网络嗅探器的实际与实现

《网络与信息安全》课程设计报告班级学号：姓名：题目：评阅：成绩：2011年1月目录一、开发背景1、网络安全现状。

2、开发意义。

二、设计分析1、实现目标。

2、开发技术简介。

三、详细设计1、嗅探原理。

2、代码设计。

四、测试运行五、总结六、参考文献摘要网络嗅探器是作用在网络上的一种监听程序，它是系统管理员的一个得力助手，管理员可以用它来分析网络。

例如当网络繁忙时可利用它来查找是哪一段网络繁忙，数据报文是属于哪一种协议，这样可以计算出哪种业务受欢迎。

但是当有黑客使用它时，它又变得很可怕。

它可以非法获取一些保密性信息，如帐号、密码等，它带来的负面破坏是非常大的。

作为从事网络安全技术方面的人员来说，要想有效地利用它、防范它就得深入地学习、分析网络嗅探技术。

1、本设计的基本任务是设计一个嗅探软件，实现对常用网络数据包抓取、分析。

2、软件所要完成对本机在网络中的通信数据,比如协议类型，源、目的地址和端口、数据包的大小等加以分析的功能。

3、本设计用到的开发工具为Microsoft Visual Studio 2010 开发环境为Windows 7。

4、程序由韩瑞彬同学和我共同完成，本人主要负责主界面的设计和网络数据包的抓取，韩瑞彬同学负责对数据包的解析设计。

关键字：嗅探器，安全，黑客，数据报文一、开发背景1、网络安全现状随着各种新的网络技术的不断出现、应用和发展，计算机网络的应用越来越广泛，其作用也越来越重要。

但是由于计算机系统中软硬件的脆弱性和计算机网络的脆弱性以及地理分布的位置、自然环境、自然破坏以及人为因素的影响，不仅增加了信息存储、处理的风险，也给信息传送带来了新的问题。

计算机网络安全问题越来越严重，网络破坏所造成的损失越来越大。

Internet 的安全已经成为亟待解决的问题。

多数黑客入侵成功并植入后门后的第一件事就是选择一个合适当前网络的嗅探器，以获得更多的受侵者的信息。

嗅探器是一种常用的收集有用数据的方法，可以作为分析网络数据包的设备。

计算机网络嗅探攻击实验一、实验目的1.掌握计算机网络通信的基本原理。

2.掌握计算机网络嗅探攻击的基本原理。

二、实验内容利用Wireshark进行嗅探攻击。

三、预习要求计算机网络通信的基本原理及其所受到的常规威胁。

四、实验方法与步骤1.安装Wireshark；2.打开Wireshark；3.点击左上角按钮，选择监听使用的网卡；4.点击Start，开始抓取网络通信包，并打开IE浏览器观察抓去的包的变化情况；5.点击菜单栏的停止抓取按钮，并选择任意HTTP包，如下图；6.双击HTTP包，如下图，并最大化窗口，查看数据包的各个层，应用层、传输层、网络层、数据链路层、物理层；重新开始数据包的抓取，弹出如下窗口；8.点击“ContinueWithout Saving”开始Wireshark新的抓取任务，并打开浙师大主页/，在用户名和密码中输入任意字符（要记得你输入的是什么），比如：用户名：12345，密码：34567，点击登录；9.返回Wireshark抓取主页面，点击停止抓取，点击Wireshark工具栏中的搜索图标，出现弹出窗口，分别选择“String”和“Packet details”单选框，并在输入框中输入你刚才登录用的用户名，点击“Find”按钮；10.检索结果为灰色底色；11.双击该条记录，并最大化窗口，可以清楚的看到你刚才输入的用户名和密码；五、思考题1.如何对付计算机网络的嗅探攻击？/Channels/Safety/SysSafety/Other/2003-01-2 7/1043647440d7178.shtml2.你知道的计算机网络安全威胁还有哪些？试举例说明。

由于网络的开放性和安全性本身即是一对固有矛盾，无法从根本上予以调和，再加上基于网络的诸多已知和未知的人为与技术安全隐患，网络很难实现自身的根本安全。

目前。

计算机信息系统的安全威胁主要来自于以下几类：2.1 计算机病毒随着计算机网络技术的发展，计算机病毒技术也在快速地发展变化之中，而且在一定程度上走在了计算机网络安全技术的前面。

毕业设计开题报告计算机科学与技术基于C#的网络嗅探器设计与实现一、选题的背景、意义1．历史背景网络嗅探器，它与当前的网络生活有很大的关系，一些网络管理员普遍采用它，也有很多黑客通过使用它来获得他们想要的信息资料。

