Sniffer嗅探、抓包实验

sniffer 实验报告Sniffer实验报告引言：在当今数字化时代，网络安全问题备受关注。

Sniffer作为一种网络安全工具，被广泛应用于网络流量监测、数据包分析和安全漏洞发现等领域。

本报告旨在介绍Sniffer的原理、应用以及实验结果，并探讨其在网络安全中的重要性。

一、Sniffer的原理与工作方式Sniffer是一种网络数据包嗅探器，它能够截获经过网络的数据包，并对其进行分析和解码。

其工作原理主要包括以下几个步骤：1. 网络接口监听：Sniffer通过监听网络接口，获取经过该接口的数据包。

这可以通过底层网络协议（如以太网、无线网络等）提供的API实现。

2. 数据包截获：一旦Sniffer监听到网络接口上的数据包，它会将其截获并保存在内存或磁盘中，以便后续分析。

3. 数据包解析：Sniffer对截获的数据包进行解析，提取其中的关键信息，如源IP地址、目标IP地址、协议类型、端口号等。

这些信息可以帮助分析人员了解网络流量的来源、目的和内容。

4. 数据包分析：通过对解析得到的数据包进行深入分析，Sniffer可以检测网络中的异常行为、安全漏洞以及潜在的攻击。

二、Sniffer的应用领域Sniffer作为一种功能强大的网络安全工具，在各个领域都有广泛的应用。

以下是几个典型的应用场景：1. 网络管理与监控：Sniffer可以用于监测网络流量，分析网络性能和带宽利用情况。

通过对数据包的分析，可以及时发现网络故障和异常，提高网络管理的效率。

2. 安全漏洞发现：Sniffer可以检测网络中的异常流量和未经授权的访问行为，帮助发现系统的安全漏洞。

它可以捕获潜在的攻击数据包，并通过分析判断是否存在安全威胁。

3. 网络流量分析：Sniffer可以对网络流量进行深入分析，了解用户的行为习惯、访问偏好以及网络应用的使用情况。

这对于网络服务提供商和广告商来说，有助于优化服务和精准投放广告。

4. 数据包调试与故障排查：在网络通信过程中，数据包传输可能会出现错误或丢失。

洛阳理工学院实验报告
系别计算机与信
息工程系
班级学号姓名
课程名称网络安全实验日期2014.10.23 实验名称Sniffer抓包工具的应用成绩
实验目的：
通过实验掌握Sniffer工具的使用，理解TCP/IP 协议中TCP、IP、ICMP数据包的结构，以及TCP三次握手的过程。

实验条件：
虚拟机平台，Windows Server 2003和XP
实验内容：
一、 ICMP包
1.先将虚拟机Windows Server 2003和XP ping通。

（如图1、2）
图1 在XP上ping Windows Server显示
图2 ICMP包死亡之ping
2.打开XP中的Sniffer程序，点击开始按钮进行抓包。

（如图3）
图3 抓包结果
二、TCP三次握手
1.在windows server上建ftp，然后在XP上架设ftp，打开Sniffer的过滤器进行双向抓包。

（如图4、5）
图4 windows server的ftp显示图5 打开Filter设置ip
2.第一次握手如图6所示。

图6 第一次握手显示结果 3.第二次握手如图7所示。

图7 第二次握手显示结果4.第三次握手如图8所示。

图8 第三次握手显示结果5.过滤器显示如图9、10。

图9 过滤器(TOP10 总比特数)
图10 Traffic Map 的IP地址显示
实验总结：
通过这次试验我了解到Sniffer工具的使用以及TCP三次握手的过程，在这次试验中其实有许多不懂的地方，还好在同学的帮助下解决了许多问题，关于这方面我觉得知识方面有些欠缺，以后会多加努力。

ble sniffer抓包原理摘要：1.抓包工具简介2.ble sniffer工作原理3.使用ble sniffer进行抓包的步骤4.抓包实例分析5.注意事项与技巧正文：随着物联网技术的发展，蓝牙（Bluetooth）已成为日常生活中不可或缺的无线通信手段。

