Sniffer Pro的基本操作及协议分析
实训指导1.2-0SnifferPro协议分析软件的使用(精)
任务相关工具软件介绍
(6)常用的网络协议分析软件
集线器 互联网
专业务实
学以致用
任务相关工具软件介绍
(4)软件的网络协议分析系统的安装部署
具备镜像功能的交换式网络:使用交换机(Switch)作为网络的中心交换设 备的网络即为交换式网络。网络中的交换机具备镜像功能时,可在交换机上 配置好端口镜像,再将网络协议分析软件安装在连接镜像端口的主机上,此 时软件可以捕获整个网络中所有的数据通讯。
交换机
代理服务器 互联网
专业务实
学以致用
任务相关工具软件介绍
(5)软件的网络协议分析系统构成
在前面所讲的几种协议分析系统的部署中,无论是哪一种网络类型, 协议分析的主机网卡需要一个驱动,以保证网卡接收不是发送给自己的数据 帧。即要保证网卡处于混杂模式! 协议分析软件:基于软件的协议分析系统的主机,协议分析主成程是进 行协议分析的应用层软件。
(3)协议分析器的实现形式
手持式综合协议分析器:从协议分析仪发展的角度来说,网络维护人员 越来越需要使用功能强大并能将多种网络测试手段集于一身的综合式测试分 析手段,典型的协议分析仪上的功能延展就是加入网管功能、自动网络信息 搜集功能、智能的专家故障诊断功能, 并且移动性能要有效。这种综合的 协议分析仪或者说是综合的网络分析仪成为了当今网络维护和测试仪的主要 发展趋势。例如FLUKE的协议分析系统。
专业务实
学以致用
任务相关工具软件介绍
(4)软件的网络协议分析系统的安装部署
网络协议分析软件以嗅探方式工作,它必须要采集到网络中的原始数 据包,才能准确分析网络故障。但如果安装的位置不当,采集不到所需要 的数据包,从而会影响分析的结果。 网络协议分析软件的安装部署有以下 几种情况:
实验十 sniffer网络嗅探软件的使用
实验十 sniffer网络嗅探软件的使用
【实验目的】
1.熟悉网络监听工具Sniffer Pro操作界面;
2.了解Sniffer Pro捕获与监听网络数据方法;
3.强化网络安全意识。
【实验内容】
1.安装Sniffer Pro,执行SnifferPro.exe安装程序,完成注册和安装。
2.运用Sniffer pro的一些基本操作命令
【实验步骤】
(一)安装和运行Sniffer Pro
1.启动软件,先选择一个网卡,点击确定
2.Sniffer Pro主界面如图所示
(二)运用Sniffer Pro的操作命令
1.Ping操作:ping也属于一个通信协议,是TCP/IP协议的一部分。
利用“ping”命令可以检查网络是否连通,可以很好地帮助我们分析和判定网络故障。
应用格式:Ping空格IP地址。
该命令还可以加许多参数使用,具体是键入Ping按回车即可看到详细说明。
2.Dns look up:域名查询解析工具
3.Traceroute:traceroute (Windows 系统下是tracert) 命令利用ICMP 协议定位您的计算机和目标计算机之间的所有路由器。
TTL 值可以反映数据包经过的路由器或网关的数量,通过操纵独立ICMP 呼叫报文的TTL 值和观察该报文被抛弃的返回信息,traceroute命令能够遍历到数据包传输路径上的所有路由器。
sniffer_Pro的使用大全
实验一Sniffer Pro的使用【实验目的】1) 熟练掌握Sniffer Pro对数据包捕获的使用方法。
2) 掌握利用Sniffer Pro进行数据包结构分析、进而理解协议对数据的封装。
【实验环境】Windows XP、2003 Server等系统,Sniffer Pro软件。
【实验内容】第一部分:学习sniffer1.首先,打开Sniffer Pro程序,如果系统要求的话,还要选择一个适配器(使用哪个网卡)。
打开了程序后,会看到图中的屏幕。
图1 Sniffer Pro程序主界面2.打开Sniffer Pro程序后,选择Capture(捕获)-Start(开始),或者使用F10键,或者是工具栏上的开始箭头。
因为捕获过程需要几分钟才能完成,这时我们可以先了解如何自定义Sniffer Pro高级与捕获窗口,这样后面就可以节省一点时间。
3.下面,在Sniffer Pro程序中,会看到高级系统(Expert)被自动调用,如图2所示。
打开这个窗口后,不会看到任何东西,除非停止捕获过程才可以查看内容。
让捕获过程持续运行一段时间,这时可以自定义高级系统,这样就能实时地看到不断出现的问题。
图2 开始捕获过程时调用高级系统4.浏览图2中的屏幕。
高级窗口这时会滚动到窗口左边,只能看到工具栏,而没有任何详细资料。
如果要查看详细资料,就要找到高级窗口对话框左上角的箭头,这个箭头在“层次”这个词的右边。
单击这个箭头后,会显示出高级功能的另一部分窗口,如图3所示。
5.你可以看到我们能自定义Sniffer Pro程序用于将来的捕获过程,所以我们在下面要对如何使用高级功能进行分析。
如果要进一步自定义我们的Sniffe Pro高级功能,就要在一个视图中显示所有定义对象的详细资料。
如果再看一次图3,你会发现在高级对话框的最右边有两个卷标:一个是“总结”卷标,另一个是“对象”卷标。
在图4中,你会看到这两个卷标都消失了,被两个窗口取代。
指导手册-SnifferPro 数据包捕获与协议分析
网络分析工具Sniffer Pro一、训练目标1、了解常用网络分析工具2、会使用网络分析工具Sniffer Pro二、实训环境要求利用VMware软件虚拟出一台计算机(称为“虚拟机”或“虚拟系统”),与物理机组成一个最小的网络实验环境,作为网络攻击的目标计算机,物理机作为实施网络攻击的主机。
