Sniffer抓包实验

sniffer 实验报告Sniffer实验报告引言：在当今数字化时代，网络安全问题备受关注。

Sniffer作为一种网络安全工具，被广泛应用于网络流量监测、数据包分析和安全漏洞发现等领域。

本报告旨在介绍Sniffer的原理、应用以及实验结果，并探讨其在网络安全中的重要性。

一、Sniffer的原理与工作方式Sniffer是一种网络数据包嗅探器，它能够截获经过网络的数据包，并对其进行分析和解码。

其工作原理主要包括以下几个步骤：1. 网络接口监听：Sniffer通过监听网络接口，获取经过该接口的数据包。

这可以通过底层网络协议（如以太网、无线网络等）提供的API实现。

2. 数据包截获：一旦Sniffer监听到网络接口上的数据包，它会将其截获并保存在内存或磁盘中，以便后续分析。

3. 数据包解析：Sniffer对截获的数据包进行解析，提取其中的关键信息，如源IP地址、目标IP地址、协议类型、端口号等。

这些信息可以帮助分析人员了解网络流量的来源、目的和内容。

4. 数据包分析：通过对解析得到的数据包进行深入分析，Sniffer可以检测网络中的异常行为、安全漏洞以及潜在的攻击。

二、Sniffer的应用领域Sniffer作为一种功能强大的网络安全工具，在各个领域都有广泛的应用。

以下是几个典型的应用场景：1. 网络管理与监控：Sniffer可以用于监测网络流量，分析网络性能和带宽利用情况。

通过对数据包的分析，可以及时发现网络故障和异常，提高网络管理的效率。

2. 安全漏洞发现：Sniffer可以检测网络中的异常流量和未经授权的访问行为，帮助发现系统的安全漏洞。

它可以捕获潜在的攻击数据包，并通过分析判断是否存在安全威胁。

3. 网络流量分析：Sniffer可以对网络流量进行深入分析，了解用户的行为习惯、访问偏好以及网络应用的使用情况。

这对于网络服务提供商和广告商来说，有助于优化服务和精准投放广告。

4. 数据包调试与故障排查：在网络通信过程中，数据包传输可能会出现错误或丢失。

洛阳理工学院实验报告
系别计算机与信
息工程系
班级学号姓名
课程名称网络安全实验日期2014.10.23 实验名称Sniffer抓包工具的应用成绩
实验目的：
通过实验掌握Sniffer工具的使用，理解TCP/IP 协议中TCP、IP、ICMP数据包的结构，以及TCP三次握手的过程。

实验条件：
虚拟机平台，Windows Server 2003和XP
实验内容：
一、 ICMP包
1.先将虚拟机Windows Server 2003和XP ping通。

（如图1、2）
图1 在XP上ping Windows Server显示
图2 ICMP包死亡之ping
2.打开XP中的Sniffer程序，点击开始按钮进行抓包。

（如图3）
图3 抓包结果
二、TCP三次握手
1.在windows server上建ftp，然后在XP上架设ftp，打开Sniffer的过滤器进行双向抓包。

（如图4、5）
图4 windows server的ftp显示图5 打开Filter设置ip
2.第一次握手如图6所示。

图6 第一次握手显示结果 3.第二次握手如图7所示。

图7 第二次握手显示结果4.第三次握手如图8所示。

图8 第三次握手显示结果5.过滤器显示如图9、10。

图9 过滤器(TOP10 总比特数)
图10 Traffic Map 的IP地址显示
实验总结：
通过这次试验我了解到Sniffer工具的使用以及TCP三次握手的过程，在这次试验中其实有许多不懂的地方，还好在同学的帮助下解决了许多问题，关于这方面我觉得知识方面有些欠缺，以后会多加努力。