在这个过程中，ble sniffer这类抓包工具应运而生，帮助我们更好地理解和分析蓝牙通信的细节。

本文将详细介绍ble sniffer的抓包原理、使用方法以及实际应用案例。

1.抓包工具简介抓包工具主要用于捕捉网络数据包，从而分析网络通信的详细信息。

在众多抓包工具中，ble sniffer是一款针对蓝牙（BLE）协议的抓包工具，适用于Windows、Linux和MacOS等操作系统。

它可以帮助开发者分析蓝牙设备的通信状态、数据包内容等信息，为优化蓝牙应用提供有力支持。

2.ble sniffer工作原理ble sniffer的工作原理主要是通过捕获蓝牙设备之间传输的数据包，解析数据包内容，从而获取通信双方的信息。

它依赖于操作系统提供的蓝牙设备驱动程序和底层蓝牙协议栈，实现对蓝牙数据的监听和捕获。

在捕获到数据包后，ble sniffer会显示数据包的详细信息，如源地址、目的地址、数据长度等，并允许用户查看和分析数据包内容。

3.使用ble sniffer进行抓包的步骤使用ble sniffer进行抓包分为以下几个步骤：1）安装ble sniffer：根据操作系统选择合适的版本下载并安装。

2）连接蓝牙设备：确保ble sniffer 与要抓包的蓝牙设备处于连接状态。

3）启动ble sniffer：运行ble sniffer软件，等待其自动发现并连接到附近的蓝牙设备。

4）开始抓包：在抓包界面设置过滤规则，选择需要捕获的蓝牙设备，点击开始抓包按钮。

5）分析数据包：捕获到的数据包将显示在界面中，可以查看数据包的详细信息，包括地址、协议、数据内容等。

此外，ble sniffer还支持将数据包导出为CSV或XML格式，方便进一步分析。

Sniffer的使用一、实验简介：Sniffer是一个完善的网络监听工具。

使用Sniffer的目的是截获通信的内容，同时能对数据包的内容进行协议分析，使同学们加深对IP协议、TCP协议、UDP 协议和ICMP协议的认识。

二、实验步骤：1、设置Sniffer1．在抓包过滤器窗口中，选择Address选项卡，如图所示。

2．窗口中需要修改两个地方：在Address下拉列表中，选择抓包的类型是IP，在Station1下面输入主机的IP地址；在与之对应的Station2下面输入虚拟机的IP地址.3．设置完毕后，点击该窗口的Advanced选项卡，拖动滚动条找到IP项，将IP和ICMP选中，如下图所示。

