Sniffer抓包实验 - 360文档中心

sniffer 实验报告

sniffer 实验报告Sniffer实验报告引言：在当今数字化时代，网络安全问题备受关注。

Sniffer作为一种网络安全工具，被广泛应用于网络流量监测、数据包分析和安全漏洞发现等领域。

本报告旨在介绍Sniffer的原理、应用以及实验结果，并探讨其在网络安全中的重要性。

一、Sniffer的原理与工作方式Sniffer是一种网络数据包嗅探器，它能够截获经过网络的数据包，并对其进行分析和解码。

其工作原理主要包括以下几个步骤：1. 网络接口监听：Sniffer通过监听网络接口，获取经过该接口的数据包。

这可以通过底层网络协议（如以太网、无线网络等）提供的API实现。

2. 数据包截获：一旦Sniffer监听到网络接口上的数据包，它会将其截获并保存在内存或磁盘中，以便后续分析。

3. 数据包解析：Sniffer对截获的数据包进行解析，提取其中的关键信息，如源IP地址、目标IP地址、协议类型、端口号等。

这些信息可以帮助分析人员了解网络流量的来源、目的和内容。

4. 数据包分析：通过对解析得到的数据包进行深入分析，Sniffer可以检测网络中的异常行为、安全漏洞以及潜在的攻击。

二、Sniffer的应用领域Sniffer作为一种功能强大的网络安全工具，在各个领域都有广泛的应用。

以下是几个典型的应用场景：1. 网络管理与监控：Sniffer可以用于监测网络流量，分析网络性能和带宽利用情况。

通过对数据包的分析，可以及时发现网络故障和异常，提高网络管理的效率。

2. 安全漏洞发现：Sniffer可以检测网络中的异常流量和未经授权的访问行为，帮助发现系统的安全漏洞。

它可以捕获潜在的攻击数据包，并通过分析判断是否存在安全威胁。

3. 网络流量分析：Sniffer可以对网络流量进行深入分析，了解用户的行为习惯、访问偏好以及网络应用的使用情况。

这对于网络服务提供商和广告商来说，有助于优化服务和精准投放广告。

4. 数据包调试与故障排查：在网络通信过程中，数据包传输可能会出现错误或丢失。

wireshark或sniffer抓包软件使用实

实验2 wireshark或sniffer抓包软件使用实本次实验使用wireshark抓包软件。

开启的应用程序有：IE，QQ, QQ音乐。

过滤的UDP 的报文。

结果：抓取的报文：14 2.915765000 tencent_private DFAUT QQMusicExternal.exe 222.18.168.170119.177.224.41 UDP 121 Source port: http Destination port: hosts2-ns即第14号报文，时间为2.915765000，应用程序名称：tencent_private，应用哈希：DFAUT, 应用程序模块：QQMusicExternal.exe，源地址：222.18.168.170，目标地址：119.177.224.41，协议：UDP，包长度：121，信息：源端口：http；目的端口：hosts2-ns。

结果说明：链路层：以太网；网络层：IP协议；传输层：UDP；应用层：qq的私有协议。

详细情况：展开后的情况：（由于此段最后一项过长不好截图，故将其复制过来了）Frame 14: 121 bytes on wire (968 bits), 121 bytes captured (968 bits) on interface 0Interface id: 0Encapsulation type: Ethernet (1)Arrival Time: Dec 3, 2013 11:15:50.371006000 中国标准时间Time shift for this packet: 0.000000000 secondsEpoch Time: 1386040550.371006000 secondsTime delta from previous captured frame: 0.010828000 secondsTime delta from previous displayed frame: 0.010828000 secondsTime since reference or first frame: 2.915765000 secondsFrame Number: 14Frame Length: 121 bytes (968 bits)Capture Length: 121 bytes (968 bits)Frame is marked: FalseFrame is ignored: FalseProtocols in frame: eth:ai:ip:udp:dataColoring Rule Name: Checksum ErrorsColoring Rule String: eth.fcs_bad==1 || ip.checksum_bad==1 || tcp.checksum_bad==1 || udp.checksum_bad==1 || sctp.checksum_bad==1 || mstp.checksum_bad==1 || cdp.checksum_bad==1 || edp.checksum_bad==1 || wlan.fcs_bad==1画面14：121字节线（968位），121个字节（968位）捕获接口0接口编号：0封装类型：以太网（1）到达时间：2013年12月3日50.371006000中国标准时间11:15:这个包的时间变化：0秒时间：1386040550.371006000秒以前捕获的帧时间三角：0.010828000秒从以前的显示帧时间三角洲：0.010828000秒由于参考或第一帧的时间：2.915765000秒帧号：14帧长度：121字节（968位）捕获长度：121字节（968位）帧标记：假框架是忽视：假协议的框架：ETH：AI：IP UDP数据：：着色规则名称：校验和错误着色规则字符串：ETH。