建议安装方式:在XP系统中,安装虚拟的windows2003/2000 Server系统三、实训内容任务1:网络分析工具Sniffer Pro的使用Sniffer Pro是一种很好的网络分析程序,允许管理员逐个数据包查看通过网络的实际数据,从而了解网络的实际运行情况。
它具有以下特点:1. 可以解码至少450种协议。
除了IP、IPX和其它一些“标准”协议外,Sniffer Pro还可以解码分析很多由厂商自己开发或者使用的专门协议,比如思科VLAN中继协议(ISL)。
2. 支持主要的局域网(LAN)、城域网(WAN)等网络技术(包括高速与超高速以太网、令牌环、802.11b无线网、SONET传递的数据包、T-1、帧延迟和ATM)。
3. 提供在位和字节水平上过滤数据包的能力。
4. 提供对网络问题的高级分析和诊断,并推荐应该采取的正确措施。
5. Switch Expert可以提供从各种网络交换机查询统计结果的功能。
6. 网络流量生成器能够以千兆的速度运行。
7. 可以离线捕获数据,如捕获帧。
因为帧通常都是用8位的分界数组来校准,所以SnifferPro只能以字节为单位捕获数据。
但过滤器在位或者字节水平都可以定义。
需要注意的是,使用Sniffer捕获数据时,由于网络中传输的数据量特别大,如果安装Sniffer的计算机内存太小,会导致系统交换到磁盘,从而使性能下降。
如果系统没有足够的物理内存来执行捕获功能,就很容易造成Sniffer系统死机或者崩溃。
因此,网络中捕获的流量越多,Sniffer系统就应该运行得更快、功能更强。
实验4 Siniffer Pro的使用
专家分析 系统
捕获报文的 图形分析
捕获报文的其他 统计信息
专家分分析系统提供了一个智能的分析平台, 对网络上的流量进行了一些分析
双击此记录可以 查看详细信息
捕获的 报文
报文解 码
二进制 内容
报文解析界面
实验4 使用Sniffer Pro网络分析器
实验目的:
(1)掌握Sniffer工具的安装与使用方法。 (2)理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构。 (3)掌握ICMP协议的类型和代码 (4)理解网络中数据留流的封包格式与输出字段。 (5)掌握碎片的原理和重组过程。 (6)充分理解采用加密和不加密和技术数据的传播状态。
Sniffer Pro主界面
2)定义要捕捉的目的地址和数据包类型 在Capture菜单中选中Define Filter。 目的地址:Address选项 数据包类型 :Advanced选项
Sniffer的抓包过滤器设置完毕后,接下来就开始发送和接收数据包。 并使用Sniffer报文捕获命令捕获报文
3)报文捕获解析
报文捕获功能可以在报文捕获面板或Capture菜单中进行完成
捕获条件 编辑
选择捕获 条件
捕获开始
捕获暂停 捕获停止 捕获停止 并查看 捕获查看
网络性能监 视快捷键
捕获面板
定义要捕捉目的地址的另一种方法
选中Monitor菜单下的Matrix,可以查看网络中的Traffic Map视图
Sniffer Pro简介
Sniffer软件是NAI(美国网络联盟)公司推出 的功能强大的协议分析软件。 主要功能
– –
–
–
捕获网络流量进行详细分析 利用专家分析系统诊断问题 实时监控网络活动 收集网络利用率和错误等
Sniffer_Pro中文使用教程
Sniffer_Pro中文使用教程Sniffer Pro中文使用教程第1章Sniffer软件简介............................................................................................................ 1-11.1 概述 .......................................................................................................................... ... 1-11.2 功能简介...................................................................................................................... 1-1第2章报文捕获解析................................................................................................................ 2-12.1 捕获面板...................................................................................................................... 2-12.2 捕获过程报文统计 ....................................................................................................... 2-12.3捕获报文查看.............................................................................................................. 2-22.4设置捕获条件.............................................................................................................. 