上机教案2sniffer数据报文解码详解

实训一、网络诊断工具Sniffer的使用一、Sniffer工具介绍概述Sniffer软件是NAI公司推出的功能强大的协议分析软件。

本文针对用SnifferPro网络分析器进行故障解决。

利用Sniffer Pro 网络分析器的强大功能和特征，解决网络问题，将介绍一套合理的故障解决方法。

与Netxray比较，Sniffer支持的协议更丰富，例如PPPOE协议等在Netxray并不支持，在Sniffer上能够进行快速解码分析。

Netxray不能在Windows 2000和Windows XP上正常运行，Sniffer Pro 4.6可以运行在各种Windows平台上。

Sniffer软件比较大，运行时需要的计算机内存比较大，否则运行比较慢，这也是它与Netxray相比的一个缺点。

功能简介下面列出了Sniffer软件的一些功能介绍，其功能的详细介绍可以参考Sniffer的在线帮助。

捕获网络流量进行详细分析利用专家分析系统诊断问题实时监控网络活动收集网络利用率和错误等在进行流量捕获之前首先选择网络适配器，确定从计算机的哪个网络适配器上接收数据。

位置：File->select settings选择网络适配器后才能正常工作。

该软件安装在Windows 98操作系统上，Sniffer可以选择拨号适配器对窄带拨号进行操作。

如果安装了EnterNet500等PPPOE软件还可以选择虚拟出的PPPOE 网卡。

对于安装在Windows 2000/XP上则无上述功能，这和操作系统有关。

本文将对报文的捕获几网络性能监视等功能进行详细的介绍。

下图为在软件中快捷键的位置。

捕获面板报文捕获功能可以在报文捕获面板中进行完成，如下是捕获面板的功能图：图中显示的是处于开始状态的面板捕获过程报文统计在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。

捕获报文查看Sniffer 软件提供了强大的分析能力和解码功能。

如下图所示，对于捕获的报文提供了一个Expert 专家分析系统进行分析，还有解码选项及图形和表格的统计信息。

实验二、Sniffer的使用一、实验目的：Sniffer是一个完善的网络监听工具。

使用Sniffer的目的是截获通信的内容，同时能对数据包的内容进行协议分析，使同学们加深对IP协议、TCP协议、UDP协议和ICMP协议的认识。

二、实验环境与设备：安装有vmware和sniffer软件的计算机。

三、实验考核：按照实验手册的步骤，通过截图的方式完成实验报告。

四、实验步骤：1、设置Sniffer1．在抓包过滤器窗口中，选择Address选项卡。

2．窗口中需要修改两个地方：在Address下拉列表中，选择抓包的类型是IP，在Station1下面输入主机的IP地址；在与之对应的Station2下面输入虚拟机的IP地址.3．设置完毕后，点击该窗口的Advanced选项卡，拖动滚动条找到IP项，将IP和ICMP选中。

4．向下拖动滚动条，将TCP和UDP选中，再把TCP下面的FTP和Telnet两个选项选中。

5．这样Sniffer的抓包过滤器就设置完毕了，后面的实验也采用这样的设置。

选择菜单栏Capture下Start菜单项，启动抓包以后，在主机的DOS窗口中Ping虚拟机。

6.等Ping指令执行完毕后，点击工具栏上的停止并分析按钮。

7. 在出现的窗口选择Decode选项卡，可以看到数据包在两台计算机间的传递过程。

2、抓取Ping指令发送的数据包1．Sniffer的设置抓取Ping指令发送的数据包，命令执行如图所示。

2. 其实IP报头的所有属性都在报头中显示出来，可以看出实际抓取的数据报和理论上的数据报一致。

3、抓取TCP数据包1．启动Sniffer，然后在主机的DOS命令行下利用FTP指令连接目标主机上的FTP服务器，连接过程如图所示。

2．登录FTP的过程是一次典型的TCP连接，因为FTP服务使用的是TCP协议。

分析TCP报头的结构：3. TCP协议的三次“握手”在FTP的会话过程中也明显的显示出来。

4 .首先分析建立“握手”第一个过程包的结构5. SYN为1，开始建立请求连接，需要对方计算机确认6. 对方计算机确认返回的数据包如图所示。

使用Sniffer 工具进行TCP/IP分析实验过程与步骤任务一安装Sniffer Pro1. Sniffer技术简介Sniffer(嗅探器)就是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。

