sniffer功能和使用详解
实训一 网络诊断工具Sniffer的使用
实训一、网络诊断工具Sniffer的使用一、Sniffer工具介绍概述Sniffer软件是NAI公司推出的功能强大的协议分析软件。
本文针对用SnifferPro网络分析器进行故障解决。
利用Sniffer Pro 网络分析器的强大功能和特征,解决网络问题,将介绍一套合理的故障解决方法。
与Netxray比较,Sniffer支持的协议更丰富,例如PPPOE协议等在Netxray并不支持,在Sniffer上能够进行快速解码分析。
Netxray不能在Windows 2000和Windows XP上正常运行,Sniffer Pro 4.6可以运行在各种Windows平台上。
Sniffer软件比较大,运行时需要的计算机内存比较大,否则运行比较慢,这也是它与Netxray相比的一个缺点。
功能简介下面列出了Sniffer软件的一些功能介绍,其功能的详细介绍可以参考Sniffer的在线帮助。
捕获网络流量进行详细分析利用专家分析系统诊断问题实时监控网络活动收集网络利用率和错误等在进行流量捕获之前首先选择网络适配器,确定从计算机的哪个网络适配器上接收数据。
位置:File->select settings选择网络适配器后才能正常工作。
该软件安装在Windows 98操作系统上,Sniffer可以选择拨号适配器对窄带拨号进行操作。
如果安装了EnterNet500等PPPOE软件还可以选择虚拟出的PPPOE 网卡。
对于安装在Windows 2000/XP上则无上述功能,这和操作系统有关。
本文将对报文的捕获几网络性能监视等功能进行详细的介绍。
下图为在软件中快捷键的位置。
捕获面板报文捕获功能可以在报文捕获面板中进行完成,如下是捕获面板的功能图:图中显示的是处于开始状态的面板捕获过程报文统计在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。
捕获报文查看Sniffer 软件提供了强大的分析能力和解码功能。
如下图所示,对于捕获的报文提供了一个Expert 专家分析系统进行分析,还有解码选项及图形和表格的统计信息。
sniffer的配置和使用
Sniffer的使用一、实验简介:Sniffer是一个完善的网络监听工具。
使用Sniffer的目的是截获通信的内容,同时能对数据包的内容进行协议分析,使同学们加深对IP协议、TCP协议、UDP 协议和ICMP协议的认识。
二、实验步骤:1、设置Sniffer1.在抓包过滤器窗口中,选择Address选项卡,如图所示。
2.窗口中需要修改两个地方:在Address下拉列表中,选择抓包的类型是IP,在Station1下面输入主机的IP地址;在与之对应的Station2下面输入虚拟机的IP地址.3.设置完毕后,点击该窗口的Advanced选项卡,拖动滚动条找到IP项,将IP和ICMP选中,如下图所示。
4.向下拖动滚动条,将TCP和UDP选中,再把TCP下面的FTP和Telnet两个选项选中,如图所示。
5.这样Sniffer的抓包过滤器就设置完毕了,后面的实验也采用这样的设置。
选择菜单栏Capture下Start菜单项,启动抓包以后,在主机的DOS窗口中Ping虚拟机,如图所示。
6.这样Sniffer的抓包过滤器就设置完毕了,后面的实验也采用这样的设置。
选择菜单栏Capture下Start菜单项,启动抓包以后,在主机的DOS窗口中Ping虚拟机,如图所示。
7.等Ping指令执行完毕后,点击工具栏上的停止并分析按钮,如图所示。
8. 在出现的窗口选择Decode选项卡,可以看到数据包在两台计算机间的传递过程,如图所示。
2、抓取Ping指令发送的数据包1.按照前面对Sniffer的设置抓取Ping指令发送的数据包,命令执行如图所示。
2. 其实IP报头的所有属性都在报头中显示出来,可以看出实际抓取的数据报和理论上的数据报一致,分析如图所示。
3、抓取TCP数据包1.启动Sniffer,然后在主机的DOS命令行下利用FTP指令连接目标主机上的FTP服务器,连接过程如图所示。
2.登录FTP的过程是一次典型的TCP连接,因为FTP服务使用的是TCP协议。
Sniffer使用简介
网络分析-Sniffer使用简介一、捕获数据包前的准备工作在默认情况下,sniffer将捕获其接入碰撞域中流经的所有数据包,但在某些场景下,有些数据包可能不是我们所需要的,为了快速定位网络问题所在,有必要对所要捕获的数据包作过滤。
Sniffer提供了捕获数据包前的过滤规则的定义,过滤规则包括2、3层地址的定义和几百种协议的定义。
定义过滤规则的做法一般如下:1、在主界面选择“定义过滤器”选项。
2、“定义过滤器→地址”,这是最常用的定义。
其中包括MAC地址、ip地址和ipx地址的定义。
以定义IP地址过滤为例,见图1。
图1比如,现在要捕获地址为10.1.30.100的主机与其他主机通信的信息,在Mode选项卡中,选Include(选Exclude选项,是表示捕获除此地址外所有的数据包);在station选项中,在任意一栏填上10.1.30.100,另外一栏填上“任意的”(“任意的”表示所有的IP地址)。
这样就完成了地址的定义。
注意到Dir.栏的图标:表示,捕获位置1收发的数据包;表示,捕获位置1发送的数据包;表示,捕获位置1收到的数据包。
最后,选取,将定义的规则保存下来,供以后使用。
3、定义过滤器→高级,定义希望捕获的相关协议的数据包。
如图2。
图2比如,想捕获FTP、NETBIOS、DNS、HTTP的数据包,那么说首先打开TCP选项卡,再进一步选协议;还要明确DNS、NETBIOS的数据包有些是属于UDP协议,故需在UDP选项卡做类似TCP选项卡的工作,否则捕获的数据包将不全。
如果不选任何协议,则捕获所有协议的数据包。
“数据包大小”选项中,可以定义捕获的包大小,图3,是定义捕获包大小界于64至128bytes的数据包。
图34、定义过滤器→缓冲,定义捕获数据包的缓冲区。
如图4:图4“缓冲大小”选项卡,将其设为最大40M。
“捕获缓冲”选项卡,将设置缓冲区文件存放的位置。
5、最后,需将定义的过滤规则应用于捕获中。
网络分析SNIFFER软件的使用介绍