4．向下拖动滚动条，将TCP和UDP选中，再把TCP下面的FTP和Telnet两个选项选中，如图所示。

5．这样Sniffer的抓包过滤器就设置完毕了，后面的实验也采用这样的设置。

选择菜单栏Capture下Start菜单项，启动抓包以后，在主机的DOS窗口中Ping虚拟机，如图所示。

6.这样Sniffer的抓包过滤器就设置完毕了，后面的实验也采用这样的设置。

选择菜单栏Capture下Start菜单项，启动抓包以后，在主机的DOS窗口中Ping虚拟机，如图所示。

7.等Ping指令执行完毕后，点击工具栏上的停止并分析按钮，如图所示。

8. 在出现的窗口选择Decode选项卡，可以看到数据包在两台计算机间的传递过程，如图所示。

2、抓取Ping指令发送的数据包1．按照前面对Sniffer的设置抓取Ping指令发送的数据包，命令执行如图所示。

2. 其实IP报头的所有属性都在报头中显示出来，可以看出实际抓取的数据报和理论上的数据报一致，分析如图所示。

3、抓取TCP数据包1．启动Sniffer，然后在主机的DOS命令行下利用FTP指令连接目标主机上的FTP服务器，连接过程如图所示。

2．登录FTP的过程是一次典型的TCP连接，因为FTP服务使用的是TCP协议。

TCP协议分析实验____院系：专业：一．实验目的学会使用Sniffer抓取ftp的数据报,截获ftp账号与密码,并分析TCP 头的结构、分析TCP的三次"握手"和四次"挥手"的过程,熟悉TCP协议工作方式.二．实验〔软硬件以与网络〕环境利用VMware虚拟机建立网络环境,并用Serv-U FTP Server在计算机上建立FTP服务器,用虚拟机进行登录.三．实验工具sniffer嗅探器,VMware虚拟机,Serv-U FTP Server.四．实验基本配置Micrsoft Windows XP操作系统五．实验步骤1.建立网络环境.用Serv-U FTP Server在计算机上建立一台FTP服务器,设置IP地址为：192.168.0.10,并在其上安装sniffer嗅探器.再并将虚拟机作为一台FTP客户端,设置IP地址为：192.168.0.12.设置完成后使用ping命令看是否连通.2.登录FTP运行sniffer嗅探器,并在虚拟机的"运行"中输入,点确定后出现如下图的登录窗口：在登录窗口中输入：用户名〔hello〕,密码〔123456〕[在Serv-U FTPServer中已设定],就登录FTP服务器了.再输入"bye"退出FTP3.使用sniffer嗅探器抓包再sniffer软件界面点击"stop and display" ,选择"Decode"选项,完成FTP命令操作过程数据包的捕获.六．实验结果与分析1.在sniffer嗅探器软件上点击Objects可看到下图：再点击"DECODE<反解码>"按钮进行数据包再分析,我们一个一个的分析数据包,会得到登录用户名〔hello〕和密码〔123456〕.如下图：2. TCP协议分析三次握手：发报文头——接受报文头回复——再发报文〔握手〕开始正式通信.第一次握手：建立连接时,客户端发送syn包<syn=j>到服务器,并进入SYN_SEND 状态,等待服务器确认；第二次握手：服务器收到syn包,必须确认客户的SYN〔ack=j+1〕,同时自己也发送一个SYN包〔syn=k〕,即SYN+ACK包,此时服务器进入SYN_RECV状态；第三次握手：客户端收到服务器的SYN＋ACK包,向服务器发送确认包ACK<ack=k+1>,此包发送完毕,客户端和服务器进入ESTABLISHED状态,完成三次握手.完成三次握手,客户端与服务器开始传送数据.四次挥手：由于TCP连接是全双工的,因此每个方向都必须单独进行关闭.这个原则是当一方完成它的数据发送任务后就能发送一个FIN来终止这个方向的连接.收到一个 FIN只意味着这一方向上没有数据流动,一个TCP连接在收到一个FIN后仍能发送数据.首先进行关闭的一方将执行主动关闭,而另一方执行被动关闭.〔1〕虚拟机发送一个FIN,用来关闭用户到服务器的数据传送.〔2〕服务器收到这个FIN,它发回一个ACK,确认序号为收到的序号加1.和SYN 一样,一个FIN将占用一个序号.〔3〕服务器关闭与虚拟机的连接,发送一个FIN给虚拟机.〔4〕虚拟机发回ACK报文确认,并将确认序号设置为收到序号加1.。

实验二 网络抓包——sniffer pro 的使用实验目的：1. 了解网络嗅探的原理；2. 掌握Sniffer Pro 嗅探器的使用方法；实验学时：2课时实验形式：上机实验器材： 联网的PC 机实验环境：操作系统为Windows2000/XP实验内容：任务一 熟悉Sniffer Pro 工具的使用任务二 使用Sniffer Pro 抓获数据包实验步骤：任务一 熟悉Sniffer Pro 工具的使用1. Sniffer Pro 工具简介Sniffer 软件是NAI 公司推出的功能强大的协议分析软件，具有捕获网络流量进行详细分析、利用专家分析系统诊断问题、实时监控网络活动和收集网络利用率和错误等功能，实验中使用Sniffer Pro4.7.5来截获网络中传输的FTP 和HTTP 数据包，并进行分析。

2. 使用说明在sniffer pro 初次启动时，可能会提示选择一个网络适配器进行镜像，如图1所示，此时正确选择接入网络的网卡，这样sniffer pro 才可以把网卡设置为混杂（Promiscuous ）模式，以接收在网络上传输的数据包。