实验2 wireshark或sniffer抓包软件使用实本次实验使用wireshark抓包软件。

开启的应用程序有：IE，QQ, QQ音乐。

过滤的UDP 的报文。

结果：抓取的报文：14 2.915765000 tencent_private DFAUT QQMusicExternal.exe 222.18.168.170119.177.224.41 UDP 121 Source port: http Destination port: hosts2-ns即第14号报文，时间为2.915765000，应用程序名称：tencent_private，应用哈希：DFAUT, 应用程序模块：QQMusicExternal.exe，源地址：222.18.168.170，目标地址：119.177.224.41，协议：UDP，包长度：121，信息：源端口：http；目的端口：hosts2-ns。

结果说明：链路层：以太网；网络层：IP协议；传输层：UDP；应用层：qq的私有协议。

详细情况：展开后的情况：（由于此段最后一项过长不好截图，故将其复制过来了）Frame 14: 121 bytes on wire (968 bits), 121 bytes captured (968 bits) on interface 0Interface id: 0Encapsulation type: Ethernet (1)Arrival Time: Dec 3, 2013 11:15:50.371006000 中国标准时间Time shift for this packet: 0.000000000 secondsEpoch Time: 1386040550.371006000 secondsTime delta from previous captured frame: 0.010828000 secondsTime delta from previous displayed frame: 0.010828000 secondsTime since reference or first frame: 2.915765000 secondsFrame Number: 14Frame Length: 121 bytes (968 bits)Capture Length: 121 bytes (968 bits)Frame is marked: FalseFrame is ignored: FalseProtocols in frame: eth:ai:ip:udp:dataColoring Rule Name: Checksum ErrorsColoring Rule String: eth.fcs_bad==1 || ip.checksum_bad==1 || tcp.checksum_bad==1 || udp.checksum_bad==1 || sctp.checksum_bad==1 || mstp.checksum_bad==1 || cdp.checksum_bad==1 || edp.checksum_bad==1 || wlan.fcs_bad==1画面14：121字节线（968位），121个字节（968位）捕获接口0接口编号：0封装类型：以太网（1）到达时间：2013年12月3日50.371006000中国标准时间11:15:这个包的时间变化：0秒时间：1386040550.371006000秒以前捕获的帧时间三角：0.010828000秒从以前的显示帧时间三角洲：0.010828000秒由于参考或第一帧的时间：2.915765000秒帧号：14帧长度：121字节（968位）捕获长度：121字节（968位）帧标记：假框架是忽视：假协议的框架：ETH：AI：IP UDP数据：：着色规则名称：校验和错误着色规则字符串：ETH。

Sniffer嗅探、抓包实验实验目的通过实验，掌握常用嗅探工具的安装与使用方法，理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构，了解FTP、HTTP等协议明文传输的特性，建立安全意识，防止此类协议传输明文造成的泄密。

建议实验工具Sniffer Pro、FsSniffer或SQLServerSniffer等、至少两台安装了Windows 2000或XP的PC机，其中一台安装Sniffer软件，两台PC机互联。

实验用时3学时（约120分钟）实验原理Sniffer即网络嗅探器，用于监听网络中的数据包，分析网络性能和故障，主要用于网络管理和维护，通过它，可以诊断处通过常规工具难以解决的疑难问题，包括计算机之间的异常通信，不同网络协议的通信流量，每个数据包的源地址和目的地址等，可以提供非常详细的信息。

实验步骤：1、首先安装Sniffer软件。

安装过程有关图片如下：如果此过程速度比较缓慢，一般与电脑速度较慢有关。

安装完成后重新启动计算机。

注意：需要重新启动才可以使用sniffer。

2、启动Sniffer。

可以看到它的界面如下：包括工具栏、网络监视面板、多种视图等，其中，Dashboard可以监控网络的利用率、流量、及错误报文等内容，从Host table可以直观的看出连接的主机，用其IP显示。

3、获取被监视方机器的IP，假设A机监视B机的活动，A应知道B机的IP 地址，在实验环境下，操作B机的同学可以输入Ipconfig命令查询自己的IP 地址，并告之操作A机的同学。