该技术被广泛应用于网络维护和管理方面，它接收着来自网络的各种信息，通过对这些数据的分析，网络管理员可以深入了解网络当前的运行状况，以便找出所关心的网络中潜在的问题。

在正常情况下，网络接口卡读入一帧并进行检查，如果帧中携带的目的地址(这里的目的地址是指物理地址而非IP地址，该地址是网络设备的唯一性标志)和自己的物理地址一致或者是广播地址(就是被设定为一次性发送到网络所有主机的特殊地址，当目标地址为该地址时，所有的网络接口卡都会接收该帧)，网络接口卡通过产生一个硬件中断引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理，否则就将这个帧丢弃。

如果网络中某个网络接口卡设置成“混杂”状态，网络接口卡会如何处理收到的帧呢？实际的情况是该网络接口卡将接收所有在网络中传输的帧，无论该帧是广播的还是发向某一指定地址的，这就形成了监听。

如果某一台主机被设置成这种监听模式，它就成了一个Sniffer。

鉴于Sniffer的工作原理，如果一个数据帧没有发送到你的网络接口卡上，那么你将无法监听到该帧。

所以Sniffer所能监听到的信息仅限于在同一物理网络内传送的数据，在使用了交换(路由)设备的网络中，由于其数据是根据目的地址进行分发的，单个的网络接口卡将无法监听到所有正在传输的信息。

2. 双击安装的可执行程序，开始运行安装程序。

3. 安装过程中，要填写一些注册信息，可以简要的填写，注意软件的序列号要填写正确。

图1-1 填写注册信息图1-2 填写注册信息4. 安装块结束时，会让你选择接入Internet的方式，可以根据实际情况选取。

图1-3 选择接入Internet的方式图1-4 完成安装5. 安装成功后，重新启动机器。

实验二、使用sniffer pro 进行网络分析一、实验目的1、学会用Sniffer Pro 网络分析器的主要功能；2、利用Sniffer Pro 网络分析器的强大功能和特征，解决网络故障和问题。

二、实验理论基础Sniffer 软件是NAI 公司推出的功能强大的协议分析软件。

Sniffer 支持的协议比较丰富，例如PPPOE 协议等在Netxray 并不支持，在Sniffer 上能够进行快速解码分析。

Sniffer Pro 4.6可以运行在各种Windows 平台上。

Sniffer 软件有如下主要功能： ● 捕获网络流量进行详细分析； ● 利用专家分析系统诊断问题； ● 实时监控网络活动； ● 收集网络利用率和错误等三、实验条件：LAN 、windows 系统、sniffer pro 软件 四、实验内容 4.1监听口的设置在进行流量捕获之前首先选择网络适配器，确定从计算机的哪个网络适配器上接收数据。

位置：File->select settings4.2 报文捕获解析捕获面板捕获停止捕获条件选择捕获捕获开始捕获暂停捕获停止并查看捕获查看编辑条件4.2.1 捕获过程报文统计在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。