Sniffer Pro 运行后的主界面如图2所示。

（1）工具栏简介如图3所示。

图1 网卡设置图2 sniffer pro 主界面图3工具栏快捷键的含义如图4所示。

（2）网络监视面板简介在捕获过程中可以通过Capture Panel 查看网络的利用率、捕获报文的数量和缓冲区的利用率,如图5所示。

（3）捕获数据包窗口简介Sniffer 软件提供了强大的分析能力和解码功能。

如图6所示，对于捕获的报文提供了一个Expert 专家分析系统进行分析，还有解码选项及图形和表格的统计信息。

专家分析专家分析系统提供了一个智能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。

在图7中显示出在网络中WINS 查询失败的次数及TCP 重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。

实验八-网络性能监测分析工具Sniffer捕获高层协议数据包并分析实验目的: 使用Sniffer抓取ftp的数据报分析FTP的三次“握手”的过程。

分析FTP客户端和服务器端通信过程实验环境: Windows环境下常用的协议分析工具: sniffer 搭建Serv-U FTP Server, 在计算机上建立FTP服务器VMware虚拟机, 用虚拟机进行登录FTP。

实验内容和步骤:1. 建立网络环境。

用Serv-U FTP Server在计算机上建立一台FTP服务器, 设置IP地址为: 192.168.0.10。

在Serv-U FTP Server中已设定用户xyz, 密码123123。

（也可以自行设定其他帐号）2. 在此计算机上安装了sniffer。

3．启动该机器上的虚拟机作为一台FTP客户端, 设置IP地址为: 192.168.0.12。

4. 使用ping命令看是否连通。

记录结果。

5. 使用虚拟机登录FTP服务器。

6. 运行sniffer嗅探器, 并在虚拟机的“运行”中输入ftp://192.168.0.10, 点确定后出现如下图的登录窗口:在登录窗口中输入：用户名（xyz）, 密码（123123）使用sniffer抓包, 再在sniffer软件界面点击“stop and display”, 选择“Decode”选项, 完成FTP命令操作过程数据包的捕获。

8.在sniffer嗅探器软件上点击Objects可看到下图, 再点击“DECODE(反解码)。

记录FTP三次握手信息, 写出判断这三个数据包的依据（如syn及ack）。

记录端口信息等内容。

9．找出数据包中包含FTPUSER命令的数据包, 记录显示的用户名。

10．捕获用户发送PASS命令的数据包, 记录显示的密码。

11. 找出FTP服务器端与客户端端口20进行三次握手打开数据传输。

记录数据信息。

实验四SnifferPro数据包捕获与协议分析一. 实验目的1.了解Sniffer的工作原理。

2.掌握SnifferPro工具软件的基本使用方法。

3.掌握在交换以太网环境下侦测、记录、分析数据包的方法。

二、实验原理数据在网络上是以很小的被称为“帧”或“包”的协议数据单元（PDU）方式传输的。

以数据链路层的“帧”为例，“帧”由多个部分组成，不同的部分对应不同的信息以实现相应的功能，例如，以太网帧的前12个字节存放的是源MAC地址和目的MAC地址，这些数据告诉网络该帧的来源和去处，其余部分存放实际用户数据、高层协议的报头如TCP／IP的报头或IPX报头等等。

帧的类型与格式根据通信双方的数据链路层所使用的协议来确定，由网络驱动程序按照一定规则生成，然后通过网络接口卡发送到网络中，通过网络传送到它们的目的主机。

目的主机按照同样的通信协议执行相应的接收过程。

接收端机器的网络接口卡一旦捕获到这些帧，会告诉操作系统有新的帧到达，然后对其进行校验及存储等处理。

在正常情况下，网络接口卡读入一帧并进行检查，如果帧中携带的目的MAC地址和自己的物理地址一致或者是广播地址，网络接口卡通过产生一个硬件中断引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理，否则就将这个帧丢弃。

如果网络中某个网络接口卡被设置成“混杂”状态，网络中的数据帧无论是广播数据帧还是发向某一指定地址的数据帧，该网络接口卡将接收所有在网络中传输的帧，这就形成了监听。

如果某一台主机被设置成这种监听（Snfffing）模式，它就成了一个Sniffer。

一般来说，以太网和无线网被监听的可能性比较高，因为它们是一个广播型的网络，当然无线网弥散在空中的无线电信号能更轻易地截获。

三、实验内容及要求要求：本实验在虚拟机中安装SnifferPro4.7版本，要求虚拟机开启FTP、Web、Telnet等服务，即虚拟机充当服务器，物理机充当工作站。