网络分析SNIFFER软件的使用介绍Sniffer(嗅探器)就是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。
该技术被广泛应用于网络维护和管理方面,它工作的时候就像一部被动声纳,默默的接收着来自网络的各种信息,通过对这些数据的分析,网络管理员可以深入了解网络当前的运行状况,以便找出所关心的网络中潜在的问题。
Sniffer技术简介数据在网络上是以很小的称为“帧”(又称:包)的单位传输的,帧由多个部分组成,不同的部分对应不同的信息以实现相应的功能,例如,以太网的前12个字节存放的是源地址和目的地址,这些数据告诉网络该帧的来源和去处。
其余的部分存放实际用户数据、TCP/IP 的报头或IPX报头等等。
帧是根据通讯所使用的协议,由网络驱动程序按照一定规则生成,然后通过网络接口卡(网络接口卡,在局域网中一般指网卡)发送到网络中,通过网线传送到它们的目的主机,在目的主机的一端按照同样的通讯协议执行相反的过程。
接收端机器的网络接口卡捕获到这些帧,并告诉操作系统有新的帧到达,然后对其进行存储。
在正常情况下,网络接口卡读入一帧并进行检查,如果帧中携带的目的地址(这里的目的地址是指物理地址而非IP地址,该地址是网络设备的唯一性标志)和自己的物理地址一致或者是广播地址(就是被设定为一次性发送到网络所有主机的特殊地址,当目标地址为该地址时,所有的网络接口卡都会接收该帧),网络接口卡通过产生一个硬件中断引起操作系统注意,然后将帧中所包含的数据传送给系统进一步处理,否则就将这个帧丢弃。
我们可以想象到这样一种特别的情况:如果网络中某个网络接口卡的物理地址不确定呢(这可以通过本地网络接口卡设置成“混杂”状态来实现)?网络接口卡会如何处理收到的帧呢?实际的情况是该网络接口卡将接收所有在网络中传输的帧,无论该帧是广播的还是发向某一指定地址的,这就形成了监听。
如果某一台主机被设置成这种监听模式,它就成了一个Sniffer。
sniffer用法教程
Sniffer软件是NAI公司推出的功能强大的协议分析软件,具有捕获网络流量进行详细分析、实时监控网络活动、利用专家分析系统诊断问题、收集网络利用率和错误等功能。
Sniffer Pro 4.6可以运行在各种Windows平台上,只要安装在网络中的任何一台机器上,都可以监控到整个网络。
以下以Sniffer 4.70汉化版本为例,介绍一下Snffer在网吧网络维护中的具体应用。
一、Sniffer软件的安装在网上下载Sniffer软件后,直接运行安装程序,系统会提示输入个人信息和软件注册码,安装结束后,重新启动,之后再安装Sniffer汉化补丁。
运行Sniffer程序后,系统会自动搜索机器中的网络适配器,点击确定进入Sniffer主界面。
二、Sniffer软件的使用打开Sniffer软件后,会出现主界面,显示一些机器列表和Sniffer软件目前的运行情况,上面是软件的菜单,下面有一些快捷工具菜单,左侧还有一排快捷菜单按钮。
由于使用的是汉化版软件,因此部分词语汉化不是太准确。
1、获取网络中的机器列表Sniffer软件运行后,首先要搜索网络中的机器。
在“工具”菜单中找到“地址簿”选项并运行,在“地址簿”中的左侧工具菜单中,可以找到一个“放大镜”的图标,这是“自动搜索”的按钮。
运行“自动搜索”功能后,在IP地址段中输入网络的开始IP地址和结束地址,然后系统会自动搜索。
搜索完成后,会出现一个如图1的机器列表。
2、保存机器列表Sniffer搜索网络中所有的机器列表后,可以在“数据库”菜单中选择“保存地址簿”选项,将当前的机器列表保存,以备日后使用。
由于Sniffer的地址簿保存了网络中客户机的IP地址、网卡的MAC地址等信息,如果网络中的客户机更换了网卡,则必须重新搜索机器列表并重新保存地址簿。
如果网络中没有新机器增加,就无需更新此地址簿。
三、Sniffer菜单及功能简介Sniffer进入时,需要设置当前机器的网卡信息。
sniffer功能和使用详解
Sniffer功能和使用详解一Sniffer介绍Sniffer,中文翻译为嗅探器,是一种基于被动侦听原理的网络分析方式。
使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。
当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。
将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。
Sniffer技术常常被黑客们用来截获用户的口令,据说某个骨干网络的路由器网段曾经被黑客攻入,并嗅探到大量的用户口令。
但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络Sniffer的分类如果Sniffer运行在路由器上或有路由功能的主机上,就能对大量的数据进行监控,因为所有进出网络的数据包都要经过路由器。
二sniffer proSniffer软件是NAI公司推出的功能强大的协议分析软件。
Sniffer Pro - 功能●捕获网络流量进行详细分析●利用专家分析系统诊断问题●实时监控网络活动●收集网络利用率和错误等使用Sniffer捕获数据时,由于网络中传输的数据量特别大,如果安装Sniffer的计算机内存太小,会导致系统交换到磁盘,从而使性能下降。
如果系统没有足够的物理内存来执行捕获功能,就很容易造成Sniffer系统死机或者崩溃。
因此,网络中捕获的流量越多,建议Sniffer系统应该有一个速度尽可能快的计算机。
1. Sniffer Pro计算机的连接要使Sniffer能够正常捕获到网络中的数据,安装Sniffer的连接位置非常重要,必须将它安装在网络中合适的位置,才能捕获到内、外部网络之间数据的传输。
如果随意安装在网络中的任何一个地址段,Sniffer就不能正确抓取数据,而且有可能丢失重要的通信内容。
一般来说,Sniffer应该安装在内部网络与外部网络通信的中间位置,如代理服务器上,也可以安装在笔记本电脑上。
当哪个网段出现问题时,直接带着该笔记本电脑连接到交换机或者路由器上,就可以检测到网络故障,非常方便。
sniffer使用指南.