与电话线路不同，计算机网络是共享通信通道的，这就意味着计算机能够接收到发给其他计算机的信息。

捕获在网络中传输的数据信息就称为“窃听” [3]。

在内部网上，黑客想要迅速获得大量的账号，最有效的手段是使用嗅探程序。

这种方法要求运行嗅探器程序的主机和被监听的主机必须在同一个以太网段上。

以太网窃听则是对以太网设备上传送的数据包进行侦听，来探测感兴趣的包。

如果发现符合条件的包，就把它存下来[1]。

网络嗅探器通常运行在路由器或有路由功能的主机，这样就能对大量的数据进行监控。

信息革命正在改造我们的生活，这场革命早在工业化进程中就开始孕育。

20世纪50年代前的电报电话等基础通信技术和计算机技术的出现，为20世纪60年代计算机联网实验提供了最初的条件，20世纪70年代半导体微电子技术的飞跃以及数字技术的成熟为计算机网络走出军事的封锁环境、研究所和校园的象牙塔奠定了技术基础。

美国著名的未来学家阿尔温深刻地指出：“电脑网络的建立与普及将彻底改变人类的生存及生活模式，而控制与掌握网络的人就是人类未来的主宰，谁掌握了信息，控制了网络，谁就拥有整个世界[2]。

”为了发觉信息革命的巨大潜能，美国率先提出了信息高速公路的构思，提倡实施国家信息基础设施，西方发达国家紧跟着提出全球信息基础设施的提倡。

我国也大力推动信息化，普通老百姓在家里上Internet 周游世界已经成为今天的社会现实。

人们热情高涨地推动着信息化，期盼着信息化带来的理想成真[6]。

信息技术一个面促进了生产力的发展，提高了生产的效率，但同时对社会的稳定、生产秩序、经济基础的危险也在加大。

从历史上看，每次生产力的飞跃往往带来更为残冷的战争，使人类遭受更大的痛苦。

网络与信息安全课程设计网络嗅探器的设计和实现学院：计算机科学与技术班级：网络工程08-1班姓名：学号：指导老师：目录一、什么是嗅探器--------------------------------------------1二、嗅探器的作用---------------------------------------------1三、网络嗅探器的原理-----------------------------------------1四、反嗅探技术----------------------------------------------7五、网络嗅探器的设计-----------------------------------------8六、结语---------------------------------------------------14参考书目--------------------------------------------------14网络嗅探器的实际与实现一、什么是嗅探器嗅探器，可以理解为一个安装在计算机上的窃听设备它可以用来窃听计算机在网络上所产生的众多的信息。

简单一点解释：一部电话的窃听装置, 可以用来窃听双方通话的内容，而计算机网络嗅探器则可以窃听计算机程序在网络上发送和接收到的数据。

可是，计算机直接所传送的数据，事实上是大量的二进制数据。

因此, 一个网络窃听程序必须也使用特定的网络协议来分解嗅探到的数据，嗅探器也就必须能够识别出那个协议对应于这个数据片断，只有这样才能够进行正确的解码。

计算机的嗅探器比起电话窃听器，有他独特的优势：很多的计算机网络采用的是“共享媒体"。

也就是说，你不必中断他的通讯，并且配置特别的线路，再安装嗅探器，你几乎可以在任何连接着的网络上直接窃听到你同一掩码范围内的计算机网络数据。

我们称这种窃听方式为“基于混杂模式的嗅探”（promiscuous mode）。

JISHOU UNIVERSITY 本科生毕业设计题目：网络嗅探器sniff的实现作者：得巴学号：20094040000所属学院：信息科学与工程学院专业年级：网络工程 09级指导教师：哈哈哈职称：教授完成时间：2012年11月——2013年5月25日吉首大学教务处制网络嗅探器Sniff的实现得巴(吉首大学信息科学与工程学院，湖南吉首 416000)摘要本文主要介绍网络嗅探器sniff软件实现。