实验一sniffer抓包工具的应用

洛阳理工学院实验报告
系别计算机与信
息工程系
班级学号姓名
课程名称网络安全实验日期2014.10.23 实验名称Sniffer抓包工具的应用成绩
实验目的：
通过实验掌握Sniffer工具的使用，理解TCP/IP 协议中TCP、IP、ICMP数据包的结构，以及TCP三次握手的过程。

实验条件：
虚拟机平台，Windows Server 2003和XP
实验内容：
一、 ICMP包
1.先将虚拟机Windows Server 2003和XP ping通。

（如图1、2）
图1 在XP上ping Windows Server显示
图2 ICMP包死亡之ping
2.打开XP中的Sniffer程序，点击开始按钮进行抓包。

（如图3）
图3 抓包结果
二、TCP三次握手
1.在windows server上建ftp，然后在XP上架设ftp，打开Sniffer的过滤器进行双向抓包。

（如图4、5）
图4 windows server的ftp显示图5 打开Filter设置ip
2.第一次握手如图6所示。

图6 第一次握手显示结果 3.第二次握手如图7所示。

图7 第二次握手显示结果4.第三次握手如图8所示。

图8 第三次握手显示结果5.过滤器显示如图9、10。

图9 过滤器(TOP10 总比特数)
图10 Traffic Map 的IP地址显示
实验总结：
通过这次试验我了解到Sniffer工具的使用以及TCP三次握手的过程，在这次试验中其实有许多不懂的地方，还好在同学的帮助下解决了许多问题，关于这方面我觉得知识方面有些欠缺，以后会多加努力。

sniffer的配置和使用

Sniffer的使用一、实验简介：Sniffer是一个完善的网络监听工具。

使用Sniffer的目的是截获通信的内容，同时能对数据包的内容进行协议分析，使同学们加深对IP协议、TCP协议、UDP 协议和ICMP协议的认识。

二、实验步骤：1、设置Sniffer1．在抓包过滤器窗口中，选择Address选项卡，如图所示。

2．窗口中需要修改两个地方：在Address下拉列表中，选择抓包的类型是IP，在Station1下面输入主机的IP地址；在与之对应的Station2下面输入虚拟机的IP地址.3．设置完毕后，点击该窗口的Advanced选项卡，拖动滚动条找到IP项，将IP和ICMP选中，如下图所示。

4．向下拖动滚动条，将TCP和UDP选中，再把TCP下面的FTP和Telnet两个选项选中，如图所示。

5．这样Sniffer的抓包过滤器就设置完毕了，后面的实验也采用这样的设置。

选择菜单栏Capture下Start菜单项，启动抓包以后，在主机的DOS窗口中Ping虚拟机，如图所示。

6.这样Sniffer的抓包过滤器就设置完毕了，后面的实验也采用这样的设置。

选择菜单栏Capture下Start菜单项，启动抓包以后，在主机的DOS窗口中Ping虚拟机，如图所示。

7.等Ping指令执行完毕后，点击工具栏上的停止并分析按钮，如图所示。

8. 在出现的窗口选择Decode选项卡，可以看到数据包在两台计算机间的传递过程，如图所示。

2、抓取Ping指令发送的数据包1．按照前面对Sniffer的设置抓取Ping指令发送的数据包，命令执行如图所示。

2. 其实IP报头的所有属性都在报头中显示出来，可以看出实际抓取的数据报和理论上的数据报一致，分析如图所示。

3、抓取TCP数据包1．启动Sniffer，然后在主机的DOS命令行下利用FTP指令连接目标主机上的FTP服务器，连接过程如图所示。

2．登录FTP的过程是一次典型的TCP连接，因为FTP服务使用的是TCP协议。

网络抓包--sniffer pro的使用

实验二网络抓包——sniffer pro 的使用实验目的：1. 了解网络嗅探的原理；2. 掌握Sniffer Pro 嗅探器的使用方法；实验学时：2课时实验形式：上机实验器材：联网的PC 机实验环境：操作系统为Windows2000/XP实验内容：任务一熟悉Sniffer Pro 工具的使用任务二使用Sniffer Pro 抓获数据包实验步骤：任务一熟悉Sniffer Pro 工具的使用1. Sniffer Pro 工具简介Sniffer 软件是NAI 公司推出的功能强大的协议分析软件，具有捕获网络流量进行详细分析、利用专家分析系统诊断问题、实时监控网络活动和收集网络利用率和错误等功能，实验中使用Sniffer Pro4.7.5来截获网络中传输的FTP 和HTTP 数据包，并进行分析。

2. 使用说明在sniffer pro 初次启动时，可能会提示选择一个网络适配器进行镜像，如图1所示，此时正确选择接入网络的网卡，这样sniffer pro 才可以把网卡设置为混杂（Promiscuous ）模式，以接收在网络上传输的数据包。

