sniffer_Pro的使用大全

实验十 sniffer网络嗅探软件的使用
【实验目的】
1．熟悉网络监听工具Sniffer Pro操作界面；
2．了解Sniffer Pro捕获与监听网络数据方法；
3．强化网络安全意识。

【实验内容】
1.安装Sniffer Pro，执行SnifferPro.exe安装程序，完成注册和安装。

2.运用Sniffer pro的一些基本操作命令
【实验步骤】
（一）安装和运行Sniffer Pro
1.启动软件，先选择一个网卡，点击确定
2.Sniffer Pro主界面如图所示
（二）运用Sniffer Pro的操作命令
1.Ping操作：ping也属于一个通信协议，是TCP/IP协议的一部分。

利用“ping”命令可以检查网络是否连通，可以很好地帮助我们分析和判定网络故障。

应用格式：Ping空格IP地址。

该命令还可以加许多参数使用，具体是键入Ping按回车即可看到详细说明。

2.Dns look up：域名查询解析工具
3.Traceroute：traceroute (Windows 系统下是tracert) 命令利用ICMP 协议定位您的计算机和目标计算机之间的所有路由器。

TTL 值可以反映数据包经过的路由器或网关的数量，通过操纵独立ICMP 呼叫报文的TTL 值和观察该报文被抛弃的返回信息，traceroute命令能够遍历到数据包传输路径上的所有路由器。

本节主要介绍Sniffer Pro软件的报文捕获及解码分析功能。

1. 选择网络接口⑴在计算机A上，依次单击“开始”→“程序”→“Sniffer Pro”→“Sniffer”菜单，打开Sniffer Pro软件主窗口，如图3-5所示。

图3-5 Sniffer Pro主窗口⑵在主窗口中，依次点击“文件”→“选定设置”，弹出“当前设置”窗口，如图3-6所示。

如果本地主机具有多个网络接口，且需要监听的网络接口不在列表中，可以单击“新建”按钮添加。

图3-6 “当前设置”窗口⑶选择正确的网络接口后，单击“确定”按钮。

2. 报文捕获与分析⑴在Sniffer Pro主窗口（如图3-5）中，依次单击“捕获”→“开始”菜单或直接单击工具栏中的“开始”按钮，开始捕获经过选定网络接口的所有数据包。

⑵打开IE浏览器，登录Web服务器（如），同时在主窗口观察数据捕获情况。

⑶依次单击主窗口中“捕获”→“停止并显示”菜单或直接单击工具栏中的“停止并显示”按钮，在弹出的窗口中选择“解码”选项卡，如图3-7所示。

图3-7 “解码”选项卡⑷在上侧的窗格中，选中向Web服务器请求网页内容的HTTP报文，在中间的窗格中选中一项，在下方的窗格将有相应的十六进制和ASCII码的数据与之相对应。

⑸从图3-7中间窗格的TCP报文段描述中可以看出，数据偏移为20字节，即TCP报文段的首部长度为20字节。

对照图3-3所示的TCP报文段的格式，可以清楚地分析捕获的报文段的十六进制代码，如图3-8所示。

z“源端口”字段的值0420，即为客户端（IP地址为222.24.21.129）进程使用的端口号；z“目的端口”字段的值0050（十进制表示为80），表示Web服务器（IP地址为202.117.128.8）使用了HTTP的默认端口；z“数据偏移”字段的值5，指出了TCP报文段首部的长度为20字节。

3. 定义过滤器有时我们并不关心经过网络接口的所有数据，可以通过定义过滤器来捕获指定的数据包。

使用Sniffer Pro监控网络流量(1)Sniffer Pro 著名网络协议分析软件。

本文利用其强大的流量图文系统Host Table来实时监控网络流量。

在监控软件上，我们选择了较为常用的NAI公司的sniffer pro，事实上，很多网吧管理员都有过相关监控网络经验：在网络出现问题、或者探查网络情况时，使用P2P终结者、网络执法官等网络监控软件。

