sniffer软件的初步使用方法
sniffer使用及图解教程
sniffer使用及图解
注:sniffer使用及图解sniffer pro 汉化注册版下载
黑白影院高清免费在线电影聚集网无聚集无生活,聚集网络经典资源下载
sniffer软件的安装还是比较简单的,我们只需要按照常规安装方法进行即可。需要说明的是:
在选择sniffer pro的安装目录时,默认是安装在c:\program files\nai\snifferNT目录中,我们可以通过旁边的Browse按钮修改路径,不过为了更好的使用还是建议各位用默认路径进行安装。
在注册用户时,随便输入注册信息即可,不过EMAIL一定要符合规范,需要带“@”。(如图1)
图1 点击放大
注册诸多数据后我们就来到设置网络连接状况了,一般对于企业用户只要不是通过“代理服务器”上网的都可以选择第一项——direct connection to the internet。(如图2)
图2
接下来才是真正的复制sniffer pro必需文件到本地硬盘,完成所有操作后出现setup complete提示,我们点finish按钮完成安装工作。
由于我们在使用sniffer pro时需要将网卡的监听模式切换为混杂,所以不重新启动计算机是无法实现切换功能的,因此在安装的最后,软件会提示重新启动计算机,我们按照提示操作即可。(如图3)
重新启动计算机后我们可以通过sniffer pro来监测网络中的数据包。我们通过“开始->所有程序->sniffer pro->sniffer”来启动该程序。
第一步:默认情况下sniffer pro会自动选择你的网卡进行监听,不过如果不能自动选择或者本地计算机有多个网卡的话,就需要我们手工指定网卡了。方法是通过软件的file菜单下的select settings来完成。
Sniffer软件的功能和使用方法
6.2.3 Sniffer软件的功能和使用方法
一、Sniffer基本概念
Sniffer,中文可以翻译为嗅探器,是一种基于被动侦听原理的网络分析方式。
使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。
当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将
网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。Sniffer技
术常常被黑客们用来截获用户的口令,据说某个骨干网络的路由器网段曾经被黑客
攻入,并嗅探到大量的用户口令。但实际上Sniffer技术被广泛地应用于网络故障
诊断、协议分析、应用性能分析和网络安全保障等各个领域。
二、Sniffer功能
Sniffer Pro主要包含4种功能组件
(1)监视:实时解码并显示网络通信流中的数据。
(2)捕获:抓取网络中传输的数据包并保存在缓冲区或指定的文件中,供以
后使用。
(3)分析:利用专家系统分析网络通信中潜在的问题,给出故障症状和诊断
报告。
(4)显示:对捕获的数据包进行解码并以统计表或各种图形方式显示在桌面
上。
网络监控是Sniffer的主要功能,其他功能都是为监控功能服务的,网络监控
可以提供下列信息。
(1)负载统计数据,包括一段时间内传输的帧数、字节数、网络利用率、广
播和组播分组计数等。
(2)出错统计数据,包换CRC错误、冲突碎片、超长帧、对准出错、冲突计
数等。
(3)按照不同的底层协议进行统计的数据。
(4)应用程序的响应时间和有关统计数据。
(5)单个工作站或会话组通信量的统计数据。
(6)不同大小数据包的统计数据。
SNIFFER的中文使用说明
Sniffer使用简介
一、捕获数据包前的准备工作
在默认情况下,sniffer将捕获其接入碰撞域中流经的所有数据包,但在某些场景下,有些数据包可能不是我们所需要的,为了快速定位网络问题所在,有必要对所要捕获的数据包作过滤。Sniffer提供了捕获数据包前的过滤规则的定义,过滤规则包括2、3层地址的定义和几百种协议的定义。定义过滤规则的做法一般如下:
1、在主界面选择capture→define filter选项。
2、define filter→address,这是最常用的定义。其中包括MAC地址、ip地址和ipx地址
的定义。以定义IP地址过滤为例,见图1。
图1
