sniffer基本操作

sniffer的基本原理与防范措施

可以灵活采取各种检测防范措施，最的威胁。关键词：嗅探器；基本原理；防御攻击
中图分类号：ＴＰ３９３．０８
文献标识码：Ａ
文章编号：１６７４ — ７７１２（２０１４）０６ — ０１５０ — ０１
一
ｓｎｉｆｆｅｒ（嗅探器）就是指能够在网络上捕获网络信息的设备，网络技术人员往往要借助它找出网络中的问题，这时ｓｎｉｆｆｅｒ又被称为网络协议分析仪。然而黑客也可以利用它截获网络上的通信信息，获取其他用户的帐号及密码等重要信息。、ｓｎｉｆｆｅｒ的基本工作原理ｓｎｉｆｆｅｒ用英文翻译的意思为 “ 嗅探器 ”，而ｓｎｉｆｆｅｒ也可以这样比喻卧底。它就象进入敌人内部的卧底一样。不断地将敌方的情报送出来。ｓｎｉｆｆｅｒ一般运行在路由器或有路由器功能的主机上。这样就可以达到监控大量数据的目的。它的运行平台也比较多。如Ｌｉｎｕｘ、Ｌａｎｐａｔｒｏｌ、Ｌａｎｗａｔｃｈ、ｎｅｔｍｏｎ等。ｓｎｉｆｆｅｒ属于第二层次（即数据链路层）的攻击。一般是攻击者进入目标系统。然后利用ｓｎｉｆｆｅｒ来得到更多的信息。（如用户名、口令、银行帐户、密码等等），它几乎能得到以太网上传送的任何数据包。通常ｓｎｉｆｆｅｒ程序只需要看到一个数据包的前２００到３５０个字节的数据。就可以得到用户名和密码等信息。由此可见这种攻击手段是非常危险的。通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力，而每个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其他网络接口的硬件地址，同时，每个网络至少还要一个广播地址。（代表所有的接口地址），在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：（１）帧的目标区域具有和本地网络接口相匹配的硬件地址。（２）帧的目标区域具有 “ 广播地址 ”。在接受到上面两种情况的数据包时，ｎｃ通过ｃｐｕ产生一个硬件中断，该中断能引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理。而ｓｎｉｆｆｅｒ就是一种能将本地ｎｃ状态设成（ｐｒｏｍｉｓｃｕｏｕｓ）状态的软件，当ｎｃ处于这种混杂方式时，该ｎｃ具备广播地址，它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。（绝大多数的ｎｃ具备置成ｐｒｏｍｉｓｃｕｏｕｓ方式的能力）可见，ｓｎｉｆｆｅｒ工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。值得注意的是：ｓｎｉｆｆｅｒ是极其安静的，它是一种消极的安全攻击。二、ｓｎｉｆｆｅｒ的工作环境ｓｎｉｆｆｆｅｒ就是能够捕获网络报文的设备。嗅探器的正当用处在于分析网络的流量，以便找出所关心的网络中潜在的问题。例如，假设网络的某一段运行得不是很好，报文的发送比较慢，而我们又不知道问题出在什么地方，此时就可以用嗅探器来作出精确的问题判断。嗅探器在功能和设计方面有很多不同。有些只能分析一种协议，而另一些可能能够分析几百种协议。一般情况下，大多数的嗅探器至少能够分析下面的协议：ＴＣＰ／ＩＰ和ＩＰＸ，嗅探器与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值，而嗅探器则捕获真实的网络报文。嗅探器通过将其置身于网络接口来达到这个目的。数据在网络上是以很小的称为帧（Ｆｔａｍｅ）的单位传输的帧由好几部分组成，不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发

使用WinPcap编写Sniffer程序

经过返回旳构造，我们能够得到探测到旳网卡设备旳更详尽信息。
typedef struct pcap_if pcap_if_t struct pcap_if {
struct pcap_if *next; char *name; char *description; struct pcap_addr *addresses; bpf_u_int32 flags; /* PCAP_IF_ interface flags */ }; struct pcap_addr { struct pcap_addr *next; struct sockaddr *addr; struct sockaddr *netmask; struct sockaddr *broadaddr; struct sockaddr *dstaddr; };
pcap_compile() 编译一种包过滤器。将一种高级旳、布尔形式表示旳字符串转换成低档旳、二进制过滤语句，以便被包驱动使用。 pcap_setfilter() 在关键驱动中将过滤器和捕获过程结合在一起。从这一时刻起，全部网络旳数据包都要经过过滤，经过过滤旳数据包将被传入应用程序。
过滤设置举例
设备标识（字符串）
抓包长度
混杂模式
超时时间
捕获数据包（回调机制）
int pcap_loop ( pcap_t * p,
int cnt,
pcap_handler callback,
例如：
u_char * user )
pcap_loop(adhandle, 0, packet_handler, NULL);
打开一种适配器开始捕获数据包
pcap_t * pcap_open_live ( const char * device, int snaplen, int promisc, int to_ms, char * ebuf )