这样的软件有一个很大优点：不要配置端口镜像就可以进行流量查询（其实sniffer pro也可以变通的工作在这样的环境下）。

这种看起来很快捷的方法，仍然存在很多弊端：由于其工作原理利用ARP地址表，对地址表进行欺骗，因此可能会衍生出很多节外生枝的问题，如掉线、网络变慢、ARP广播巨增等。

这对于要求正常的网络来说，是不可思议的。

在这里，我们将通过软件解决方案来完成以往只有通过更换高级设备才能解决的网络解决方案，这对于很多管理员来说，将是个梦寐以求的时刻。

硬件环境（网吧）：100M网络环境下，92台终端数量，主交换采用D-LINK（友讯）DES-3226S二层交换机(支持端口镜像功能)，级联普通傻瓜型交换机。

光纤10M接入，华为2620做为接入网关。

软件环境：操作系统Windows2003 Server企业标准版（Sniffer Pro4.6及以上版本均支持Windows2000 Windows-xp Windows2003）、NAI协议分析软件-Sniffer Portable 4.75（本文选用网络上较容易下载到的版本做为测试）环境要求：1、如果需要监控全网流量，安装有Sniffer Portable 4.7.5(以下简称Sniffer Pro)的终端计算机，网卡接入端需要位于主交换镜像端口位置。

（监控所有流经此网卡的数据）2、Snffier pro 475仅支持10M、100M、10/100M网卡，对于千M网卡，请安装SP5补丁，或4.8及更高的版本网络拓扑：监控目的：通过Sniffer Pro 实时监控，及时发现网络环境中的故障（例如病毒、攻击、流量超限等非正常行为）。

Sniffer_Pro中文使用教程Sniffer Pro中文使用教程第1章Sniffer软件简介............................................................................................................ 1-11.1 概述 .......................................................................................................................... ... 1-11.2 功能简介...................................................................................................................... 1-1第2章报文捕获解析................................................................................................................ 2-12.1 捕获面板...................................................................................................................... 2-12.2 捕获过程报文统计 ....................................................................................................... 2-12.3捕获报文查看.............................................................................................................. 2-22.4设置捕获条件.............................................................................................................. 2-3第3章报文放送...................................................................................................................... 3-13.1 编辑报文发送............................................................................................................... 3-13.2捕获编辑报文发送....................................................................................................... 3-2第4章网络监视功能................................................................................................................ 4-14.1Dashbord ........................................................................................................... .......... 4-14.2 Application Response Time (ART) ............................................................................. 4-1第5章数据报文解码详解......................................................................................................... 5-15.1数据报文分层.............................................................................................................. 5-15.2以太报文结构.............................................................................................................. 5-15.3 IP协议......................................................................................................................... 5-35.4 ARP协议..................................................................................................................... 5-45.5 PPPOE协议 .................................................................................................................. 5-65.6 Radius协议................................................................................................................. 5-9第1章 Sniffer软件简介1.1 概述Sniffer软件是NAI公司推出的功能强大的协议分析软件。

目录基本的TCP/IP协议介绍(IP/TCP/UDP) 1超级网络分析工具Sniffer Pro详解 6TCP/IP网络数据报分析26使用Sniffer工具进行TCP/IP、ICMP数据包分析32TCP协议分析实验37基本的TCP/IP协议介绍(IP/TCP/UDP)IP/IPv4：网际协议IP/IPv4：网际协议（IP/IPv4：Internet Protocol）网际协议（IP）是一个网络层协议，它包含寻址信息和控制信息，可使数据包在网络中路由。