2-3第3章报文放送...................................................................................................................... 3-13.1 编辑报文发送............................................................................................................... 3-13.2捕获编辑报文发送....................................................................................................... 3-2第4章网络监视功能................................................................................................................ 4-14.1Dashbord ........................................................................................................... .......... 4-14.2 Application Response Time (ART) ............................................................................. 4-1第5章数据报文解码详解......................................................................................................... 5-15.1数据报文分层.............................................................................................................. 5-15.2以太报文结构.............................................................................................................. 5-15.3 IP协议......................................................................................................................... 5-35.4 ARP协议..................................................................................................................... 5-45.5 PPPOE协议 .................................................................................................................. 5-65.6 Radius协议................................................................................................................. 5-9第1章 Sniffer软件简介1.1 概述Sniffer软件是NAI公司推出的功能强大的协议分析软件。
sniffer pro的工作原理
sniffer pro的工作原理
Sniffer Pro是一种网络分析工具,用于在计算机网络上捕获、分析和解码网络数据包。
它的工作原理主要包括以下几个步骤:
1. 捕获数据包:Sniffer Pro通过网络接口卡或者网络设备,如交换机、路由器等,实时监听网络通信流量,并捕获经过的数据包。
2. 数据包过滤:Sniffer Pro可以根据用户定义的过滤规则来筛选感兴趣的数据包。
例如,可以根据源IP地址、目标IP地址、协议类型、端口号等条件进行过滤,以便只关注特定的网络流量。
3. 解析和重组数据包:Sniffer Pro对捕获到的数据包进行解析和重组,将二进制数据转换成可读的格式,显示出数据包的各个字段和内容。
它可以支持多种协议解析,如TCP/IP、HTTP、FTP、DNS等。
4. 分析网络流量:Sniffer Pro提供了丰富的分析功能,可以对网络流量进行统计、绘图和报表生成。
用户可以通过这些分析结果来查找网络问题、检测安全漏洞、优化网络性能等。
5. 高级功能:除了基本的捕获和分析功能,Sniffer Pro 还提供了一些高级功能,如会话重建、流量重放、协议模拟等。
这些功能可以帮助用户更深入地了解网络通信过程,并
进行相关的测试和调试工作。
总之,Sniffer Pro通过捕获、分析和解码网络数据包,提供了一个全面的工具集,用于帮助用户监控和分析计算机网络中的数据流量,以实现网络故障排查、网络性能优化和网络安全等目的。
超级网络分析工具Sniffer Pro详解