比如,现在要捕获地址为10.1.30.100的主机与其他主机通信的信息,在Mode选项卡中,选Include(选Exclude选项,是表示捕获除此地址外所有的数据包);在station选项中,在任意一栏填上10.1.30.100,另外一栏填上any(any表示所有的IP地址)。这样就完成了地址的定义。
注意到Dir.栏的图标:
表示,捕获station1收发的数据包;
表示,捕获station1发送的数据包;
表示,捕获station1收到的数据包。
最后,选取,将定义的规则保存下来,供以后使用。
3、define filter→advanced,定义希望捕获的相关协议的数据包。如图2。
图2
比如,想捕获FTP、NETBIOS、DNS、HTTP的数据包,那么说首先打开TCP选项卡,再进一步选协议;还要明确DNS、NETBIOS的数据包有些是属于UDP协议,故需在UDP选项卡做类似TCP选项卡的工作,否则捕获的数据包将不全。
sniffer用法教程
Sniffer软件是NAI公司推出的功能强大的协议分析软件,具有捕获网络流量进行详细分析、实时监控网络活动、利用专家分析系统诊断问题、收集网络利用率和错误等功能。Sniffer Pro 4.6可以运行在各种Windows平台上,只要安装在网络中的任何一台机器上,都可以监控到整个网络。以下以Sniffer 4.70汉化版本为例,介绍一下Snffer在网吧网络维护中的具体应用。
一、Sniffer软件的安装
在网上下载Sniffer软件后,直接运行安装程序,系统会提示输入个人信息和软件注册码,安装结束后,重新启动,之后再安装Sniffer汉化补丁。运行Sniffer程序后,系统会自动搜索机器中的网络适配器,点击确定进入Sniffer主界面。
二、Sniffer软件的使用
打开Sniffer软件后,会出现主界面,显示一些机器列表和Sniffer软件目前的运行情况,上面是软件的菜单,下面有一些快捷工具菜单,左侧还有一排快捷菜单按钮。由于使用的是汉化版软件,因此部分词语汉化不是太准确。
1、获取网络中的机器列表
Sniffer软件运行后,首先要搜索网络中的机器。在“工具”菜单中找到“地址簿”选项并运行,在“地址簿”中的左侧工具菜单中,可以找到一个“放大镜”的图标,这是“自动搜索”的按钮。运行“自动搜索”功能后,在IP地址段中输入网络的开始IP地址和结束地址,然后系统会自动搜索。搜索完成后,会出现一个如图1的机器列表。
2、保存机器列表
Sniffer搜索网络中所有的机器列表后,可以在“数据库”菜单中选择“保存地址簿”选项,将当前的机器列表保存,以备日后使用。由于Sniffer的地址簿保存了网络中客户机的IP地址、网卡的MAC地址等信息,如果网络中的客户机更换了网卡,则必须重新搜索机器列表并重新保存地址簿。如果网络中没有新机器增加,就无需更新此地址簿。
sniffer 教程
sniffer 教程
Sniffer是一个网络流量分析工具,用于截获和分析网络数据包。它可以用于网络管理、网络安全监测、漏洞分析等目的。下面是一些关于使用Sniffer的基本教程:
1. 安装Sniffer软件:首先,您需要从Sniffer官方网站或其他可靠的软件下载站点下载并安装Sniffer软件。安装过程通常与常规软件安装类似,您只需按照安装向导的指示进行操作。
2. 启动Sniffer:安装完成后,在您的计算机上找到Sniffer 的快捷方式或应用程序图标,双击打开Sniffer。
3. 设置网络接口:在Sniffer界面上,您需要选择要监测的网络接口。通常,您可以选择您的计算机上的网络接口(如以太网、Wi-Fi等)。选择要监测的网络接口后,单击“开始”或类似的按钮以开始捕获网络数据包。
4. 监测网络流量:一旦Sniffer开始捕获网络数据包,它将显示经过所选网络接口的流量。您可以在Sniffer界面上查
看捕获的数据包,并从中提取关键信息,如源地址、目的地址、协议类型等。
5. 分析网络流量:Sniffer还提供了一些分析工具,如过滤器、统计数据、图形化界面等,以帮助您分析捕获的网络流量。您可以使用这些工具来过滤特定类型的数据包,生成统计报告,可视化网络流量数据等。
需要注意的是,使用Sniffer工具需要具备一定的网络知识和技能,以有效地利用捕获的数据包进行分析。此外,出于安全和合法性的考虑,在使用Sniffer时,请确保遵守相关法律和规定,并仅在授权范围内使用该工具。
sniffer详解第三天
今天的课程是snifffer详解第三天
1、数据包的捕获