4.2.2 捕获报文查看Sniffer软件提供了强大的分析能力和解码功能。

如下图所示。

专家分析专家分析系统提供了一个智能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。

在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。

对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因。

✧解码分析下图是对捕获报文进行解码的显示，通常分为三部分，目前大部分此类软件结构都采用这种结构显示。

对于解码主要要求分析人员对协议比较熟悉，这样才能看懂解析出来的报文。

sniffer课程设计一、课程目标知识目标：1. 学生能理解sniffer的基本概念，掌握其在网络通信中的作用和原理。

2. 学生能够描述sniffer的工作流程，了解数据包的结构和常用协议。

3. 学生掌握使用sniffer软件进行数据捕获和分析的方法。

技能目标：1. 学生能够独立安装和配置sniffer软件，进行基本的数据捕获操作。

2. 学生能够运用sniffer软件分析网络数据包，识别常见网络协议和问题。

3. 学生能够运用所学知识解决实际网络故障，提高网络维护和优化能力。

情感态度价值观目标：1. 学生通过学习sniffer课程，培养对网络安全的认识和责任感。

2. 学生在学习过程中，养成团队协作和问题解决的良好习惯。

3. 学生能够认识到网络技术在日常生活和学习中的重要性，激发对网络技术的兴趣。

课程性质：本课程为计算机网络技术实践课程，以实际操作为主，理论讲解为辅。

学生特点：学生为初中生，具备一定的计算机操作基础，对网络技术感兴趣，但缺乏深入理解。

教学要求：课程设计要注重实践性，让学生在实际操作中掌握知识，培养技能。

同时，注重培养学生的安全意识和团队协作能力。

在教学过程中，将课程目标分解为具体的学习成果，以便于教学设计和评估。

二、教学内容1. 理论知识：- 计算机网络基础：介绍网络通信的基本概念、原理和常用术语。

- Sniffer原理：讲解sniffer的作用、工作流程和分类。

- 数据包结构：分析以太网帧结构、IP数据包、TCP/UDP协议等。

2. 实践操作：- Sniffer软件安装与配置：指导学生安装Wireshark等sniffer软件，并进行基本配置。

- 数据捕获与分析：教授如何使用sniffer软件捕获网络数据包，分析常见网络协议和问题。

- 实际案例分析：分析实际网络故障案例，让学生学会运用sniffer解决问题。

3. 教学大纲：- 第一课时：计算机网络基础、Sniffer原理。

- 第二课时：数据包结构、Sniffer软件安装与配置。

sniffer课程设计一、教学目标本课程的教学目标是使学生掌握Sniffer的基本原理和使用方法，能够运用Sniffer进行网络数据包的捕获和分析，了解网络通信的原理和过程。

1.了解Sniffer的定义和作用。

2.掌握Sniffer的基本原理和工作方式。

3.熟悉网络通信的基本概念和原理。

4.能够熟练地使用Sniffer进行网络数据包的捕获和分析。

5.能够对捕获到的数据包进行解读和分析，了解网络通信的过程和机制。

6.能够运用Sniffer解决实际的网络问题和故障。

情感态度价值观目标：1.培养学生对网络通信技术的兴趣和热情，提高学生对网络技术的认识和理解。

2.培养学生的问题解决能力和创新精神，使学生能够运用Sniffer解决实际问题。

二、教学内容本课程的教学内容主要包括Sniffer的原理和使用方法，网络通信的基本概念和原理，以及Sniffer在实际应用中的案例分析。

1.Sniffer的原理和使用方法：–Sniffer的定义和作用。

–Sniffer的基本原理和工作方式。

–Sniffer的使用方法和操作技巧。

2.网络通信的基本概念和原理：–网络通信的定义和原理。

–数据通信的基本概念和术语。

–网络协议和网络层的基本概念。

3.Sniffer在实际应用中的案例分析：–网络故障的诊断和分析。

–网络安全和攻击检测。

–网络性能的监测和优化。

三、教学方法本课程的教学方法主要包括讲授法、案例分析法和实验法。

1.讲授法：通过教师的讲解和讲解演示，向学生传授Sniffer的基本原理和使用方法，以及网络通信的基本概念和原理。

2.案例分析法：通过分析实际案例，使学生能够将所学的知识应用到实际问题中，提高学生的问题解决能力。

3.实验法：通过实验室的实践操作，使学生能够亲手操作Sniffer，进行网络数据包的捕获和分析，增强学生的实践能力和操作技能。

四、教学资源本课程的教学资源包括教材、实验设备和多媒体资料。

1.教材：选用适合学生水平的Sniffer教材，提供系统的知识学习和指导。

目录第1章 Sniffer软件简介1.1 概述1.2 功能简介第2章报文捕获解析2.1 捕获面板2.2 捕获过程报文统计2.3 捕获报文查看2.4 设置捕获条件第3章报文放送3.1 编辑报文发送3.2 捕获编辑报文发送第4章网络监视功能4.1 Dashbord4.2 Application Response Time (ART)第5章数据报文解码详解5.1 数据报文分层5.2 以太报文结构5.3 IP协议5.4 ARP协议5.5 PPPOE协议5.6 Radius协议第1章Sniffer软件简介1.1 概述Sniffer软件是NAI公司推出的功能强大的协议分析软件。