IP 协议是TCP/IP 协议族中的主要网络层协议，与TCP 协议结合组成整个因特网协议的核心协议。

IP 协议同样都适用于LAN 和WAN 通信。

IP 协议有两个基本任务：提供无连接的和最有效的数据包传送；提供数据包的分割及重组以支持不同最大传输单元大小的数据连接。

对于互联网络中IP 数据报的路由选择处理，有一套完善的IP 寻址方式。

每一个IP 地址都有其特定的组成但同时遵循基本格式。

IP 地址可以进行细分并可用于建立子网地址。

TCP/IP 网络中的每台计算机都被分配了一个唯一的32 位逻辑地址，这个地址分为两个主要部分：网络号和主机号。

网络号用以确认网络，如果该网络是因特网的一部分，其网络号必须由InterNIC 统一分配。

一个网络服务器供应商（ISP）可以从InterNIC 那里获得一块网络地址，按照需要自己分配地址空间。

主机号确认网络中的主机，它由本地网络管理员分配。

当你发送或接受数据时（例如，一封电子信函或网页），消息分成若干个块，也就是我们所说的“包”。

每个包既包含发送者的网络地址又包含接受者的地址。

由于消息被划分为大量的包，若需要，每个包都可以通过不同的网络路径发送出去。

包到达时的顺序不一定和发送顺序相同，IP 协议只用于发送包，而TCP 协议负责将其按正确顺序排列。

除了ARP 和RARP ，其它所有TCP/IP 族中的协议都是使用IP 传送主机与主机间的通信。

sniffer pro的使用先来看看， sniffer proDashboard 网络流量表Host Table 网络连接表，可以直观的看出连接你的主机，还可以用MAC/IP/IPX，三种显示。

Applicatien Response Time 主机回应指数，可以选择协议的， TCP/UDP下的http.Ftp 等等。

Matrix （让我想到黑客帝国）这里是查看网路连结，很立体的那种。

Protocol Distribution 显示网络中协议的使用量， IP/ARP/IPXGlobal statistics 整体网络使用显示下面是Capture 下的选项:Start 开始捕捉Display 显示Define Filter 设置过滤下面是Tools 下的选项:Address Book 地址本Packet Generator 数据发送机Ping 工具 (这些都是常用的工具）Trace RouteDns lookupFingerWho isCustomize user Tools 用户自定义工具，可自己把工具加上去。

选项高级选项大体上是这样了！现就抓几个包来看看啦！1. Telnet密码1.1 由本机连接到别的开telnet的主机和netxray的用法一样， Define filter ---> advanced在协议中选上 IP/TCP/TELNET, 然后Packet Size --> Equal 55, Packet Type --> Normal.截取的数据包:当你想停止sniff时，按capture --> stop en display , 然后会选Decode 就可一看到数据包的内容了!你就可一在 Summary 中看到用户和密码，从上往下， chi就是用户名。

1.2 本地主机开了Telnet, 并进行监听这里也许会麻烦点，不过是为了过滤掉没用的Tcp数据包，好，Capture --> Define filter -> Advanced选IP/TCP/Telnet , Packet Size --> Equal 67, Packet Type --> Normal.然后用Data Pattern --> Add Pattern, 大家可以看到，这里有2个and 关系的Pattern, 上面这个name: TCP : Flags = 18 的意思就是 PSH ACK 的数据包，大家看图啦，还有一个Name: IP: Type of service = 10 , 开了Telnet, 好了，设好后就可以，抓包了!看看数据包，一目了然，一看就知道是 administrator.2。

超级网络嗅探器——Sniffer pro 的使用Sniffer软件是NAI公司推出的功能强大的协议分析软件。

实现对网络的监控，更深入地了解网络存在的问题，检测和修复网络故障和安全问题。

Sniffer可以监听到网上传输的所有信息，主要用来接收在网络上传输的信息。

Sniffer可以截获口令、专用信道内的信息、信用卡号、经济数据、E-mail等，还可以用来攻击与自己相临的网络。

Sniffer的功能主要包括如下几方面：捕获网络流量进行详细分析。

利用专家分析系统诊断问题。

实时监控网络活动情况。

监控单个工作站、会话或者网络中任何一部分的网络利用情况和错误统计。

支持主要的LAN、WAN和网络技术。

提供在位和字节水平过滤数据包的能力。

1 Sniffer Pro的启动和设置2 理解Sniffer Pro主要4种功能组件的作用：监视：实时解码并显示网络通信流中的数据。

捕获：抓取网络中传输的数据包并保存在缓冲区或指定的文件中，供以后使用。

分析：利用专家系统分析网络通信中潜在的问题，给出故障症状和诊断报告。

显示：对捕获的数据包进行解码并以统计表或各种图形方式显示在桌面上。

3 学会sniffer工具的基本使用方法，用sniffer捕获报文并进行分析。

环境：windows XP， windows 7，能访问INTERNET。

Sniffer pro主界面在默认情况下，Sniffer将捕获其接入的域中流经的所有数据包，但在某些场景下，有些数据包可能不是我们所需要的，为了快速定位网络问题所在，有必要对所要捕获的数据包作过滤。