Sniffer Pro 运行后的主界面如图2所示。

（1）工具栏简介如图3所示。

图1 网卡设置图2 sniffer pro 主界面图3工具栏快捷键的含义如图4所示。

（2）网络监视面板简介在捕获过程中可以通过Capture Panel 查看网络的利用率、捕获报文的数量和缓冲区的利用率,如图5所示。

（3）捕获数据包窗口简介Sniffer 软件提供了强大的分析能力和解码功能。

如图6所示，对于捕获的报文提供了一个Expert 专家分析系统进行分析，还有解码选项及图形和表格的统计信息。

专家分析专家分析系统提供了一个智能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。

在图7中显示出在网络中WINS 查询失败的次数及TCP 重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。

实验三Sniffer的使用

实验三Sniffer的使用
班级：X0715 学号：X071502 姓名：黄勇日期：071014
一.实验目的
1.掌握sniffer软件的使用。

二.实验内容
1.在服务器上安装配置网络监视软件ethereal或SnifferPro，并安装抓包工具WinPcap。

2.建一个简易的FTP服务器FtpServer。

设置ftp目录为d:\学号，如：d:\X041911 。

ftp
账号是学号，口令是学号。

相邻机器登陆FTP 服务器，捕获FTP数据包并分析其
数据帧及IP 包结构。

精确设置捕获过滤器，截取FTP 账号、密码
3.本机开启telnet 服务器，配置TELNET服务NTLM 选0。

4.相邻机器登陆telnet 服务器，截取telnet 账号、密码，捕获telnet数据包并分析其
数据帧及IP 包结构。

三、实验环境
Windows2000 Server。

四、实验步骤（过程以截图和文字方式说明）
五、实验总结（是否完成实验、实验过程中的问题以及解决方法分析等）纯粹理论实际情况下无法使用。

sniffer实验报告

sniffer实验报告实验报告：Sniffer实验引言：Sniffer是一种网络工具，用于捕获和分析网络数据包。

它可以帮助我们了解网络通信的细节，并帮助网络管理员识别和解决网络问题。

本实验旨在介绍Sniffer的原理和应用，以及通过实际操作来深入了解其功能和效果。

一、Sniffer的原理和工作机制Sniffer工作在网络的数据链路层，通过监听网络上的数据包来获取信息。

它可以在网络中的一个节点上运行，或者通过集线器、交换机等设备进行监测。

Sniffer通过网卡接口，将数据包拷贝到自己的缓冲区中，然后进行解析和分析。

二、Sniffer的应用领域1. 网络故障排查：Sniffer可以帮助管理员快速定位网络故障的原因，通过捕获数据包并分析其中的错误信息，找到导致网络中断或延迟的问题源。

2. 安全监测：Sniffer可以用于检测网络中的恶意行为，如入侵、数据泄露等。

通过分析数据包的内容和流量模式，管理员可以发现异常活动并采取相应措施。

3. 性能优化：Sniffer可以监测网络的吞吐量、延迟等性能指标，帮助管理员优化网络结构和配置，提高网络的传输效率和响应速度。

4. 协议分析：Sniffer可以解析各种网络协议，包括TCP/IP、HTTP、FTP等，帮助管理员了解网络通信的细节和流程，从而更好地管理和优化网络。

三、实验步骤与结果1. 硬件准备：连接电脑和网络设备，确保网络正常运行。

2. 软件安装：下载并安装Sniffer软件，如Wireshark等。

3. 打开Sniffer软件：选择合适的网卡接口，开始捕获数据包。

4. 分析数据包：通过过滤器设置，选择需要分析的数据包类型，如HTTP请求、FTP传输等。

5. 结果分析：根据捕获的数据包，分析网络通信的细节和问题，并记录相关信息。

6. 故障排查与优化：根据分析结果，定位网络故障的原因，并采取相应措施进行修复和优化。

实验结果显示，Sniffer软件成功捕获了网络中的数据包，并能够准确地分析其中的内容和流量模式。

Sniffer工具使用实验报告

Sniffer工具使用实验报告学院：计算机科学与工程学院班级：专业：学生姓名：学号：目录实验目的 (3)实验平台 (3)实验内容 (3)实验1：抓ping和回应包 (3)实验要求： (3)实验过程与分析 (3)实验2 ：捕获内网发往外网的重要数据 (4)实验要求： (4)实验过程与分析： (5)实验3 ：Arp包编辑发送 (6)实验要求： (6)实验过程与分析： (6)实验4 ：ARP欺骗 (7)实验要求： (7)实验过程与分析 (8)实验深入分析： (11)实验5：交换机端口镜像的简单配置 (11)实验要求： (11)实验过程与分析： (12)实验心得 (13)实验目的了解著名协议分析软件sniffer的主要功能，以及sniffer能处理什么网络问题实验平台Sniffer软件是NAI公司推出的功能强大的协议分析软件。

与Netxray比较，Sniffer支持的协议更丰富，如Netxray不支持PPPOE协议，但Sniffer能快速解码分析；Netxray不能在Windows 2000和Windows XP上正常运行，而SnifferPro 4.6可以运行在各种Windows平台上。