sniffer嗅探器基本知识

sniffer嗅探器基本知识嗅探器嗅探器保护⽹络嗅探器是⼀种监视⽹络数据运⾏的软件设备，协议分析器既能⽤于合法⽹络管理也能⽤于窃取⽹络信息。

⽹络运作和维护都可以采⽤协议分析器：如监视⽹络流量、分析数据包、监视⽹络资源利⽤、执⾏⽹络安全操作规则、鉴定分析⽹络数据以及诊断并修复⽹络问题等等。

⾮法嗅探器严重威胁⽹络安全性，这是因为它实质上不能进⾏探测⾏为且容易随处插⼊，所以⽹络⿊客常将它作为攻击武器。

⽬录编辑本段简介嗅探器最初由 Network General 推出，由 Network Associates 所有。

最近，Network Associates 决定另开辟⼀个嗅探器产品单元，该单元组成⼀家私有企业并重新命名为 Network General，如今嗅探器已成为 Network General 公司的⼀种特征产品商标，由于专业⼈⼠的普遍使⽤，嗅探器⼴泛应⽤于所有能够捕获和分析⽹络流量的产品。

编辑本段⽹络技术与设备简介在讲述Sniffer的概念之前，⾸先需要讲述局域⽹设备的⼀些基本概念。

数据在⽹络上是以很⼩的称为帧（Frame）的单位传输的，帧由⼏部分组成，不同的部分执⾏不同的功能。

帧通过特定的称为⽹络驱动程序的软件进⾏成型，然后通过⽹卡发送到⽹线上，通过⽹线到达它们的⽬的机器，在⽬的机器的⼀端执⾏相反的过程。

接收端机器的以太⽹卡捕获到这些帧，并告诉操作系统帧已到达，然后对其进⾏存储。

就是在这个传输和接收的过程中，存在安全⽅⾯的问题。

每⼀个在局域⽹（LAN）上的⼯作站都有其硬件地址，这些地址惟⼀地表⽰了⽹络上的机器（这⼀点与Internet地址系统⽐较相似）。

当⽤户发送⼀个数据包时，这些数据包就会发送到LAN上所有可⽤的机器。

在⼀般情况下，⽹络上所有的机器都可以“听”到通过的流量，但对不属于⾃⼰的数据包则不予响应（换句话说，⼯作站A不会捕获属于⼯作站B 的数据，⽽是简单地忽略这些数据）。

如果某个⼯作站的⽹络接⼝处于混杂模式（关于混杂模式的概念会在后⾯解释），那么它就可以捕获⽹络上所有的数据包和帧。

教你怎么破解别人的无线网络密码_手把手跟我操作就可以啦!很管解析

如何破解无线网络密码随着社会的进步！WIFI上网日益普及,特别是大城市中随便在一个小区搜索一下就能找到好多热点,搜索到热点然后链接上去那么我们就可以尽情的享受免费上网服务了。

不过除了公共场所以及菜鸟用户之外几乎所有的WIFI 信号都是加密的,很简单换作是你你也不愿意把自己的带宽免费拿出来给别人用,所以如果你搜索到你附近有热点想免费上网的话请仔细往下学习...破解静态WEP KEY全过程首先通过NetStumbler 确认客户端已在某AP 的覆盖区内，并通过AP 信号的参数进行‘踩点’（数据搜集）。

通过上图的红色框框部分内容确定该SSID 名为demonalex 的AP 为802.11b 类型设备，Encryption属性为‘已加密’，根据802.11b 所支持的算法标准，该算法确定为WEP。

有一点需要注意：NetStumbler 对任何有使用加密算法的STA[802.11无线站点]都会在Encryption 属性上标识为WEP 算法，如上图中SSID 为gzpia 的AP 使用的加密算法是WPA2-AES。

我们本次实验的目的是通过捕捉适当的数据帧进行IV （初始化向量）暴力破解得到WEP KEY，因此只需要使用airodump.exe（捕捉数据帧用）与WinAircrack .exe（破解WEP KEY用）两个程序就可以了。

首先打开ariodump.exe程序，按照下述操作：首先程序会提示本机目前存在的所有无线网卡接口，并要求你输入需要捕捉数据帧的无线网卡接口编号，在这里我选择使用支持通用驱动的BUFFALO WNIC---编号‘26’；然后程序要求你输入该WNIC 的芯片类型，目前大多国际通用芯片都是使用‘HermesI/Realtek’子集的，因此选择‘o’；然后需要输入要捕捉的信号所处的频道，我们需要捕捉的AP 所处的频道为‘6’；提示输入捕捉数据帧后存在的文件名及其位置，若不写绝对路径则文件默认存在在winaircrack 的安装目录下，以.cap结尾，我在上例中使用的是‘last’；最后winaircrack 提示：‘是否只写入/记录IV[初始化向量]到cap 文件中去？’，我在这里选择‘否/n’；确定以上步骤后程序开始捕捉数据包。