2、专家模式的应用
3、解码分析
如何捕获数据包
捕获数据的机制相对比较简单,需要做的就是实际分析
虽然sniffer是一款强大的网络嗅探软件,但是它不能监测网络任意点的所有流量,
sniffer主要用于捕获该工具所在的网络链路的流量并进行分析。
在显示捕获信息的窗口中,包括:高级、解码、矩阵、主机列表、协议分布、统计{Expert}高级专家模式
在没有捕获到数据之前,这个窗口不会显示任何信息,捕获的信息和过滤器相关联
Diagnoses 产生一些错误或者问题
Symptoms 征兆
Objects 可以得到数据包在各个层的信息
常见的一些征兆:
ack too long(180ms)
“ACK 过长”这个问题是由于发送方没能在指定时内收到预期的回应而引起的。这个
问题在比较慢的LAN 区段或者WAN 链接中经常出现。这里,我们会与一个流量受到限制的Novell NetWare 服务器进行通讯,这里得到TCP ACK 回应就需要长一点时
window Frozen
“窗口冻结”这条信息说明一个应用程序可能存在性能上的问题,原因是
接收方的主机可能不能跟上发送方主机传输数据的速度
WIND No Response
当你的主机找不到WINS 服务器或者设置的WINS 服务器有错误时,经常会出现这条
信息
解码{Decode}:
单击Decode选项,显示解码窗口,其显示了所有被sniffer pro 按照过滤器规则捕获的解码窗口从上到下分为三个部分:
总结:给出了捕获的数据,源地址、目标地址、时间和长度
Sniffer软件使用实验报告
教师:
4. Matrix矩阵的应用
点击图Matrix图标,出现全网的连接示意图,图中绿线表
示正在发生的网络连接绿色线表示过去发生的连接。将鼠
标放到线上可以看出连接情况。很多人用他来发现病毒,
其实用他来评估网络状况和异常流量,是一个很好用的工
具。如要查看哪那一台主机的连接数最多,鼠标右键在弹
出的菜单中可选择放大(zoom)此图。找到对外连接最多
的机器,选中后,按鼠标右键,选show select nodes,就可
以查看特定的点对多点的网络连接。
6.抓某台机器的所有数据包
6.1抓取192.168.0.46这台机器的所有数据包。如下图选择这台机器。点击左侧捕获图标望远镜图标变红时,表示已捕捉到数据
五、实验数据及结果分析:
1、数据报文分层
如下表所示为网络结构中的四层协议,不同层次完成不同的功能,每一层都有众多协议组成。
应用层---------------Telnet、Ftp和Email等
传输层---------------TCP 和UDP
2、以太报文结构
如下表所示为Ethernet帧结构
DMAC SMAC TYPE DATA/PAD
这种类型报文结构为:目的MAC地址(6bytes)+源MAC地址(6bytes)+上层协议类型(2bytes)+数据字段(
于是,如图所示,解码表中分别显示各字段内容,若要查看MAC详细内容,鼠标点击上面解码框中地址,在下面的表格中回以黑色突出显示对应的16进制编码。
01-03-sniffer运行说明
一、安装sniffer,正常输入序列号,选择不重新启动计算机;
按正常的方法安装sniffer,在提示需要重新启动机器时,选择不需要重新启动。
二、启动sniffer
(该方法也适用其它软件,前提是需要知道要加载哪个驱动程序(.sys文件))
打开osrloader,如下图:
点击“browser”找到sniffer.sys,打开,然后点击“start servie”即可,如果不能启动,请选择左侧“register service”,再点击“start servie”即可。
实验6:Sniffer_Pro的基本使用和实例
超级网络嗅探器——Sniffer pro 的使用
Sniffer软件是NAI公司推出的功能强大的协议分析软件。实现对网络的监控,更深入地了解网络存在的问题,检测和修复网络故障和安全问题。 Sniffer可以监听到网上传输的所有信息,主要用来接收在网络上传输的信息。
Sniffer可以截获口令、专用信道内的信息、信用卡号、经济数据、E-mail等,还可以用来攻击与自己相临的网络。
Sniffer的功能主要包括如下几方面:
捕获网络流量进行详细分析。
利用专家分析系统诊断问题。
实时监控网络活动情况。
监控单个工作站、会话或者网络中任何一部分的网络利用情况和错误统计。
支持主要的LAN、WAN和网络技术。