网络嗅探器Sniff软件能在多个软件平台上运行，比如Linux、window及Unix等平台。

通过把网卡设置为混杂模式，来实现对网络上传输的数据包进行捕获与分析。

但任何事物都具有俩面性。

此分析结果可以获知网络流量使用情况、网络资源使用率以及网络安全规则的执行情况等。

作为网络评估、网络故障诊断和网络优化所使用。

同时也可以用来对要攻监听网络进行摸底，获取网络结构等。

达到非法获得信息的目的。

本文主要介绍原始套接字在windows平台下实现了一个网络嗅探器程序，完成了对数据包进行解包、分析数据包的功能。

关键词：网络嗅探器;sniff;分析The Design and Implementation of Sniff Network snifferDe Ba(College of Information Science and Engineering, Jishou University, Jishou, Hunan 416000)AbstractSniff network sniffer can be software, can also be a hardware. Network sniffer Sniff software can run on multiple software platforms, such as Linux, window and Unix platform. Sniffer network card can be installed in mixed mode, and realize the network transmission of data packet capture and analysis. But it is also a double-edged sword. The results of this study can be used to analyze the network security of network operation and maintenance may use the agreement analyzer: such as network traffic monitoring, data packet analysis, monitoring of cyber source utilization, implementation of the network security operation rules, identification and analysis of network data and diagnosis and repair network problems etc.. Can also be used to data and monitor network, achieve the purpose for obtaining information illegally. This paper mainly introduces the raw socket implements a network sniffer program under Windows platform, completed the data packet unpacking, analysis function of data packets.Keywords: Network sniffer; sniff; analysis目录第一章引言 (1)1.1 网络安全的现状 (1)1.2 开发环境 (1)1.3本课题的研究意义 (1)1.4 开发工具和技术简介 (2)1.4.1 Visual C++ 简介 (2)1.5 本文研究的内容 (2)第二章网络嗅探器的基本原理 (3)2.1 什么是网络嗅探器sniff (3)2.2 网络嗅探器的实现基础 (3)2.2.1 TCP/IP体系结构 (4)2.2.2 数据包 (4)2.3 常见的sniff (5)2.4 数据包捕获机制的研究 (5)2.4.1 WinPcap包捕获机制 (5)2.4.1 套接字包捕获机制 (6)第三章入侵检测系统与嗅探器 (8)3.1 入侵检测概念 (8)3.2 入侵检测的实现与嗅探器 (8)3.2.1 入侵检测与嗅探器的关系 (9)3.2.1 数据包嗅探技术在入侵检测系统中的应用 (9)第四章嗅探器的实现与测试 (11)4.1 利用套接字开发网络嗅探程序的步骤 (11)4.2 嗅探器的具体实现原理 (11)4.3 数据包捕获程序设计 (14)4.3.1 定义数据结构 (14)4.3.2 对原始套接字进行设置 (15)4.3.3 原始数据包存入到缓存 (16)4.3.3 对捕获的数据包进行分析 (17)4.3.4 数据的分析输出 (18)4.4 嗅探器的测试 (19)第五章总结与展望 (20)5.1 总结 (20)5.2 展望 (20)参考文献 (21)附录 (22)第一章引言1.1 网络安全的现状随着信息技术的发展，计算机网络的广泛应用，随之带来的安全问题也日益凸显。

毕业论文题目：网络嗅探器的设计与实现学院：数学与信息工程学院专业：计算机科学与技术此毕业设计还包括以下文件，需要的下载后留下邮箱方便发给大家网络嗅探器的设计与实现摘要：嗅探器，英文可以翻译为Sniffer，是一种基于被动侦听原理的网络分析方式。

使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。

实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。

本次设计完成了一个较为简单的嗅探器，它实现了对本机的网络监控的作用，对IP包进行了分析，获得其运行的信息。

信息包括了源IP地址，目标IP地址，协议，时间，吞吐量，识别码，校验码，长度等等。

也可以保存所需要的包信息，也可选择所要嗅探的协议类型，以便获得要想的信息。

同时，通过POP3服务器设置端口的值来获取数据包，得到登入邮箱的帐号和密码。

关键词：嗅探器；协议；数据包；监听；吞吐量Design and Implementation of snifferZhang yin(College of Mathematics and Information Engineering, Jinxing University)Abstract：Sniffer, can be translated into English Sniffer,is a passive network analysis method based on the principle of listener. The use of such technology, can monitor the status of networks, data flows and information of network transmission. In fact Sniffer technology is widely used in network diagnosis, analysis of the agreement, performance analysis of the application and network security, and other fields.The design complete a relatively simple sniffer, it realized that the local network monitoring role, analysis the information of IP packet and get their information about the running system. Information includes the source address,destination address, protocol, time, throughput, identification, checking code, length and so on. It can save the information of required packet, and can choose the type of protocol to be sniffing, in order to get to the information.Meanwhile,it can get the Email’s log-mail account and password by analysis the port valu of the POP3 Server.Keywords：Sniffer; Protocol; Data packet; Monitor; Throughput目录1 绪论 (5)1.1 课题背景 (5)1.2 网络嗅探器的概述 (6)1.2.1 网络嗅探器的概念与原理 (6)1.2.2 网络嗅探的检测和防范 (7)1.2.3 网络嗅探器软件需要解决的问题 (8)2 网络嗅探器设计相关技术简述 (8)2.1 在交错环境下的嗅探技术 (8)2.1.1 ARP欺骗 (8)2.1.2 交换机MAC地址表溢出 (9)2.1.3 MAC地址伪造 (9)2.1.4 ICMP路由器发现协议欺骗 (9)2.1.5 ICMP重定向攻击 (9)2.2 C#语言编程 (10)2.3 网络协议 (10)2.3.1 IP (10)2.3.2 TCP (11)2.3.3 UDP (11)3 系统需求分析 (12)3.1 系统性能要求 (12)3.2 软件实现的功能 (12)4 网络嗅探器的相关拓展 (14)总结 (16)致谢 (16)参考文献 (17)附件 (18)1 绪论嗅探器，Sniffer是一种常用的收集有用数据方法，这些数据可以是用户的帐号和密码，可以是一些商用机密数据等等。