实验6：Sniffer_Pro的基本使用和实例

超级网络嗅探器——Sniffer pro 的使用Sniffer软件是NAI公司推出的功能强大的协议分析软件。

实现对网络的监控，更深入地了解网络存在的问题，检测和修复网络故障和安全问题。

Sniffer可以监听到网上传输的所有信息，主要用来接收在网络上传输的信息。

Sniffer可以截获口令、专用信道内的信息、信用卡号、经济数据、E-mail等，还可以用来攻击与自己相临的网络。

Sniffer的功能主要包括如下几方面：捕获网络流量进行详细分析。

利用专家分析系统诊断问题。

实时监控网络活动情况。

监控单个工作站、会话或者网络中任何一部分的网络利用情况和错误统计。

支持主要的LAN、WAN和网络技术。

提供在位和字节水平过滤数据包的能力。

1 Sniffer Pro的启动和设置2 理解Sniffer Pro主要4种功能组件的作用：监视：实时解码并显示网络通信流中的数据。

捕获：抓取网络中传输的数据包并保存在缓冲区或指定的文件中，供以后使用。

分析：利用专家系统分析网络通信中潜在的问题，给出故障症状和诊断报告。

显示：对捕获的数据包进行解码并以统计表或各种图形方式显示在桌面上。

3 学会sniffer工具的基本使用方法，用sniffer捕获报文并进行分析。

环境：windows XP， windows 7，能访问INTERNET。

Sniffer pro主界面在默认情况下，Sniffer将捕获其接入的域中流经的所有数据包，但在某些场景下，有些数据包可能不是我们所需要的，为了快速定位网络问题所在，有必要对所要捕获的数据包作过滤。

Sniffer提供了捕获数据包前的过滤规则的定义，过滤规则包括2、3层地址的定义和几百种协议的定义。

定义过滤规则的做法一般如下：(1) 在主界面选择【Capture】→【Define Filter】。

(2) 在“Define Filter”对话框中选择“Address”选项卡，这是最常用的定义。

其中包括MAC地址、IP地址和IPX地址的定义。

sniff教程

sniff教程一.有关sniffer及sniffer的含义sniffers(嗅探器)几乎和internet有一样久的历史了.sniffer是一种常用的收集有用数据方法，这些数据可以是用户的帐号和密码，可以是一些商用机密数据等等。

随着internet及电子商务的日益普及,internet的安全也越来越受到重视。

在internet安全隐患中扮演重要角色之一的sniffer以受到越来越大的关注，所以今天我要向大家介绍一下介绍sniffer以及如何阻止sniffer。

大多数的黑客仅仅为了探测内部网上的主机并取得控制权，只有那些"雄心勃勃"的黑客，为了控制整个网络才会安装特洛伊木马和后门程序，并清除记录。

他们经常使用的手法是安装sniffer。

在内部网上，黑客要想迅速获得大量的账号（包括用户名和密码），最为有效的手段是使用"sniffer" 程序。

这种方法要求运行sniffer 程序的主机和被监听的主机必须在同一个以太网段上，故而在外部主机上运行sniffer是没有效果的。

再者，必须以root的身份使用sniffer 程序，才能够监听到以太网段上的数据流。

谈到以太网sniffer，就必须谈到以太网sniffing。

那么什么是以太网sniffer呢?以太网sniffing是指对以太网设备上传送的数据包进行侦听，发现感兴趣的包。

如果发现符合条件的包，就把它存到一个log文件中去。

通常设置的这些条件是包含字"username"或"passWord"的包。

它的目的是将网络层放到promiscuous模式，从而能干些事情。

promiscuous模式是指网络上的所有设备都对总线上传送的数据进行侦听，并不仅仅是它们自己的数据。

根据第二章中有关对以太网的工作原理的基本介绍，可以知道：一个设备要向某一目标发送数据时，它是对以太网进行广播的。

一个连到以太网总线上的设备在任何时间里都在接受数据。

网络安全实验报告-

计算机网络安全与管理实验报告实验一Linux系统学习与使用实验目的：1．熟练使用Linux系统的基本命令、相关文件操作、基本系统配置、网络配置等。

2．熟练并掌握Linux下的编程工具vi、gcc、gdb等。

实验内容1．Linux系统的安装。

2．根据命令查询手册，熟悉Linux下常用命令。

3．熟悉最基本的程序设计环境，熟悉并掌握vi，gcc，gdb等工具的使用。

实验过程与步骤实验过程与步骤1.系统的安装a.我已经在自己的主机上面安装了vm虚拟机，下来只用在vm中创建虚拟硬盘，安装ubuntu 系统。

开始进行ubuntu的安装：安装完毕，进入登陆界面：Mkdir命令，在当前目录下建立一个文件夹：Ls显示当前目录下的所有文件（夹）：cd进入对应目录，如#cd/usr/src再如#cd..等，这个命令和windows下的差不多pwd显示当前路径如#pwdGcc对c文件进行编译：rm删除文件或文件目录，如#rm/root/a.txt或#rm–f/root/a.txt：3.熟悉最基本的程序设计环境使用vi输入如下程序，了解C程序的基本架构与流程，之后用gcc工具编译程序，并运行，然后再用gdb调试程序。