Sniffer提供了捕获数据包前的过滤规则的定义，过滤规则包括2、3层地址的定义和几百种协议的定义。

定义过滤规则的做法一般如下：(1) 在主界面选择【Capture】→【Define Filter】。

(2) 在“Define Filter”对话框中选择“Address”选项卡，这是最常用的定义。

其中包括MAC地址、IP地址和IPX地址的定义。

实验Sniffer的环境搭建
课程名称: 网络安全与保密
实验名称: Sniffer的环境搭建
实验目的：
通过本实验，学会怎样进行Sniffer的安装
预备知识：
Windows基本知识
实验环境：
PC机
Windows操作系统
实验任务
任务一：Sniffer的安装
实验步骤
任务一：Sniffer的安装
1、打开安装程序。

2、单击Next按钮，进入欢迎画面。

3、Sniffer安装中。

4、Sniffer安装加载中。

5、单击Next按钮。

6、单击Y es按钮。

7、计算机名默认，单击Next按钮。

8、选择Sniffer安装路径，单击Next按钮。

9、Sniffer安装过程中。

10、输入英文名字，*号为必填内容，随便输入一些就可以，单击下一步。

11、以上文本框按要求填写，单击下一步。

12、以上是输入的地址、城市、电话等，按要求输入，单击下一步。

13、这些也都是随便输入，问的是如何知道Sniffer的，下面的是Sniffer序列号，单击下一步。

14、让Sniffer连接网络，单击下一步。

15、全部选中，使Sniffer的功能更加强大，单击下一步。

16、单击Finish，完成安装。

17、单击Finish，完成安装。

18、是否重启计算机，使Sniffer生效。

banker将向网友介绍如何使用sniffer pro来监控ARP欺骗行为。

文中会介绍一些更为简便和直接的snffer程序，它们都属于snffer程序的一种，只是在功能上更有针对性。

一、使用sniffer pro监控ARP实际上，使用sniffer pro程序的监控功能可以更方便、更为迅速的帮助我们定位问题。

步骤一：首先，我们在已经做了端口镜像的机器上启动snffer pro程序。

选择菜单栏中Monitor→Define Filter 来定义我们需要的过滤器。

在弹出的define Filter对话框中选择Profiles→New 来新建一个过滤器，我们这里取名为ARP。

图1步骤二：点击Advanced高级标签，我们这里选中ARP协议。

单击OK后完成过滤器的新建。

图2步骤三：系统默认过滤器为Default，我们来选择刚才新建过滤器ARP。

首先，选择Monitor →Select Filter。

图3步骤四：在弹出的对话框中点击ARP。

在这里要注意的是：一定要把Apply monitor勾选。

点击确定后，过滤器定义和选择工作准备完毕。

图4步骤五：鼠标点击工具栏中Host Table按钮(联网图标)，在弹出的子窗口中选择Detail工具(放大镜图标)。

注意观察本图同之前程序使用默认Default Filter过滤器的不同之处。

现在，按照我们的定义，监视器内Protocol(协议类型)仅包括IP_ARP.这对于我们查找问题，层次上更加分明。

这里需要注意的是：①这里的Address(地址)以IP或者机器名的形式显示，如果显示MAC，请先使用Tools →Address book进行扫描，IP-MAC的显示转换后，将有利于我们快速定位节点。

②网内终端中所有ARP广播包的和，合计后等于Broadcast数据包(广播包)。

图5步骤六：我们先来观察，在正常网络状况下，ARP协议的TOP流量分布图，这将方便我们的区分、判断。

sniffer类软件使用指南
在分析网络故障的时候，sniffer是一个很好的东西，必不可少。

常用的大概有两种：
一个是sniffer pro,一个是iris。

这两个软件都可以嗅探数据，但偏重不一样， sniffer pro偏重于图表，对于流量，连接等很直观，缺点是不能及时显示数据。

Iris则是偏重于协议的分析和还原上，它的过滤规则比sniffer pro丰富.
一般来说，看流量和连接情况，用sniffer pro, 看及时数据用iris.但iris没有sniffer pro稳定，经常崩溃掉。