缺点：运行时需要的计算机内存比较大，否则运行比较慢功能：1）捕获网络流量进行详细分析2)利用专家分析系统诊断问题3）实时监控网络活动4）收集网络利用率和错误等实验内容实验1：抓ping和回应包实验要求：Ping xxxx–t观察icmp:echo和icmp:echo(reply)包信息实验过程与分析1）设置过滤器过滤ICMP协议2）让Sniffer开始抓包Ping 222.201.146.92 –t截获包如下Echo包：ICMP头后面abcde……为填充内容（数据填充码），纯熟用来凑够一个帧大小Echo reply包与Echo包对比可知，ID和sequence number是一致的。

同样ICMP头后面abcde……为填充内容（数据填充码），纯熟用来凑够一个帧大小实验2 ：捕获内网发往外网的重要数据实验要求：捕获条件可选择协议dns(tcp),http,pop,smtp,地址为本机IP到any登陆华南目棉BBS或华工教学在线或其他网络论坛。

网络抓包实验报告

实验二网络抓包——sniffer pro的使用实验报告实验目的：了解网络嗅探的原理；掌握Sniffer Pro嗅探器的使用方法；实验步骤：任务一熟悉Sniffer Pro工具的使用：络适配器进行镜像，此时正确选择接入网络的网卡，这样sniffer pro才可以把网卡设置为混杂模式，以接收在网络上传输的数据包:Sniffer Pro运行后的主界面:网络监视面板:捕获数据包窗口:专家分析系统提供了一个智能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。

解码分析:对捕获报文进行解码，窗口分为三部分，第一部分时捕捉到的数据包列表，每一行代表一个数据包；第二部分是针对第一部分被选取数据包加以分析的结果；第三部分则是第一部分被选取数据包的原始内容。

过滤规则定义:①“address”是最常用的定义。

其中包括MAC地址、ip地址和ipx地址的定义。

以定义IP地址过滤为例，如下图所示：②“advanced”定义捕获的相关协议的数据包。

如图所示：③“buffer”定义捕获数据包的缓冲区。

如图所示：④最后，需将定义的过滤规则应用于捕获中，在主界面选择任务二捕获HTTP数据包并分析：1.定义过滤的地址规则：2.定义过滤的协议规则：3.开始捕获主机的有关HTTP协议的数据包：4. 开始捕捉之后，显示捕捉的Packet的数量：5. 主机登陆一个Web站点，并输入自己的邮箱地址和密码。

按钮，停止抓包，系统自动打开捕获数据包窗口。

析捕获的数据包。

8. 通过报文解码窗口分析TCP和IP包头结构:由图可知：本机无线局域网物理地址为00-25-D3-BC-32-55，IP地址为10.10.173.156。

10.10.173.156，总计1462个字节。

前六个字节为目的主机（本机）的MAC地址，两个字节规定数据进入网络层使用的协议类型为IP协议，TCP报头结构：IP报头结构：思考：本实验是在交换式环境下进行的，因此抓获的数据包具有什么特点？如果在共享式环境下进行抓获的数据包又有什么特点？交换式网络只能抓到本机收到或者发出的数据包，以及广播中的数据包共享式网络以广播方式发送数据包的形式使得任何网络接收设备都可接收到所有正在传送的通讯数据, 不过只将判断为应该接收的数据包传给上层应用程序处理。

《网络安全》实验指引

实验一使用Sniffer工具进行TCP/IP、ICMP数据包分析1、实验目的通过实验掌握Sniffer工具的安装及使用，1)实现捕捉ICMP、TCP等协议的数据报；2)理解TCP/IP协议中TCP、IP、ICMP数据包的结构，会话连接建立和终止的过程，TCP序列号、应答序号的变化规律，了解网络中各种协议的运行状况；3)并通过本次实验建立安全意识，防止明文密码传输造成的泄密。

2、实验环境两台安装Windows2000/XP的PC机，其中一台上安装有Sniffer软件，两台PC是通过HUB或交换机处于联网状态。

3、实验任务1)了解Sniffer安装和基本使用方法，监测网络中的传输状态；2)定义过滤规则，进行广义的数据捕获，分析数据包结构；3)定义指定的捕获规则，触发并进行特定数据的捕获：●ping ip-address●ping ip-address –l 1000●ping ip-address –l 2000●ping ip-address –l 2000 –f●（在IE地址栏中，输入）4、实验步骤：(1)、打开Sniffer软件，点击捕获——过滤设置——选择TCP和IP。

图（一）图（二）图（三）图（四）(2)定义指定的捕获规则，触发并进行特定数据的捕获：●ping ip-address●ping ip-address –l 1000●ping ip-address –l 2000●ping ip-address –l 2000 –f●（在IE地址栏中，输入）5、实验总结：由图（一）可以知道：帧捕获的时间、帧长、源和目的，以及IP的信息。