目录基本的TCP/IP协议介绍(IP/TCP/UDP) 1超级网络分析工具Sniffer Pro详解 6TCP/IP网络数据报分析26使用Sniffer工具进行TCP/IP、ICMP数据包分析32TCP协议分析实验37基本的TCP/IP协议介绍(IP/TCP/UDP)IP/IPv4:网际协议IP/IPv4:网际协议(IP/IPv4:Internet Protocol)网际协议(IP)是一个网络层协议,它包含寻址信息和控制信息,可使数据包在网络中路由。
IP 协议是TCP/IP 协议族中的主要网络层协议,与TCP 协议结合组成整个因特网协议的核心协议。
IP 协议同样都适用于LAN 和WAN 通信。
IP 协议有两个基本任务:提供无连接的和最有效的数据包传送;提供数据包的分割及重组以支持不同最大传输单元大小的数据连接。
对于互联网络中IP 数据报的路由选择处理,有一套完善的IP 寻址方式。
每一个IP 地址都有其特定的组成但同时遵循基本格式。
IP 地址可以进行细分并可用于建立子网地址。
TCP/IP 网络中的每台计算机都被分配了一个唯一的32 位逻辑地址,这个地址分为两个主要部分:网络号和主机号。
网络号用以确认网络,如果该网络是因特网的一部分,其网络号必须由InterNIC 统一分配。
一个网络服务器供应商(ISP)可以从InterNIC 那里获得一块网络地址,按照需要自己分配地址空间。
主机号确认网络中的主机,它由本地网络管理员分配。
当你发送或接受数据时(例如,一封电子信函或网页),消息分成若干个块,也就是我们所说的“包”。
每个包既包含发送者的网络地址又包含接受者的地址。
由于消息被划分为大量的包,若需要,每个包都可以通过不同的网络路径发送出去。
包到达时的顺序不一定和发送顺序相同,IP 协议只用于发送包,而TCP 协议负责将其按正确顺序排列。
除了ARP 和RARP ,其它所有TCP/IP 族中的协议都是使用IP 传送主机与主机间的通信。
sniffer_pro使用教程
sniffer pro的使用先来看看, sniffer proDashboard 网络流量表Host Table 网络连接表,可以直观的看出连接你的主机,还可以用MAC/IP/IPX,三种显示。
Applicatien Response Time 主机回应指数,可以选择协议的, TCP/UDP下的http.Ftp 等等。
Matrix (让我想到黑客帝国)这里是查看网路连结,很立体的那种。
Protocol Distribution 显示网络中协议的使用量, IP/ARP/IPXGlobal statistics 整体网络使用显示下面是Capture 下的选项:Start 开始捕捉Display 显示Define Filter 设置过滤下面是Tools 下的选项:Address Book 地址本Packet Generator 数据发送机Ping 工具 (这些都是常用的工具)Trace RouteDns lookupFingerWho isCustomize user Tools 用户自定义工具,可自己把工具加上去。
选项高级选项大体上是这样了!现就抓几个包来看看啦!1. Telnet密码1.1 由本机连接到别的开telnet的主机和netxray的用法一样, Define filter ---> advanced在协议中选上 IP/TCP/TELNET, 然后Packet Size --> Equal 55, Packet Type --> Normal.截取的数据包:当你想停止sniff时,按capture --> stop en display , 然后会选Decode 就可一看到数据包的内容了!你就可一在 Summary 中看到用户和密码,从上往下, chi就是用户名。
1.2 本地主机开了Telnet, 并进行监听这里也许会麻烦点,不过是为了过滤掉没用的Tcp数据包,好,Capture --> Define filter -> Advanced选IP/TCP/Telnet , Packet Size --> Equal 67, Packet Type --> Normal.然后用Data Pattern --> Add Pattern, 大家可以看到,这里有2个and 关系的Pattern, 上面这个name: TCP : Flags = 18 的意思就是 PSH ACK 的数据包,大家看图啦,还有一个Name: IP: Type of service = 10 , 开了Telnet, 好了,设好后就可以,抓包了!看看数据包,一目了然,一看就知道是 administrator.2。
Sniffer_pro_使用说明 图解
1.与自己硬件地址相匹配的数据祯
2.发向所有机器的广播数据帧。
在一个实际的系统中,数据的收发是由网卡来完成的,网卡接收到传输来的数据,网卡内的单片程序接收数据帧的目的MAC地址,根据计算机上的网卡驱动程序设置的接收模式判断该不该接收,认为该接收就接收后产生中断信号通知CPU,认为不该接收就丢掉不管,所以不该接收的数据网卡就截断了,计算机根本就不知道。CPU得到中断信号产生中断,操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据,驱动程序接收数据后放入信号堆栈让操作系统处理。而对于网卡来说一般有四种接收模式:
第一、地址类型,选择IP了。选择模式,如果选包括,其意义就是指sniffer在捕获的时候就会只对你在Station1中和Station2中所列的节点包进行捕获。选择除外则恰相反。也就是说它在捕获的时候会过滤掉Station1和Station2中所列及的地址数据包的。
第二、在Station1和Station2以及DIR的设置中,你可以指定地址对,而我要对它截获的是与他连接的所有主机,也就是说这个Any代表的是任何主机的意思。至于Dir,则是要选择你要捕获的目标主机与其连接主机间的信息流向,这里选的是互流,即为要截获的是与之所连接的所有主机与它的信息数据.
