网络抓包--sniffer pro的使用

通过专用sniffer程式监视异常ARP除了NAI Sniffer pro 以外，网络上还提供有非常多专用的ARP监视工具，这些工具也是sniffer的一种，只是在功能上更有针对性，大多数界面也非常简单、友好。

这里我们简单介绍由国内欣全向公司研发，颇为流行的免费ARP检测工具：“欣向巡路之ARP工具1.1Beta” ,大家能从/downcenter.asp直接下载。

和非常多数据包捕捉工具相同，在程式安装运行前，需要提前安装WinPcap驱动。

使用方法：步骤一：使用方法非常简单。

首先选择网卡，程式会根据网卡扫描出相应网段IP-MAC清单。

但需要注意，IP-MAC清单的扫描务必在网络内正常的情况下。

步骤二：添加ARP检测范围，一般将网关或路由的IP填入即可。

步骤三：启动ARP检测。

这个时候，如果网络内出现ARP欺骗，程式则会报警，并用红色字体在“ARP步骤四：如果发现ARP欺骗纪录后，应该怎么处理，防止断线呢？这个时候能使用软件中“主动维护”功能来修复网络。

这个功能的含义是：定义好网关正确IP-MAC，在网内以一定频率广播，来修复网络。

注意：使用了本功能后，网内被欺骗的机器，受正确ARP广播的影响，ARP缓存表暂时恢复正常，请尽快处理出现故障机器。

总结：在网络出现故障时，有经验的网络管理员通常都能够迅速发现故障并加以排除，这是基于网络管理员自身技能素养、对环境的了解、和经验。

不过在网络日益发展的今天，网络应用、规模、手段都在急速膨胀，仅仅依靠对环境的了解和经验显然是不够的。

因此，使用sniffer pro程式来处理ARP，本文不矢为一种快速有效的手段。

由于本文不涉及sniffer的高级应用，如抓取数据包分析ARP问题等，所以比较适合初级用户阅读参考，我们会在以后的文章中进一步深入探讨sniffer的相关技术问题。

敬请期待。

sniffer 教程
Sniffer是一个网络流量分析工具，用于截获和分析网络数据包。

它可以用于网络管理、网络安全监测、漏洞分析等目的。

下面是一些关于使用Sniffer的基本教程：
1. 安装Sniffer软件：首先，您需要从Sniffer官方网站或其他可靠的软件下载站点下载并安装Sniffer软件。

安装过程通常与常规软件安装类似，您只需按照安装向导的指示进行操作。

2. 启动Sniffer：安装完成后，在您的计算机上找到Sniffer 的快捷方式或应用程序图标，双击打开Sniffer。

3. 设置网络接口：在Sniffer界面上，您需要选择要监测的网络接口。

通常，您可以选择您的计算机上的网络接口（如以太网、Wi-Fi等）。

选择要监测的网络接口后，单击“开始”或类似的按钮以开始捕获网络数据包。

4. 监测网络流量：一旦Sniffer开始捕获网络数据包，它将显示经过所选网络接口的流量。

您可以在Sniffer界面上查
看捕获的数据包，并从中提取关键信息，如源地址、目的地址、协议类型等。

5. 分析网络流量：Sniffer还提供了一些分析工具，如过滤器、统计数据、图形化界面等，以帮助您分析捕获的网络流量。

您可以使用这些工具来过滤特定类型的数据包，生成统计报告，可视化网络流量数据等。

需要注意的是，使用Sniffer工具需要具备一定的网络知识和技能，以有效地利用捕获的数据包进行分析。

此外，出于安全和合法性的考虑，在使用Sniffer时，请确保遵守相关法律和规定，并仅在授权范围内使用该工具。

超级网络分析工具Sniffer Pro详解Sinffer Pro是美国Network Associates公司生产的一款网络分析软件，可用于网络故障与性能管理，在局域网领域应用非常广泛，占到网络分析软件市场的76%。

