sniffer使用及图解

洛阳理工学院实验报告
系别计算机与信
息工程系
班级学号姓名
课程名称网络安全实验日期2014.10.23 实验名称Sniffer抓包工具的应用成绩
实验目的：
通过实验掌握Sniffer工具的使用，理解TCP/IP 协议中TCP、IP、ICMP数据包的结构，以及TCP三次握手的过程。

实验条件：
虚拟机平台，Windows Server 2003和XP
实验内容：
一、 ICMP包
1.先将虚拟机Windows Server 2003和XP ping通。

（如图1、2）
图1 在XP上ping Windows Server显示
图2 ICMP包死亡之ping
2.打开XP中的Sniffer程序，点击开始按钮进行抓包。

（如图3）
图3 抓包结果
二、TCP三次握手
1.在windows server上建ftp，然后在XP上架设ftp，打开Sniffer的过滤器进行双向抓包。

（如图4、5）
图4 windows server的ftp显示图5 打开Filter设置ip
2.第一次握手如图6所示。

图6 第一次握手显示结果 3.第二次握手如图7所示。

图7 第二次握手显示结果4.第三次握手如图8所示。

图8 第三次握手显示结果5.过滤器显示如图9、10。

图9 过滤器(TOP10 总比特数)
图10 Traffic Map 的IP地址显示
实验总结：
通过这次试验我了解到Sniffer工具的使用以及TCP三次握手的过程，在这次试验中其实有许多不懂的地方，还好在同学的帮助下解决了许多问题，关于这方面我觉得知识方面有些欠缺，以后会多加努力。

sniffer使用及图解注：sniffer使用及图解sniffer pro 汉化注册版下载黑白影院高清免费在线电影聚集网无聚集无生活，聚集网络经典资源下载sniffer软件的安装还是比较简单的，我们只需要按照常规安装方法进行即可。

需要说明的是:在选择sniffer pro的安装目录时，默认是安装在c:\program files\nai\snifferNT目录中，我们可以通过旁边的Browse按钮修改路径，不过为了更好的使用还是建议各位用默认路径进行安装。

在注册用户时，随便输入注册信息即可，不过EMAIL一定要符合规范，需要带“@”。

（如图1）图1 点击放大注册诸多数据后我们就来到设置网络连接状况了，一般对于企业用户只要不是通过“代理服务器”上网的都可以选择第一项——direct connection to the internet。

（如图2）图2接下来才是真正的复制sniffer pro必需文件到本地硬盘，完成所有操作后出现setup complete提示，我们点finish按钮完成安装工作。

由于我们在使用sniffer pro时需要将网卡的监听模式切换为混杂，所以不重新启动计算机是无法实现切换功能的，因此在安装的最后，软件会提示重新启动计算机，我们按照提示操作即可。

（如图3）重新启动计算机后我们可以通过sniffer pro来监测网络中的数据包。

我们通过“开始->所有程序->sniffer pro->sniffer”来启动该程序。

第一步：默认情况下sniffer pro会自动选择你的网卡进行监听，不过如果不能自动选择或者本地计算机有多个网卡的话，就需要我们手工指定网卡了。

方法是通过软件的file菜单下的select settings来完成。

第二步：在settings窗口中我们选择准备监听的那块网卡，记得要把右下角的“LOG ON”前打上对勾才能生效，最后点“确定”按钮即可。

实验十 sniffer网络嗅探软件的使用
【实验目的】
1．熟悉网络监听工具Sniffer Pro操作界面；
2．了解Sniffer Pro捕获与监听网络数据方法；
3．强化网络安全意识。

【实验内容】
1.安装Sniffer Pro，执行SnifferPro.exe安装程序，完成注册和安装。

2.运用Sniffer pro的一些基本操作命令
【实验步骤】
（一）安装和运行Sniffer Pro
1.启动软件，先选择一个网卡，点击确定
2.Sniffer Pro主界面如图所示
（二）运用Sniffer Pro的操作命令
1.Ping操作：ping也属于一个通信协议，是TCP/IP协议的一部分。

利用“ping”命令可以检查网络是否连通，可以很好地帮助我们分析和判定网络故障。

应用格式：Ping空格IP地址。

该命令还可以加许多参数使用，具体是键入Ping按回车即可看到详细说明。

2.Dns look up：域名查询解析工具
3.Traceroute：traceroute (Windows 系统下是tracert) 命令利用ICMP 协议定位您的计算机和目标计算机之间的所有路由器。