{计算机网络课程设计题目网络嗅探器的设计与实现]系 (部)姓名学号指导教师#2015年7月18日计算机网络课程设计任务书网络嗅探器的设计与实现摘要：网络嗅探器是对网络中的数据帧进行捕获的一种被动监听手段，是一种常用的收集有用数据的方法。

本设计是关于网络嗅探器的设计与实现，其功能包括实现网络层抓包，对获得包的源和目的地址、端口、协议等进行分析和实现简单的包嗅探器功能。

关键字：网络嗅探器;数据包捕获; 套接字引言由于网络技术的发展，计算机网络的应用越来越广泛，其作用也越来越重要。

计算机网络安全问题更加严重，网络破坏所造成的损失越来越大。

但是由于计算机系统中软硬件的脆弱性和计算机网络的脆弱性以及地理分布的位置、自然环境、自然破坏以及人为因素的影响，不仅增加了信息存储、处理的风险，也给信息传送带来了新的问题。

嗅探器是一种常用的收集有用数据的方法，可以作为网络数据包的设备。

嗅探器是通过对网卡的编程来实现网络通讯的，对网卡的编程是使用通常的套接字（socket）方式来进行。

通常的套接字程序只能响应与自己硬件地址相匹配的或是以广播形式发出的数据帧，对于其他形式的数据帧比如已到达网络接口但却不是发给此地址的数据帧，网络接口在验证投递地址并非自身地址之后将不引起响应，也就是说应用程序无法收取到达的数据包。

而网络嗅探器的目的恰恰在于从网卡接收所有经过它的数据包，这些数据包即可以是发给它的也可以是发往别处的。

1基本概念1.1嗅探器每一个在局域网（LAN）上的工作站都有其硬件地址，这些地址唯一地表示了网络上的机器。

当用户发送一个数据包时，这些数据包就会发送到LAN上所有可用的机器。

在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的数据包则不予响应。

嗅探器工作在网络的底层，在网络上监听数据包来获取敏感信息。

从原理上来说，在一个实际的系统中，数据的收发是由网卡来完成的，网卡接收到传输来的数据，其内的单片程序接收数据帧的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就接收后产生中断信号通知CPU，认为不该接收就丢掉不管，所以不该接收的数据网卡就截断了，计算机根本就不知道。

信息安全概论·课程设计网络嗅探器的设计与实现网络嗅探器的设计与实现Design and implementation of network sniffer摘要随着网络技术的发展和网络应用的普及，越来越多的信息资源放在了互联网上，网络的安全性和可靠性显得越发重要。

因此，对于能够分析、诊断网络，测试网络性能与安全性的工具软件的需求也越来越迫切。

网络嗅探器具有两面性，攻击者可以用它来监听网络中数据，达到非法获得信息的目的，网络管理者可以通过使用嗅探器捕获网络中传输的数据包并对其进行分析，分析结果可供网络安全分析之用。

本文对网络嗅探技术进行了简要分析，研究了网络数据包的捕获机制，如winpcap、原始套接字。

文中首先分析了嗅探的原理和危害,并介绍了几种常见的嗅探器，然后研究了入侵检测系统中使用的包捕获技术。

本文利用原始套接字在windows平台下实现了一个网络嗅探器程序，完成了对数据包进行解包、分析数据包的功能。

关键词：网络嗅探器数据包捕获数据包分析原始套接字目录摘要 (2)关键词 (2)1 网络嗅探概述 (4)1.1 网络嗅探的简介 (4)1.2 相关的网络知识 (4)1.3 基于网卡混杂模式的嗅探原理 (7)1.4 基于arp欺骗的嗅探原理 (7)1.5 网络嗅探的安全威胁 (7)1.6 网络嗅探的防范 (8)2 基于原始套接字的嗅探程序 (9)2.1 嗅探实现 (9)2.2 嗅探运行结果 (25)3 网络嗅探工具应用----Win Sniffer 使用方法 (27)3.1 Win Sniffer简介 (27)3.2 Win Sniffer嗅探功能使用方法 (27)小结 (29)参考资料 (29)1 网络嗅探概述1.1 网络嗅探的简介网络嗅探器又称为网络监听器，简称为Sniffer子系统，放置于网络节点处，对网络中的数据帧进行捕获的一种被动监听手段，是一种常用的收集有用数据的方法，这些数据可以是用户的账号和密码，可以是一些商用机密数据等等。