1
提纲
Sniffier 介绍及原理 网络监控的几种模式
抓包
分析 过滤 发包
2
Sniffer 介绍及原理
1.介绍: 捕获在网络中传输的数据信息就称为sniffing (窃听、嗅探),而sniffer就是其中的一个很 好用的工具。sniffer是用于高级分组检错的工 具。它可提供分组获取和译码的功能,它可以 提供图形以确切的指出在你的网络中哪里正出 现严重的业务拥塞。另外,我们也可以利用 sniffer去熟悉和掌握我们学习过的协议。
10
抓包
2 抓本地网卡上所有的数据包
11
分析
12
过滤
在默认情况下,sniffer将捕获其接入碰撞域中 流经的所有数据包,但在某些场景下,网络流 量很大,并不是所有的报文都是我们感兴趣的。 我们只想研究我们感兴趣的报文。这个时候我 们就要过滤报文。
13
过滤
过滤报文根据应用的目的不同分为三种情况: 在网络监视中,我们只想监视我们感兴趣的流量;
3
Sniffier 传送数据的,也就是说,可以让所有的物
理信号都经过我们的机器。但是正常情况下,我们的网卡只能接
受发给自己的单播、所属的组播及广播。但是网卡可以置于一种 模式叫混杂模式(promiscuous),在这种模式下工作的网卡能 够接收到一切通过它的数据,而不管实际上数据的目的地址是不 是他。这实际上就是我们SNIFF工作的基本原理:让网卡接收一 切他所能接收的数据。
我们只是想显示和研究其中的一部分。
14
过滤
定义过滤又有两种方式 定义过滤地址表或者协议表 定义过滤模板(功能强大,推荐使用)
15
过滤
定义过滤列表
sniffer 教程
sniffer 教程
Sniffer是一个网络流量分析工具,用于截获和分析网络数据包。
它可以用于网络管理、网络安全监测、漏洞分析等目的。
下面是一些关于使用Sniffer的基本教程:
1. 安装Sniffer软件:首先,您需要从Sniffer官方网站或其他可靠的软件下载站点下载并安装Sniffer软件。
安装过程通常与常规软件安装类似,您只需按照安装向导的指示进行操作。
2. 启动Sniffer:安装完成后,在您的计算机上找到Sniffer 的快捷方式或应用程序图标,双击打开Sniffer。
3. 设置网络接口:在Sniffer界面上,您需要选择要监测的网络接口。
通常,您可以选择您的计算机上的网络接口(如以太网、Wi-Fi等)。
选择要监测的网络接口后,单击“开始”或类似的按钮以开始捕获网络数据包。
4. 监测网络流量:一旦Sniffer开始捕获网络数据包,它将显示经过所选网络接口的流量。
您可以在Sniffer界面上查
看捕获的数据包,并从中提取关键信息,如源地址、目的地址、协议类型等。
5. 分析网络流量:Sniffer还提供了一些分析工具,如过滤器、统计数据、图形化界面等,以帮助您分析捕获的网络流量。
您可以使用这些工具来过滤特定类型的数据包,生成统计报告,可视化网络流量数据等。
需要注意的是,使用Sniffer工具需要具备一定的网络知识和技能,以有效地利用捕获的数据包进行分析。
此外,出于安全和合法性的考虑,在使用Sniffer时,请确保遵守相关法律和规定,并仅在授权范围内使用该工具。
sniffer详解第三天
今天的课程是snifffer详解第三天1、数据包的捕获2、专家模式的应用3、解码分析如何捕获数据包捕获数据的机制相对比较简单,需要做的就是实际分析虽然sniffer是一款强大的网络嗅探软件,但是它不能监测网络任意点的所有流量,sniffer主要用于捕获该工具所在的网络链路的流量并进行分析。
在显示捕获信息的窗口中,包括:高级、解码、矩阵、主机列表、协议分布、统计{Expert}高级专家模式在没有捕获到数据之前,这个窗口不会显示任何信息,捕获的信息和过滤器相关联Diagnoses 产生一些错误或者问题Symptoms 征兆Objects 可以得到数据包在各个层的信息常见的一些征兆:ack too long(180ms)“ACK 过长”这个问题是由于发送方没能在指定时内收到预期的回应而引起的。
这个问题在比较慢的LAN 区段或者WAN 链接中经常出现。
这里,我们会与一个流量受到限制的Novell NetWare 服务器进行通讯,这里得到TCP ACK 回应就需要长一点时window Frozen“窗口冻结”这条信息说明一个应用程序可能存在性能上的问题,原因是接收方的主机可能不能跟上发送方主机传输数据的速度WIND No Response当你的主机找不到WINS 服务器或者设置的WINS 服务器有错误时,经常会出现这条信息解码{Decode}:单击Decode选项,显示解码窗口,其显示了所有被sniffer pro 按照过滤器规则捕获的解码窗口从上到下分为三个部分:总结:给出了捕获的数据,源地址、目标地址、时间和长度详细资料:可以详细查看所捕获的协议信息HEX窗口:以十六进制表示的解码时间标记:绝对时间(Abs.Time)表明了数据包捕获的时间,和当前系统时间一样相对时间(Rel.Time)表明了捕获过程中某个被标记的帧和当前帧的时间差差值间距时间(Delta Time)表明的是两个相邻数据包之间的时间差。
sniffer实验报告
sniffer实验报告实验报告:Sniffer实验引言:Sniffer是一种网络工具,用于捕获和分析网络数据包。
它可以帮助我们了解网络通信的细节,并帮助网络管理员识别和解决网络问题。
本实验旨在介绍Sniffer的原理和应用,以及通过实际操作来深入了解其功能和效果。
一、Sniffer的原理和工作机制Sniffer工作在网络的数据链路层,通过监听网络上的数据包来获取信息。
它可以在网络中的一个节点上运行,或者通过集线器、交换机等设备进行监测。
Sniffer通过网卡接口,将数据包拷贝到自己的缓冲区中,然后进行解析和分析。
二、Sniffer的应用领域1. 网络故障排查:Sniffer可以帮助管理员快速定位网络故障的原因,通过捕获数据包并分析其中的错误信息,找到导致网络中断或延迟的问题源。