4、选中Monitor菜单下的Matirx或直接点击网络性能监视快捷键，可以看到网络中的Traffic Map视图，单击左下角的MAC地址，IP地址或IPX使视图显示相应主机的MAC地址、IP地址或IPX地址，每条线表示两台机器之间的通信连接。

5、单击Capture--Define Filter—Advanced，选中IP—TCP—FTP，然后单击OK。

Sniffer的使用一、实验简介：Sniffer是一个完善的网络监听工具。

使用Sniffer的目的是截获通信的内容，同时能对数据包的内容进行协议分析，使同学们加深对IP协议、TCP协议、UDP 协议和ICMP协议的认识。

二、实验步骤：1、设置Sniffer1．在抓包过滤器窗口中，选择Address选项卡，如图所示。

2．窗口中需要修改两个地方：在Address下拉列表中，选择抓包的类型是IP，在Station1下面输入主机的IP地址；在与之对应的Station2下面输入虚拟机的IP地址.3．设置完毕后，点击该窗口的Advanced选项卡，拖动滚动条找到IP项，将IP和ICMP选中，如下图所示。

4．向下拖动滚动条，将TCP和UDP选中，再把TCP下面的FTP和Telnet两个选项选中，如图所示。

5．这样Sniffer的抓包过滤器就设置完毕了，后面的实验也采用这样的设置。

选择菜单栏Capture下Start菜单项，启动抓包以后，在主机的DOS窗口中Ping虚拟机，如图所示。

6.这样Sniffer的抓包过滤器就设置完毕了，后面的实验也采用这样的设置。

选择菜单栏Capture下Start菜单项，启动抓包以后，在主机的DOS窗口中Ping虚拟机，如图所示。

7.等Ping指令执行完毕后，点击工具栏上的停止并分析按钮，如图所示。

8. 在出现的窗口选择Decode选项卡，可以看到数据包在两台计算机间的传递过程，如图所示。

2、抓取Ping指令发送的数据包1．按照前面对Sniffer的设置抓取Ping指令发送的数据包，命令执行如图所示。

2. 其实IP报头的所有属性都在报头中显示出来，可以看出实际抓取的数据报和理论上的数据报一致，分析如图所示。

3、抓取TCP数据包1．启动Sniffer，然后在主机的DOS命令行下利用FTP指令连接目标主机上的FTP服务器，连接过程如图所示。

2．登录FTP的过程是一次典型的TCP连接，因为FTP服务使用的是TCP协议。

实验二 网络抓包——sniffer pro 的使用实验目的：1. 了解网络嗅探的原理；2. 掌握Sniffer Pro 嗅探器的使用方法；实验学时：2课时实验形式：上机实验器材： 联网的PC 机实验环境：操作系统为Windows2000/XP实验内容：任务一 熟悉Sniffer Pro 工具的使用任务二 使用Sniffer Pro 抓获数据包实验步骤：任务一 熟悉Sniffer Pro 工具的使用1. Sniffer Pro 工具简介Sniffer 软件是NAI 公司推出的功能强大的协议分析软件，具有捕获网络流量进行详细分析、利用专家分析系统诊断问题、实时监控网络活动和收集网络利用率和错误等功能，实验中使用Sniffer Pro4.7.5来截获网络中传输的FTP 和HTTP 数据包，并进行分析。

2. 使用说明在sniffer pro 初次启动时，可能会提示选择一个网络适配器进行镜像，如图1所示，此时正确选择接入网络的网卡，这样sniffer pro 才可以把网卡设置为混杂（Promiscuous ）模式，以接收在网络上传输的数据包。