由图（二）可以知道：TCP的信息，源端口号（80）、目的端口号（1234）、序列号（2602531683）、偏移量等由图（三）可以知道：ICMP的信息，Type=8,序列号（2048）图（四）是IP的详细信息。

ping 172.16.26.60Ping -l 1000 172.16.26.60 (-l ：发送指定数据量的ECHO数据包。

用sniffer抓包分析大小

用Sniffer抓包分析以太网帧日期：2006-6-9 浏览次数：14494出处：思科思索用sniffer抓icmp包来分析。

1。

ping 192.168.1.1 -l 0ping一个ip，指定携带的数据长度为0抓包分析如图：从图上的1处我们可以看到这个数据总大小是：60byte从2处看到ip数据总长度：28byteip数据为什么是28byte？因为ip头部是20个字节（4处标记的），而icmp头部是8个字节，因为我们的ping是指定数据长度为0的，所以icmp里不带额外数据，即：28＝20＋8而我们知道以太网类型帧头部是 6个字节源地址＋6个字节目标地址＋2个字节类型＝14字节以太网帧头部＋ip数据总长度＝14＋28＝42注意3处标记的，填充了18个字节。

42＋18＝60刚好等于总长度，其实这里我们需要注意到这里捕捉到帧不含4个字节的尾部校验，如果加上4字节尾部校验，正好等于64！64恰好是以太类型帧最小大小。

在图中我们还可以看到这个帧没有分割，flags＝0x，因为不需要分割。

再分析一个ping 192.168.1.1 -l 64数据大小106byte106－14（以太类型帧头部）=92刚好等于ip部分的显示大小92－20（ip）－8（icmp头）＝64刚好等于我们指定的64字节ping 包以太网帧实际承载数据部分最大为1500，这里面还包含其他协议的报头，所以实际承载数据肯定小于1500，如果ping 192.168.1.1 -l 1500，那么数据必要会被分割，但计算方法还是一样的，只是需要特别注意，后续帧无需包含第一个帧所包含的icmp报头。

所以第一个帧的大小会是 1500（实际数据部分大小，含ip和icmp报头）＋14（以太类型帧头部）＝1514，在第一个帧里实际携带了多少数据的是1500－20（IP 报头）－8（icmp 报头）＝1472，剩余28bytes数据会在后续帧中后续帧大小：14（以太类型头）＋20（ip头）＋28（实际数据）＝62注意上面的计算我们都不计算尾部4字节校验的。

Sniffer监听实验

实验8.1 Sniffer监听实验1．实验目的学会使用Sniffer对局域网进行数据监听和抓包分析。

2．实验原理Sniffer软件是NAI公司推出的功能强大的协议分析软件，其主要功能有捕获网络流量进行详细分析、利用专家分析系统诊断问题、实时监控网络活动、收集网络利用率和错误等。