1实验名称网络嗅探实验2实验目的掌握网络嗅探工具的使用，捕获FTP数据包并进行分析，捕获HTTP数据包并分析，通过实验了解FTP、HTTP等协议明文传输的特性，以建立安全意识。

3实验内容实验原理网络嗅探器Sniffer的原理：1）Sniffer即网络嗅探器，用于监听网络中的数据包，分析网络性能和故障。

Sniffer 主要用于网络管理和网络维护，系统管理员通过Sniffer可以诊断出通过常规工具难以解决的网络疑难问题，包括计算机之间的异常通信、不同网络协议的通信流量、每个数据包的源地址和目的地址等，它将提供非常详细的信息。

2）网卡有几种接收数据帧的状态：unicast（接收目的地址是本级硬件地址的数据帧），Broadcast（接收所有类型为广播报文的数据帧），multicast（接收特定的组播报文），promiscuous（目的硬件地址不检查，全部接收）3）以太网逻辑上是采用总线拓扑结构，采用广播通信方式，数据传输是依靠帧中的MAC地址来寻找目的主机。

4）每个网络接口都有一个互不相同的硬件地址（MAC地址），同时，每个网段有一个在此网段中广播数据包的广播地址5）一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，丢弃不是发给自己的数据帧。

但网卡工作在混杂模式下，则无论帧中的目标物理地址是什么，主机都将接收6）通过Sniffer工具，将网络接口设置为“混杂”模式。

可以监听此网络中传输的所有数据帧。

从而可以截获数据帧，进而实现实时分析数据帧的内容。

实验步骤说明和截图1）熟悉Sniffer 工具的使用Sniffer 主界面从文件菜单中选择适配器，标题栏将显示激活的探测器选择适配器文件菜单----选择网络探测器/适配器（N）----显示所有在Windows中配置的适配器菜单与工具栏状态栏网络监控面板Dashboard红色显示统计数据的阀值使用Dashboard作为网络状况快速浏览Host table（主机列表）Detail（协议列表）Matrix （网络连接）2）捕获FTP数据包并进行分析分组角色：学生A进行FTP连接，学生B使用Sniffer监视A的连接。