Sniffer Pro 运行后的主界面如图2所示。

（1）工具栏简介如图3所示。

图1 网卡设置图2 sniffer pro 主界面图3工具栏快捷键的含义如图4所示。

（2）网络监视面板简介在捕获过程中可以通过Capture Panel 查看网络的利用率、捕获报文的数量和缓冲区的利用率,如图5所示。

（3）捕获数据包窗口简介Sniffer 软件提供了强大的分析能力和解码功能。

如图6所示，对于捕获的报文提供了一个Expert 专家分析系统进行分析，还有解码选项及图形和表格的统计信息。

专家分析专家分析系统提供了一个智能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。

在图7中显示出在网络中WINS 查询失败的次数及TCP 重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。

实验八-网络性能监测分析工具Sniffer捕获高层协议数据包并分析实验目的: 使用Sniffer抓取ftp的数据报分析FTP的三次“握手”的过程。

分析FTP客户端和服务器端通信过程实验环境: Windows环境下常用的协议分析工具: sniffer 搭建Serv-U FTP Server, 在计算机上建立FTP服务器VMware虚拟机, 用虚拟机进行登录FTP。

实验内容和步骤:1. 建立网络环境。

用Serv-U FTP Server在计算机上建立一台FTP服务器, 设置IP地址为: 192.168.0.10。

在Serv-U FTP Server中已设定用户xyz, 密码123123。

（也可以自行设定其他帐号）2. 在此计算机上安装了sniffer。

3．启动该机器上的虚拟机作为一台FTP客户端, 设置IP地址为: 192.168.0.12。

4. 使用ping命令看是否连通。

记录结果。

5. 使用虚拟机登录FTP服务器。

6. 运行sniffer嗅探器, 并在虚拟机的“运行”中输入ftp://192.168.0.10, 点确定后出现如下图的登录窗口:在登录窗口中输入：用户名（xyz）, 密码（123123）使用sniffer抓包, 再在sniffer软件界面点击“stop and display”, 选择“Decode”选项, 完成FTP命令操作过程数据包的捕获。

8.在sniffer嗅探器软件上点击Objects可看到下图, 再点击“DECODE(反解码)。

记录FTP三次握手信息, 写出判断这三个数据包的依据（如syn及ack）。

记录端口信息等内容。

9．找出数据包中包含FTPUSER命令的数据包, 记录显示的用户名。

10．捕获用户发送PASS命令的数据包, 记录显示的密码。

11. 找出FTP服务器端与客户端端口20进行三次握手打开数据传输。

记录数据信息。

一、Sniffer软件的安装与简单应用一、实验目的：1、掌握Sniffer软件的安装2、掌握Sniffer软件的简单应用二、实验内容：1、实现Sniffer软件的安装2、简单应用Sniffer软件，了解其基本功能。

三、实验步骤：㈠软件安装：sniffer软件的安装还是比较简单的，我们只需要按照常规安装方法进行即可。

需要说明的是:在选择sniffer pro的安装目录时，默认是安装在c:\program files\nai\snifferNT 目录中，我们可以通过旁边的Browse按钮修改路径，不过为了更好的使用还是建议各位用默认路径进行安装。

在注册用户时，注册信息随便填写即可，不过EMAIL一定要符合规范，需要带“@”。

（如图1）在随后出现的“Sniffer Pro Usr Registration”对话框中，大家注意有一行"Sniffer Serial Number"需要大家填入注册码“SA154-2558Y-255T9-2LASH”图1注册诸多数据后我们就来到设置网络连接状况了，一般对于企业用户只要不是通过“代理服务器”上网的都可以选择第一项——direct connection to the internet。

接下来才是真正的复制sniffer pro必需文件到本地硬盘，完成所有操作后出现setup complete提示，我们点finish按钮完成安装工作。

㈡基本应用：1．我们通过“开始->所有程序->sniffer pro->sniffer”来启动该程序。

2．在settings窗口中我们选择准备监听的那块网卡，记得要把右下角的“LOG ON”前打上对勾才能生效，最后点“确定”按钮即可。

（如图2）图23．选择完毕后我们就进入了网卡监听模式，这种模式下将监视本机网卡流量和错误数据包的情况。

首先我们能看到的是三个类似汽车仪表的图象，从左到右依次为“Utilization%网络使用率”，“Packets/s数据包传输率”，“Error/s错误数据情况”。