2. 安全监测:Sniffer可以用于检测网络中的恶意行为,如入侵、数据泄露等。
通过分析数据包的内容和流量模式,管理员可以发现异常活动并采取相应措施。
3. 性能优化:Sniffer可以监测网络的吞吐量、延迟等性能指标,帮助管理员优化网络结构和配置,提高网络的传输效率和响应速度。
4. 协议分析:Sniffer可以解析各种网络协议,包括TCP/IP、HTTP、FTP等,帮助管理员了解网络通信的细节和流程,从而更好地管理和优化网络。
三、实验步骤与结果1. 硬件准备:连接电脑和网络设备,确保网络正常运行。
2. 软件安装:下载并安装Sniffer软件,如Wireshark等。
3. 打开Sniffer软件:选择合适的网卡接口,开始捕获数据包。
4. 分析数据包:通过过滤器设置,选择需要分析的数据包类型,如HTTP请求、FTP传输等。
5. 结果分析:根据捕获的数据包,分析网络通信的细节和问题,并记录相关信息。
6. 故障排查与优化:根据分析结果,定位网络故障的原因,并采取相应措施进行修复和优化。
实验结果显示,Sniffer软件成功捕获了网络中的数据包,并能够准确地分析其中的内容和流量模式。
附录二sniffer使用简介
附录二:Sniffer使用简介Sniffer是用于高级分组检错的工具。
由于它可提供分组获取和译码的功能,它又是一个非常危险的黑客工具。
它还可以提供图形以确切的指出在网络中哪里正出现严重的业务拥塞。
在早期的以太网中,所有的通讯都是广播的,在同一个网段的所有网络接口都可以访问在物理媒体上传输的所有数据,而每一个网络接口都有一个唯一的MAC地址,这个地址用来表示网络中的每一个设备,一般来说每一块网卡上的MAC地址都是不同的。
在正常的情况下,一个网络接口应该只响应这样的两种数据帧:· 与自己硬件地址相匹配的数据帧。
· 发向所有机器的广播数据帧。
在一个实际的系统中,网卡接收到其它计算机传输来的数据,网卡查看接收数据帧的目的MAC地址,根据数据帧的目的MAC地址是否是自己的MAC地址来判断该不该接收,如果是自己的就接收,然后产生中断信号通知CPU,如果不是就丢掉不管,所以不该接收的数据网卡就截断了,计算机根本就不知道。
CPU得到中断信号产生中断,操作系统就根据网卡的驱动程序设置的网卡中断程序地址调用驱动程序接收数据,驱动程序接收数据后放入信号堆栈让操作系统处理。
而对于网卡来说一般有四种接收模式:· 广播方式:该模式下的网卡能够接收网络中的广播信息。
· 组播方式:设置在该模式下的网卡能够接收组播数据。
· 直接方式:在这种模式下,只有目的网卡才能接收该数据。
· 混杂模式:在这种模式下的网卡能够接收一切通过它的数据,而不管该数据是否是传给它的。
由上我们知道了在以太网中是基于广播方式传送数据的,也就是说,所有的物理信号都要经过我的机器,由于网卡可以置于一种模式叫混杂模式(Promiscuous),在这种模式下工作的网卡能够接收到一切通过它的数据,而不管实际上数据的目的地址是不是他。
这实际上就是我们Sniffer工作的基本原理:让网卡接收一切他所能接收的数据。
Sniffer使用教程
目录第1章 Sniffer软件简介......................................................... 1-11.1 概述....................................................................... 1-11.2 功能简介................................................................... 1-1第2章报文捕获解析............................................................. 2-12.1 捕获面板................................................................... 2-12.2 捕获过程报文统计........................................................... 2-12.3 捕获报文查看............................................................... 2-22.4 设置捕获条件............................................................... 2-4第3章报文放送................................................................. 3-13.1 编辑报文发送............................................................... 3-13.2 捕获编辑报文发送........................................................... 3-2第4章网络监视功能............................................................. 4-14.1 Dashbord ................................................................... 4-14.2 Application Response Time (ART) ............................................ 4-1第5章数据报文解码详解......................................................... 5-15.1 数据报文分层............................................................... 