TTL 值可以反映数据包经过的路由器或网关的数量，通过操纵独立ICMP 呼叫报文的TTL 值和观察该报文被抛弃的返回信息，traceroute命令能够遍历到数据包传输路径上的所有路由器。

Sniffer使用简介一、捕获数据包前的准备工作在默认情况下，sniffer将捕获其接入碰撞域中流经的所有数据包，但在某些场景下，有些数据包可能不是我们所需要的，为了快速定位网络问题所在，有必要对所要捕获的数据包作过滤。

Sniffer提供了捕获数据包前的过滤规则的定义，过滤规则包括2、3层地址的定义和几百种协议的定义。

定义过滤规则的做法一般如下：1、在主界面选择capture→define filter选项。

2、define filter→address，这是最常用的定义。

其中包括MAC地址、ip地址和ipx地址的定义。

以定义IP地址过滤为例，见图1。

图1比如，现在要捕获地址为10.1.30.100的主机与其他主机通信的信息，在Mode选项卡中，选Include(选Exclude选项，是表示捕获除此地址外所有的数据包)；在station选项中，在任意一栏填上10.1.30.100,另外一栏填上any（any表示所有的IP地址）。

这样就完成了地址的定义。

注意到Dir.栏的图标：表示，捕获station1收发的数据包；表示，捕获station1发送的数据包；表示，捕获station1收到的数据包。

最后，选取，将定义的规则保存下来，供以后使用。

3、define filter→advanced，定义希望捕获的相关协议的数据包。

如图2。

图2比如，想捕获FTP、NETBIOS、DNS、HTTP的数据包，那么说首先打开TCP选项卡，再进一步选协议；还要明确DNS、NETBIOS的数据包有些是属于UDP协议，故需在UDP选项卡做类似TCP选项卡的工作，否则捕获的数据包将不全。

如果不选任何协议，则捕获所有协议的数据包。

Packet Size选项中，可以定义捕获的包大小，图3，是定义捕获包大小界于64至128bytes 的数据包。

图34、define filter buffer,定义捕获数据包的缓冲区。

如图4：图4Buffer size选项卡，将其设为最大40M。

Sniffer使用教程Sniffer软件简介在网络应用尤其是在网络管理过程中，开发一种软件，它可以收集有用网络数据，利用专家分析系统诊断收集到的数据，实时监控网络活动，收集网络利用率和错误信息等等是十分有必要和受网络管理者欢迎的。

Sniffer是NAI公司推出的协议分析软件，它可以利用计算机的网络接口截获目的地为其他计算机的数据报文，并迎合了网络管理所需的基本要求，支持丰富的协议，能够进行快速解码分析，而且Sniffer可以运行在各种Windows平台。

使用分析记录一、网络适配器的选择在使用Sniffer软件之前必须要做的一件工作是为计算机选择合适的网络适配器，确定数据的接收渠道。

用户可以通过命令File/Select Setting…来实现（如图1）。

图1二、捕获报文Sniffer软件提供了两种最基本的网络分析操作，即报文捕获和网络性能监视（如图2）。

在这里我们首先对报文的捕获加以分析，然后再去了解如何对网络性能进行监视。

图2捕获面板报文捕获可以在报文捕获面板中进行，如图2中蓝色标注区所示即为开始状态的报文捕获面板，其中各按钮功能如图3所示图3捕获过程的报文统计在报文统计过程中可以通过单击Capture Panel 按钮来查看捕获报文的数量和缓冲区的利用率（如图4、5）。

图4图5捕获报文的查看如图6所示，Sniffer软件提供了强大的分析和解码功能。

对于捕获的报文可以通过Expert、Decode、Matrix、Host Table、Protocol Dist和Statistics来进行全方位的综合分析。

由于Matrix、Host Table、Protocol Dist和Statistics将在网络性能监视部分详细介绍，所以本部分仅以Expert和Decode为重点作详细介绍。

1、Expert（专家分析）专家分析系统平台只能对网络上的流量进行一些分析，对于分析的结果可以查看在线帮助获得。

如图6所示即显示了在网络中WINS查询失败的次数及TCP重传的次数统计等内容，这样可以方便地了解网络中高层协议出现故障的可能节点。

教你快速设置Sniffer抓取FTP用户名和密码的过滤规则
1.启动Sniffer，新建一个过滤器，名为catch-ftp-user-pass，使用默认设置(即什么都不过滤)
2.按下F10开始抓包(或单击下面的开始按钮)
3.登陆FTP服务器(我用的是学校的内部FTP服务器)
4.按下F9停止并显示抓包情况(或单击下面的按钮)
解码数据包
5.选择但有USER字段的数据包(FTP传输数据是明文传输)，很容易就找到了。