实验四SnifferPro数据包捕获与协议分析一. 实验目的1.了解Sniffer的工作原理。

2.掌握SnifferPro工具软件的基本使用方法。

3.掌握在交换以太网环境下侦测、记录、分析数据包的方法。

二、实验原理数据在网络上是以很小的被称为“帧”或“包”的协议数据单元（PDU）方式传输的。

以数据链路层的“帧”为例，“帧”由多个部分组成，不同的部分对应不同的信息以实现相应的功能，例如，以太网帧的前12个字节存放的是源MAC地址和目的MAC地址，这些数据告诉网络该帧的来源和去处，其余部分存放实际用户数据、高层协议的报头如TCP／IP的报头或IPX报头等等。

帧的类型与格式根据通信双方的数据链路层所使用的协议来确定，由网络驱动程序按照一定规则生成，然后通过网络接口卡发送到网络中，通过网络传送到它们的目的主机。

目的主机按照同样的通信协议执行相应的接收过程。

接收端机器的网络接口卡一旦捕获到这些帧，会告诉操作系统有新的帧到达，然后对其进行校验及存储等处理。

在正常情况下，网络接口卡读入一帧并进行检查，如果帧中携带的目的MAC地址和自己的物理地址一致或者是广播地址，网络接口卡通过产生一个硬件中断引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理，否则就将这个帧丢弃。

如果网络中某个网络接口卡被设置成“混杂”状态，网络中的数据帧无论是广播数据帧还是发向某一指定地址的数据帧，该网络接口卡将接收所有在网络中传输的帧，这就形成了监听。

如果某一台主机被设置成这种监听（Snfffing）模式，它就成了一个Sniffer。

一般来说，以太网和无线网被监听的可能性比较高，因为它们是一个广播型的网络，当然无线网弥散在空中的无线电信号能更轻易地截获。

三、实验内容及要求要求：本实验在虚拟机中安装SnifferPro4.7版本，要求虚拟机开启FTP、Web、Telnet等服务，即虚拟机充当服务器，物理机充当工作站。

物理机通过Ping命令、FTP访问及网页访问等操作实验网络数据帧的传递。

sniffer实验报告实验报告：Sniffer实验引言：Sniffer是一种网络工具，用于捕获和分析网络数据包。

它可以帮助我们了解网络通信的细节，并帮助网络管理员识别和解决网络问题。

本实验旨在介绍Sniffer的原理和应用，以及通过实际操作来深入了解其功能和效果。

一、Sniffer的原理和工作机制Sniffer工作在网络的数据链路层，通过监听网络上的数据包来获取信息。

它可以在网络中的一个节点上运行，或者通过集线器、交换机等设备进行监测。

Sniffer通过网卡接口，将数据包拷贝到自己的缓冲区中，然后进行解析和分析。

二、Sniffer的应用领域1. 网络故障排查：Sniffer可以帮助管理员快速定位网络故障的原因，通过捕获数据包并分析其中的错误信息，找到导致网络中断或延迟的问题源。