物理机通过Ping命令、FTP访问及网页访问等操作实验网络数据帧的传递。

华北电力大学实验报告||实验名称使用sniffer 工具嗅探课程名称信息安全实验课程||学生姓名：金祥，唐正鑫，王鑫专业班级：信安1301 学号：2013090401-07 -20 -21 成绩：指导教师：李天实验日期：2014.7.4一、实验目的通过本次实验，了解sniffer的基本作用，并能通过sniffer对指定的网络行为所产生的数据包进行抓取，并了解sniffer的报文发送与监视功能。

通过使用Sniffer Pro软件掌握Sniffer（嗅探器）工具的使用方法，实现捕捉FTP，HTTP等协议的数据包，以理解TCP/IP协议中多种协议的数据结构，会话连接建立和终止的过程，TCP序列号，应答序号的变化规律。

并且，通过实验了解FTP，HTTP等协议明文传输的特性，以建立安全意识，防止FTP，HTTP等协议由于传输明文密码造成的泄密。

二、实验原理网络嗅探器Sniffer的原理（1）网卡有几种接收数据帧的状态：unicast（接收目的地址是本级硬件地址的数据帧），Broadcast（接收所有类型为广播报文的数据帧），multicast（接收特定的组播报文），promiscuous （目的硬件地址不检查，全部接收）（2）以太网逻辑上是采用总线拓扑结构，采用广播通信方式，数据传输是依靠帧中的MAC地址来寻找目的主机。

（3）每个网络接口都有一个互不相同的硬件地址（MAC地址），同时，每个网段有一个在此网段中广播数据包的广播地址（4）一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，丢弃不是发给自己的数据帧。

但网卡工作在混杂模式下，则无论帧中的目标物理地址是什么，主机都将接收（5）通过Sniffer工具，将网络接口设置为“混杂”模式。

可以监听此网络中传输的所有数据帧。

从而可以截获数据帧，进而实现实时分析数据帧的内容。

三、实验环境1. 实验室所有机器安装了Windows操作系统，并组成了一个局域网，并且都安装了SnifferPro软件、FLASHFXP（FTP下载软件）、Flashget下载工具（或者其他软件下载工具）和IE浏览器。

sniffer实验报告实验报告：Sniffer实验引言：Sniffer是一种网络工具，用于捕获和分析网络数据包。

它可以帮助我们了解网络通信的细节，并帮助网络管理员识别和解决网络问题。

本实验旨在介绍Sniffer的原理和应用，以及通过实际操作来深入了解其功能和效果。

一、Sniffer的原理和工作机制Sniffer工作在网络的数据链路层，通过监听网络上的数据包来获取信息。

它可以在网络中的一个节点上运行，或者通过集线器、交换机等设备进行监测。

Sniffer通过网卡接口，将数据包拷贝到自己的缓冲区中，然后进行解析和分析。

二、Sniffer的应用领域1. 网络故障排查：Sniffer可以帮助管理员快速定位网络故障的原因，通过捕获数据包并分析其中的错误信息，找到导致网络中断或延迟的问题源。