首先使用vi指令建立test.c文件：在文本中编写如下c程序：然后gdb test.c：在命令行上键入gdb并按回车键就可以运行gdb了。

实验二nmap、tcpdump、sniffer等工具的使用实验目的：1.练习用nmap来进行一些实际的扫描过程。

2.在已经熟练使用Linux系统的基础上学习使用tcpdump抓包工具。

3.掌握Sniffer的原理和使用技巧。

实验内容1.学会如何安装nmap、tcpump、sniffer等工具的安装与使用。

2.利用nmap进行一台计算机的扫描。

3.进行sniffer进行抓包操作并做分析。

实验过程与步骤：1.Nmap扫描：扫描了宿舍一个同学的电脑，得到信息如下：分析其中一部分端口：23：telnet端口；2121：可能为ftp端口；808：CProxy的http代理端口2.Sniffer抓包：使用windows7的telnet客户端登陆bbs，过滤包后得到下面的结果：图1：用户名的发送过程图2：密码的发送过程（图中用小黑方块覆盖的部分）实验三漏洞攻击实验实验目的：1.学习AT&T汇编的基本语法，回顾intel汇编语言并与AT&T汇编语言比较2.熟练掌握gdb的使用方法3.重点学习缓冲区溢出攻击的原理4.理解linux/windows系统下的堆栈溢出原理5.了解shellcode的构造方法6.通过实例了解SQL注入原理及实现实验内容及步骤：1.缓冲区溢出因使用Ubuntu9.04做实验，gcc4.3版本防止了缓冲区溢出，因此下载了gcc-3.4进行试验。

《网络安全》实验指引

实验一使用Sniffer工具进行TCP/IP、ICMP数据包分析1、实验目的通过实验掌握Sniffer工具的安装及使用，1)实现捕捉ICMP、TCP等协议的数据报；2)理解TCP/IP协议中TCP、IP、ICMP数据包的结构，会话连接建立和终止的过程，TCP序列号、应答序号的变化规律，了解网络中各种协议的运行状况；3)并通过本次实验建立安全意识，防止明文密码传输造成的泄密。

2、实验环境两台安装Windows2000/XP的PC机，其中一台上安装有Sniffer软件，两台PC是通过HUB或交换机处于联网状态。

3、实验任务1)了解Sniffer安装和基本使用方法，监测网络中的传输状态；2)定义过滤规则，进行广义的数据捕获，分析数据包结构；3)定义指定的捕获规则，触发并进行特定数据的捕获：●ping ip-address●ping ip-address –l 1000●ping ip-address –l 2000●ping ip-address –l 2000 –f●（在IE地址栏中，输入）4、实验步骤：(1)、打开Sniffer软件，点击捕获——过滤设置——选择TCP和IP。

图（一）图（二）图（三）图（四）(2)定义指定的捕获规则，触发并进行特定数据的捕获：●ping ip-address●ping ip-address –l 1000●ping ip-address –l 2000●ping ip-address –l 2000 –f●（在IE地址栏中，输入）5、实验总结：由图（一）可以知道：帧捕获的时间、帧长、源和目的，以及IP的信息。

由图（二）可以知道：TCP的信息，源端口号（80）、目的端口号（1234）、序列号（2602531683）、偏移量等由图（三）可以知道：ICMP的信息，Type=8,序列号（2048）图（四）是IP的详细信息。

ping 172.16.26.60Ping -l 1000 172.16.26.60 (-l ：发送指定数据量的ECHO数据包。

利用sniffer抓包在出现的窗口选择decode选项卡可以看到数据包在两台计算机间的传递过程如图133所示
网络抓包软件Sniffer
利用Sniffer抓包
• 进入Sniffer主界面，抓包之前必须首先设置要抓取数据包的类型。选择主菜单Capture下的Define Filter菜单，如图 1-26所示。
利用Sniffer抓包
• 这样Sniffer的抓包过滤器就设置完毕了，后面的实验也采用这样的设置。选择菜单栏Capture下Start菜单项，启动抓包以后，如图所示。
利用Sniffer抓包
• 等Ping指令执行完毕后，点击工具栏上的停止并分析按钮，如图所示。
利用SniffeBiblioteka 抓包• 在出现的窗口选择Decode选项卡，可以看到数据包在两台计算机间的传递过程，如图1-33所示。
利用Sniffer抓包
• 在抓包过滤器窗口中，选择在抓包过滤器窗口中，选择Address选项卡，如下图所示。选项卡，选项卡如下图所示。 • 窗口中需要修改两个地方：在Address下拉列表中，选择抓窗口中需要修改两个地方：下拉列表中，下拉列表中包的类型是IP，下面输入主机的IP地址包的类型是，在Station1下面输入主机的地址，主机的下面输入主机的地址， IP地址是地址是172.18.25.110；在与之对应的地址是；在与之对应的Station2下面输入虚下面输入虚拟机的IP地址虚拟机的IP地址是地址，地址是172.18.25.109。拟机的地址，虚拟机的地址是。
利用Sniffer抓包
• 设置完毕后，点击该窗口的Advanced选项卡，拖动滚动条设置完毕后，点击该窗口的选项卡，选项卡找到IP项，将IP和ICMP选中，如下图所示。找到项和选中，如下图所示。选中