2. 安全监测：Sniffer可以用于检测网络中的恶意行为，如入侵、数据泄露等。

通过分析数据包的内容和流量模式，管理员可以发现异常活动并采取相应措施。

3. 性能优化：Sniffer可以监测网络的吞吐量、延迟等性能指标，帮助管理员优化网络结构和配置，提高网络的传输效率和响应速度。

4. 协议分析：Sniffer可以解析各种网络协议，包括TCP/IP、HTTP、FTP等，帮助管理员了解网络通信的细节和流程，从而更好地管理和优化网络。

三、实验步骤与结果1. 硬件准备：连接电脑和网络设备，确保网络正常运行。

2. 软件安装：下载并安装Sniffer软件，如Wireshark等。

3. 打开Sniffer软件：选择合适的网卡接口，开始捕获数据包。

4. 分析数据包：通过过滤器设置，选择需要分析的数据包类型，如HTTP请求、FTP传输等。

5. 结果分析：根据捕获的数据包，分析网络通信的细节和问题，并记录相关信息。

6. 故障排查与优化：根据分析结果，定位网络故障的原因，并采取相应措施进行修复和优化。

实验结果显示，Sniffer软件成功捕获了网络中的数据包，并能够准确地分析其中的内容和流量模式。

超级网络嗅探器——Sniffer pro 的使用Sniffer软件是NAI公司推出的功能强大的协议分析软件。

实现对网络的监控，更深入地了解网络存在的问题，检测和修复网络故障和安全问题。

Sniffer可以监听到网上传输的所有信息，主要用来接收在网络上传输的信息。

Sniffer可以截获口令、专用信道内的信息、信用卡号、经济数据、E-mail等，还可以用来攻击与自己相临的网络。

Sniffer的功能主要包括如下几方面：捕获网络流量进行详细分析。

利用专家分析系统诊断问题。

实时监控网络活动情况。

监控单个工作站、会话或者网络中任何一部分的网络利用情况和错误统计。

支持主要的LAN、WAN和网络技术。

提供在位和字节水平过滤数据包的能力。

1 Sniffer Pro的启动和设置2 理解Sniffer Pro主要4种功能组件的作用：监视：实时解码并显示网络通信流中的数据。

捕获：抓取网络中传输的数据包并保存在缓冲区或指定的文件中，供以后使用。

分析：利用专家系统分析网络通信中潜在的问题，给出故障症状和诊断报告。

显示：对捕获的数据包进行解码并以统计表或各种图形方式显示在桌面上。

3 学会sniffer工具的基本使用方法，用sniffer捕获报文并进行分析。

环境：windows XP， windows 7，能访问INTERNET。

Sniffer pro主界面在默认情况下，Sniffer将捕获其接入的域中流经的所有数据包，但在某些场景下，有些数据包可能不是我们所需要的，为了快速定位网络问题所在，有必要对所要捕获的数据包作过滤。

Sniffer提供了捕获数据包前的过滤规则的定义，过滤规则包括2、3层地址的定义和几百种协议的定义。

定义过滤规则的做法一般如下：(1) 在主界面选择【Capture】→【Define Filter】。

(2) 在“Define Filter”对话框中选择“Address”选项卡，这是最常用的定义。

其中包括MAC地址、IP地址和IPX地址的定义。

用Sniffer抓包分析以太网帧用sniffer抓icmp包来分析。

1。

ping 192.168.1.1 -l 0ping一个ip，指定携带的数据长度为0抓包分析如图：从图上的1处我们可以看到这个数据总大小是：60byte从2处看到ip数据总长度：28byteip数据为什么是28byte？因为ip头部是20个字节（4处标记的），而icmp头部是8个字节，因为我们的ping是指定数据长度为0的，所以icmp里不带额外数据，即：28＝20＋8而我们知道以太网类型帧头部是6个字节源地址＋6个字节目标地址＋2个字节类型＝14字节以太网帧头部＋ip数据总长度＝14＋28＝42注意3处标记的，填充了18个字节。

42＋18＝60刚好等于总长度，其实这里我们需要注意到这里捕捉到帧不含4个字节的尾部校验，如果加上4字节尾部校验，正好等于64！64恰好是以太类型帧最小大小。

在图中我们还可以看到这个帧没有分割，flags＝0x，因为不需要分割。

再分析一个ping 192.168.1.1 -l 64数据大小106byte106－14（以太类型帧头部）=92刚好等于ip部分的显示大小92－20（ip）－8（icmp头）＝64刚好等于我们指定的64字节ping 包以太网帧实际承载数据部分最大为1500，这里面还包含其他协议的报头，所以实际承载数据肯定小于1500，如果ping 192.168.1.1 -l 1500，那么数据必要会被分割，但计算方法还是一样的，只是需要特别注意，后续帧无需包含第一个帧所包含的icmp报头。