2. 安全监测：Sniffer可以用于检测网络中的恶意行为，如入侵、数据泄露等。

通过分析数据包的内容和流量模式，管理员可以发现异常活动并采取相应措施。

3. 性能优化：Sniffer可以监测网络的吞吐量、延迟等性能指标，帮助管理员优化网络结构和配置，提高网络的传输效率和响应速度。

4. 协议分析：Sniffer可以解析各种网络协议，包括TCP/IP、HTTP、FTP等，帮助管理员了解网络通信的细节和流程，从而更好地管理和优化网络。

三、实验步骤与结果1. 硬件准备：连接电脑和网络设备，确保网络正常运行。

2. 软件安装：下载并安装Sniffer软件，如Wireshark等。

3. 打开Sniffer软件：选择合适的网卡接口，开始捕获数据包。

4. 分析数据包：通过过滤器设置，选择需要分析的数据包类型，如HTTP请求、FTP传输等。

5. 结果分析：根据捕获的数据包，分析网络通信的细节和问题，并记录相关信息。

6. 故障排查与优化：根据分析结果，定位网络故障的原因，并采取相应措施进行修复和优化。

实验结果显示，Sniffer软件成功捕获了网络中的数据包，并能够准确地分析其中的内容和流量模式。

超级网络嗅探器——Sniffer pro 的使用Sniffer软件是NAI公司推出的功能强大的协议分析软件。

实现对网络的监控，更深入地了解网络存在的问题，检测和修复网络故障和安全问题。

Sniffer可以监听到网上传输的所有信息，主要用来接收在网络上传输的信息。

Sniffer可以截获口令、专用信道内的信息、信用卡号、经济数据、E-mail等，还可以用来攻击与自己相临的网络。

Sniffer的功能主要包括如下几方面：捕获网络流量进行详细分析。

利用专家分析系统诊断问题。

实时监控网络活动情况。

监控单个工作站、会话或者网络中任何一部分的网络利用情况和错误统计。

支持主要的LAN、WAN和网络技术。

提供在位和字节水平过滤数据包的能力。

1 Sniffer Pro的启动和设置2 理解Sniffer Pro主要4种功能组件的作用：监视：实时解码并显示网络通信流中的数据。

捕获：抓取网络中传输的数据包并保存在缓冲区或指定的文件中，供以后使用。

分析：利用专家系统分析网络通信中潜在的问题，给出故障症状和诊断报告。

显示：对捕获的数据包进行解码并以统计表或各种图形方式显示在桌面上。

3 学会sniffer工具的基本使用方法，用sniffer捕获报文并进行分析。

环境：windows XP， windows 7，能访问INTERNET。

Sniffer pro主界面在默认情况下，Sniffer将捕获其接入的域中流经的所有数据包，但在某些场景下，有些数据包可能不是我们所需要的，为了快速定位网络问题所在，有必要对所要捕获的数据包作过滤。

Sniffer提供了捕获数据包前的过滤规则的定义，过滤规则包括2、3层地址的定义和几百种协议的定义。

定义过滤规则的做法一般如下：(1) 在主界面选择【Capture】→【Define Filter】。

(2) 在“Define Filter”对话框中选择“Address”选项卡，这是最常用的定义。

其中包括MAC地址、IP地址和IPX地址的定义。

ble sniffer抓包原理
【实用版】
目录
1.蓝牙嗅探器（ble sniffer）的概念与作用
2.蓝牙嗅探器的抓包原理
3.实际应用案例
正文
蓝牙嗅探器（ble sniffer）的概念与作用
蓝牙嗅探器（Ble Sniffer）是一种用于捕获蓝牙低功耗（BLE）设备之间通信的工具。

它可以监视并捕获两个蓝牙设备之间的数据传输过程，这对于开发者来说是非常有用的，因为它可以帮助我们分析蓝牙设备的通信过程，从而更好地理解其工作原理和改进通信效果。

蓝牙嗅探器的抓包原理
蓝牙嗅探器的抓包原理基于蓝牙低功耗（BLE）技术的特性。

BLE 技术是一种基于广播的技术，设备在发送数据时，会将数据包广播到周围的设备。

蓝牙嗅探器会捕获这些广播的数据包，并对其进行解析和分析。

具体的抓包过程可以分为以下几个步骤：
1.启动蓝牙嗅探器：首先，需要启动蓝牙嗅探器，使其进入捕获模式。

2.搜索附近的蓝牙设备：蓝牙嗅探器会自动搜索周围的蓝牙设备，并将其显示在设备的列表中。

3.选择要捕获的设备：用户可以根据需要，选择要捕获的设备，并开始捕获数据包。

4.捕获数据包：蓝牙嗅探器会捕获所选设备发送的所有数据包，并将其保存在本地。

5.解析和分析数据包：捕获到的数据包可以被解析和分析，以获取设备之间的通信信息。

实际应用案例
蓝牙嗅探器在实际应用中，可以用于许多场景，例如：
1.蓝牙设备开发：开发人员可以使用蓝牙嗅探器来监视和分析蓝牙设备的通信过程，以便更好地理解其工作原理和优化通信效果。