当一个网络出现故障时，就需要由网络管理员查找故障并及时进行修复。

但局域网一般都有几十台到几百台计算机，以及多个服务器、交换机、路由器等设备，管理员需要检查这些设备，检查各个端口的连接等，检查是否是黑客或者木马所为，工作量非常大，而且排除故障也非常麻烦。

有了Sniffer Pro，就可以很容易的找出问题所在。

Sinffer Pro是美国Network Associates公司生产的一款网络分析软件，可用于网络故障与性能管理，在局域网领域应用非常广泛，占到网络分析软件市场的76%。

Sniffer Pro是一种很好的网络分析程序，允许管理员逐个数据包查看通过网络的实际数据，从而了解网络的实际运行情况。

它具有以下特点：1. 可以解码至少450种协议。

除了IP、IPX和其它一些“标准”协议外，Sniffer Pro还可以解码分析很多由厂商自己开发或者使用的专门协议，比如思科VLAN中继协议(ISL)。

2. 支持主要的局域网(LAN)、城域网(W AN)等网络技术(包括高速与超高速以太网、令牌环、802.11b 无线网、SONET传递的数据包、T-1、帧延迟和A TM)。

3. 提供在位和字节水平上过滤数据包的能力。

4. 提供对网络问题的高级分析和诊断，并推荐应该采取的正确措施。

5. Switch Expert可以提供从各种网络交换机查询统计结果的功能。

6. 网络流量生成器能够以千兆的速度运行。

7. 可以离线捕获数据，如捕获帧。

因为帧通常都是用8位的分界数组来校准，所以Sniffer Pro只能以字节为单位捕获数据。

但过滤器在位或者字节水平都可以定义。

需要注意的是，使用Sniffer捕获数据时，由于网络中传输的数据量特别大，如果安装Sniffer的计算机内存太小，会导致系统交换到磁盘，从而使性能下降。

软件使用指南在日常的局域网维护中，对于一款软件，不仅要知道其表面的功能，更要深入了解其工作原理，这样才能更有效地挖掘软件更高级的应用及功能，以此来解决网络中的疑难故障。

下面结合一些日常网络故障实例，介绍一下Sniffer在局域网维护中的综合应用。

Sniffer软件是NAI公司推出的功能强大的协议分析软件，具有捕获网络流量进行详细分析、实时监控网络活动、利用专家分析系统诊断问题、收集网络利用率和错误等功能。

Sniffer Pro 4.6可以运行在各种Windows平台上，只要安装在网络中的任何一台机器上，都可以监控到整个网络。

以下以Sniffer 4.7.5汉化版本为例，介绍一下Snffer在局域网维护中的具体应用。

一、Sniffer软件的安装在网上下载Sniffer软件后，直接运行安装程序，系统会提示输入个人信息和软件注册码，安装结束后，重新启动，之后再安装Sniffer汉化补丁。

运行Sniffer程序后，系统会自动搜索机器中的网络适配器，点击确定进入Sniffer主界面。

二、Sniffer软件的使用打开Sniffer软件后，会出现主界面(如图1)，显示一些机器列表和Sniffer软件目前的运行情况，上面是软件的菜单，下面有一些快捷工具菜单，左侧还有一排快捷菜单按钮。