sniffer配置操作

Sniffer使用配置说明简介当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。

将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。

Sniffer技术常常被黑客们用来截获用户的口令，据说某个骨干网络的路由器网段曾经被黑客攻入，并嗅探到大量的用户口令。

但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。

操作环境操作系统Windows2003 Server企业标准版（Sniffer Pro4.6及以上版本均支持Windows2000 Windows-xp Windows2003）、NAI协议分析软件-Sniffer Portable 4.75环境要求：1、如果需要监控全网流量，安装有Sniffer Portable 4.7.5(以下简称Sniffer Pro)的终端计算机，网卡接入端需要位于主交换镜像端口位置。

（监控所有流经此网卡的数据）2、Snffier pro 475仅支持10M、100M、10/100M网卡，对于千M网卡，请安装SP5补丁，或4.8及更高的版本监控目的：通过Sniffer Pro实时监控，及时发现网络环境中的故障（例如病毒、攻击、流量超限等非正常行为）。

对于很多企业、网吧网络环境中，网关（路由、代理等）自身不具备流量监控、查询功能，本文将是一个很好的解决方案。

Sniffer Pro强大的实用功能还包括：网内任意终端流量实时查询、网内终端与终端之间流量实时查询、终端流量TOP排行、异常告警等。

同时，我们将数据包捕获后，通过Sniffer Pro的专家分析系统帮助我们更进一步分析数据包，以助更好的分析、解决网络异常问题。

步骤一：配置交换机端口镜像（Mirroring Configurations）以H3C-S2126-EI 二层交换机为例，我们来通过WEB方式配置端口镜像（也可用CLI命令行模式配置）。

sniffer的安装及基本使用

sniffer的安装及基本使用实验目的：通过本实验，可以掌握一下技能：1.学会在windows环境下安装Sniffer；2.熟练掌握Sniffer的使用；3.要求能够熟练运用sniffer捕获报文，结合以太网的相关知识，分析一个自己捕获的以太网的帧结构。

实验环境及配置说明：本实验采用一个已经连接并配置好的局域网环境。

任何两台PC机都能互相访问。

所有PC机上安装的都是Windows操作系统。

预备知识：Sniffer程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太同卡)置为杂乱模式状态的工具，一旦同卡设置为这种模式，它就能接收传输在网络上的每一个信息包。

Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。

实验内容与步骤：一、软件安装：sniffer软件的安装还是比较简单的，我们只需要按照常规安装方法进行即可。

需要说明的是:在选择sniffer pro的安装目录时，默认是安装在c:\program files\nai\snifferNT目录中，我们可以通过旁边的Browse按钮修改路径，不过为了更好的使用还是建议各位用默认路径进行安装。

下载地址：/soft/2918.htm在注册用户时，注册信息随便填写即可，不过EMAIL一定要符合规范，需要带“@”。

（如图1）在随后出现的“Sniffer Pro Usr Registration”对话框中，大家注意有一行"Sniffer Serial Number"需要大家填入注册码“SA154-2558Y-255T9-2LASH”图1注册诸多数据后我们就来到设置网络连接状况了，一般对于企业用户只要不是通过“代理服务器”上网的都可以选择第一项——direct connection to the internet。

（如图2）图2接下来才是真正的复制sniffer pro必需文件到本地硬盘，完成所有操作后出现setup complete提示，我们点finish按钮完成安装工作。

网络安全实验指导

目录项目一Vmware虚拟机及sniffer抓包软件的使用项目二网络基本命令的使用项目三扫描和网络监听项目四后门与木马项目五操作系统安全配置方案项目六防火墙技术项目一Vmware虚拟机及sniffer抓包软件的使用一实验目的1、学会安装和使用vmware软件并能够熟练配置虚拟机。

2、学会使用sniffer软件抓取数据包。

二实验设备1、配置有vmware软件和sniffer软件的电脑多台。

2、局域网环境。

三实验学时4学时四实验内容1、安装vmware虚拟机。

2、配置vmware虚拟机。

1)在虚拟机中装操作系统，选择菜单栏“File”下的“New”菜单项，再选择子菜单“New Virtual Machine”。

2)有两种选择，选项“Typical”是典型安装，选项“Custom”是自定义安装，我们选择“Custom”安装方式。

点击按钮“下一步”。

3)进入选择操作系统界面，设置将来要安装的操作系统windows 2000 advanced sever. 点击按钮“下一步”.Used Bridged networking”，点击“下一步”。