5-15.2 以太报文结构............................................................... 5-15.3 IP协议.................................................................... 5-35.4 ARP协议................................................................... 5-55.5 PPPOE协议................................................................. 5-65.6 Radius协议................................................................ 5-9关键词:Sniffer 协议分析摘要:本文对Sniffer软件的功能和使用作了简要的介绍,讲述了利用工具软件解决问题的思路和一些分析方法。
Sniffer使用教程
注:本文仅讨论Sniffer在Ethernet(TCP/IP)网中的一些简单应用!准备:一. 认识Sniffer:二. 认识NC、hub、switch的工作模式:NC――网卡,在正常情况下一个合法的网络接口应该只响应这样的两种数据帧:1、帧的目标区域具有和本地网络接口相匹配的硬件地址。
2、帧的目标区域具有"广播地址"或者“组播地址”。
HUB――集线器的基本工作原理是广播(broadcast)技术,也就是HUB从任何一个端口收到一个Ethernet包时,它都将此Ethernet包广播到所有其它端口。
而Switch――交换机是记忆哪一个MAC地址挂在哪一个端口,然后在将目标地址为该MAC地址的帧转发到其对应端口。
三. Sniffer的工作原理:通常在同一个网段的所有网络接口都有访问在物理媒体上传输的所有数据的能力,而每个网络接口都还应该有一个硬件地址,该硬件地址不同于网络中存在的其他网络接口的硬件地址,同时,每个网络至少还要一个广播地址。
也就是我们上面提及的两种数据帧:“匹配数据帧”和“广播数据帧”。
但网络中,存在的第3种帧:帧的目标地址是与本地网络接口不匹配的硬件地址。
――“非本地数据帧”,别人的信息!通常情况下,主机对第三种帧的处理方式是:丢弃!而Sniffer就是一种能将本地网卡状态设成"混杂"(promiscuous)状态的软件,当网卡处于这种"混杂"方式时,该网卡具备"广播地址",它对所有遭遇到的每一个帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。
即Sniffer会“接收”达到本地的所有数据帧!广播MAC地址:FF:FF:FF:FF:FF:FF组播MAC地址范围 01:00:5E:00:00:00 ~ 01:00:5E:7F:FF:FF网卡安装Sniffer后,即出于“混杂”模式!四:常见Sniffer的部署位置:1.internet入口,网际接口。
sniffer软件的初步使用方法
使用Sniffer工具分析以太网帧和IP数据报一、实验目的通过使用Sniffer Pro软件掌握Sniffer(嗅探器)工具的使用方法,实现捕捉FTP、HTTP等协议的数据包,以理解TCP/IP协议中多种协议的数据结构。
二、实验原理Sniffer即网络嗅探器,用于监听网络中的数据包,分析网络性能和故障。
Sniffer 主要用于网络管理和网络维护,系统管理员通过Sniffer可以诊断出通过常规工具难以解决的网络疑难问题,包括计算机之间的异常通信、不同网络协议的通信流量、每个数据包的源地址和目的地址等,它将提供非常详细的信息。
通常每个网络接口都有一个互不相同的硬件地址(MAC地址),同时,每个网段有一个在此网段中广播数据包的广播地址(代表所有的接口地址)。
一般情况下,一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧,并由操作系统进一步进行处理,同时丢弃不是发给自己的数据帧。
通过Sniffer工具,可以将网络接口设置为“混杂”(promiscuous)模式。
在这种模式下,网络接口就处于一个对网络进行“监听”的状态,它可以监听此网络中传输的所有数据帧-而不管数据帧的目标地址是广播地址还是自己或者其它网络接口的地址了。
它将对遭遇的每一个数据帧产生硬件中断.交由操作系统对这个帧进行处理,比如截获这个数据帧,进而实现实时分析数据帧中包含的内容。
当然,如果一个数据帧没有发送到目标主机的网络接口,则目标主机将无法监听到该帧。
所以Sniffer所能监听到的信息将仅限于在同一个物理网络内传送的数据帧.就是说和监听的目标中间不能有路由(交换)或其它屏蔽广播包的设备。
因此。
当Sniffer 工作在由集线器(hub)构建的广播型局域网时,它可以监听到此物理网络内所有传送的数据;而对于由交换机(switch)和路由器(router)构建的网络中,由于这些网络设备只根据目标地址分发数据帧,所以在这种网络中,Sniffer工具就只能监测到目标地址是自己的数据帧再加上针对广播地址的数据帧了。
防火墙Sniffer使用分析
IP首部信息
可见IP头部的内容中包含了协议的版本(目前一般都是IPV4)、包总长度为 77bytes,源地址的IP(192.168.1.101)、目标地址的IP(124.240.144.135)、包 头校验和(0B28(correct))等内容。
TCP首部信息
在TCP协议的头部信息中,包含了源端口号(52255)、目的端的端口 号(1248)、初始序列号(2056036996)、下一个希望得到的包的序 列号(2056036997)、校验和(Checksum=8C58(correct))等信息。
4. Sniffer的网络监视功能
网络监视功能能够时刻监视网络流量统计、网络上资源的利用率,并 能够监视网络流量的异常状况,其主要功能由Dashbord和ART实现,其他 功能可以参看在线帮助。 Dashbord可以监控网络的利用率、流量及错误报文等内容。通过图形 界面可以清楚看到此功能,如图所示。