本文针对用Sniffer Pro网络分析器进行故障解决。

利用Sniffer Pro 网络分析器的强大功能和特征，解决网络问题，将介绍一套合理的故障解决方法。

与Netxray比较，Sniffer支持的协议更丰富，例如PPPOE协议等在Netxray并不支持，在Sniffer上能够进行快速解码分析。

Netxray不能在Windows 2000和Windows XP上正常运行，Sniffer Pro 4.6可以运行在各种Windows平台上。

Sniffer软件比较大，运行时需要的计算机内存比较大，否则运行比较慢，这也是它与Netxray相比的一个缺点。

1.2 功能简介下面列出了Sniffer软件的一些功能介绍，其功能的详细介绍可以参考Sniffer的在线帮助。

捕获网络流量进行详细分析利用专家分析系统诊断问题实时监控网络活动收集网络利用率和错误等在进行流量捕获之前首先选择网络适配器，确定从计算机的哪个网络适配器上接收数据。

位置：File->select settings选择网络适配器后才能正常工作。

该软件安装在Windows 98操作系统上，Sniffer可以选择拨号适配器对窄带拨号进行操作。

如果安装了EnterNet500等PPPOE软件还可以选择虚拟出的PPPOE网卡。

附录二：Sniffer使用简介Sniffer是用于高级分组检错的工具。

由于它可提供分组获取和译码的功能，它又是一个非常危险的黑客工具。

它还可以提供图形以确切的指出在网络中哪里正出现严重的业务拥塞。

在早期的以太网中，所有的通讯都是广播的，在同一个网段的所有网络接口都可以访问在物理媒体上传输的所有数据，而每一个网络接口都有一个唯一的MAC地址，这个地址用来表示网络中的每一个设备，一般来说每一块网卡上的MAC地址都是不同的。

在正常的情况下，一个网络接口应该只响应这样的两种数据帧：· 与自己硬件地址相匹配的数据帧。

· 发向所有机器的广播数据帧。

在一个实际的系统中，网卡接收到其它计算机传输来的数据，网卡查看接收数据帧的目的MAC地址，根据数据帧的目的MAC地址是否是自己的MAC地址来判断该不该接收，如果是自己的就接收，然后产生中断信号通知CPU，如果不是就丢掉不管，所以不该接收的数据网卡就截断了，计算机根本就不知道。

CPU得到中断信号产生中断，操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据，驱动程序接收数据后放入信号堆栈让操作系统处理。

而对于网卡来说一般有四种接收模式：· 广播方式：该模式下的网卡能够接收网络中的广播信息。

· 组播方式：设置在该模式下的网卡能够接收组播数据。

· 直接方式：在这种模式下，只有目的网卡才能接收该数据。

· 混杂模式：在这种模式下的网卡能够接收一切通过它的数据，而不管该数据是否是传给它的。

由上我们知道了在以太网中是基于广播方式传送数据的，也就是说，所有的物理信号都要经过我的机器，由于网卡可以置于一种模式叫混杂模式（Promiscuous），在这种模式下工作的网卡能够接收到一切通过它的数据，而不管实际上数据的目的地址是不是他。

这实际上就是我们Sniffer工作的基本原理：让网卡接收一切他所能接收的数据。

Sniffer 数据报文解码详解本章主要对：数据报文分层、以太报文结构、IP 协议、ARP 协议、PPPOE 协议、Radius 协议等的解码分析做了简单的描述，目的在于介绍Sniffer 软件在协议分析中的功能作用并通过解码分析对协议进一步了解。