由于使用的是汉化版软件，因此部分词语汉化不是太准确。

1、获取网络中的机器列表Sniffer软件运行后，首先要搜索网络中的机器。

在"工具”菜单中找到"地址簿”选项并运行，在"地址簿”中的左侧工具菜单中，可以找到一个"放大镜”的图标，这是"自动搜索”的按钮。

运行"自动搜索”功能后，在IP地址段中输入网络的开始IP地址和结束地址，然后系统会自动搜索。

搜索完成后，会出现一个如图1的机器列表。

2、保存机器列表Sniffer搜索网络中所有的机器列表后，可以在"数据库”菜单中选择"保存地址簿”选项，将当前的机器列表保存，以备日后使用。

超级网络嗅探器——Sniffer pro 的使用Sniffer软件是NAI公司推出的功能强大的协议分析软件。

实现对网络的监控，更深入地了解网络存在的问题，检测和修复网络故障和安全问题。

Sniffer可以监听到网上传输的所有信息，主要用来接收在网络上传输的信息。

Sniffer可以截获口令、专用信道内的信息、信用卡号、经济数据、E-mail等，还可以用来攻击与自己相临的网络。

Sniffer的功能主要包括如下几方面：捕获网络流量进行详细分析。

利用专家分析系统诊断问题。

实时监控网络活动情况。

监控单个工作站、会话或者网络中任何一部分的网络利用情况和错误统计。

支持主要的LAN、WAN和网络技术。

提供在位和字节水平过滤数据包的能力。

1 Sniffer Pro的启动和设置2 理解Sniffer Pro主要4种功能组件的作用：监视：实时解码并显示网络通信流中的数据。

捕获：抓取网络中传输的数据包并保存在缓冲区或指定的文件中，供以后使用。

分析：利用专家系统分析网络通信中潜在的问题，给出故障症状和诊断报告。

显示：对捕获的数据包进行解码并以统计表或各种图形方式显示在桌面上。

3 学会sniffer工具的基本使用方法，用sniffer捕获报文并进行分析。

环境：windows XP， windows 7，能访问INTERNET。

Sniffer pro主界面在默认情况下，Sniffer将捕获其接入的域中流经的所有数据包，但在某些场景下，有些数据包可能不是我们所需要的，为了快速定位网络问题所在，有必要对所要捕获的数据包作过滤。

Sniffer提供了捕获数据包前的过滤规则的定义，过滤规则包括2、3层地址的定义和几百种协议的定义。

定义过滤规则的做法一般如下：(1) 在主界面选择【Capture】→【Define Filter】。

(2) 在“Define Filter”对话框中选择“Address”选项卡，这是最常用的定义。

其中包括MAC地址、IP地址和IPX地址的定义。

Sniffer软件的功能和使用方法6.2.3 Sniffer软件的功能和使用方法一、Sniffer基本概念Sniffer，中文可以翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。

使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。

当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。

将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。

Sniffer技术常常被黑客们用来截获用户的口令，据说某个骨干网络的路由器网段曾经被黑客攻入，并嗅探到大量的用户口令。

但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。

二、Sniffer功能Sniffer Pro主要包含4种功能组件（1）监视：实时解码并显示网络通信流中的数据。

（2）捕获：抓取网络中传输的数据包并保存在缓冲区或指定的文件中，供以后使用。

（3）分析：利用专家系统分析网络通信中潜在的问题，给出故障症状和诊断报告。

（4）显示：对捕获的数据包进行解码并以统计表或各种图形方式显示在桌面上。

网络监控是Sniffer的主要功能，其他功能都是为监控功能服务的，网络监控可以提供下列信息。

（1）负载统计数据，包括一段时间内传输的帧数、字节数、网络利用率、广播和组播分组计数等。

（2）出错统计数据，包换CRC错误、冲突碎片、超长帧、对准出错、冲突计数等。

（3）按照不同的底层协议进行统计的数据。

（4）应用程序的响应时间和有关统计数据。

（5）单个工作站或会话组通信量的统计数据。

（6）不同大小数据包的统计数据。

三、 Sniffer Pro 网络监控的几种模式1.1 moniter host table图中不同颜色的区块代表了同一网段内与你的主机相连接的通信量的多少。

本次以 IP 地址为测量基准。

1.2 monitor matrix 监听矩阵显示该兰色圆中的各点连线表明了当前处于活跃状态的点对点连接，也可通过将鼠标放在IP地址上点右键showselectnodes查看特定的点对多点的网络连接，如下图，表示出与192.168.0.250相连接的IP 地址1.3、monitor protocol distribution查看协议分布状态，可以看到不同颜色的区块代表不同的网络协议1.4、monitor dashboard该表显示各项网络性能指标包括利用率、传输速度、错误率Network：显示网络利用率等统计信息。

sniffer类软件使用指南
在分析网络故障的时候，sniffer是一个很好的东西，必不可少。

常用的大概有两种：
一个是sniffer pro,一个是iris。

这两个软件都可以嗅探数据，但偏重不一样， sniffer pro偏重于图表，对于流量，连接等很直观，缺点是不能及时显示数据。

Iris则是偏重于协议的分析和还原上，它的过滤规则比sniffer pro丰富.
一般来说，看流量和连接情况，用sniffer pro, 看及时数据用iris.但iris没有sniffer pro稳定，经常崩溃掉。