2.蓝牙设备测试：测试人员可以使用蓝牙嗅探器来测试蓝牙设备的通信效果，以便发现和解决通信问题。

一、实验目的：练习sniffer工具的基本使用方法，用sniffer捕获报文并进行分析。

二、实验环境：通过集线器连接的多台PC，预装Windows 2000 Professional。

三、实验内容：
1、捕获数据包
（1）选择Monitor|Matrix命令，此时可看到网络中的Traffic Map 视图。

（2）选择Capture|Define Filter命令，然后在Advanced选项卡中选中IP，从而定义要捕捉的数据包类型。

（3）回到Traffic Map视图中，选中要捕捉的主机IP地址，然后单击鼠标右键，选择Capture命令，sniffer则开始捕捉指定IP地址的主机的数据包。

2、分析捕获的数据包
（1）从Capture Panel中看到捕获的数据包达到一定数量后，停止
捕捉，单击Stop and Display按钮，就可以停止捕获包。

（2）窗口中列出了捕捉到的数据，选中某一条数据后，下面分别
显示出相应的数据分析和原始的数据包。

单击窗口中的某一条数
据，可以看到下面相应的地方的背景变成灰色，表明这些数据与
之对应。

四、实验界面：
五、结论
sniffer软件是NAI公司推出的功能强大的协议分析软件。

Sniffer支持的协议丰富，解码分析速度快。

其中sniffer pro版可以运行在各种windows平台上。

Sniffer是一种常用的收集有用数据的方法，这些数据可以是用户的帐号和密码，还可以是一些商用机密数据等。

如何使用Sniffer抓包使用方法如何使用Sniffer抓包/使用方法随着Internet及电子商务的日益普及,Internet的安全也越来越受到重视。

而在Internet安全隐患中扮演重要角色的是Sniffer和Scanner,本文将介绍Sniffer以及如何阻止sniffer。

大多数的黑客仅仅为了探测内部网上的主机并取得控制权，只有那些"雄心勃勃"的黑客，为了控制整个网络才会安装特洛伊木马和后门程序，并清除记录。

他们经常使用的手法是安装sniffer。

在内部网上，黑客要想迅速获得大量的账号（包括用户名和密码），最为有效的手段是使用"sniffer" 程序。

这种方法要求运行Sniffer 程序的主机和被监听的主机必须在同一个以太网段上，故而在外部主机上运行sniffer 是没有效果的。

再者，必须以root的身份使用sniffer 程序，才能够监听到以太网段上的数据流。

黑客会使用各种方法，获得系统的控制权并留下再次侵入的后门，以保证sniffer能够执行。

在Solaris 2.x平台上，sniffer 程序通常被安装在/usr/bin或/dev目录下。

黑客还会巧妙的修改时间，使得sniffer 程序看上去是和其它系统程序同时安装的。

大多数 "ethernet sniffer"程序在后台运行，将结果输出到某个记录文件中。

黑客常常会修改ps程序，使得系统管理员很难发现运行的sniffer程序。

"ethernet sniffer"程序将系统的网络接口设定为混合模式。

这样，它就可以监听到所有流经同一以太网网段的数据包，不管它的接受者或发送者是不是运行sniffer的主机。

程序将用户名、密码和其它黑客感兴趣的数据存入log文件。

黑客会等待一段时间 ----- 比如一周后，再回到这里下载记录文件。

一、什么是sniffer与电话电路不同，计算机网络是共享通讯通道的。

使⽤PacketSniffer抓包和分析（z-stack协议）以下内容仅是⾃⼰学习总结，可能会有错误，有发现问题的欢迎指正（图⽚可以⾃⼰放⼤，还是⽐较清晰的）。

1、协调器上电，其他设备均不上电，抓包如下：通过观察可以发现，协调器建⽴⽹络成功后，会以15秒为周期告知⾃⼰的⽹络连接状态，2、关闭协调器，路由器上电，抓包如下：路由器会不断的发送Beacon request来请求⽹络信息。