广播方式:该模式下的网卡能够接收网络中的广播信息。组播方式:设置在该模式下的网卡能够接收组播数据。直接方式:在这种模式下,只有目的网卡才能接收该数据。混杂模式:在这种模式下的网卡能够接收一切通过它的数据,而不管该数据是否是传给它的。
总结一下,首先,我们知道了在以太网中是基于广播方式传送数据的,也就是说,所有的物理信号都要经过我的机器,再次,网卡可以置于一种模式叫混杂模式(promiscuous),在这种模式下工作的网卡能够接收到一切通过它的数据,而不管实际上数据的目的地址是不是他。这实际上就是我们SNIFF工作的基本原理:让网卡接收一切他所能接收的数据。
实验6:Sniffer_Pro的基本使用和实例
超级网络嗅探器——Sniffer pro 的使用Sniffer软件是NAI公司推出的功能强大的协议分析软件。
实现对网络的监控,更深入地了解网络存在的问题,检测和修复网络故障和安全问题。
Sniffer可以监听到网上传输的所有信息,主要用来接收在网络上传输的信息。
Sniffer可以截获口令、专用信道内的信息、信用卡号、经济数据、E-mail等,还可以用来攻击与自己相临的网络。
Sniffer的功能主要包括如下几方面:捕获网络流量进行详细分析。
利用专家分析系统诊断问题。
实时监控网络活动情况。
监控单个工作站、会话或者网络中任何一部分的网络利用情况和错误统计。
支持主要的LAN、WAN和网络技术。
提供在位和字节水平过滤数据包的能力。
1 Sniffer Pro的启动和设置2 理解Sniffer Pro主要4种功能组件的作用:监视:实时解码并显示网络通信流中的数据。
捕获:抓取网络中传输的数据包并保存在缓冲区或指定的文件中,供以后使用。
分析:利用专家系统分析网络通信中潜在的问题,给出故障症状和诊断报告。
显示:对捕获的数据包进行解码并以统计表或各种图形方式显示在桌面上。
3 学会sniffer工具的基本使用方法,用sniffer捕获报文并进行分析。
环境:windows XP, windows 7,能访问INTERNET。
Sniffer pro主界面在默认情况下,Sniffer将捕获其接入的域中流经的所有数据包,但在某些场景下,有些数据包可能不是我们所需要的,为了快速定位网络问题所在,有必要对所要捕获的数据包作过滤。
Sniffer提供了捕获数据包前的过滤规则的定义,过滤规则包括2、3层地址的定义和几百种协议的定义。
定义过滤规则的做法一般如下:(1) 在主界面选择【Capture】→【Define Filter】。
(2) 在“Define Filter”对话框中选择“Address”选项卡,这是最常用的定义。
其中包括MAC地址、IP地址和IPX地址的定义。
SnifferPro数据包捕获与协议分析
四、实验总结
1)体会Sniffer的危险性; 2)学习使用Cain & Abel 4.9软件,并与 SnifferPro4.7进行比较
Sniffer Pro数据包捕获与协议分析
一、实验目的
(1)了解Sniffer的工作原理。 (2)掌握SnifferPro工具软件的基本使用 方法。 (3)掌握在非交换以太网环境下侦测、记 录、分析数据包的方法。
二、实验设备与器具
本实验在虚拟机中安装SnifferPro4.7版本, 要求虚拟机开启FTP、HTTP等服务。 物理机通过Ping命令、FTP访问及网页访 问等操作实验网络数据帧的传递。
三、实训内容和要求
(5)监测分析网络中传输的HTTP数据 1)在服务器的Web目录下放置一网页文件。 2)定义过滤规则:点击菜单“Capture”“Define Filter”,在对话框中点“Advanced”选项卡,在该项下 选择“IP”→“TCP”→“HTTP”。设置完成后点击菜单中 “Capture”→“Start'’开始记录监测数据。 3)从工作站用浏览器访问服务器上的网页文件。 4)观察监测到的结果:点击菜单中“Capture”→“Stop and display”,将进入记录结果的窗口,点击下方各选 项卡可观察各项记录。点击“File”→Save”保存记录。 5)记录监测到的HTTP传输记录:点击记录窗口下方的 解码“Decode”选项,进入解码窗口,分析记录,找到 工作站向服务器发出的网页请求命令并记录有关信息。
三、实训内容和要求
(6)监测分析网络中传输的FTP数据 1)启用服务器的Serv-U软件,在FTP服务目录下放置一个文本文件。 2)定义过滤规则:点击菜单“Capture”→“Define Filter”,在 “Summary”选项卡下点击“Reset"按钮将过滤规则恢复到初始状 态,然后在“Advanced”选项卡下选择“IP”→“TCP”→“FTP”。设 置完成后点击菜单“Capture”→“Start”开始记录监测数据。 3)从工作站用FTP下载服务器上的文本文件。 4)观察监测到的结果:点击菜单“Capture”→“Stop and display”,进入记录结果的窗口,点击下方各选项卡观察各项记录并 保存记录。 5)记录监测到的FTP传输记录:点击记录窗口下方的解码 “Decode”选项,进入解码窗口,分析记录,找到工作站向服务器 发出的FTP命令并记录。
Sniffer_Pro中文使用教程