提供在位和字节水平过滤数据包的能力。
1 Sniffer Pro的启动和设置
2 理解Sniffer Pro主要4种功能组件的作用:
监视:实时解码并显示网络通信流中的数据。
捕获:抓取网络中传输的数据包并保存在缓冲区或指定的文件中,供以后使用。
分析:利用专家系统分析网络通信中潜在的问题,给出故障症状和诊断报告。
显示:对捕获的数据包进行解码并以统计表或各种图形方式显示在桌面上。
3 学会sniffer工具的基本使用方法,用sniffer捕获报文并进行分析。
环境:
windows XP, windows 7,能访问INTERNET。
Sniffer pro主界面
在默认情况下,Sniffer将捕获其接入的域中流经的所有数据包,但在某些场景下,有些数据包可能不是我们所需要的,为了快速定位网络问题所在,有必要对所要捕获的数据包作过滤。Sniffer提供了捕获数据包前的过滤规则的定义,过滤规则包括2、3层地址的定义和几百种协议的定义。
sniffer基本操作
利用Sniffer抓包
• 在抓包过滤器窗口中,选择 在抓包过滤器窗口中,选择Address选项卡,如下图所示。 选项卡, 选项卡 如下图所示。 • 窗口中需要修改两个地方:在Address下拉列表中,选择抓 窗口中需要修改两个地方: 下拉列表中, 下拉列表中 包的类型是IP, 下面输入主机的IP地址 包的类型是 ,在Station1下面输入主机的 地址,主机的 下面输入主机的 地址, IP地址是 地址是172.18.25.110;在与之对应的 地址是 ;在与之对应的Station2下面输入虚 下面输入虚 拟机的IP地址 虚拟机的IP地址是 地址, 地址是172.18.25.109。 拟机的 地址,虚拟机的 地址是 。
利用sniffer抓包在出现的窗口选择decode选项卡可以看到数据包在两台计算机间的传递过程如图133所示
网络抓包软件Sniffer
利用Sniffer抓包
• 进入Sniffer主界面,抓包之前必须首先设置要抓取数据包 的类型。选择主菜单Capture下的Define Filter菜单,如图 1-26所示。
利用Sniffer抓包
• 设置完毕后,点击该窗口的Advanced选项卡,拖动滚动条 设置完毕后,点击该窗口的 选项卡, 选项卡 找到IP项,将IP和ICMP选中,如下图所示。 找到 项 和 选中,如下图所示。 选中
利用Sniffer抓包
实训五:Sniffer软件使用
Sniffer软件使用
一、实训要求
学会安装使用sniffer 软件,学会掌握sniffer 软件使用
二、实训目的
Sniffer的主要是分析网络的流量,来发现网络的问题,学sniffer 的简单使用。
三、实训内容
3.1捕获数据
通过Sniffer进行网络和协议分析,需要先捕获网络中的数据。默认状态下,由于Sniffer 没有进行过滤设置,会捕获网络中所有数据。
(1)单击工具栏上的按钮,或依次选择“Capture”-“Stare”选项,显示“Expert”窗口,Sniffer开始捕获的各种数据,能显示捕获的数据的概要信息,如下图所示:
(2)如图要查看当前捕获的各种数据,单击对话框左侧的“service”、“connection”选项,在右侧即可显示相应的数据的概要信息。单击“Objects”选项开卡、可显示当前所监视对象的详细信息,如下图可显示:
(3)当前Sniffer捕获一定的数据,就可以停止捕获并进行分析。单击工具上的快捷按钮,或依次选择“Caputure”- “Stop”选项。即可停止捕获。从而了解网络的使用状况。
3.2 查看分析捕获的数据
依次选择“Capture”- “Display”选项,即可查看所有捕获的内容了。选择该窗口下方的“Dcecode”选项卡,显示如下图所示窗口,该窗口共分为3个部分,由上到下依次为:总结、详细材料和Hex窗口的内容,可以查看所捕获的每一个帧的详细。
Matrix
Sniffer的矩阵功能可以直观地显示网络中各种计算机之间的连接。单击窗口下方的“Matrix”标签,如下图所示,以“Matrix”方式显示了网络中各种计算机之间的连接情况,默认以MAC地址代表计算机。
Sniffer使用说明
Sniffer简单使用说明
1、选择网络适配器
图-1
选择正确的网卡(连接交易所的),选中复选框Log Off,然后点击确认按钮。在界面图-2中点击LOG ON菜单项,生成图界面。