Create a new virtual disk，点击下一步。

7）选择虚拟磁盘所要安装的目录，最后完成。

3、测试vmware虚拟机和局域网中其他电脑的连通性。

1）设置虚拟机的ip（与主机ip在同一网段）。

2）用ping命令测试虚拟机在局域网的连通性。

4、使用sniffer抓包1）进入Sniffer主界面，抓包之前必须首先设置要抓取数据包的类型。

选择主菜单Capture下的Define Filter菜单2）在Address下拉列表中，选择抓包的类型是IP。

3）点击该窗口的Advanced选项卡，拖动滚动条找到IP项，将IP 和ICMP选中。

4）主机的DOS窗口中Ping虚拟机，点击开始键，出现的窗口选择Decode选项卡，可以看到数据包在两台计算机间的传递过程。

五实验小结通过本次实验学生能够掌握vmware软件和sniffer软件的使用方法，为以后进一步学习打好基础。

十个常用破解网络密码的方法

十个常用破解网络密码的方法个人网络密码安全是整个网络安全的一个重要环节，如果个人密码遭到黑客破解，将引起非常严重的后果，例如网络银行的存款被转账盗用，网络游戏内的装备或者财产被盗，QQ币被盗用等等，增强网民的网络安全意识是网络普及进程的一个重要环节，因此，在网民采取安全措施保护自己的网络密码之前，有必要了解一下流行的网络密码的破解方法，方能对症下药，以下是我总结的十个主要的网络密码破解方法。

1、暴力穷举密码破解技术中最基本的就是暴力破解，也叫密码穷举。

如果黑客事先知道了账户号码，如邮件帐号、QQ用户帐号、网上银行账号等，而用户的密码又设置的十分简单，比如用简单的数字组合，黑客使用暴力破解工具很快就可以破解出密码来。

因此用户要尽量将密码设置的复杂一些。

2、击键记录如果用户密码较为复杂，那么就难以使用暴力穷举的方式破解，这时黑客往往通过给用户安装木马病毒，设计“击键记录”程序，记录和监听用户的击键操作，然后通过各种方式将记录下来的用户击键内容传送给黑客，这样，黑客通过分析用户击键信息即可破解出用户的密码。

3、屏幕记录为了防止击键记录工具，产生了使用鼠标和图片录入密码的方式，这时黑客可以通过木马程序将用户屏幕截屏下来然后记录鼠标点击的位置，通过记录鼠标位置对比截屏的图片，从而破解这类方法的用户密码。

4、网络钓鱼“网络钓鱼”攻击利用欺骗性的电子邮件和伪造的网站登陆站点来进行诈骗活动，受骗者往往会泄露自己的敏感信息(如用户名、口令、帐号、PIN码或信用卡详细信息)，网络钓鱼主要通过发送电子邮件引诱用户登录假冒的网上银行、网上证券网站，骗取用户帐号密码实施盗窃。

5、Sniffer(嗅探器)在局域网上，黑客要想迅速获得大量的账号(包括用户名和密码)，最为有效的手段是使用Sniffer 程序。

Sniffer，中文翻译为嗅探器，是一种威胁性极大的被动攻击工具。

使用这种工具，可以监视网络的状态、数据流动情况以及网络上传输的信息。

网络监听技术

启
停捕
动
止获
捕
查设
获
看置
• 2、网络协议分析软件sniffer pro的配置
选择停止查看按钮会出现如下图所示对话框，选择最下面的 Decode选项卡。即可以看捕获后的数据的解码。
• 在以太网中Sniffer将系统的网络接口设定为混杂模式。这样，它就可以监听到所有流经同一以太网网段的数据包，而不管它的接受者或发送者是不是运行Sniffer 的主机。
2.5工具及软件选用
• 1、网络协议分析软件sniffer pro的安装 • 第一步：安装过程也很简单，双击安装程序，下一步，进入安装界面，下一步，出
2.4.2 深入了解Sniffer
• Sniffer是一种常用的收集有用数据的方法，这些数据可以是用户的账号和密码，还可以是一些商用机密数据等。随着Internet及电子商务的日益普及，Internet 的安全也越来越受到重视。Sniffer在Internet安全隐患中显示了很重要的作用。
• Sniffer通常运行在路由器或有路由器功能的主机上，这样就能对大量的数据进行监控。Sniffer几乎能得到任何以太网上传送的数据包。
2.3网络监听的实现方式
• (2)针对交换机的监听
不同于工作在物理层的集线器，交换机是工作在数据链路层的。交换机在工作时维护着一张ARP的数据库表，在这个库中记录着交换机每个端口所绑定的MAC地址，当有数据报发送到交换机时，交换机会将数据报的目的MAC 地址与自己维护的数据库内的端口对照，然后将数据报发送到“相应的”端口上，交换机转发的报文是一一对应的。对交换机而言，仅有两种情况会发送广播方式，一是数据报的目的MAC地址不在交换机维护的数据库中，此时报文向所有端口转发；二是报文本身就是广播报文。因此，基于交换机以太网建立的局域网并不是真正的广播媒体，交换机限制了被动监听工具所能截获的数据。为了实现监听的目的，可以采用MAC Flooding和ARP欺骗等方法。