1. sniffer pro
sniffer pro也有一个filter的规则过滤条件，和iris相比比较简单：
sniffer pro一启动就会自动抓包，根据网络上每个IP，MAC等流量用图表显示：
在判断网络流量异常的时候用这个来分析非常准确，一般的流量大故障都可以通过这些图表来分析出来。

和IRIS不同的是如果你想抓包的话，具体数据不能适时显示，只能在停止以后才可以看到
包的内容和解码后的东西。

2. iris
这里是及时的连接情况:
下面是sniffer到的数据:
左边则是解码内容:
解码之后的内容:
值得注意的是sniffer pro保存的文件可以由iris打开，但iris保存的文件sniffer pro不支持。

Sniffer Pro中文使用教程第1章 Sniffer软件简介 .............................................................................................................. 1-11.1 概述 ............................................................................................................................. 1-11.2 功能简介...................................................................................................................... 1-1第2章报文捕获解析.................................................................................................................. 2-12.1 捕获面板...................................................................................................................... 2-12.2 捕获过程报文统计 ....................................................................................................... 2-12.3捕获报文查看.............................................................................................................. 2-22.4设置捕获条件.............................................................................................................. 2-3第3章报文放送 ........................................................................................................................ 3-13.1 编辑报文发送............................................................................................................... 3-13.2捕获编辑报文发送....................................................................................................... 3-2第4章网络监视功能.................................................................................................................. 4-14.1 Dashbord ..................................................................................................................... 4-14.2 Application Response Time (ART) ............................................................................. 4-1第5章数据报文解码详解 .......................................................................................................... 5-15.1数据报文分层.............................................................................................................. 5-15.2以太报文结构.............................................................................................................. 5-15.3 IP协议.......................................................................................................................... 5-35.4 ARP协议...................................................................................................................... 5-45.5 PPPOE协议 ................................................................................................................... 5-65.6 Radius协议.................................................................................................................. 5-9第1章 Sniffer软件简介1.1 概述Sniffer软件是NAI公司推出的功能强大的协议分析软件。

实验三： Sniffer Pro的基本使用和实例一、实验目的：练习sniffer工具的基本使用方法，用sniffer捕获报文并进行分析。

二、实验环境：通过交换机连接的多台PC，预装Windows XP操作系统。

三、运行环境及安装：Sniffer Pro可运行在局域网的任何一台机器上，如果是练习使用，网络连接最好用交换机且在一个子网，这样能抓到连到交换机上每台机器传输的包。

本文用的版本是 4.7.5，Sniffer Pro软件的获取可在或 中输入Sniffer Pro 4.7.5，查找相应的下载站点来下载。

四、常用功能介绍1、Dashboard （网络流量表）点击图1中①所指的图标，出现三个表，第一个表显示的是网络的使用率（Utilization），第二个表显示的是网络的每秒钟通过的包数量（Packets），第三个表显示的是网络的每秒错误率（Errors）。

通过这三个表可以直观的观察到网络的使用情况，红色部分显示的是根据网络要求设置的上限。

选择图1中②所指的选项将显示如图2所示的更为详细的网络相关数据的曲线图。

每个子项的含义无需多言，下面介绍一下测试网络速度中的几个常用单位。

在TCP/IP协议中，数据被分成若干个包（Packets）进行传输，包的大小跟操作系统和网络带宽都有关系，一般为64、128、256、512、1024、1460等，包的单位是字节。