1. sniffer pro
sniffer pro也有一个filter的规则过滤条件，和iris相比比较简单：
sniffer pro一启动就会自动抓包，根据网络上每个IP，MAC等流量用图表显示：
在判断网络流量异常的时候用这个来分析非常准确，一般的流量大故障都可以通过这些图表来分析出来。

和IRIS不同的是如果你想抓包的话，具体数据不能适时显示，只能在停止以后才可以看到
包的内容和解码后的东西。

2. iris
这里是及时的连接情况:
下面是sniffer到的数据:
左边则是解码内容:
解码之后的内容:
值得注意的是sniffer pro保存的文件可以由iris打开，但iris保存的文件sniffer pro不支持。

Sniffer Pro中文使用教程第1章 Sniffer软件简介 .............................................................................................................. 1-11.1 概述 ............................................................................................................................. 1-11.2 功能简介...................................................................................................................... 1-1第2章报文捕获解析.................................................................................................................. 2-12.1 捕获面板...................................................................................................................... 2-12.2 捕获过程报文统计 ....................................................................................................... 2-12.3捕获报文查看.............................................................................................................. 2-22.4设置捕获条件.............................................................................................................. 2-3第3章报文放送 ........................................................................................................................ 3-13.1 编辑报文发送............................................................................................................... 3-13.2捕获编辑报文发送....................................................................................................... 3-2第4章网络监视功能.................................................................................................................. 4-14.1 Dashbord ..................................................................................................................... 4-14.2 Application Response Time (ART) ............................................................................. 4-1第5章数据报文解码详解 .......................................................................................................... 5-15.1数据报文分层.............................................................................................................. 5-15.2以太报文结构.............................................................................................................. 5-15.3 IP协议.......................................................................................................................... 5-35.4 ARP协议...................................................................................................................... 5-45.5 PPPOE协议 ................................................................................................................... 5-65.6 Radius协议.................................................................................................................. 5-9第1章 Sniffer软件简介1.1 概述Sniffer软件是NAI公司推出的功能强大的协议分析软件。

sniffer pro (学习笔记)边学边记系列~~~好戏马上就开始喽~~~一:sniffer pro问题集锦1.为什么SNIFFER4.75在我的机子上用不了？4.7.5 With SP5以上支持千兆以太网,一般我们从网络上下载的4.75不支持千M 网卡2.如何导入导出snifferPro定义的过滤器的过滤文件?方法一、强行覆盖法C:\Program Files\NAI\SnifferNT\Program\下面有很多Local打头的目录，对应select settings里各个profile，进入相应的local目录，用sniffer scan.csf 去覆盖Sniffer.csf(捕获过滤）或者snifferdisplay.csf（显示过滤）方法二、声东击西法C:\Program Files\NAI\SnifferNT\Program\下面有个文件Nxsample.csf，备份。

用Sniffer scan.csf替换nxsample.csf启动Sniffer新建过滤器在新建过滤器对话框的sample选择里选择相应的过滤器，建立新过滤。

反复新建，直到全部加入3.sniffer的警报日志是些做什么用的??sniffer警报日志也是sniffer专家系统的一部分,通常不正常的TCP/IP通讯会产生警报和日志.比如: ping 的反映时间太长, 某一个会话中丢包或者重传数过多,单位时间产生的广播/多播数过多等等.4.利用ARP检测混杂模式的节点文章很长,原贴位于:/viewthread.php?tid=1605.sniffer 中，utilization是按什么计算的？Octect就是字节的意思。

Sniffer表盘的利用率是根据你的网卡的带宽来计算的，如果要监测广域网带宽的话，需要使用Sniffer提供的相应的广域网接口设备：比如 Snifferbook用来接入E1、T1、RS/V等链路，这时它所显示出的带宽就是正确的广域网带宽（如非信道化E1它会显示2.048Mbs）。