捕获主机列表
主机列表,显示出所连主机详细信息,IP地址,入埠数据包个数、字节 数,出埠数据包的个数,出埠字节数,数据包总数,字节总数。
Proctocal Dist
Protocol Dist显示出与所连主机所有流量信息。
统计表
3. Sniffer的抓包分析
DLC首部信息
从图中可以看到数据包的头部是DLC层协议的内容:标明了第7 个帧Frame到达的时间、Frame 的大小、源数据链路层号(可以看出 自己的数据链路层号为001FD0371D21,目的主机的数据链路层号为 F8D111F8ABCC。
1.Sniffer的启动界面和抓包界面
启动界面
进入sniffer首先要定义过滤属性,单击Capture→Define filter,新建一个过滤,可以配置自己主机的IP,如下图所示
Sniffer软件的功能和使用方法
6.2.3 Sniffer软件的功能和使用方法一、Sniffer基本概念Sniffer,中文可以翻译为嗅探器,是一种基于被动侦听原理的网络分析方式。
使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。
当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。
将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。
Sniffer技术常常被黑客们用来截获用户的口令,据说某个骨干网络的路由器网段曾经被黑客攻入,并嗅探到大量的用户口令。
但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。
二、Sniffer功能Sniffer Pro主要包含4种功能组件(1)监视:实时解码并显示网络通信流中的数据。
(2)捕获:抓取网络中传输的数据包并保存在缓冲区或指定的文件中,供以后使用。
(3)分析:利用专家系统分析网络通信中潜在的问题,给出故障症状和诊断报告。
(4)显示:对捕获的数据包进行解码并以统计表或各种图形方式显示在桌面上。
网络监控是Sniffer的主要功能,其他功能都是为监控功能服务的,网络监控可以提供下列信息。
(1)负载统计数据,包括一段时间内传输的帧数、字节数、网络利用率、广播和组播分组计数等。
(2)出错统计数据,包换CRC错误、冲突碎片、超长帧、对准出错、冲突计数等。
(3)按照不同的底层协议进行统计的数据。
(4)应用程序的响应时间和有关统计数据。
(5)单个工作站或会话组通信量的统计数据。
(6)不同大小数据包的统计数据。
三、 Sniffer Pro 网络监控的几种模式1.1 moniter host table图中不同颜色的区块代表了同一网段内与你的主机相连接的通信量的多少。
本次以 IP 地址为测量基准。
1.2 monitor matrix 监听矩阵显示该兰色圆中的各点连线表明了当前处于活跃状态的点对点连接,也可通过将鼠标放在IP地址上点右键showselectnodes查看特定的点对多点的网络连接,如下图,表示出与192.168.0.250相连接的IP地址1.3、monitor protocol distribution查看协议分布状态,可以看到不同颜色的区块代表不同的网络协议1.4、monitor dashboard该表显示各项网络性能指标包括利用率、传输速度、错误率Network:显示网络利用率等统计信息。
sniffer使用及图解教程
sniffer使用及图解注:sniffer使用及图解sniffer pro 汉化注册版下载黑白影院高清免费在线电影聚集网无聚集无生活,聚集网络经典资源下载sniffer软件的安装还是比较简单的,我们只需要按照常规安装方法进行即可。
需要说明的是:在选择sniffer pro的安装目录时,默认是安装在c:\program files\nai\snifferNT目录中,我们可以通过旁边的Browse按钮修改路径,不过为了更好的使用还是建议各位用默认路径进行安装。
在注册用户时,随便输入注册信息即可,不过EMAIL一定要符合规范,需要带“@”。
(如图1)图1 点击放大注册诸多数据后我们就来到设置网络连接状况了,一般对于企业用户只要不是通过“代理服务器”上网的都可以选择第一项——direct connection to the internet。
(如图2)图2接下来才是真正的复制sniffer pro必需文件到本地硬盘,完成所有操作后出现setup complete提示,我们点finish按钮完成安装工作。
由于我们在使用sniffer pro时需要将网卡的监听模式切换为混杂,所以不重新启动计算机是无法实现切换功能的,因此在安装的最后,软件会提示重新启动计算机,我们按照提示操作即可。
(如图3)重新启动计算机后我们可以通过sniffer pro来监测网络中的数据包。
我们通过“开始->所有程序->sniffer pro->sniffer”来启动该程序。
第一步:默认情况下sniffer pro会自动选择你的网卡进行监听,不过如果不能自动选择或者本地计算机有多个网卡的话,就需要我们手工指定网卡了。
方法是通过软件的file菜单下的select settings来完成。
第二步:在settings窗口中我们选择准备监听的那块网卡,记得要把右下角的“LOG ON”前打上对勾才能生效,最后点“确定”按钮即可。
Sniffer 功能简介
Sniffer 功能简介
1、Dashboard (网络流量表)
第一个表显示的是网络的使用率(Utilization),
第二个表显示的是网络的每秒钟通过的包数量(Packets),
第三个表显示的是网络的每秒错误率(Errors)。
通过这三个表可以直观的观察到网络的使用情况,红色部分显示的是根据网络要求设置的上限。
2、Host table(主机列表)