Sniffer_Pro中文使用教程

Sniffer Pro中文使用教程第1章 Sniffer软件简介 .............................................................................................................. 1-11.1 概述 ............................................................................................................................. 1-11.2 功能简介...................................................................................................................... 1-1第2章报文捕获解析.................................................................................................................. 2-12.1 捕获面板...................................................................................................................... 2-12.2 捕获过程报文统计 ....................................................................................................... 2-12.3捕获报文查看.............................................................................................................. 2-22.4设置捕获条件.............................................................................................................. 2-3第3章报文放送 ........................................................................................................................ 3-13.1 编辑报文发送............................................................................................................... 3-13.2捕获编辑报文发送....................................................................................................... 3-2第4章网络监视功能.................................................................................................................. 4-14.1 Dashbord ..................................................................................................................... 4-14.2 Application Response Time (ART) ............................................................................. 4-1第5章数据报文解码详解 .......................................................................................................... 5-15.1数据报文分层.............................................................................................................. 5-15.2以太报文结构.............................................................................................................. 5-15.3 IP协议.......................................................................................................................... 5-35.4 ARP协议...................................................................................................................... 5-45.5 PPPOE协议 ................................................................................................................... 5-65.6 Radius协议.................................................................................................................. 5-9第1章 Sniffer软件简介1.1 概述Sniffer软件是NAI公司推出的功能强大的协议分析软件。

Sniffer_Pro的基本使用和实例

实验三： Sniffer Pro的基本使用和实例一、实验目的：练习sniffer工具的基本使用方法，用sniffer捕获报文并进行分析。

二、实验环境：通过交换机连接的多台PC，预装Windows XP操作系统。

三、运行环境及安装：Sniffer Pro可运行在局域网的任何一台机器上，如果是练习使用，网络连接最好用交换机且在一个子网，这样能抓到连到交换机上每台机器传输的包。

本文用的版本是 4.7.5，Sniffer Pro软件的获取可在或中输入Sniffer Pro 4.7.5，查找相应的下载站点来下载。

四、常用功能介绍1、Dashboard （网络流量表）点击图1中①所指的图标，出现三个表，第一个表显示的是网络的使用率（Utilization），第二个表显示的是网络的每秒钟通过的包数量（Packets），第三个表显示的是网络的每秒错误率（Errors）。

通过这三个表可以直观的观察到网络的使用情况，红色部分显示的是根据网络要求设置的上限。

选择图1中②所指的选项将显示如图2所示的更为详细的网络相关数据的曲线图。

每个子项的含义无需多言，下面介绍一下测试网络速度中的几个常用单位。

在TCP/IP协议中，数据被分成若干个包（Packets）进行传输，包的大小跟操作系统和网络带宽都有关系，一般为64、128、256、512、1024、1460等，包的单位是字节。

很多初学者对Kbps、KB、Mbps 等单位不太明白，B 和 b 分别代表Bytes(字节) 和bits（比特），1比特就是0或1。

1 Byte = 8 bits 。

1Mbps (megabits per second兆比特每秒)，亦即1 x 1024 / 8 = 128KB/sec（字节/秒），我们常用的ADSL下行512K指的是每秒512K比特(Kb)，也就是每秒512/8=64K字节（KB）图1图22、Host table（主机列表）如图3所示，点击图3中①所指的图标，出现图中显示的界面，选择图中②所指的IP选项，界面中出现的是所有在线的本网主机地址及连到外网的外网服务器地址，此时想看看192.168.113.88这台机器的上网情况，只需如图中③所示单击该地址出现图4界面。

Sniffer应用说明

SnifferPro HiSpeed SnifferPro Reporter
Sniffer (TNV) Network Analysis Suite
DSS/RMON Watch SnifferPro Packet Over SONET
Sniffer Product Offerings
Optical Networking Suite
DSS/RMON Agent 和SnifferPro同样的界面同样的协议解码能力和专家分析系统 DSPro Agent is a combination Protocol Analyzer and RMON probe.
LAN, WAN, High Speed, Switch 专家系统
内含2种数据包抓取模式，一个是利用WINPCAP 驱动抓包，一个是不需要安装任何驱动的模式抓包（该模式只适用于win2000/winxp/win2003/Vista）; 程序中已经捆绑了Winpcap驱动安装程序，如果没有驱动，可以选择直接安装！该程序非常强大，可以高速截取局域网中的数据包，可用来判断网络状态，网络信息。可用来检查局域网中蠕虫病毒的源头。可将数据包保存在数据库中，可离线单独分析数据。推荐安全工程师，网络工程师使用！
提供整体网络运行的健康分析及发展趋势分析
Sniffer可对网络系统的整体运行情况作出长期的健康分析与发展趋势报告，分析系统目前的使用情况，以及对新系统的规划作出精确的报告。
Sniffer网络分析仪的优势
Sniffer为用户的网络提供了领先于其他解决方案的分析、协议解释、自动化与可见性等功能。
– Switches
Become as Visible as Shared Segments