对其其他协议读者可以通过协议文档和Sniffer 捕获的报文对比分析。

数据报文分层如下图所示，对于四层网络结构，其不同层次完成不通功能。

每一层次有众多协议组成。

如上图所示在Sniffer 的解码表中分别对每一个层次协议进行解码分析。

链路层对应“DLC ”；网络层对应“IP ”；传输层对应“UDP ”；应用层对对应的是“NETB ”等高层协议。

Sniffer 可以针对众多协议进行详细结构化解码分析。

并利用树形结构良好的表现出来。

以太报文结构EthernetII 以太网帧结构Ethernet_II 以太网帧类型报文结构为：目的MAC 地址（6bytes ）＋源MAC 地址＋（6bytes ）上层协议类型（2bytes ）＋数据字段（46-1500bytes)＋校验（4bytes ）。

添加时间戳目的上层协议Sniffer 自动MAC 地址源MAC 地址类型Sniffer 会在捕获报文的时候自动记录捕获的时间，在解码显示时显示出来，在分析问题时提供了很好的时间记录。

源目的MAC 地址在解码框中可以将前3字节代表厂商的字段翻译出来，方便定位问题，例如网络上2台设备IP 地址设置冲突，可以通过解码翻译出厂商信息方便的将故障设备找到，如00e0fc 为华为，010042为Cisco 等等。

如果需要查看详细的MAC 地址用鼠标在解码框中点击此MAC 地址，在下面的表格中会突出显示该地址的16进制编码。

IP 网络来说Ethertype 字段承载的时上层协议的类型主要包括0x800为IP 协议，0x806为ARP 协议。

应用层传输层网络层链路层Telnet FTP 和e-mail 等TCP 和UDP IP ICMP IGMP 设备驱动程序及接口卡Ethernet_II DMAC SMAC Type DATA/PAD FCSIEEE802.3以太网报文结构IEEE802.3帧结构IP协议IP报文结构为IP协议头＋载荷，其中对IP协议头部的分析，时分析IP报文的主要内容之一，关于IP报文详细信息请参考相关资料。

注：本文仅讨论Sniffer在Ethernet（TCP/IP）网中的一些简单应用！准备：一. 认识Sniffer:二. 认识NC、hub、switch的工作模式:NC――网卡，在正常情况下一个合法的网络接口应该只响应这样的两种数据帧：1、帧的目标区域具有和本地网络接口相匹配的硬件地址。

2、帧的目标区域具有"广播地址"或者“组播地址”。

HUB――集线器的基本工作原理是广播（broadcast）技术，也就是HUB从任何一个端口收到一个Ethernet包时，它都将此Ethernet包广播到所有其它端口。

而Switch――交换机是记忆哪一个MAC地址挂在哪一个端口，然后在将目标地址为该MAC地址的帧转发到其对应端口。

三. Sniffer的工作原理：通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力，而每个网络接口都还应该有一个硬件地址，该硬件地址不同于网络中存在的其他网络接口的硬件地址，同时，每个网络至少还要一个广播地址。

也就是我们上面提及的两种数据帧：“匹配数据帧”和“广播数据帧”。

但网络中，存在的第3种帧：帧的目标地址是与本地网络接口不匹配的硬件地址。

――“非本地数据帧”，别人的信息！通常情况下，主机对第三种帧的处理方式是：丢弃！而Sniffer就是一种能将本地网卡状态设成"混杂"（promiscuous）状态的软件，当网卡处于这种"混杂"方式时，该网卡具备"广播地址"，它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。

即Sniffer会“接收”达到本地的所有数据帧！广播MAC地址：FF:FF:FF:FF:FF:FF组播MAC地址范围 01:00:5E:00:00:00 ～ 01:00:5E:7F:FF:FF网卡安装Sniffer后，即出于“混杂”模式！四：常见Sniffer的部署位置：1.internet入口，网际接口。

使用Sniffer工具分析以太网帧和IP数据报一、实验目的通过使用Sniffer Pro软件掌握Sniffer(嗅探器)工具的使用方法，实现捕捉FTP、HTTP等协议的数据包，以理解TCP／IP协议中多种协议的数据结构。

二、实验原理Sniffer即网络嗅探器，用于监听网络中的数据包，分析网络性能和故障。

Sniffer 主要用于网络管理和网络维护，系统管理员通过Sniffer可以诊断出通过常规工具难以解决的网络疑难问题，包括计算机之间的异常通信、不同网络协议的通信流量、每个数据包的源地址和目的地址等，它将提供非常详细的信息。