3．实验环境局域网内装有Windows 2000/XP系统的计算机。

4．实验步骤¾启动Sniffer在进行流量捕获之前首先选择网络适配器，确定从计算机的哪个网络适配器上接收数据。

位置：File->select settings，然后选择网卡：图1选择网络适配器后才能正常工作。

该软件安装在Windows 98操作系统上，Sniffer可以选择拨号适配器对窄带拨号进行操作。

如果安装了EnterNet500等PPPOE软件还可以选择虚拟出的PPPOE网卡。

对于安装在Windows 2000/XP上则无上述功能，这和操作系统有关。

¾报文捕获解析工具栏主要界面如下图所示：图2报文捕获功能可以在报文捕获面板中进行完成，如下是捕获面板的功能图：图中显示的是处于开始状态的面板。

图3在捕获过程中可以通过查看网络监视面板Dashboard查看捕获报文的数量和缓冲区的利用率：图4首先设置捕获条件。

基本的捕获条件有两种，如图5所示：1、链路层捕获，按源MAC和目的MAC地址进行捕获，输入方式为十六进制连续输入，如：00E0FC123456。

2、IP层捕获，按源IP和目的IP进行捕获。

输入方式为点间隔方式，如：10.107.1.1。

如果选择IP层捕获条件，则ARP等报文将被过滤掉。

高级捕获条件如图6所示在协议选择树中你可以选择你需要捕获的协议条件，如果什么都不选，则表示忽略该条件，捕获所有协议。

在捕获帧长度条件下，你可以捕获，等于、小于、大于某个值的报文。

在错误帧是否捕获栏，你可以选择当网络上有如下错误时是否捕获。

在保存过滤规则条件按钮“Profiles”，你可以将你当前设置的过滤规则，进行保存。

Sniffer网络抓包实验报告

三、实验步骤及运行结果：
一、Sniffer软件的安装
在网上下载Sniffer软件后，直接运行安装程序，系统会提示输入个人信息和软件注册码，安装结束后，重新启动，之后再安装Sniffer汉化补丁。运行Sniffer程序后，系统会自动搜索机器中的网络适配器，点击确定进入Sniffer主界面。
二、Sniffer软件的使用
（1）网络适配器的选择
在使用Sniffer软件之前必须要做的一件工作是为计算机选择合适的网络适配器，确定数据的接收渠道。用户可以通过命令File/Select Setting…来实现（如图1）。
图1
（2）捕获报文
Sniffer软件提供了两种最基本的网络分析操作，即报文捕获和网络性能监视（如图2）。在这里我们首先对报文的捕获加以分析，然后再去了解如何对网络性能进行监视。
五、Sniffer在网络维护中的应用——解决网络传输质量问题
Sniffer在网吧网络中的应用，主要是利用其流量分析和查看功能，解决网吧中出现的网络传输质量问题。
1、广播风暴：广播风暴是网吧网络最常见的一个网络故障。网络广播风暴的产生，一般是由于客户机被病毒攻击、网络设备损坏等故障引起的。可以使用Sniffer中的主机列表功能，查看网络中哪些机器的流量最大，合矩阵就可以看出哪台机器数据流量异常。从而，可以在最短的时间内，判断网络的具体故障点。
图6
图7
回到图15所示界面，此时，用户可首先查看Detail所显示的将要发送的信息，然后选择Animation界面，单击发送按钮就可以形象地看到捕获的报文被发送到指定地点。
（2）捕获报文的直接编辑发送
当然也可以将捕获到的报文直接转换成发送包文，然后做一些修改也是可以的。操作如图8所示。
图8
可以选中某个捕获的报文，用鼠标右键激活菜单，选择Send Current Packet，这是，该报文的内容已经被原封不动地送到“发送编辑窗口”了。这是在做一些修改就比全部填充报文省事多了。

sniffer实验报告

河南师范大学综合性、设计性实验项目图1图22、Host table （主机列表）如图3所示，点击图3中①所指的图标，出现图中显示的界面，选择图中②所指的IP选项，界面中出现的是所有在线的本网主机地址及连到外网的外网服务器地址，此时想看看192.168.113.88这台机器的上网情况，只需如图中③所示单击该地址出现图4界面。

图3图4中清楚地显示出该机器连接的地址。

点击左栏中其它的图标都会弹出该机器连接情况的相关数据的界面。

图43、Dtail (协议列表)点击图5所示的“Detail”图标，图中显示的是整个网络中的协议分布情况，可清楚地看出哪台机器运行了那些协议。

注意，此时是在图3的界面上点击的，如果在图4的界面上点击显示的是那台机器的情况。

图54、Bar（流量列表）点击图6所示的“Bar”图标，图中显示的是整个网络中的机器所用带宽前10名的情况。

显示方式是柱状图，图7显示的内容与图6相同，只是显示方式是饼图。

图6图75、Matrix（网络连接）点击图8中箭头所指的图标，出现全网的连接示意图，图中绿线表示正在发生的网络连接，蓝线表示过去发生的连接。

将鼠标放到线上可以看出连接情况。

鼠标右键在弹出的菜单中可选择放大（zoom）此图。

图8（2）抓包实例1.抓某台机器的所有数据包如图9所示，本例要抓192.168.113.208这台机器的所有数据包，如图中①选择这台机器。

点击②所指图标，出现图10界面，等到图10中箭头所指的望远镜图标变红时，表示已捕捉到数据，点击该图标出现图11界面，选择箭头所指的Decode选项即可看到捕捉到的所有包。

图9图10图112、抓Telnet密码本例从192.168.113.208 这台机器telnet到192.168.113.50，用Sniff Pro抓到用户名和密码。

步骤1：设置规则如图12所示，选择Capture菜单中的Defind Filter，出现图13界面，选择图13中的ADDress项，在station1和2中分别填写两台机器的IP地址，如图14所示选择Advanced选项，选择选IP/TCP/Telnet ,将Packet Size设置为Equal 55，Packet Type 设置为Normal.。

使用PacketSniffer抓包和分析（z-stack协议）

使⽤PacketSniffer抓包和分析（z-stack协议）以下内容仅是⾃⼰学习总结，可能会有错误，有发现问题的欢迎指正（图⽚可以⾃⼰放⼤，还是⽐较清晰的）。

1、协调器上电，其他设备均不上电，抓包如下：通过观察可以发现，协调器建⽴⽹络成功后，会以15秒为周期告知⾃⼰的⽹络连接状态，2、关闭协调器，路由器上电，抓包如下：路由器会不断的发送Beacon request来请求⽹络信息。

3、为了抓完整的包，先将协调器上电，然后再将路由器上电，抓完整组⽹包如下：从头开始看，1）⾸先协调器建⽴好⽹络，并且以15S的间隔⼴播⾃⼰的⽹络连接状态NWK Link Status2）路由器连续发了3个Beacon request,协调器分别回应了3次，3）然后路由器将⾃⼰的MAC地址信息加⼊，发送了Association request，即请求连接，协调器回复⼀个ACK信号4）路由器将⾃⼰的MAC地址信息加⼊(0x00124B000AF859CD)，发送了Data request,协调器再回复⼀个ACK信号5）协调器根据Data request，给路由分配⼀个short addr（0x4D13）发送给路由器(0x0000)。