图-2
2、参数设置
图-3
点击红圈所示按钮出现如图-4界面
图-4
在图-4界面上选择Address页面
图-5
在Address栏选择IP,Station 1输入本地网卡IP地址(连交易所的),Station 2可以输入交易所前置的地址,或者是Any。
然后选择Advanced页面。如图-6
图-6
图-7
选择IP复选框和他的下一级TCP复选框,后点击确认按钮。
3、抓数据包
图-8
点击开始按钮,程序开始抓数据包。
4、查看并保存数据文件
图-9
点击停止并察看按钮(可以先按停止按钮再按查看按钮)跳出界面如图-10所示。
图-10
选择Decode页面,显示的就是收到的数据包。
图-11
点击保存按钮,保存数据文件。
Sniffer使用教程
目录
第1章 Sniffer软件简介......................................................... 1-1
1.1 概述....................................................................... 1-1
1.2 功能简介................................................................... 1-1第2章报文捕获解析............................................................. 2-1
2.1 捕获面板................................................................... 2-1
2.2 捕获过程报文统计........................................................... 2-1
2.3 捕获报文查看............................................................... 2-2
2.4 设置捕获条件............................................................... 2-4第3章报文放送................................................................. 3-1
sniffer类软件使用指南
sniffer类软件使用指南
在分析网络故障的时候,sniffer是一个很好的东西,必不可少。常用的大概有两种:
一个是sniffer pro,一个是iris。
这两个软件都可以嗅探数据,但偏重不一样, sniffer pro偏重于图表,对于流量,连接等很直观,缺点是不能及时显示数据。
Iris则是偏重于协议的分析和还原上,它的过滤规则比sniffer pro丰富.
一般来说,看流量和连接情况,用sniffer pro, 看及时数据用iris.但iris没有sniffer pro稳定,经常崩溃掉。
1. sniffer pro
sniffer pro也有一个filter的规则过滤条件,和iris相比比较简单:
sniffer pro一启动就会自动抓包,根据网络上每个IP,MAC等流量用图表显示:
在判断网络流量异常的时候用这个来分析非常准确,一般的流量大故障都可以通过这些图表来分析出来。
和IRIS不同的是如果你想抓包的话,具体数据不能适时显示,只能在停止以后才可以看到
包的内容和解码后的东西。
2. iris
这里是及时的连接情况:
下面是sniffer到的数据:
左边则是解码内容:
解码之后的内容:
值得注意的是sniffer pro保存的文件可以由iris打开,但iris保存的文件sniffer pro不支持。
sniffer工具的基本使用方法
sniffer工具的基本使用方法
一、实验目的:
1、掌握Sniffer软件的安装
2、掌握Sniffer软件的简单应用
3、练习sniffer工具的基本使用方法;
4、用sniffer捕获报文并进行分析。
二、实验环境:
在同一台物理机上打开两台虚拟机,预装Windows 及windows sever2003操作系统。
三、实验准备:
两台虚拟机必须ping通,接入本地网络,然后把二者的ip地址设在同一网段,因为vpc与vmc虚拟机环境不同,在vpc里必须手动将二者防火墙关闭,才能网络互通!