显示所有在线的本网主机地址及连到外网的外网服务器地址。
点击左栏中其它的图标都会弹出该机器连接情况的相关数据的界面。
3、Detail(协议列表)
显示的是整个网络中的协议分布情况,可清楚地看出哪台机器运行了那些协议。
4、Bar(流量列表)
显示的是整个网络中的机器所用带宽前10名的情况。
显示方式是柱状图或者是饼图。
5、Matrix (网络连接)
显示全网的连接示意图,图中绿线表示正在发生的网络连接,蓝线表示过去发生的连接。
将鼠标放到线上可以看出连接情况。
鼠标右键在弹出的菜单中可选择放大(zoom)此图。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Sniffer功能和使用详解一Sniffer介绍Sniffer,中文翻译为嗅探器,是一种基于被动侦听原理的网络分析方式。
使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。
当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。
将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。
Sniffer技术常常被黑客们用来截获用户的口令,据说某个骨干网络的路由器网段曾经被黑客攻入,并嗅探到大量的用户口令。
但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络Sniffer的分类如果Sniffer运行在路由器上或有路由功能的主机上,就能对大量的数据进行监控,因为所有进出网络的数据包都要经过路由器。
二sniffer proSniffer软件是NAI公司推出的功能强大的协议分析软件。
Sniffer Pro - 功能●捕获网络流量进行详细分析●利用专家分析系统诊断问题●实时监控网络活动●收集网络利用率和错误等使用Sniffer捕获数据时,由于网络中传输的数据量特别大,如果安装Sniffer的计算机内存太小,会导致系统交换到磁盘,从而使性能下降。
如果系统没有足够的物理内存来执行捕获功能,就很容易造成Sniffer系统死机或者崩溃。
因此,网络中捕获的流量越多,建议Sniffer系统应该有一个速度尽可能快的计算机。
1. Sniffer Pro计算机的连接要使Sniffer能够正常捕获到网络中的数据,安装Sniffer的连接位置非常重要,必须将它安装在网络中合适的位置,才能捕获到内、外部网络之间数据的传输。
如果随意安装在网络中的任何一个地址段,Sniffer就不能正确抓取数据,而且有可能丢失重要的通信内容。
一般来说,Sniffer应该安装在内部网络与外部网络通信的中间位置,如代理服务器上,也可以安装在笔记本电脑上。
当哪个网段出现问题时,直接带着该笔记本电脑连接到交换机或者路由器上,就可以检测到网络故障,非常方便。
(1) 监控Internet连接共享如果网络中使用代理服务器,局域网借助代理服务器实现Internet连接共享,并且交换机为傻瓜交换机时,可以直接将Sniffer Pro安装在代理服务器上,这样,SnifferPro就可以非常方便地捕获局域网和Internet之间传输的数据。
如果核心交换机为智能交换机,那么最好的方式是采用端口映射的方式,将局域网出口(连接代理服务器或者路由器的端口)映射为另外一个端口,并将Sniffer Pro计算机连接至该映射端口。
例如,在交换机上,与外部网络连接的端口设为A,连接笔记本电脑的端口设置为B,将笔记本电脑的网卡与B端口连接,然后将A和B做端口映射,使得A端口传输的数据可以从B端口监测到,这样,Sniffer就可以监测整个局域网中的数据了。
2. 设置监控网卡如果计算机上安装了多个网卡,在首次运行Sniffer Pro时,需要选择要监控的网卡,应该选择代理网卡或者连接交换机端口的网卡。
当下次运行时,Sniffer Pro就会自动选择同样的代理。
1 启动sniffer pro在安装sniffer pro之前需要安装Win_cap(监听包),然后选择网络适配器如图1.1,如果没有出现则点击”新建”,如图1.2:●(描述)Description:为该网卡设置一个名称,可以是关于该网卡的描述。
●(网络适配器)Network:该下拉列表中列出了本地计算机上的所有网卡,可以选择要使用的网卡。
●(netpod类型)Netpod Configuration:在这里可以设置高速以太网Pod,为了使以太网可以以全双工模式工作,在“Netpod”下拉列表中选择“Full DuplexPod(全双工Pod)”选项,在“Netpod IP”框中输入Sniffer Pro系统的网络适配器的IP地址再加1。
例如,Sniffer Pro IP地址为192.168.1.1,Netpod IP地址就必须设置为192.168.1.2。
全双工Pod要求有静态IP地址,所以应该禁用DHCP。
●(拷贝设置从)Copy settings:在该下拉列表中显示了本地计算机中以前定义过的网卡设置,可以选择一种配置,将其复制到该新添加的网卡中。
设置完成以后单击“OK”按钮,添加到“Settings”对话框中,然后就可以选择监控该网卡了。
图1.1 选择网络适配器图1.2 添加网络适配器图1.3 Sniffer pro 协议分析器主界面2.认识sniffer pro 界面2.1 仪表盘仪表盘,点击后显示如图1.1首先我们能看到的是三个类似汽车仪表的图象,从左到右依次为“Utiliz ation%网络使用率”,“Packets/s数据包传输率”,“Error/s错误数据情况”。
其中红色区域是警戒区域,如果发现有指针到了红色区域我们就该引起一定的重视了,说明网络线路不好或者网络使用压力负荷太大。
一般我们浏览网页的情况,使用率不高,传输情况也是9到30个数据包每秒,错误数基本没有。
在Sniffer主窗口中,默认会显示Dashboard(仪表盘)窗口,共显示了三个仪表盘,即“Utilization%”“Packets/s”“Errors/s”,分别用来显示网络利用率、传输的数据和错误统计。