所以第一个帧的大小会是1500（实际数据部分大小，含ip和icmp报头）＋14（以太类型帧头部）＝1514，在第一个帧里实际携带了多少数据的是1500－20（IP 报头）－8（icmp 报头）＝1472，剩余28bytes数据会在后续帧中后续帧大小：14（以太类型头）＋20（ip头）＋28（实际数据）＝62注意上面的计算我们都不计算尾部4字节校验的。

一、实验目的：练习sniffer工具的基本使用方法，用sniffer捕获报文并进行分析。

二、实验环境：通过集线器连接的多台PC，预装Windows 2000 Professional。

三、实验内容：
1、捕获数据包
（1）选择Monitor|Matrix命令，此时可看到网络中的Traffic Map 视图。

（2）选择Capture|Define Filter命令，然后在Advanced选项卡中选中IP，从而定义要捕捉的数据包类型。

（3）回到Traffic Map视图中，选中要捕捉的主机IP地址，然后单击鼠标右键，选择Capture命令，sniffer则开始捕捉指定IP地址的主机的数据包。

2、分析捕获的数据包
（1）从Capture Panel中看到捕获的数据包达到一定数量后，停止
捕捉，单击Stop and Display按钮，就可以停止捕获包。

（2）窗口中列出了捕捉到的数据，选中某一条数据后，下面分别
显示出相应的数据分析和原始的数据包。

单击窗口中的某一条数
据，可以看到下面相应的地方的背景变成灰色，表明这些数据与
之对应。

四、实验界面：
五、结论
sniffer软件是NAI公司推出的功能强大的协议分析软件。

Sniffer支持的协议丰富，解码分析速度快。

其中sniffer pro版可以运行在各种windows平台上。

Sniffer是一种常用的收集有用数据的方法，这些数据可以是用户的帐号和密码，还可以是一些商用机密数据等。

使⽤PacketSniffer抓包和分析（z-stack协议）以下内容仅是⾃⼰学习总结，可能会有错误，有发现问题的欢迎指正（图⽚可以⾃⼰放⼤，还是⽐较清晰的）。

1、协调器上电，其他设备均不上电，抓包如下：通过观察可以发现，协调器建⽴⽹络成功后，会以15秒为周期告知⾃⼰的⽹络连接状态，2、关闭协调器，路由器上电，抓包如下：路由器会不断的发送Beacon request来请求⽹络信息。

3、为了抓完整的包，先将协调器上电，然后再将路由器上电，抓完整组⽹包如下：从头开始看，1）⾸先协调器建⽴好⽹络，并且以15S的间隔⼴播⾃⼰的⽹络连接状态NWK Link Status2）路由器连续发了3个Beacon request,协调器分别回应了3次，3）然后路由器将⾃⼰的MAC地址信息加⼊，发送了Association request，即请求连接，协调器回复⼀个ACK信号4）路由器将⾃⼰的MAC地址信息加⼊(0x00124B000AF859CD)，发送了Data request,协调器再回复⼀个ACK信号5）协调器根据Data request，给路由分配⼀个short addr（0x4D13）发送给路由器(0x0000)。

路由器收到后给予⼀个ACK回应6）接着路由器和协调器分别⼴播⼀个APS CLUSTER ID = 0x0013的数据信息7）组⽹已经全部完成，这时候路由器和协调器分别会以15秒的间隔不断的⼴播⾃⼰的⽹路状态，8) 此时，⽤户可以发送⾃⼰的数据，我这⾥发送数据是截图的最后⼀帧（上⾯截图没有截完全，下⾯是上⾯最后⼀帧截图的补充），可以观看，MAC payload即MAC层接收到的数据，它左右的信息是物理层PHY头部解析后的表现形式，MAC payload⼜解析成了NWK头部和NWK payload（MAC payload黄⾊区域右边），同样NWK payload⼜分解成了APS头部和APS payload(NWK payload黄⾊区域右边),观察这些数据，发现不正是我们在⽤户程序⾥⾯⾃⼰定义的端点号，簇ID，和数据内容吗，这些数据我们将在⾃⼰的程序中解析并且处理我这⾥的端点号是0x0B,簇ID是0x0002，prifile ID 是0x0F05,数据内容是EA EB 4D 13 D9 5B F8 0A 00 4B 12 00（EA EB是头部，4D 13是路由器的短地址，D9 5B F8 0A 00 4B 12 00是路由器的长地址；仅测试使⽤，所以数据格式叫简单，没有数据长度，数据校验等信息）9）以上过程就完成了路由器，协调器组⽹，并且数据传送的整个过程。