然后编辑过滤规则。

“Add Pattern”
6.在弹出的对话框中找到包含FTP USER字段，单击“Set Data”按钮
7.从后面数用户名有多少位数，加上用户名前面的一个空格数，然后删除上面Data 面板相同位数的16进制数。

在这里我的用户名为””，共10位数，加上前面的空格就11位数，因此我就删除Data面板上从后面数起的11位16进制数。

8.同理设置密码的正则表达式，看图。

9.最终就添加了两个正则表达式，他们的关系是OR关系。

也就是说匹配其中一条，Sniffer都抓取数据。

10.重新启动Sniffer，开始抓包——登陆FTP，这次就只抓到FTP的用户名和密码。

只要这个过滤规则设置好了，以后就可以反复使用。

By.Joysin 2010.12.16。

【运行环境】安装Windows 2000/XP的PC两台：在其中一台（192.168.52.49）上安装Sniffer Pro4.75，记为A。

1.Sniffer Pro 的主要功能如下：监视功能用于计算机并显示实时网络通信量数据。

捕获功能用于捕获网络通信量并将当前数据包存储子缓冲（或文件）中，以便分析使用。

实时专家系统分析用在捕获过程中分析网络数据包，并对网络中潜在的问题发出警告。

显示功能用于解码和分析捕获缓冲区中的数据包，并用各种格式加以显示。

2.监视功能介绍。

（1）Dashboard（仪表盘）仪表盘是Sniffer Pro的可视化网络性能监视器。

在第一次启动Sniffer Pro 时，仪表盘就会出现在屏幕上，如图17-2所示。

如果关闭了仪表盘窗口，选择菜单Monitor（监控）→Dashboard（仪表盘）来启动它，或者单击Sniffer Pro工具栏中的仪表盘图标。

仪表盘窗口包括3个数字表盘，从左到右依次是：利用率百分比（Utilization %）说明路线使用带宽的百分比，是用传输量与端口能够处理的最大带宽的比值来表示的。

表盘的红色区域表示警戒值。

在表盘下方有2个数字，用破折号隔开。

第一个数字代表当前利用率百分比，破折号后面的数字代表最大的利用率百分比。

每秒传输的数据包（Packets/s）说明当前数据包传输速度。

表盘的红色区域表示警戒值，表盘下方显示的是当前的数据包传输速度及其峰值。

每秒产生的错误（Errors/s）说明网络的出错率。

表盘的红色区域表示警戒值，表盘下方的数值表示当前的出错率和最大出错率。

图1-2图1-2 Sniffer仪表窗口Sinffer Pro 的很多网络分析结果都可以设定阈值。

如果超出了阈值，报警记录就会生成一条信息。

在仪表盘上，超过设定阈值的范围用红色标记。

单击仪表盘上方Set Thresholds（设置阈值）按钮，会出现仪表盘属性对话框，如图17-3所示。

在仪表盘属性对话框中，左边是名称栏，右边就是高阈值栏，底部是以秒为单位计算的监控样本间隔。

Sniffer简单使用说明
1、选择网络适配器
图-1
选择正确的网卡（连接交易所的），选中复选框Log Off，然后点击确认按钮。

在界面图-2中点击LOG ON菜单项，生成图界面。

图-2
2、参数设置
图-3
点击红圈所示按钮出现如图-4界面
图-4
在图-4界面上选择Address页面
图-5
在Address栏选择IP，Station 1输入本地网卡IP地址（连交易所的），Station 2可以输入交易所前置的地址，或者是Any。