很多初学者对Kbps、KB、Mbps 等单位不太明白，B 和 b 分别代表Bytes(字节) 和bits（比特），1比特就是0或1。

1 Byte = 8 bits 。

1Mbps (megabits per second兆比特每秒)，亦即1 x 1024 / 8 = 128KB/sec（字节/秒），我们常用的ADSL下行512K指的是每秒512K比特(Kb)，也就是每秒512/8=64K字节（KB）图1图22、Host table（主机列表）如图3所示，点击图3中①所指的图标，出现图中显示的界面，选择图中②所指的IP选项，界面中出现的是所有在线的本网主机地址及连到外网的外网服务器地址，此时想看看192.168.113.88这台机器的上网情况，只需如图中③所示单击该地址出现图4界面。

sniffer使用及图解注：sniffer使用及图解sniffer pro 汉化注册版下载黑白影院高清免费在线电影聚集网无聚集无生活，聚集网络经典资源下载sniffer软件的安装还是比较简单的，我们只需要按照常规安装方法进行即可。

需要说明的是:在选择sniffer pro的安装目录时，默认是安装在c:\program files\nai\snifferNT目录中，我们可以通过旁边的Browse按钮修改路径，不过为了更好的使用还是建议各位用默认路径进行安装。

在注册用户时，随便输入注册信息即可，不过EMAIL一定要符合规范，需要带“@”。

（如图1）图1 点击放大注册诸多数据后我们就来到设置网络连接状况了，一般对于企业用户只要不是通过“代理服务器”上网的都可以选择第一项——direct connection to the internet。

（如图2）图2接下来才是真正的复制sniffer pro必需文件到本地硬盘，完成所有操作后出现setup complete提示，我们点finish按钮完成安装工作。

由于我们在使用sniffer pro时需要将网卡的监听模式切换为混杂，所以不重新启动计算机是无法实现切换功能的，因此在安装的最后，软件会提示重新启动计算机，我们按照提示操作即可。

