,我们做troubleshooting第一步应该是:隔离故障。
如果我们有了Sniffer,首先用Sniffer看一下,最有可能是哪一部分问题,再安排检查,这样不但节省人力,速度会更快,效率也更高。
如果有人问我们Sniffer是什么?大家都会说是协议分析仪,你看sniffer网站()上说的是应用和网络分析系统。
究竟Sniffer是什么样的一个东西,我们要了解他的发展过程。
其实很多类似的产品比如ethereal,netscout,wildpacket等都有类似的发展过程第一阶段是抓包和解码,也就是把网络上的数据包抓下来,然后进行解码,那时候谁能解开的协议多,谁就是老大,Sniffer当时能解开的协议最多,也就理所当然地成了老大,现在Sniffer能解开550种协议,还是业界最多的,第二阶段是专家系统,也就是通过抓下来的数据包,根据他的特征和前后时间戳的关系,判断网络的数据流有没有问题,是哪一层的问题,有多严重,专家系统都会给出建议和解决方案,现在Sniffer的专家系统还是业界最强的第三阶段:是把网络分析工具发展成网络管理工具,为什么要这样,如果Sniffer知识用作网络分析,那Sniffer的软件就够用了,现在软件的portable基本上都是盗版的,sniffer没钱赚了,所以它必须往网络管理方向转,要作为网络管理工具,就必须能部署在网络中心,能长期监控,能主动管理网络,能排除潜在问题,要做到这些,就要求有更高的性能,所以Sniffer就有了相应的硬件产品,比如说分布式硬件平台,InfiniStream等,我知道在座各位都买了Sniffer的硬件,这时候如果用软件的Sniffer性能就不行了。
我们看一下,Sniffer究竟有什么用?第一,Sniffer可以帮助我们评估业务运行状态,如果你能告诉老板说,我们的业务运行正常,性能良好,比起你跟老板报告说网络没有问题,我想老板会更愿意听前面的报告,但我们要做这样的报告,光说是不行的,必须有根据,我们能提供什么样的根据呢。
比如各个应用的响应时间,一个操作需要的时间,应用带宽的消耗,应用的行为特征,应用性能的瓶颈等等,到第二门课,我会告诉大家怎么做到有根有据。
第二,Sniffer能够帮助我们评估网络的性能,比如,各连路的使用率,网络的性能的趋势,网络中哪一些应用消耗最多带宽,网络上哪一些用户消耗最多带宽,各分支机构流量状况,影响我们网络性能的主要因素,我们可否做一些相应的控制,等等第三,Sniffer帮助我们快速定位故障,这个大家比较有经验,我们记住Sniffer的三大功能:monitor,expert,decode这三大功能都可以帮助我们快速定位故障,我后面通过案例演示给大家看,大家再做做实验,很快就上手了(同学问:范老师,是否要学Sniffer必须对协议很熟,)不一定,我们可以通过Sniffer来学习各种协议,比如ospf,以前学网络的时候,讲OSPF的LSA好像很复杂,你用Sniffer看看,其实他的协议结构还是不复杂的,一般情况下,我会要求学Sniffer的学员有CCNP的基础,或者有几年的网络管理经验,我自己也是这样,刚开始只是用Sniffer抓抓包,抓下来也不知道怎么分析,当我学完CCNP后,学了CIT,以为自己不错了,会排除很多网络故障,但实际上很多问题我还是解决不了,比如网络慢,他又不断,断了我很快能解决,网络慢,或者丢包,一般的排错知识还是很难的,那时候开始学Sniffer,才发现很好用第四,Sniffer可以帮助我们排除潜在的威胁,我们网络中有各种各样的应用,有一些是关键应用,有一些是OA,有一些是非业务应用,还有一些就是威胁,他不但对我们的业务没有帮助,还可能带来危害,比如病毒、木马、扫描等,Sniffer可以快速地发现他们,并且发现攻击的来源,这就为我们做控制提供根据,比如我们要做QOS,不是说随便根据应用去分配带宽就解决了,我们要知道哪一些应用要多少带宽,带宽如何分配,要有根有据。