然后选择Advanced页面。

如图-6
图-6
图-7
选择IP复选框和他的下一级TCP复选框，后点击确认按钮。

3、抓数据包
图-8
点击开始按钮，程序开始抓数据包。

4、查看并保存数据文件
图-9
点击停止并察看按钮（可以先按停止按钮再按查看按钮）跳出界面如图-10所示。

图-10
选择Decode页面，显示的就是收到的数据包。

图-11
点击保存按钮，保存数据文件。

ATOS实验平台Sniffer工具
使用手册
说明
本文档用于描述ATOS实验平台中Sniffer工具的使用说明。

阅读本文档之前，需先阅读《快速入门手册》。

Sniffer工具
Sniffer工具用于抓取ATOS实验平台中无线节点发送的数据，方便编程与开发人员调试与测试。

设置Sniffer节点
打开Cygwin开发环境，将基站板与射频模块连接。

运行命令，进入Sniffer节点代码目录：
cd /opt/atos/apps/Atosenet/ANTSnifferV2/Stack2430/SnifferApp/
运行命令，编译并烧录Sniffer节点：
make antc3 install
使用Sniffer软件
若安装AtosDevKit时选择了【Sniffer监听工具】，则可以使用Sniffer监听工具进行ATOS网络数据的监听，程序可以在【开始菜单】中找到，运行界面如图。

Sniffer功能和使用详解一Sniffer介绍Sniffer，中文翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。

使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。

当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。

将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。

Sniffer技术常常被黑客们用来截获用户的口令，据说某个骨干网络的路由器网段曾经被黑客攻入，并嗅探到大量的用户口令。

但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络Sniffer的分类如果Sniffer运行在路由器上或有路由功能的主机上，就能对大量的数据进行监控，因为所有进出网络的数据包都要经过路由器。

二sniffer proSniffer软件是NAI公司推出的功能强大的协议分析软件。

Sniffer Pro - 功能●捕获网络流量进行详细分析●利用专家分析系统诊断问题●实时监控网络活动●收集网络利用率和错误等使用Sniffer捕获数据时，由于网络中传输的数据量特别大，如果安装Sniffer的计算机内存太小，会导致系统交换到磁盘，从而使性能下降。

如果系统没有足够的物理内存来执行捕获功能，就很容易造成Sniffer系统死机或者崩溃。

因此，网络中捕获的流量越多，建议Sniffer系统应该有一个速度尽可能快的计算机。

1. Sniffer Pro计算机的连接要使Sniffer能够正常捕获到网络中的数据，安装Sniffer的连接位置非常重要，必须将它安装在网络中合适的位置，才能捕获到内、外部网络之间数据的传输。

如果随意安装在网络中的任何一个地址段，Sniffer就不能正确抓取数据，而且有可能丢失重要的通信内容。

一般来说，Sniffer应该安装在内部网络与外部网络通信的中间位置，如代理服务器上，也可以安装在笔记本电脑上。

当哪个网段出现问题时，直接带着该笔记本电脑连接到交换机或者路由器上，就可以检测到网络故障，非常方便。

sniffer使用及图解注：sniffer使用及图解sniffer pro 汉化注册版下载黑白影院高清免费在线电影聚集网无聚集无生活，聚集网络经典资源下载sniffer软件的安装还是比较简单的，我们只需要按照常规安装方法进行即可。

需要说明的是:在选择sniffer pro的安装目录时，默认是安装在c:\program files\nai\snifferNT目录中，我们可以通过旁边的Browse按钮修改路径，不过为了更好的使用还是建议各位用默认路径进行安装。

在注册用户时，随便输入注册信息即可，不过EMAIL一定要符合规范，需要带“@”。

（如图1）图1 点击放大注册诸多数据后我们就来到设置网络连接状况了，一般对于企业用户只要不是通过“代理服务器”上网的都可以选择第一项——direct connection to the internet。

（如图2）图2接下来才是真正的复制sniffer pro必需文件到本地硬盘，完成所有操作后出现setup complete提示，我们点finish按钮完成安装工作。

由于我们在使用sniffer pro时需要将网卡的监听模式切换为混杂，所以不重新启动计算机是无法实现切换功能的，因此在安装的最后，软件会提示重新启动计算机，我们按照提示操作即可。