（如图3）重新启动计算机后我们可以通过sniffer pro来监测网络中的数据包。

我们通过“开始->所有程序->sniffer pro->sniffer”来启动该程序。

第一步：默认情况下sniffer pro会自动选择你的网卡进行监听，不过如果不能自动选择或者本地计算机有多个网卡的话，就需要我们手工指定网卡了。

方法是通过软件的file菜单下的select settings来完成。

第二步：在settings窗口中我们选择准备监听的那块网卡，记得要把右下角的“LOG ON”前打上对勾才能生效，最后点“确定”按钮即可。

network sniffer使用方法【导语】网络嗅探器（Network Sniffer）是一种监控网络数据流的应用程序，它能捕获并分析传输在线上的数据包。

掌握网络嗅探器的使用方法对于网络管理和安全维护具有重要意义。

本文将详细介绍一种常见的网络嗅探工具——Network Sniffer的使用方法。

一、安装与启动1.下载Network Sniffer软件，根据您的操作系统选择相应的版本。

2.双击安装文件，按照提示完成安装过程。

3.启动Network Sniffer，软件界面将显示捕获的数据包列表。

二、配置捕获选项1.选择捕获接口：在软件界面上选择您要监控的网络接口，通常选择与互联网连接的接口。

2.过滤器设置：通过设置过滤器，可以捕获特定协议或IP地址的数据包。

例如，只捕获HTTP协议或指定IP地址的数据包。

3.开始捕获：点击“开始捕获”按钮，软件将开始捕获经过所选网络接口的数据包。

三、分析数据包1.查看数据包列表：捕获到的数据包会显示在列表中，包括数据包的源地址、目的地址、协议类型等信息。

2.查看数据包详情：双击列表中的数据包，可以查看数据包的详细内容，包括头部信息、数据载荷等。

3.数据包解码：Network Sniffer支持多种协议的解码，如HTTP、TCP、UDP等。

选择相应的解码方式，可以更直观地查看数据包内容。

四、数据包导出与保存1.导出数据包：将捕获到的数据包导出为CSV、XML等格式，方便在其他工具中进行分析。

2.保存捕获结果：将捕获的数据包保存到本地文件，以便后续分析。

五、注意事项1.在使用Network Sniffer时，请确保遵守相关法律法规，不要侵犯他人隐私。

2.在企业内部使用时，应遵循公司规定，避免监控到不应该查看的数据。

work Sniffer仅用于网络管理和安全维护，禁止用于非法用途。

通过以上介绍，相信您已经掌握了Network Sniffer的基本使用方法。

注意：原创人江西财经大学2012级卓越班XXXX实验安装Vmare,安装虚拟操作系统，安装并使用sniffer pro首先下载Vmare10这是下载地址：:801/xp2011/VMware10.7z下载好后解压安装即可安装Vmare肯定是要统一条款的，点击同意继续安装可以选择典型，或者自定义安装，这里选择自定义安装选择是否安装必要的插件这里选择安装所有插件也可以的：选择安装的位置，这里选择安装在D盘的Vmare文件夹中选择虚拟机的存储位置，这里选择在D盘中安装完成后，选择把快捷方式发送到桌面单击继续，就马上安装Vmare输入产品密钥的话，就用百度一下解决安装完成后打开虚拟机首先可以选择打开虚拟机，前提是电脑上有可以用的虚拟机，以前新建过的打开虚拟系统的电源即可如果电脑上没有可以使用的虚拟系统，则可以下载一个ios镜像系统文件然后点击新建虚拟机选择需要安装的虚拟操作系统的位置这里vmare一般会自己自动选择版本的，如果没有自动正确的选择版本的话，可以自己手动选择选择需要安装操作系统的位置配置虚拟操作系统的环境处理器数量选择一个就可以了，一般不会再虚拟操作系统上干重活的。

这里选择默认的或者选择桥接也可以的，反正后面可以更改的选择第一个默认的创建虚拟磁盘磁盘大小20GB足够了，因为一般不会再虚拟操作系统上干重活，也不会放置很多的文件的不做更改，默认即可点击完成，然后就会自动安装虚拟操作系统了安装sniffer por首先下载sniffer por软件下载地址：/qd2/pc6-Snifferproxz.zip 下载好后直接解压安装：安装sniffer的详细教程见：/view/e72567eb6294dd88d0d26bf2.html打开sniffer后可以看到三个表盘：选择Capture 下的Define Filter选项之后看到如下内容选择Address选项，看到如下内容，在Station1, Station2,输入2个IP地址我这里的是一个是主机上的，机实际上是自己电脑的操作系统的，第二个是虚拟操作系统的Ip地址然后就是配置sniffer了选择Advanced，选中如下选项更改Vmare设置选择虚拟机选择设置选项，网络连接选择桥接模式，并且启用文件夹共享启用VNC连接下面打开虚拟操作系统上的浏览器，就可以上网了打开网页之后可以看到表盘指针的数据了，第二个表盘是表示网络数据的很多资料说要关闭防火墙，其实是可以不要的，这里我的就没有关闭自己实际操作系统上的防火墙，打开自己电脑上的命令行窗口ping虚拟操作系统，发现如下内容后，机说明正常这里说下，很多资料说要更改配置ip，其实也可以不要的，只要你能在命令行找出虚拟操作系统的ip即可，没有的话，就要在网络连接上找到！步骤如下：打开控制面板，切换到经典视图，选择网络连接并打开，选中双击Internet协议配置IP:只需要配置IP地址即可下面的会自动生成的虚拟操作系统ping实际操作系统，发现如下内容后即可说明正常然后选择capture下的start，再执行上面的ping指令中的任何一个，即可然后，点击capture下的stop按钮，接着点击这个望眼镜的按钮，然后点击Decode 看到如下画面这是执行另外一个ping指令的抓包内容点击Matrix按钮看到如下内容点击Host Table点击protocot dist看到如下内容点击statistics注意：如果在打开sniffer时会提示什么脚本错误之类的信息时，应该点击否按钮或者直接点击叉叉直接关闭，本人就是因为点击的是按钮所以抓包失败原因的话正在查找中。