wifi嗅探技术原理让我们了解一下什么是wifi嗅探技术。

简单来说，wifi嗅探技术是通过监听无线网络中的数据包来获取相关信息的一种技术。

这些数据包中包含了发送和接收的信息，包括设备的MAC地址、IP地址、传输的数据内容等。

那么，wifi嗅探技术是如何实现的呢？我们需要了解一下无线网络是如何工作的。

无线网络是通过无线路由器将互联网信号转换成无线信号，并通过无线适配器将信号传输到设备上。

当设备连接到无线网络时，会与无线路由器建立一个连接，然后通过该连接进行数据的传输。

在这个过程中，wifi嗅探技术利用了无线网络中的一些特性。

它通过监听无线信道上的数据包来获取相关信息。

无线信道是指无线网络中用于传输数据的频段，一般有2.4GHz和5GHz两种频段。

接下来，我们来看一下具体的实现步骤。

第一步，嗅探器需要扫描附近的无线网络。

它会监听无线信道上的信号，并获取到信号的强度和频率等信息。

通过这些信息，嗅探器可以判断出附近的无线网络设备。

第二步，嗅探器会监听无线信道上的数据包。

当设备发送或接收数据时，会将数据封装成数据包进行传输。

嗅探器可以通过监听数据包来获取相关信息。

它会解析数据包中的头部信息，包括源MAC地址、目的MAC地址、源IP地址、目的IP地址等。

第三步，嗅探器会将获取到的信息进行分析和处理。

它可以将数据包中的信息保存到日志文件中，以便后续分析和使用。

嗅探器还可以对数据包进行过滤，只保留特定类型的数据包，如DNS请求、HTTP请求等。

第四步，嗅探器可以进行一些高级的操作，如数据包的重组和解密。

有些无线网络使用加密算法进行数据的传输，嗅探器可以对加密的数据包进行解密，以获取其中的信息。

通过以上步骤，wifi嗅探技术可以获取到无线网络中的相关信息。

这些信息可以用于网络管理、安全分析、用户行为分析等方面。

需要注意的是，wifi嗅探技术虽然可以获取到无线网络中的数据包，但并不意味着可以获取到数据包中的全部内容。

通信网络编程实验嗅探器的实现班级：学号：姓名：一、实验目的掌握基于Winpcap的协议分析器的设计方法二、原理介绍嗅探器程序一般包括内核部分和用户分析部分。

1)内核部分负责从网络中捕获和过滤数据。

2)用户分析部分负责界面、数据转化与处理、格式化、协议分析，如果在内核没有过滤数据包，在这里还要对数据进行过滤。

一个较为完整的基于网络监听和过滤的程序一般包括以下步骤：1)数据包捕获2)数据包过滤与分解3)数据分析数据包捕获常用的方法有两种：1)通过设置硬路由器的监听端口；2)利用以太网络的广播特性。

这种方式必须将网卡设置为混杂（promiscuous）模式。

监听程序工作在网络环境的底三层，可以拦截所有经过该机器的网络上传送的数据，然后将这些数据做相应处理，可以实时分析这些数据的内容，进而分析网络当前状态和整体布局。

基于windows的数据包捕获方案有以下几种：1)使用原始套接字（row socket）机制。

方法简单，但功能有限，只能捕获较高层的数据包；2)直接连接调用NDIS库函数，这种方法功能非常强大，但是比较危险，很可能导致系统崩溃和网络瘫痪；基于windows的数据包捕获方案有以下几种：1)使用或者自行编写中间层驱动程序，这是微软公司推荐使用的一种方法，微软提供的win2000 DDK中也提供了几个这样的驱动程序。

在具体的实现方式上可分为用户级和内核级两类。

其中内核级主要是TDI捕获过滤驱动程序，NDIS中间层捕获过滤驱动程序，NDIS捕获过滤钩子驱动程序等，它们都是利用网络驱动来实现的；而用户级的包括SPI接口，Windows2000包捕获过滤接口等；2)使用或自行编写协议驱动程序；3)使用第三方捕获组件或者库，比如Winpcap。

捕获数据包后要进行的工作是对其进行包过滤与分解，就是在海量的数据里面找我们感兴趣的内容。

一些基础的过滤规则如下：1)站过滤：专门筛选出来自一台主机或者服务器的数据；2)协议过滤：根据不同的协议来筛选数据，例如：选择TCP数据而非UDP数据；3)服务过滤：根据端口号来选择特定数据包；4)通用过滤：通过数据包中某一特定位置开始，选择具有某些共同数据特征的数据包；过滤完成后，必须进行数据分析，这一部分就是对已经捕获的数据包进行各种分析，比如：网络流量分析、数据包中信息、分析敏感信息提取分析等，功能取决于系统要达到的目的。

1实验名称网络嗅探实验2实验目的掌握网络嗅探工具的使用，捕获FTP数据包并进行分析，捕获HTTP数据包并分析，通过实验了解FTP、HTTP等协议明文传输的特性，以建立安全意识。

3实验容3.1实验原理网络嗅探器Sniffer的原理：1）Sniffer即网络嗅探器，用于监听网络中的数据包，分析网络性能和故障。

Sniffer 主要用于网络管理和网络维护，系统管理员通过Sniffer可以诊断出通过常规工具难以解决的网络疑难问题，包括计算机之间的异常通信、不同网络协议的通信流量、每个数据包的源地址和目的地址等，它将提供非常详细的信息。

2）网卡有几种接收数据帧的状态：unicast（接收目的地址是本级硬件地址的数据帧），Broadcast（接收所有类型为广播报文的数据帧），multicast（接收特定的组播报文），promiscuous（目的硬件地址不检查，全部接收）3）以太网逻辑上是采用总线拓扑结构，采用广播通信方式，数据传输是依靠帧中的MAC地址来寻找目的主机。

4）每个网络接口都有一个互不相同的硬件地址（MAC地址），同时，每个网段有一个在此网段中广播数据包的广播地址5）一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，丢弃不是发给自己的数据帧。

但网卡工作在混杂模式下，则无论帧中的目标物理地址是什么，主机都将接收6）通过Sniffer工具，将网络接口设置为“混杂”模式。

可以监听此网络中传输的所有数据帧。

从而可以截获数据帧，进而实现实时分析数据帧的容。

3.2实验步骤说明和截图1）熟悉Sniffer 工具的使用Sniffer 主界面从文件菜单中选择适配器，标题栏将显示激活的探测器选择适配器文件菜单----选择网络探测器/适配器（N）----显示所有在Windows中配置的适配器菜单与工具栏状态栏网络监控面板Dashboard红色显示统计数据的阀值使用Dashboard作为网络状况快速浏览Host table（主机列表）Detail（协议列表）Matrix （网络连接）2）捕获FTP数据包并进行分析分组角色：学生A进行FTP连接，学生B使用Sniffer监视A的连接。