漏洞扫描

1、针对操作系统的漏洞作更深入的扫描，是（）型的漏洞评估产品。

A.数据库B.主机型网络型D.以上都不正确2、为了防御网络监听，最常用的方法是 ()A、采用物理传输（非网络）B、信息加密C、无线网D、使用专线传输3、扫描工具()(A)只能作为攻击工具(B)只能作为防范工具(C)既可作为攻击工具也可以作为防范工具（D）既不能作为攻击工具也不能作为防范工具4、下列关于网络嗅探技术说明错误的是：()A．嗅探技术对于已加密的数据无能为力B．将网卡设为混杂模式来进行嗅探对于使用交换机且进行了端口和MAC绑定的局域网无能为力C．将网卡设为混杂模式可以对任意局域网内的数据包进行窃听D．可以通过配置交换机端口镜像来实现对镜像端口的数据包进行窃听5、下列关于主机扫描说法正确的是：()A．主机扫描只适用于局域网内部B．主机扫描必须在对被扫描主机取得完全控制权以后才能进行C．如果被扫描主机没有回应，则说明其不存在或不在线D．主机扫描本质上仍然是通过对相应主机的端口进行扫描，根据其回复来判断相应主机的在线情况6、下列那个（）不是Sniffer工作的基本过程。

A．把网卡置于混杂模式B．事件响应单元C．捕获数据包D．分析数据包7、一次字典攻击能否成功，很大因素上取决于（）A．字典文件B。

计算机速度C．网络速度D。

黑客学历8、网络监听是怎么回事？()A.远程观察一个用户的电脑B.监视网络的状态、数据流动情况C.监视PC系统运行情况D.监视一个网站的发展方向9、下列关于信息收集类攻击的描述错误的是（）。

A:假冒网管人员、骗取员工信任属于社会工程学领域，不是信息收集类攻击的方法。

B:通过搜索引擎可获取大量对黑客攻击有价值的信息。

C．ping实用程序常用于探测远程设备的可访问性，也常集成于扫描程序中。

D．安全扫描工具既是网管工具也是黑客工具。

10、（）不是系统扫描器的功能。

A:探测连网主机 B:检查安全补丁安装情况C:检查系统配置错误D:检测系统漏洞11、（）不是网络扫描器的功能。

IRIS使用教程`

IRIS使用教程你使用过iris工具分析网络数据包吗?你想更好的学习TCP/IP协议吗?那就好好看看这篇文章,如何用协议分析工具学习TCP/IP...转转载请注明出处:一、前言目前，网络的速度发展非常快，学习网络的人也越来越多，稍有网络常识的人都知道TCP/IP协议是网络的基础，是Internet的语言，可以说没有TCP/IP协议就没有互联网的今天。

目前号称搞网的人非常多，许多人就是从一把夹线钳，一个测线器联网开始接触网络的，如果只是联网玩玩，知道几个Ping之类的命令就行了，如果想在网络上有更多的发展不管是黑道还是红道，必须要把TCP/IP协议搞的非常明白。

学习过TCP/IP协议的人多有一种感觉，这东西太抽象了，没有什么数据实例，看完不久就忘了。

本文将介绍一种直观的学习方法，利用协议分析工具学习TCP/IP，在学习的过程中能直观的看到数据的具体传输过程。

为了初学者更容易理解，本文将搭建一个最简单的网络环境，不包含子网。

二、试验环境1、网络环境如图1所示图1为了表述方便，下文中208号机即指地址为192.168.113.208的计算机，1号机指地址为192.168.113.1的计算机。

2、操作系统两台机器都为Windows 2000 ，1号机机器作为服务器，安装FTP服务3、协议分析工具Windows环境下常用的工具有：Sniffer Pro、Natxray、Iris以及windows 2000自带的网络监视器等。

本文选用Iris作为协议分析工具。

在客户机208号机安装IRIS软件。

三、测试过程1、测试例子将1号机计算机中的一个文件通过FTP下载到208号机中。

2、IRIS的设置由于IRIS具有网络监听的功能，如果网络环境中还有其它的机器将抓很多别的数据包，这样为学习带来诸多不便，为了清楚地看清楚上述例子的传输过程首先将IRIS设置为只抓208号机和1号机之间的数据包。

设置过程如下：1)用热键CTRL+B弹出如图所示的地址表，在表中填写机器的IP地址，为了对抓的包看得更清楚不要添主机的名字（name）,设置好后关闭此窗口。