实验三： Sniffer Pro的基本使用和实例一、实验目的：练习sniffer工具的基本使用方法，用sniffer捕获报文并进行分析。

二、实验环境：通过交换机连接的多台PC，预装Windows XP操作系统。

三、运行环境及安装：Sniffer Pro可运行在局域网的任何一台机器上，如果是练习使用，网络连接最好用交换机且在一个子网，这样能抓到连到交换机上每台机器传输的包。

本文用的版本是 4.7.5，Sniffer Pro软件的获取可在或 中输入Sniffer Pro 4.7.5，查找相应的下载站点来下载。

四、常用功能介绍1、Dashboard （网络流量表）点击图1中①所指的图标，出现三个表，第一个表显示的是网络的使用率（Utilization），第二个表显示的是网络的每秒钟通过的包数量（Packets），第三个表显示的是网络的每秒错误率（Errors）。

通过这三个表可以直观的观察到网络的使用情况，红色部分显示的是根据网络要求设置的上限。

选择图1中②所指的选项将显示如图2所示的更为详细的网络相关数据的曲线图。

每个子项的含义无需多言，下面介绍一下测试网络速度中的几个常用单位。

在TCP/IP协议中，数据被分成若干个包（Packets）进行传输，包的大小跟操作系统和网络带宽都有关系，一般为64、128、256、512、1024、1460等，包的单位是字节。

很多初学者对Kbps、KB、Mbps 等单位不太明白，B 和 b 分别代表Bytes(字节) 和bits（比特），1比特就是0或1。

1 Byte = 8 bits 。

1Mbps (megabits per second兆比特每秒)，亦即1 x 1024 / 8 = 128KB/sec（字节/秒），我们常用的ADSL下行512K指的是每秒512K比特(Kb)，也就是每秒512/8=64K字节（KB）图1图22、Host table（主机列表）如图3所示，点击图3中①所指的图标，出现图中显示的界面，选择图中②所指的IP选项，界面中出现的是所有在线的本网主机地址及连到外网的外网服务器地址，此时想看看192.168.113.88这台机器的上网情况，只需如图中③所示单击该地址出现图4界面。

Sniffer Pro使用详解当一个网络出现故障时，就需要由网络管理员查找故障并及时进行修复。

但局域网一般都有几十台到几百台计算机，以及多个服务器、交换机、路由器等设备，管理员需要检查这些设备，检查各个端口的连接等，检查是否是黑客或者木马所为，工作量非常大，而且排除故障也非常麻烦。

有了Sniffer Pro，就可以很容易的找出问题所在。

Sinffer Pro是美国Network Associates公司生产的一款网络分析软件，可用于网络故障与性能管理，在局域网领域应用非常广泛，占到网络分析软件市场的76%。

Sniffer Pro是一种很好的网络分析程序，允许管理员逐个数据包查看通过网络的实际数据，从而了解网络的实际运行情况。

它具有以下特点：1. 可以解码至少450种协议。

除了IP、IPX和其它一些“标准”协议外，Sniffer Pro还可以解码分析很多由厂商自己开发或者使用的专门协议，比如思科VLAN中继协议(ISL)。

2. 支持主要的局域网(LAN)、城域网(WAN)等网络技术(包括高速与超高速以太网、令牌环、802.11b无线网、SONET传递的数据包、T-1、帧延迟和ATM)。

3. 提供在位和字节水平上过滤数据包的能力。

4. 提供对网络问题的高级分析和诊断，并推荐应该采取的正确措施。

5. Switch Expert可以提供从各种网络交换机查询统计结果的功能。

6. 网络流量生成器能够以千兆的速度运行。

7. 可以离线捕获数据，如捕获帧。

因为帧通常都是用8位的分界数组来校准，所以Sniffer Pro 只能以字节为单位捕获数据。

但过滤器在位或者字节水平都可以定义。

需要注意的是，使用Sniffer捕获数据时，由于网络中传输的数据量特别大，如果安装Sniffer的计算机内存太小，会导致系统交换到磁盘，从而使性能下降。

如果系统没有足够的物理内存来执行捕获功能，就很容易造成Sniffer系统死机或者崩溃。