通常每个网络接口都有一个互不相同的硬件地址(MAC地址)，同时，每个网段有一个在此网段中广播数据包的广播地址(代表所有的接口地址)。

一般情况下，一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，并由操作系统进一步进行处理，同时丢弃不是发给自己的数据帧。

通过Sniffer工具，可以将网络接口设置为“混杂”(promiscuous)模式。

在这种模式下，网络接口就处于一个对网络进行“监听”的状态，它可以监听此网络中传输的所有数据帧-而不管数据帧的目标地址是广播地址还是自己或者其它网络接口的地址了。

它将对遭遇的每一个数据帧产生硬件中断．交由操作系统对这个帧进行处理，比如截获这个数据帧，进而实现实时分析数据帧中包含的内容。

当然，如果一个数据帧没有发送到目标主机的网络接口，则目标主机将无法监听到该帧。

所以Sniffer所能监听到的信息将仅限于在同一个物理网络内传送的数据帧．就是说和监听的目标中间不能有路由(交换)或其它屏蔽广播包的设备。

因此。

当Sniffer 工作在由集线器(hub)构建的广播型局域网时，它可以监听到此物理网络内所有传送的数据；而对于由交换机(switch)和路由器(router)构建的网络中，由于这些网络设备只根据目标地址分发数据帧，所以在这种网络中，Sniffer工具就只能监测到目标地址是自己的数据帧再加上针对广播地址的数据帧了。

Sniffer功能和使用详解一Sniffer介绍Sniffer，中文翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。

使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。

当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。

将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。

Sniffer技术常常被黑客们用来截获用户的口令，据说某个骨干网络的路由器网段曾经被黑客攻入，并嗅探到大量的用户口令。

但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络Sniffer的分类如果Sniffer运行在路由器上或有路由功能的主机上，就能对大量的数据进行监控，因为所有进出网络的数据包都要经过路由器。

二sniffer proSniffer软件是NAI公司推出的功能强大的协议分析软件。

Sniffer Pro - 功能●捕获网络流量进行详细分析●利用专家分析系统诊断问题●实时监控网络活动●收集网络利用率和错误等使用Sniffer捕获数据时，由于网络中传输的数据量特别大，如果安装Sniffer的计算机内存太小，会导致系统交换到磁盘，从而使性能下降。

如果系统没有足够的物理内存来执行捕获功能，就很容易造成Sniffer系统死机或者崩溃。

因此，网络中捕获的流量越多，建议Sniffer系统应该有一个速度尽可能快的计算机。

1. Sniffer Pro计算机的连接要使Sniffer能够正常捕获到网络中的数据，安装Sniffer的连接位置非常重要，必须将它安装在网络中合适的位置，才能捕获到内、外部网络之间数据的传输。

如果随意安装在网络中的任何一个地址段，Sniffer就不能正确抓取数据，而且有可能丢失重要的通信内容。

一般来说，Sniffer应该安装在内部网络与外部网络通信的中间位置，如代理服务器上，也可以安装在笔记本电脑上。

当哪个网段出现问题时，直接带着该笔记本电脑连接到交换机或者路由器上，就可以检测到网络故障，非常方便。

一.有关sniffer及sniffer的含义sniffers(嗅探器)几乎和internet有一样久的历史了.Sniffer是一种常用的收集有用数据方法，这些数据可以是用户的帐号和密码，可以是一些商用机密数据等等。