之后,将sniffer安装在xp的系统上,用2003系统做客户端。
四、实验内容:
1、实现Sniffer软件的安装
2、简单应用Sniffer软件,了解其基本功能。
常用功能介绍:
1、Dashboard (网络流量表)
点击图1中①所指的图标,出现三个表,第一个表显示的是网络的使用率(Utilization),第二个表显示的是网络的每秒钟通过的包数量(Packets),第三个表显示的是网络的每秒错误率(Errors)。通过这三个表可以直观的观察到网络的使用情况,红色部分显示的是根据网络要求设置的上限。选择图1中②所指的选项将显示如图2所示的更为详细的网络相关数据的曲线图。
2. Host table(主机列表)如图所示,点击图中所指的图标,出现图中显示的界面,选择图中所指的IP选项,界面中出现的是所有在线的本网主机地址及连到外网的外网服务器地址,此时想看看192.168.5.20这台机器的上网情况,只需如图中所示单击该地址出现界面。
Sniffer软件的功能和使用方法
6.2.3 Sniffer软件的功能和使用方法
一、Sniffer基本概念
Sniffer,中文可以翻译为嗅探器,是一种基于被动侦听原理的网络分析方式。
使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。
当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将
网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。Sniffer技
术常常被黑客们用来截获用户的口令,据说某个骨干网络的路由器网段曾经被黑客
攻入,并嗅探到大量的用户口令。但实际上Sniffer技术被广泛地应用于网络故障
诊断、协议分析、应用性能分析和网络安全保障等各个领域。
二、Sniffer功能
Sniffer Pro主要包含4种功能组件
(1)监视:实时解码并显示网络通信流中的数据。
(2)捕获:抓取网络中传输的数据包并保存在缓冲区或指定的文件中,供以
后使用。
(3)分析:利用专家系统分析网络通信中潜在的问题,给出故障症状和诊断
报告。
(4)显示:对捕获的数据包进行解码并以统计表或各种图形方式显示在桌面
上。
网络监控是Sniffer的主要功能,其他功能都是为监控功能服务的,网络监控
可以提供下列信息。
(1)负载统计数据,包括一段时间内传输的帧数、字节数、网络利用率、广
播和组播分组计数等。
(2)出错统计数据,包换CRC错误、冲突碎片、超长帧、对准出错、冲突计
数等。
(3)按照不同的底层协议进行统计的数据。
(4)应用程序的响应时间和有关统计数据。
(5)单个工作站或会话组通信量的统计数据。
(6)不同大小数据包的统计数据。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
使用Sniffer工具分析以太网帧和IP数据报
一、实验目的
通过使用Sniffer Pro软件掌握Sniffer(嗅探器)工具的使用方法,实现捕捉FTP、HTTP等协议的数据包,以理解TCP/IP协议中多种协议的数据结构。
二、实验原理
Sniffer即网络嗅探器,用于监听网络中的数据包,分析网络性能和故障。Sniffer 主要用于网络管理和网络维护,系统管理员通过Sniffer可以诊断出通过常规工具难以解决的网络疑难问题,包括计算机之间的异常通信、不同网络协议的通信流量、每个数据包的源地址和目的地址等,它将提供非常详细的信息。
通常每个网络接口都有一个互不相同的硬件地址(MAC地址),同时,每个网段有一个在此网段中广播数据包的广播地址(代表所有的接口地址)。一般情况下,一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧,并由操作系统进一步进行处理,同时丢弃不是发给自己的数据帧。
通过Sniffer工具,可以将网络接口设置为“混杂”(promiscuous)模式。在这种模式下,网络接口就处于一个对网络进行“监听”的状态,它可以监听此网络中传输的所有数据帧-而不管数据帧的目标地址是广播地址还是自己或者其它网络接口的地址了。它将对遭遇的每一个数据帧产生硬件中断.交由操作系统对这个帧进行处理,比如截获这个数据帧,进而实现实时分析数据帧中包含的内容。