(1) Utilization%(利用率百分比)用传输量与端口能处理的最大带宽值的比值来表示线路使用带宽的百分比。
表盘的红色区域表示警戒值,表盘下方有两个数字,第一个数字代表当前利用率百分比,第二个是最大的利用率百分比数值。
监控网络利用率是网络分析中很重要的部分。
但是,网络数据流通常都是突发型的,一个几秒钟内爆发的数据流和能在长时间保持活性数据流的重要性是不同的。
表示网络利用率的理想方法要因网络不同而改变,而且很大程度上要取决于网络的拓扑结构。
在以太网端口,利用率到40%,效率可能已经很高了,但是在全双工可转换端口,80%的利用率才是高效的。
(2) Packets/s(每秒传输的数据包)显示当前数据包的传输速度。
同样,红色区域表示警戒值,下方的数字显示当前的数据包传输速度及其峰值。
根据数据包速率可以得出网络上流量类型的一些重要信息。
例如,如果网络利用率很高,而数据包传输速度相对较低,则说明网络上的帧比较大;而如果网络利用率很高,数据包传输速率也很高,说明帧比较小。
通过查看规模分布的统计结果,可以更详细的了解帧的大小。
(3) Errors/s(每秒产生的错误)该表盘可显示当前出错率和最大出错率。
不过,并非所有的错误都产生故障。
例如,以太网中经常会发生冲突,并不一定会对网络造成影响,但过多的冲突就会带来问题。
如果要重新设定仪表盘的值,可以单击仪表盘窗口上方的Reset(重置)按钮。
2.2 主机表。
对单个主机进行分析主机表:显示主机表如图 2.2图2.2主机显示表通过这个表我们可以对网络内的单个工作站进行数据捕获,排序可以按照MAC地址、IP地址和IPX协议。
实际上在大部分的情况下一旦网络出现异常,可以在第一时间直观的通过HostTable功能找到问题的根源,在这个表种显示了每台计算机的上行速率和下行速率,用来分析各主机的通信量。
在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。
图 2.3 查看捕获面板捕获报文数缓冲器使用率图2.4 显示面板统计信息捕获面板能够显示捕获保温的大小,以及显示缓冲器的使用率,2.3 矩阵矩阵如图2.3图 2.3 局域网正常数据传输矩阵用于直观的显示整个网络的数据传输情况。
上图位局域网正常的数据传输,当出现异常情况时出现下图2.3.1,一台主机跟多台计算机在通信,如果发生在服务器上,是正常的,但是这种情况发生在其它非服务器的计算机上就有可能是攻击行为了。
图 2.3.1 局域网内主机异常通信点击查看“饼图”可以查看那台计算机的流量最大(如下图)。
图 5.2 饼图显示各主机通信量3ART监控请求响应时间请求响应时间如图:3.1图3.1 4 历史取样历史取样,查看以前某个时间段的数据信息,如图4.1图 4.1 历史取样图5.协议分布协议分布,列出局域网内计算机使用协议的分布图,如图5.1图 5.1 协议分布图此试图能够检测网络当中各计算机使用的网络协议,包括FTP、HTTP、ICMP、DNS等,并监测其数据流量。
6 定义过滤器,设置缓冲大小选择捕获—定义过滤器图6.1 选择定义过滤器图 6.2 设置缓冲器大小二捕获报文查看Sniffer软件提供了强大的分析能力和解码功能。
如下图所示,对于捕获的报文提供了一个Expert专家分析系统进行分析,还有解码选项及图形和表格的统计信息。
专家分析专家分分析系统提供了一个只能的分析平台,对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。
在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容,可以方便了解网络中高层协议出现故障的可能点。
对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因。
解码分析下图是对捕获报文进行解码的显示,通常分为三部分,目前大部分此类软件结构都采用这种结构显示。
对于解码主要要求分析人员对协议比较熟悉,这样才能看懂解析出来的报文。
使用该软件是很简单的事情,要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。
工具软件只是提供一个辅助的手段。
因涉及的内容太多,这里不对协议进行过多讲解,请参阅其他相关资料。
对于MAC地址,Snffier软件进行了头部的替换,如00e0fc开头的就替换成Huawei,这样有利于了解网络上各种相关设备的制造厂商信息。
功能是按照过滤器设置的过滤规则进行数据的捕获或显示。
在菜单上的位置分别为Capture->Define Filter和Display->Define Filter。
过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。
在最上面的窗口中显示了捕获的帧和捕获的顺序、“Source Address(源地址)”、“Dest Address(目的地址)”、“Summary(摘要信息)”以及时间等信息。
此时可以选中需要的帧左侧的复选框,然后就可以保存为新的捕获文件。
选择“Display”菜单中的“Save Select”选项,即将选择的帧保存为新的捕获文件;选择“Select Range(选择范围)”选项可以选择全部帧、取消对全部范围的选择,或者选择和取消任何一个范围的选择。
UDP文件头信息以太报文结构EthernetII以太网帧结构Ethernet_II以太网帧类型报文结构为:目的MAC地址(6bytes)+源MAC地址+(6bytes)上层协议类型(2bytes)+数据字段(46-1500bytes)+校验(4bytes)Ethernet_IIDMAC SMAC Type DATA/PAD FCSSniffer会在捕获报文的时候自动记录捕获的时间,在解码显示时显示出来,在分析问题时提供了很好的时间记录。