随着Internet及电子商务的日益普及,Internet的安全也越来越受到重视。

在Internet安全隐患中扮演重要角色之一的Sniffer以受到越来越大的关注，所以今天我要向大家介绍一下介绍Sniffer以及如何阻止sniffer。

大多数的黑客仅仅为了探测内部网上的主机并取得控制权，只有那些"雄心勃勃"的黑客，为了控制整个网络才会安装特洛伊木马和后门程序，并清除记录。

他们经常使用的手法是安装sniffer。

在内部网上，黑客要想迅速获得大量的账号（包括用户名和密码），最为有效的手段是使用"sniffer" 程序。

这种方法要求运行Sniffer 程序的主机和被监听的主机必须在同一个以太网段上，故而在外部主机上运行sniffer是没有效果的。

再者，必须以root的身份使用sniffer 程序，才能够监听到以太网段上的数据流。

谈到以太网sniffer，就必须谈到以太网sniffing。

那么什么是以太网sniffer呢?以太网sniffing是指对以太网设备上传送的数据包进行侦听，发现感兴趣的包。

如果发现符合条件的包，就把它存到一个log文件中去。

通常设置的这些条件是包含字"username"或"password"的包。

它的目的是将网络层放到promiscuous模式，从而能干些事情。

Promiscuous模式是指网络上的所有设备都对总线上传送的数据进行侦听，并不仅仅是它们自己的数据。

根据第二章中有关对以太网的工作原理的基本介绍，可以知道：一个设备要向某一目标发送数据时，它是对以太网进行广播的。

一个连到以太网总线上的设备在任何时间里都在接受数据。

sniffer使用及图解注：sniffer使用及图解sniffer pro 汉化注册版下载黑白影院高清免费在线电影聚集网无聚集无生活，聚集网络经典资源下载sniffer软件的安装还是比较简单的，我们只需要按照常规安装方法进行即可。

需要说明的是:在选择sniffer pro的安装目录时，默认是安装在c:\program files\nai\snifferNT目录中，我们可以通过旁边的Browse按钮修改路径，不过为了更好的使用还是建议各位用默认路径进行安装。

在注册用户时，随便输入注册信息即可，不过EMAIL一定要符合规范，需要带“@”。

（如图1）图1 点击放大注册诸多数据后我们就来到设置网络连接状况了，一般对于企业用户只要不是通过“代理服务器”上网的都可以选择第一项——direct connection to the internet。

（如图2）图2接下来才是真正的复制sniffer pro必需文件到本地硬盘，完成所有操作后出现setup complete提示，我们点finish按钮完成安装工作。

由于我们在使用sniffer pro时需要将网卡的监听模式切换为混杂，所以不重新启动计算机是无法实现切换功能的，因此在安装的最后，软件会提示重新启动计算机，我们按照提示操作即可。

（如图3）重新启动计算机后我们可以通过sniffer pro来监测网络中的数据包。

我们通过“开始->所有程序->sniffer pro->sniffer”来启动该程序。

第一步：默认情况下sniffer pro会自动选择你的网卡进行监听，不过如果不能自动选择或者本地计算机有多个网卡的话，就需要我们手工指定网卡了。

方法是通过软件的file菜单下的select settings来完成。

第二步：在settings窗口中我们选择准备监听的那块网卡，记得要把右下角的“LOG ON”前打上对勾才能生效，最后点“确定”按钮即可。

欢迎阅读实训一、网络诊断工具Sniffer的使用一、Sniffer工具介绍概述Sniffer软件是NAI公司推出的功能强大的协议分析软件。

本文针对用Sniffer Pro网络分析器进行故障解决。

利用Sniffer Pro 网络分析器的强大功能和特征，解决网络问题，将介绍一套合理的故障解决方法。

与Netxray比较，Sniffer支持的协议更丰富，例如PPPOE协议等在Netxray并不支持，在Sniffer上能够进行快速解码分析。

Netxray不能在Windows 2000和Windows XP上正常运行，SnifferNetxray专家分分析系统提供了一个只能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。

在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。

对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因。

解码分析下图是对捕获报文进行解码的显示，通常分为三部分，目前大部分此类软件结构都采用这种结构显示。

对于解码主要要求分析人员对协议比较熟悉，这样才能看懂解析出来的报文。

使用该软件是很简单的事情，要能够利用软件解码分析来解决问题关键是要对各种层次的协议欢迎阅读了解的比较透彻。

工具软件只是提供一个辅助的手段。

因涉及的内容太多，这里不对协议进行过多讲解，请参阅其他相关资料。

对于MAC地址，Snffier软件进行了头部的替换，如00e0fc开头的就替换成Huawei，这样有利于了解网络上各种相关设备的制造厂商信息。

功能是按照过滤器设置的过滤规则进行数据的捕获或显示。

在菜单上的位置分别为Capture->Define Filter和Display->Define Filter。

过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。