3、为了抓完整的包，先将协调器上电，然后再将路由器上电，抓完整组⽹包如下：从头开始看，1）⾸先协调器建⽴好⽹络，并且以15S的间隔⼴播⾃⼰的⽹络连接状态NWK Link Status2）路由器连续发了3个Beacon request,协调器分别回应了3次，3）然后路由器将⾃⼰的MAC地址信息加⼊，发送了Association request，即请求连接，协调器回复⼀个ACK信号4）路由器将⾃⼰的MAC地址信息加⼊(0x00124B000AF859CD)，发送了Data request,协调器再回复⼀个ACK信号5）协调器根据Data request，给路由分配⼀个short addr（0x4D13）发送给路由器(0x0000)。

路由器收到后给予⼀个ACK回应6）接着路由器和协调器分别⼴播⼀个APS CLUSTER ID = 0x0013的数据信息7）组⽹已经全部完成，这时候路由器和协调器分别会以15秒的间隔不断的⼴播⾃⼰的⽹路状态，8) 此时，⽤户可以发送⾃⼰的数据，我这⾥发送数据是截图的最后⼀帧（上⾯截图没有截完全，下⾯是上⾯最后⼀帧截图的补充），可以观看，MAC payload即MAC层接收到的数据，它左右的信息是物理层PHY头部解析后的表现形式，MAC payload⼜解析成了NWK头部和NWK payload（MAC payload黄⾊区域右边），同样NWK payload⼜分解成了APS头部和APS payload(NWK payload黄⾊区域右边),观察这些数据，发现不正是我们在⽤户程序⾥⾯⾃⼰定义的端点号，簇ID，和数据内容吗，这些数据我们将在⾃⼰的程序中解析并且处理我这⾥的端点号是0x0B,簇ID是0x0002，prifile ID 是0x0F05,数据内容是EA EB 4D 13 D9 5B F8 0A 00 4B 12 00（EA EB是头部，4D 13是路由器的短地址，D9 5B F8 0A 00 4B 12 00是路由器的长地址；仅测试使⽤，所以数据格式叫简单，没有数据长度，数据校验等信息）9）以上过程就完成了路由器，协调器组⽹，并且数据传送的整个过程。

实验报告填写时间：图1（2）捕获报文Sniffer软件提供了两种最基本的网络分析操作，即报文捕获和网络性能监视（如图2）。

在这里我们首先对报文的捕获加以分析，然后再去了解如何对网络性能进行监视。

图2捕获面板报文捕获可以在报文捕获面板中进行，如图2中蓝色标注区所示即为开始状态的报文捕获面板，其中各按钮功能如图3所示图3捕获过程的报文统计在报文统计过程中可以通过单击Capture Panel 按钮来查看捕获报文的数量和缓冲区的利用率（如图4、5）。

图4图5三、Sniffer菜单及功能简介Sniffer进入时，需要设置当前机器的网卡信息。

进入Sniffer软件后，会出现如图2的界面，可以看到Sniffer软件的中文菜单，下面是一些常用的工具按钮。

在日常的网络维护中，使用这些工具按钮就可以解决问题了。

1、主机列表按钮：保存机器列表后，点击此钮，Sniffer会显示网络中所有机器的信息，其中，Hw地址一栏是网络中的客户机信息。

网络中的客户机一般都有惟一的名字，因此在Hw地址栏中，可以看到客户机的名字。

对于安装Sniffer的机器，在Hw地址栏中用“本地”来标识；对于网络中的交换机、路由器等网络设备，Sniffer只能显示这些网络设备的MAC 地址。

入埠数据包和出埠数据包，指的是该客户机发送和接收的数据包数量，后面还有客户机发送和接收的字节大小。

可以据此查看网络中的数据流量大小。

2、矩阵按钮：矩阵功能通过圆形图例说明客户机的数据走向，可以看出与客户机有数据交换的机器。

使用此功能时，先选择客户机，然后点击此钮就可以了。

3、请求响应时间按钮：请求响应时间功能，可以查看客户机访问网站的详细情况。

当客户机访问某站点时，可以通过此功能查看从客户机发出请求到服务器响应的时间等信息。

4、警报日志按钮：当Sniffer监控到网络的不正常情况时，会自动记录到警报日志中。

所以打开Sniffer软件后，首先要查看一下警报日志，看网络运行是否正常。