路由器收到后给予⼀个ACK回应6）接着路由器和协调器分别⼴播⼀个APS CLUSTER ID = 0x0013的数据信息7）组⽹已经全部完成，这时候路由器和协调器分别会以15秒的间隔不断的⼴播⾃⼰的⽹路状态，8) 此时，⽤户可以发送⾃⼰的数据，我这⾥发送数据是截图的最后⼀帧（上⾯截图没有截完全，下⾯是上⾯最后⼀帧截图的补充），可以观看，MAC payload即MAC层接收到的数据，它左右的信息是物理层PHY头部解析后的表现形式，MAC payload⼜解析成了NWK头部和NWK payload（MAC payload黄⾊区域右边），同样NWK payload⼜分解成了APS头部和APS payload(NWK payload黄⾊区域右边),观察这些数据，发现不正是我们在⽤户程序⾥⾯⾃⼰定义的端点号，簇ID，和数据内容吗，这些数据我们将在⾃⼰的程序中解析并且处理我这⾥的端点号是0x0B,簇ID是0x0002，prifile ID 是0x0F05,数据内容是EA EB 4D 13 D9 5B F8 0A 00 4B 12 00（EA EB是头部，4D 13是路由器的短地址，D9 5B F8 0A 00 4B 12 00是路由器的长地址；仅测试使⽤，所以数据格式叫简单，没有数据长度，数据校验等信息）9）以上过程就完成了路由器，协调器组⽹，并且数据传送的整个过程。

Sniffer网络抓包实验报告

实验报告填写时间：图1（2）捕获报文Sniffer软件提供了两种最基本的网络分析操作，即报文捕获和网络性能监视（如图2）。

在这里我们首先对报文的捕获加以分析，然后再去了解如何对网络性能进行监视。

图2捕获面板报文捕获可以在报文捕获面板中进行，如图2中蓝色标注区所示即为开始状态的报文捕获面板，其中各按钮功能如图3所示图3捕获过程的报文统计在报文统计过程中可以通过单击Capture Panel 按钮来查看捕获报文的数量和缓冲区的利用率（如图4、5）。

图4图5三、Sniffer菜单及功能简介Sniffer进入时，需要设置当前机器的网卡信息。

进入Sniffer软件后，会出现如图2的界面，可以看到Sniffer软件的中文菜单，下面是一些常用的工具按钮。

在日常的网络维护中，使用这些工具按钮就可以解决问题了。

1、主机列表按钮：保存机器列表后，点击此钮，Sniffer会显示网络中所有机器的信息，其中，Hw地址一栏是网络中的客户机信息。

网络中的客户机一般都有惟一的名字，因此在Hw地址栏中，可以看到客户机的名字。

对于安装Sniffer的机器，在Hw地址栏中用“本地”来标识；对于网络中的交换机、路由器等网络设备，Sniffer只能显示这些网络设备的MAC 地址。

入埠数据包和出埠数据包，指的是该客户机发送和接收的数据包数量，后面还有客户机发送和接收的字节大小。

可以据此查看网络中的数据流量大小。

2、矩阵按钮：矩阵功能通过圆形图例说明客户机的数据走向，可以看出与客户机有数据交换的机器。

使用此功能时，先选择客户机，然后点击此钮就可以了。

3、请求响应时间按钮：请求响应时间功能，可以查看客户机访问网站的详细情况。

当客户机访问某站点时，可以通过此功能查看从客户机发出请求到服务器响应的时间等信息。

4、警报日志按钮：当Sniffer监控到网络的不正常情况时，会自动记录到警报日志中。

所以打开Sniffer软件后，首先要查看一下警报日志，看网络运行是否正常。

第3章实验--Sniffer软件的使用

一、实验项目名称Sniffer软件的使用二、实验目的使用Sniffer抓取主机到虚拟机或者到其他计算机的数据包,并做简要分析三、实验基本原理与电话电路不同，计算机网络是共享通讯通道的。

共享意味着计算机能够接收到发送给其它计算机的信息。

一个主机上的Sniffe会将网络接口置为混杂模式以接收所有数据包。

四、主要仪器设备及耗材计算机一台、五、实验步骤1.双击安装程序，进入安装向导界面，如图所示：2.压缩包将进行自解压，随后出现几个窗口去不按照默认的安装选项进入下一步运行，Sniffer将自动安装到本地计算机上。