当然,如果一个数据帧没有发送到目标主机的网络接口,则目标主机将无法监听到该帧。所以Sniffer所能监听到的信息将仅限于在同一个物理网络内传送的数据帧.就是说和监听的目标中间不能有路由(交换)或其它屏蔽广播包的设备。因此。当Sniffer 工作在由集线器(hub)构建的广播型局域网时,它可以监听到此物理网络内所有传送的数据;而对于由交换机(switch)和路由器(router)构建的网络中,由于这些网络设备只根据目标地址分发数据帧,所以在这种网络中,Sniffer工具就只能监测到目标地址是自己的数据帧再加上针对广播地址的数据帧了。
Sniffer工作在OSI模型中的第2层,它一般在已经进入对方系统的情况下使用。实验中要注意,虽然Sniffer能得到在局域网中传送的大量数据,但是不加选择的接收所有的数据包,并且进行长时间的监听,那么你需要分析的数据量将是非常巨大的,并且会浪费大量硬盘空间。
Sniffer工具分为软件和硬件两大类,在这里我们主要以Sniffer Pro软件为例对Sniffer工具的使用方法和功能进行简单的介绍。当然,Sniffer软件工具还有很多种,例如 SQLServerSniffer、FsSniffer等,它们的功能和使用的环境有所不同,如果读者感兴趣,可以自己进行深入探索。
对于Sniffer工具的防范可以从以下几个方面进行:首先,如果通过网管工具发现在局域网内存在长时间占用较大带宽的计算机,这台计算机可能在进行嗅探:其次,Sniffer的记录文件增长很快,通过分析文件系统大小的变换情况,可以找到这个文件;最后,如果计算机的网络接口处于混杂模式下(在Unix环境下通过ifconfig -a命令查看网络接口状态),则它很可能运行了Sniffer。通过上面的几种方法,可以对Sniffer 进行分析监测。除了这些间接分析方法外,还可以利用AntiSniff工具,它具有直接检测Sniffer的功能,从而可以对Sniffer进行有效防范。
三、实验环境
两台安装Windows 2000/XP的PC机,在其中一台上安装Sniffer Pro软件。将两台 PC 机通过hub相连,组成一个局域网。
四、实验内容和步骤
任务一熟悉Sniffer Pro工具的使用
1 sniffer Pro软件简介
Stuffer软件是NAI公司推出的功能强大的协议分析软件,实验中使用Sniffer Pro 4.7来截获网络中传输的各种数据包,并进行分析。
2使用说明
启动Sniffer Pro软件后可以看到它的主界面,如图1所示
图一主界面
网络监视面板简介,Dashboard可以监控网络的利用率、流量及错误报文等内容如图2所示。
图2 Dashboard界面
从Host table可以直观地看出连接的主机,如图3所示,显示方式为IP
图3 Host table界面
可以通过点击左下角的MAC,IP,IPX 来改变显示格式,如图4是MAC地址
图4MAC地址界面
任务二捕获IP数据包并进行分析
(1)假设A主机监视B主机的活动,首先A主机要知道B主机的IP地址,B主机可以在命令符提示下输入ipconfig查询自己的IP地址并通知A主机。
(2)选中Monitor菜单下的Matrix或直接点击网络性能监视快捷键,此时可以看到网络中的Traffic Map视图,如图5所示,可以单击左下角的MAC、IP或IPX使Traffic Map 视图显示相应主机的MAC地址、IP地址或IPX地址。图5显示的是IP地址,每条连线表明两台主机间的通信。
图5
(3)单击菜单中的Capture→Define Filter→Advanced,再选中IP→TCP→FTP,如图6所示,然后单击OK。
图6
(4)回到Traffic Map视图中,用鼠标选中要捕捉的B主机IP地址,选中后IP
地址以白底高亮显示。此时,单击鼠标右键,选中Capture或者单击捕获报文快捷键中的开始按钮,Sniffer则开始捕捉指定IP地址主机的有关FTP协议的数据包,如图7所示。
图7
(5)开始捕捉后,单击工具栏中的Capture Panel按钮,如图8所示,图中显示出捕捉的Packet
的数量。
图8
(6)此时,从Capture Panel中看到捕获数据包已达到一定数量,单击Stop and Display 按钮,停止抓包,单击窗口左下角的Decode选项.窗中会显示所捕捉的数据,并分
析捕获的数据包,如图9所示
图9
从捕获的数据包中,可以分析以太网帧头部和IP数据报头部的格式,了解这两种头部格式中各种字段的含义。在报文解码窗口中进行分析时,在窗口2中选中一项,在窗口3(十六进制内容)中都会有相应的数据与之对应,如图10所示。