（如图3）重新启动计算机后我们可以通过sniffer pro来监测网络中的数据包。

我们通过“开始->所有程序->sniffer pro->sniffer”来启动该程序。

第一步：默认情况下sniffer pro会自动选择你的网卡进行监听，不过如果不能自动选择或者本地计算机有多个网卡的话，就需要我们手工指定网卡了。

方法是通过软件的file菜单下的select settings来完成。

第二步：在settings窗口中我们选择准备监听的那块网卡，记得要把右下角的“LOG ON”前打上对勾才能生效，最后点“确定”按钮即可。

Sniffer pro说明一、sniffer 原理1sniffer是用于高级分组检错的工具。

它可提供分组获取和译码的功能，它可以提供图形以确切的指出在你的网络中哪里正出现严重的业务拥塞。

在以太网中，所有的通讯都是广播的，也就是说通常在同一个网段的所有网络接口都可以访问在物理媒体上传输的所有数据，而每一个网络接口都有一个唯一的硬件地址，这个硬件地址也就是网卡的MAC地址，大多数系统使用48比特的地址，这个地址用来表示网络中的每一个设备，一般来说每一块网卡上的MFC地址都是不同的，每个网卡厂家得到一段地址，然后用这段地址分配给其生产的每个网卡一个地址。

在硬件地址和IP地址间使用ARP和RARP协议进行相互转换。

在正常的情况下，一个网络接口应该只响应这样的两种数据帧：1．与自己硬件地址相匹配的数据祯2.发向所有机器的广播数据帧。

在一个实际的系统中，数据的收发是由网卡来完成的，网卡接收到传输来的数据，网卡内的单片程序接收数据帧的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就接收后产生中断信号通知CPU，认为不该接收就丢掉不管，所以不该接收的数据网卡就截断了，计算机根本就不知道。

CPU得到中断信号产生中断，操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。

而对于网卡来说一般有四种接收模式：广播方式：该模式下的网卡能够接收网络中的广播信息。

组播方式：设置在该模式下的网卡能够接收组播数据。

直接方式：在这种模式下，只有目的网卡才能接收该数据。

混杂模式：在这种模式下的网卡能够接收一切通过它的数据，而不管该数据是否是传给它的。

总结一下，首先，我们知道了在以太网中是基于广播方式传送数据的，也就是说，所有的物理信号都要经过我的机器，再次，网卡可以置于一种模式叫混杂模式（promiscuous），在这种模式下工作的网卡能够接收到一切通过它的数据，而不管实际上数据的目的地址是不是他。

1.1 以太报文结构EthernetII 以太网帧结构Ethernet_IIEthernet_II 以太网帧类型报文结构为：目的MAC 地址（6bytes ）＋源MAC 地址＋（6bytes ）上层协议类型（2bytes ）＋数据字段（46-1500bytes)＋校验（4bytes ）。

添加时间戳目的上层协议Sniffer 自动MAC 地址源MAC 地址类型Sniffer 会在捕获报文的时候自动记录捕获的时间，在解码显示时显示出来，在分析问题时提供了很好的时间记录。

源目的MAC 地址在解码框中可以将前3字节代表厂商的字段翻译出来，方便定位问题，例如网络上2台设备IP 地址设置冲突，可以通过解码翻译出厂商信息方便的将故障设备找到，如00e0fc 为华为，010042为Cisco 等等。

如果需要查看详细的MAC 地址用鼠标在解码框中点击此MAC 地址，在下面的表格中会突出显示该地址的16进制编码。

IP 网络来说Ethertype 字段承载的时上层协议的类型主要包括0x800为IP 协议，0x806为ARP 协议。

IEEE802.3以太网报文结构IEEE802.3帧结构上图为IEEE802.3SNAP帧结构，与EthernetII不通点是目的和源地址后面的字段代表的不是上层协议类型而是报文长度。

并多了LLC子层。

1.2 IP协议IP报文结构为IP协议头＋载荷，其中对IP协议头部的分析，时分析IP报文的主要内容之一，关于IP报文详细信息请参考相关资料。

这里给出了IP协议头部的一个结构。

版本：4——IPv4首部长度：单位为4字节，最大60字节TOS：IP优先级字段总长度：单位字节，最大65535字节标识：IP报文标识字段标志：占3比特，只用到低位的两个比特MF（More Fragment）MF=1，后面还有分片的数据包MF=0，分片数据包的最后一个DF（Don't Fragment）DF=1，不允许分片DF=0，允许分片段偏移：分片后的分组在原分组中的相对位置，总共13比特，单位为8字节寿命：TTL（Time To Live）丢弃TTL=0的报文协议：携带的是何种协议报文1 ：ICMP6 ：TCP17：UDP89：OSPF头部检验和：对IP协议首部的校验和源IP地址：IP报文的源地址目的IP地址：IP报文的目的地址上图为Sniffer对IP协议首部的解码分析结构，和IP首部各个字段相对应，并给出了各个字段值所表示含义的英文解释。