安装完毕后，重新启动Sniffer 就可以使用了。

3.使用Sniffer抓包，进入Sniffer主界面，抓包之前首先设置要抓取的数据包的类型。

选择主菜单“Capture”下的“Define Filter”菜单,如图：在出现的对话框中，选择“Address”选项卡，在下拉列表中，选择抓包的类型为IP,在“Station1”下面输入主机的IP地址，主机的IP地址是：172.17.1.114在与之对应的“Station2”下面输入虚拟机的IP地址，虚拟机的IP地址是172.17.1.2544.设置完毕后，单击“Advanced”选项卡，拖动滚动条找到IP项，将IP和ICMP选中，如图：向下拖动滚动条，将TCP和UDP选中，再把TCP下面的FTP和Telnet两个选项选中，如图继续拖动滚动条，选中UDP下面的DNS，这样就设置好了抓包过滤器。

5.选择菜单栏“Capture”下的“Start”菜单项，启动抓包以后，在主机的DOS窗口中Ping虚拟机，如图：Ping指令执行完毕后，单击工具栏上的“Stop and Display”按钮，如图所示：在出现的窗口选择“Decode”选项卡，可以看到数据包在两台计算机间的传递过程，如图所示：利用抓包软件所抓取的数据包：七、思考讨论题或体会或对改进实验的建议通过这次试验，自己对网络抓包工具Sniffer从下载到安装的全过程有了比较清晰的认识，培养了自己动手的能力。

如何使用sniffer抓包

如何使用sniffer抓包2007-12-16 12:26一、什么是sniffer与电话电路不同，计算机网络是共享通讯通道的。

共享意味着计算机能够接收到发送给其它计算机的信息。

捕获在网络中传输的数据信息就称为sniffing（窃听）。

以太网是现在应用最广泛的计算机连网方式。

以太网协议是在同一回路向所有主机发送数据包信息。

数据包头包含有目标主机的正确地址。

一般情况下只有具有该地址的主机会接受这个数据包。

如果一台主机能够接收所有数据包，而不理会数据包头内容，这种方式通常称为"混杂" 模式。

由于在一个普通的网络环境中，帐号和口令信息以明文方式在以太网中传输，一旦入侵者获得其中一台主机的root权限，并将其置于混杂模式以窃听网络数据，从而有可能入侵网络中的所有计算机。

二、sniffer工作原理通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力，而每个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其他网络接口的硬件地址，同时，每个网络至少还要一个广播地址。

（代表所有的接口地址），在正常情况下，一个合法的网络接口应该只响应这样的两种数据帧：1、帧的目标区域具有和本地网络接口相匹配的硬件地址。

2、帧的目标区域具有"广播地址"。

在接受到上面两种情况的数据包时，nc通过cpu产生一个硬件中断，该中断能引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理。

而sniffer就是一种能将本地nc状态设成（promiscuous）状态的软件，当nc 处于这种"混杂"方式时，该nc具备"广播地址"，它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。

（绝大多数的nc具备置成promiscuous方式的能力）可见，sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。

Sniffer工具使用实验报告

Sniffer工具使用实验报告学院：计算机科学与工程学院班级：专业：学生姓名：学号：目录实验目的 (1)实验平台 (1)实验内容 (2)实验1：抓ping和回应包 (2)实验要求： (2)实验过程与分析 (2)实验2 ：捕获内网发往外网的重要数据 (3)实验要求： (3)实验过程与分析： (4)实验3 ：Arp包编辑发送 (5)实验要求： (5)实验过程与分析： (5)实验4 ：ARP欺骗 (6)实验要求： (6)实验过程与分析 (7)实验深入分析： (10)实验5：交换机端口镜像的简单配置 (10)实验要求： (10)实验过程与分析： (11)实验心得 (12)实验目的了解著名协议分析软件sniffer的主要功能，以及sniffer能处理什么网络问题实验平台Sniffer软件是NAI公司推出的功能强大的协议分析软件。

与Netxray比较，Sniffer支持的协议更丰富，如Netxray不支持PPPOE协议，但Sniffer能快速解码分析；Netxray不能在Windows 2000和Windows XP上正常运行，而SnifferPro 可以运行在各种Windows平台上。

缺点：运行时需要的计算机内存比较大，否则运行比较慢功能：1）捕获网络流量进行详细分析2)利用专家分析系统诊断问题3）实时监控网络活动4）收集网络利用率和错误等实验内容实验1：抓ping和回应包实验要求：Ping xxxx–t观察icmp:echo和icmp:echo(reply)包信息实验过程与分析1）设置过滤器过滤ICMP协议2）让Sniffer开始抓包Ping –t截获包如下Echo包：ICMP头后面abcde……为填充内容（数据填充码），纯熟用来凑够一个帧大小Echo reply包与Echo包对比可知，ID和sequence number是一致的。

同样ICMP头后面abcde……为填充内容（数据填充码），纯熟用来凑够一个帧大小实验2 ：捕获内网发往外网的重要数据实验要求：捕获条件可选择协议dns(tcp),http,pop,smtp,地址为本机IP到any登陆华南目棉BBS或华工教学在线或其他网络论坛。