网络嗅探原理网络嗅探是指通过监听网络数据包来获取网络通信信息的一种技术手段。

它能够帮助网络管理员监控网络流量、发现网络安全问题，同时也可以用于网络分析、性能优化和故障排查。

在实际应用中，网络嗅探技术发挥着重要的作用，下面我们将介绍网络嗅探的原理和实现方式。

首先，网络嗅探利用的是网络数据包的传输原理。

在计算机网络中，数据是以数据包的形式进行传输的，而网络嗅探就是通过监听这些数据包来获取网络通信的信息。

在数据包中，包含了发送方和接收方的IP地址、端口号、数据内容等信息，通过解析这些数据包，就可以获取网络通信的详细信息。

其次，网络嗅探依赖于网络接口的混杂模式。

网络接口的混杂模式是指网卡可以接收所有经过它的数据包，而不仅仅是发往自己的数据包。

通过将网卡设置为混杂模式，就可以实现对整个网络数据包的监听和捕获，从而实现网络嗅探的功能。

此外，网络嗅探还需要借助相应的软件工具来实现。

常见的网络嗅探工具有Wireshark、Tcpdump等，这些工具能够帮助用户捕获网络数据包，并对数据包进行解析和分析，从而获取网络通信的相关信息。

在实际应用中，网络嗅探可以用于多种场景。

首先，它可以用于网络安全监控，通过对网络数据包的监听和分析，及时发现网络攻击、异常流量等安全问题。

其次，网络嗅探可以用于网络性能优化，通过分析网络通信的情况，找出网络瓶颈和性能问题，从而进行优化。

另外，网络嗅探还可以用于网络故障排查，通过分析网络数据包的传输情况，找出网络故障的原因，加快故障排查的速度。

总的来说，网络嗅探是一种重要的网络技术手段，它通过监听网络数据包来获取网络通信的信息，能够帮助用户进行网络安全监控、性能优化和故障排查。

在实际应用中，需要借助网络接口的混杂模式和相应的软件工具来实现网络嗅探的功能。

希望本文对网络嗅探的原理和实现方式有所帮助，让读者对网络嗅探有更深入的了解。

网络作业——网络嗅探器（实验报告）班级：F0222101 姓名：吴志杰学号：23系统说明1．需求说明实现Sniffer的基本功能。

Sniffer 是一种用于监测网络性能、使用情况的工具。

能够侦听所有进出本主机的数据包，完整显示数据包网络层和传输层（ICMP、IP、TCP和UDP）的头信息。

比如，对IP头而言，需要显示版本、头长度、服务类型、数据包长度、标识、DF/MF标志、段内偏移、生存期、协议类型、源目的IP地址、选项内容。

要求显示数据的实际含义；侦听来源于指定IP地址的数据，显示接收到的TCP数据包的全部实际内容。

需要考虑一个TCP包划分为多个IP包传输的情况；功能验证手段：在运行Sniffer的同时，执行标准的Ping、Telnet和浏览网页等操作，检查Sniffier能否返回预期的结果。

2．使用方法（详见用户手册）运行Sniffer.exe，按“Start”按钮开始接受显示，“Clear”为清除，“Close”为关闭。

在按下“Stop”处于静止状态时可选择接受显示哪类数据包信息，如果在静止状态在“IP address”中输入IP地址，则可显示来源于该指定IP地址的数据包信息。

3．运行环境本软件可以在Windows系统之下运行。

由于软件需要某些抓包程序的配合，在运行该软件之前，需安装好WinPcap_3_1_beta.exe以获取其动态链接库的支持。

✧概要设计1．编程环境本软件是在VC环境下编写，使用WinPcap中定义的头文件和lib文件为支持，运用WinPcap提供的数据包捕获程序执行核心操作。

2．模块分析本软件使用的主要模块及其功能如下：1．线程控制模块2．抓包模块3．数据包分析模块关闭线程✧详细设计主要数据结构IP协议typedef struct ip_header{u_char ver_ihl; // Version (4 bits) + Internet header length (4 bits)u_char toservice; // Type of serviceu_short tlength; // Total lengthu_short identification; // Identificationu_short flags_offset; // Flags (3 bits) + Fragment offset (13 bits)u_char longvity; // Time to liveu_char protocol; // Protocolu_short checksum; // Header checksumIP_Address sAddress; // Source addressIP_Address dAddress; // Destination addressu_int opt_padding; // Option + Padding}ip_header;UDP协议typedef struct udp_header{u_short sPort; // Source portu_short dPort; // Destination portu_short length; // Datagram lengthu_short checksum; // Checksum}udp_header;TCP协议typedef struct tcp_header{u_short sPort; //源端口//u_short dPort; //目的端口//u_int sequence; //序号//u_int affirmNo; //确认号//u_char ipHeadLen; //段头长度//u_char code; //码位//u_short winsize; //窗口长度//u_short checksum; //校验和//u_short epointer; //紧急指针// }tcp_header;MAC地址typedef struct MAC_Address{u_int sMac;u_char sMacp;u_int dMac;u_char dMacp;}Mac_Address;IP地址typedef struct IP_Address{u_char byte[4];}IP_Address;ICMP协议typedef struct icmp_header{u_char type; //报文类型u_char code; //代码u_short checksum; //校验和u_int temp[4]; //其余4个字段}icmp_header;。