Sniffer Pro中文使用教程第1章 Sniffer软件简介 .............................................................................................................. 1-11.1 概述 ............................................................................................................................. 1-11.2 功能简介...................................................................................................................... 1-1第2章报文捕获解析.................................................................................................................. 2-12.1 捕获面板...................................................................................................................... 2-12.2 捕获过程报文统计 ....................................................................................................... 2-12.3捕获报文查看.............................................................................................................. 2-22.4设置捕获条件.............................................................................................................. 2-3第3章报文放送 ........................................................................................................................ 3-13.1 编辑报文发送............................................................................................................... 3-13.2捕获编辑报文发送....................................................................................................... 3-2第4章网络监视功能.................................................................................................................. 4-14.1 Dashbord ..................................................................................................................... 4-14.2 Application Response Time (ART) ............................................................................. 4-1第5章数据报文解码详解 .......................................................................................................... 5-15.1数据报文分层.............................................................................................................. 5-15.2以太报文结构.............................................................................................................. 5-15.3 IP协议.......................................................................................................................... 5-35.4 ARP协议...................................................................................................................... 5-45.5 PPPOE协议 ................................................................................................................... 5-65.6 Radius协议.................................................................................................................. 5-9第1章 Sniffer软件简介1.1 概述Sniffer软件是NAI公司推出的功能强大的协议分析软件。
sniffer pro协议分析新手教程、工具及文档