网络嗅探及反嗅探的原理及实现何　焱(遵义卫生学校信息中心　贵州遵义　563002)摘　要:首先简单地介绍了网络嗅探的原理及其潜在的安全隐患,然后给出了检测网络中是否有嗅探器嗅探的方法,最后根据不同的网络安全需求,提出了几种切实可行、有效消除网络嗅探的方案。

关键词:网络安全;网络嗅探;SSH;网络分割中图分类号:T P 393.08 文献标识码:B 文章编号:1004373X (2003)1102702Principle and Implementation of Network Sniffer and AntisnifferHE Yan(Inf ormat ion Center,the H ealth School of Zunyi,Zunyi,563002,China)Abstract :Disscusses the principle of sniffer and it ′s security r isks,then some t ips to detect sniffers o n the Ethernet ar e intr oduced.F inally ,w e present solut ions of cleaning up the secur ity risks come fr om sniffer.Keywords :netw or k secur ity ;netw or d sniffer ;SSH ;co mpa rtmentalization收稿日期:20030317 随着Internet 在教育、科技、医疗、军事等各个领域的普及,人们对网络的依赖越来越多,网络通信的安全问题也就显得越来越重要。

嗅探器是网络黑客(Cracker )经常采用、有效的工具之一。

所谓嗅探器,是指在运行以太网协议、TCP /IP 协议、IPX 协议或者其他协议的网络上,可以攫取网络信息流的软件或硬件。

利用Sniffer嗅探工具实现捕捉FTP、、HTTP等协议的数据包一、实验目的1. 掌握Sniffer（嗅探器）工具的使用方法，实现FTP、HTTP数据包的捕捉。

2. 掌握对捕获数据包的分析方法，了解FTP、HTTP数据包的数据结构和连接过程，了解FTP、HTTP协议明文传输的特性，以建立安全意识。

二、实验原理网络嗅探器Sniffer的原理（1）网卡有几种接收数据帧的状态：unicast（接收目的地址是本级硬件地址的数据帧），Broadcast（接收所有类型为广播报文的数据帧），multicast（接收特定的组播报文），promiscuous（目的硬件地址不检查，全部接收）（2）以太网逻辑上是采用总线拓扑结构，采用广播通信方式，数据传输是依靠帧中的MAC地址来寻找目的主机。

（3）每个网络接口都有一个互不相同的硬件地址（MAC地址），同时，每个网段有一个在此网段中广播数据包的广播地址（4）一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，丢弃不是发给自己的数据帧。

但网卡工作在混杂模式下，则无论帧中的目标物理地址是什么，主机都将接收（5）通过Sniffer工具，将网络接口设置为“混杂”模式。

可以监听此网络中传输的所有数据帧。

从而可以截获数据帧，进而实现实时分析数据帧的内容。

三、实验环境1. 实验室所有机器安装了Windows操作系统，并组成了一个局域网，并且都安装了SnifferPro软件、FLASHFXP（FTP下载软件）、Flashget 下载工具（或者其他软件下载工具）和IE浏览器。

2. 每两个学生为一组：其中学生A进行Http或者Ftp连接，学生B运行SnifferPro软件监听学生A主机产生的网络数据包。

完成实验后，互换角色重做一遍。

四、实验内容和步骤任务一：熟悉SnifferPro工具的使用任务二：捕获FTP数据包并进行分析任务三：捕获HTTP数据包并分析撰写实验报告任务一：熟悉SnifferPro的使用Sniffer 主界面从文件菜单中选择适配器，标题栏将显示激活的探测器选择适配器.. 文件菜单----选择网络探测器/适配器（N）----显示所有在Windows中配置的适配器菜单与工具栏状态栏.. 监视右下角的实时计数网络监控面板Dashboard红色显示统计数据的阀值使用Dashboard作为网络状况快速浏览选择上图中②所指的选项将显示如图所示的更为详细的网络相关数据的曲线图。