sniffer pro (学习笔记)边学边记系列~~~好戏马上就开始喽~~~一:sniffer pro问题集锦1.为什么SNIFFER4.75在我的机子上用不了?4.7.5 With SP5以上支持千兆以太网,一般我们从网络上下载的4.75不支持千M 网卡2.如何导入导出snifferPro定义的过滤器的过滤文件?方法一、强行覆盖法C:\Program Files\NAI\SnifferNT\Program\下面有很多Local打头的目录,对应select settings里各个profile,进入相应的local目录,用sniffer scan.csf 去覆盖Sniffer.csf(捕获过滤)或者snifferdisplay.csf(显示过滤)方法二、声东击西法C:\Program Files\NAI\SnifferNT\Program\下面有个文件Nxsample.csf,备份。
用Sniffer scan.csf替换nxsample.csf启动Sniffer新建过滤器在新建过滤器对话框的sample选择里选择相应的过滤器,建立新过滤。
反复新建,直到全部加入3.sniffer的警报日志是些做什么用的??sniffer警报日志也是sniffer专家系统的一部分,通常不正常的TCP/IP通讯会产生警报和日志.比如: ping 的反映时间太长, 某一个会话中丢包或者重传数过多,单位时间产生的广播/多播数过多等等.4.利用ARP检测混杂模式的节点文章很长,原贴位于:/viewthread.php?tid=1605.sniffer 中,utilization是按什么计算的?Octect就是字节的意思。
Sniffer表盘的利用率是根据你的网卡的带宽来计算的,如果要监测广域网带宽的话,需要使用Sniffer提供的相应的广域网接口设备:比如 Snifferbook用来接入E1、T1、RS/V等链路,这时它所显示出的带宽就是正确的广域网带宽(如非信道化E1它会显示2.048Mbs)。
Sniffer_Pro的基本使用和实例
实验三: Sniffer Pro的基本使用和实例一、实验目的:练习sniffer工具的基本使用方法,用sniffer捕获报文并进行分析。
二、实验环境:通过交换机连接的多台PC,预装Windows XP操作系统。
三、运行环境及安装:Sniffer Pro可运行在局域网的任何一台机器上,如果是练习使用,网络连接最好用交换机且在一个子网,这样能抓到连到交换机上每台机器传输的包。
本文用的版本是 4.7.5,Sniffer Pro软件的获取可在或 中输入Sniffer Pro 4.7.5,查找相应的下载站点来下载。
四、常用功能介绍1、Dashboard (网络流量表)点击图1中①所指的图标,出现三个表,第一个表显示的是网络的使用率(Utilization),第二个表显示的是网络的每秒钟通过的包数量(Packets),第三个表显示的是网络的每秒错误率(Errors)。
通过这三个表可以直观的观察到网络的使用情况,红色部分显示的是根据网络要求设置的上限。
选择图1中②所指的选项将显示如图2所示的更为详细的网络相关数据的曲线图。
每个子项的含义无需多言,下面介绍一下测试网络速度中的几个常用单位。
在TCP/IP协议中,数据被分成若干个包(Packets)进行传输,包的大小跟操作系统和网络带宽都有关系,一般为64、128、256、512、1024、1460等,包的单位是字节。
很多初学者对Kbps、KB、Mbps 等单位不太明白,B 和 b 分别代表Bytes(字节) 和bits(比特),1比特就是0或1。
1 Byte = 8 bits 。
1Mbps (megabits per second兆比特每秒),亦即1 x 1024 / 8 = 128KB/sec(字节/秒),我们常用的ADSL下行512K指的是每秒512K比特(Kb),也就是每秒512/8=64K字节(KB)图1图22、Host table(主机列表)如图3所示,点击图3中①所指的图标,出现图中显示的界面,选择图中②所指的IP选项,界面中出现的是所有在线的本网主机地址及连到外网的外网服务器地址,此时想看看192.168.113.88这台机器的上网情况,只需如图中③所示单击该地址出现图4界面。
Sniffer Pro的基本使用和实例
图15
步骤3:运行 步骤 :运行telnet命令 命令
• 本例使tபைடு நூலகம்lnet到一台开有telnet服务的Linux 机器上。 • telnet 192.168.113.50 • login: test • Password:
步骤4: 步骤 :察看结果
• 图16中箭头所指的望远镜图标变红时,表 示已捕捉到数据,点击该图标出现图17界 面,选择箭头所指的Decode选项即可看到 捕捉到的所有包。可以清楚地看出用户名 为test密码为123456。
图31
• 步骤 :抓包 步骤2: • 按F10 键开始抓包。 • 步骤 : 步骤3: • 访问网站 访问 网站
步骤4: 步骤 :察看结果
• 图16中箭头所 指的望远镜图标变红时,表 示已捕捉到数据,点击该图标出现图31界 面,选择箭头所指的Decode选项即可看到 捕捉到的所有包。在Summary中找到含有 POST关键字的包,可以清楚地看出用户名 为qiangkn997,密码为?,这可是我邮箱的 真实密码!当然不能告诉你,不过欢迎来 信进行交流。
Sniffer Pro的基本使用和实例 的基本使用和实例
1.抓Telnet密码
• 本例从192.168.113.208 这台机器telnet到 192.168.113.50,用Sniff Pro抓到用户名和 密码。
步骤1: 步骤 :设置规则
图12
图13
图14
步骤2: 步骤 :抓包
• 按F10键出现图15界面,开始抓包。
2.抓FTP密码 抓 密码
• 本例从192.168.113.208 这台机器ftp到 192.168.113.50,用Sniff Pro抓到用户名和 密码。
步骤1:设置规则
实验四SnifferPro数据包捕获与协议分析(2)报告
8)“00 50 56 C0 00 03”表示源主机MAC地址为:
9)“C0 A8 01 64”表示目的主机主机IP地址为:192.168.1.100
以下是ARP数据包头中部分的分析:
(4)抓取TCP协议数据包,分析TCP协议的头部信息
实验步骤及内容:
一、规划IP地址,使得虚拟机与主机通信(自定义模式)主机使用虚拟网卡1,主机IP为192.168.1.100子网掩码255.255.255.0,共享的VMNET1虚拟机IP为192.168.1.4子网掩码255.255.255.0默认网关为192.168.1.4,首选DNS为114.114.114.114。
在往前看,可知以太网首部(14字节)如下
往最后看,为18字节的填充位:
可知,该ARP数据包并没有填充位。
结合上面抓包信息以及ARP报头结构,可将28字节的ARP帧结构进行如下详细地分析:
00 01
08 00 06 04 00 02 00 0C 29 1F 3E D3 C0 A8 01 04
00 50 56 C0 00 03 C0 A8 01 64
以下截取的是TP头部的部分对应的详细信息。
(2)抓取ICMP协议数据包,分析ICMP协议的头部信息。
由上抓包截图可知,ICMP的报头头为:08 00 42 5E 02 00 0B 00 41 42……
参照以上图并结合ICMP报文头部格式可以进行详细的ICMP数据报格式分析;
1)“08”表示一个8位类型字段,表示ICMP数据包类型。
注:一般主机都有默认的TTL值,不同系统的默认值不一样。比如WINDOWS为128。不过,一般Ping得到的都不是默认值,这是因为每次IP数据包经过一个路由器的时候TTL就减一,当减到0时,这个数据包就消亡了。这也时Tracert的原理。
Sniffer Pro分析IP协议数据
实验二使用sniffer pro 分析IP 协议数据(一)实验目的Sniffer pro协议分析器能获取在同一网络内的所有数据流量,掌握sniffer pro的常用方法,能用sniffer分析器获取IP数据报,进行分析验证IP数据报格式。
(二)实验环境需要有sniffer pro的一个物理网络环境,sniffer pro可运行在局域网的任何一台主机上,如果是练习使用,网络最好接在用Hub且在一个子网上,这样能装到hub上每台机器传输的包(三)常用功能介绍1、Dashboard(网络流量表)在网络流量表中有三个表:①网络的使用率②网络每秒钟通过的包的数量③网络每秒的错误率2、Host table(主机列表)这里我们查看本网主机地址及连到外网的服务器地址。
3、Detail(协议列表)在此可以清楚的看到那台机器运行了哪些协议4、Bar流量表在该图中,显示的是整个网络中机器所用带宽前10名的情况。
可以按柱状图和饼图来显示。
5、Matrix(网络连接)绿线表示正在发生网络的连接,篮协表示过去发生的连接。
6、捕获报文查看Sniffer具有强大的分析能力和解码能力,对捕获的报文提供expert专家系统进行分析7、设置捕获条件基于捕获的条件有两种:①路层捕获②IP层捕获在Advanced条件下,我们还可以编辑协议捕获条件,如设置只捕获ICMP协议,还可以设置捕获的包的大小,包的类型等。
8.定义适配器为获取IP协议数据前,选择Capture菜单中的Defind Filter,选择图中ADDress项,在station和2中分别填写两台主机的IP地址,选择Advanced选项,选择IP/TCP,package size设置为Normal。
9.分析IP协议头信息4位的版本号4位的首部长度8位的服务类型16位的总长度16位的标识8位的生存时间8位的协议16位的首部检验和32位源IP地址和32位目的IP地址(四)实验步骤1、网络流量表在左边,我们可以选择索要显得信息,蓝线表示每秒通过的包的数目,绿线表示网络的使用率,红线表示错误率等2、查看主机列表在这里我们可以看见本网的主机以及连接到外网的主机。
网络嗅探 使用Sniffer Pro监控ARP协议
banker将向网友介绍如何使用snifferpro来监控ARP欺骗行为。
文中会介绍一些更为简便和直截了当的snffer程序,它们都属于snffer程序的一种,只是在功能上更有针对性。
一、使用snifferpro监控ARP实际上,使用snifferpro程序的监控功能能够更方便、更为迅速的关心我们定位咨询题。
步骤一:首先,我们在差不多做了端口镜像的机器上启动snfferpro程序。
选择菜单栏中Monitor→DefineFilter来定义我们需要的过滤器。
在弹出的defineFilter对话框中选择Profiles→New来新建一个过滤器,我们那个地方取名为ARP。
图1步骤二:点击Advanced高级标签,我们那个地方选中ARP协议。
单击OK后完成过滤器的新建。
图2步骤三:系统默认过滤器为Default,我们来选择刚刚新建过滤器ARP。
首先,选择Monitor →SelectFilter。
图3步骤四:在弹出的对话框中点击ARP。
在那个地方要注重的是:一定要把Applymonitor勾选。
点击确定后,过滤器定义和选择工作预备完毕。
图4步骤五:鼠标点击工具栏中HostTable按钮(联网图标),在弹出的子窗口中选择Detail工具(放大镜图标)。
注重瞧瞧本图同之前程序使用默认DefaultFilter过滤器的不同之处。
现在,按照我们的定义,监视器内Protocol(协议类型)仅包括IP_ARP.这关于我们查寻咨询题,层次上更加清晰。
那个地方需要注重的是:①那个地方的Address(地址)以IP或者机器名的形式显示,假如显示MAC,请先使用Tools →Addressbook进行扫描,IP-MAC的显示转换后,将有利于我们快速定位节点。
②网内终端中所有ARP播送包的和,合计后等于Broadcast数据包(播送包)。
图5步骤六:我们先来瞧瞧,在正常网络状况下,ARP协议的TOP流量分布图,这将方便我们的区分、判定。