实验报告填写时间：图1（2）捕获报文Sniffer软件提供了两种最基本的网络分析操作，即报文捕获和网络性能监视（如图2）。

在这里我们首先对报文的捕获加以分析，然后再去了解如何对网络性能进行监视。

图2捕获面板报文捕获可以在报文捕获面板中进行，如图2中蓝色标注区所示即为开始状态的报文捕获面板，其中各按钮功能如图3所示图3捕获过程的报文统计在报文统计过程中可以通过单击Capture Panel 按钮来查看捕获报文的数量和缓冲区的利用率（如图4、5）。

图4图5三、Sniffer菜单及功能简介Sniffer进入时，需要设置当前机器的网卡信息。

进入Sniffer软件后，会出现如图2的界面，可以看到Sniffer软件的中文菜单，下面是一些常用的工具按钮。

在日常的网络维护中，使用这些工具按钮就可以解决问题了。

1、主机列表按钮：保存机器列表后，点击此钮，Sniffer会显示网络中所有机器的信息，其中，Hw地址一栏是网络中的客户机信息。

网络中的客户机一般都有惟一的名字，因此在Hw地址栏中，可以看到客户机的名字。

对于安装Sniffer的机器，在Hw地址栏中用“本地”来标识；对于网络中的交换机、路由器等网络设备，Sniffer只能显示这些网络设备的MAC 地址。

入埠数据包和出埠数据包，指的是该客户机发送和接收的数据包数量，后面还有客户机发送和接收的字节大小。

可以据此查看网络中的数据流量大小。

2、矩阵按钮：矩阵功能通过圆形图例说明客户机的数据走向，可以看出与客户机有数据交换的机器。

使用此功能时，先选择客户机，然后点击此钮就可以了。

3、请求响应时间按钮：请求响应时间功能，可以查看客户机访问网站的详细情况。

当客户机访问某站点时，可以通过此功能查看从客户机发出请求到服务器响应的时间等信息。

4、警报日志按钮：当Sniffer监控到网络的不正常情况时，会自动记录到警报日志中。

所以打开Sniffer软件后，首先要查看一下警报日志，看网络运行是否正常。

实验三： Sniffer Pro的基本使用和实例一、实验目的：练习sniffer工具的基本使用方法，用sniffer捕获报文并进行分析。

二、实验环境：通过交换机连接的多台PC，预装Windows XP操作系统。

三、运行环境及安装：Sniffer Pro可运行在局域网的任何一台机器上，如果是练习使用，网络连接最好用交换机且在一个子网，这样能抓到连到交换机上每台机器传输的包。

本文用的版本是 4.7.5，Sniffer Pro软件的获取可在或 中输入Sniffer Pro 4.7.5，查找相应的下载站点来下载。

四、常用功能介绍1、Dashboard （网络流量表）点击图1中①所指的图标，出现三个表，第一个表显示的是网络的使用率（Utilization），第二个表显示的是网络的每秒钟通过的包数量（Packets），第三个表显示的是网络的每秒错误率（Errors）。

通过这三个表可以直观的观察到网络的使用情况，红色部分显示的是根据网络要求设置的上限。

选择图1中②所指的选项将显示如图2所示的更为详细的网络相关数据的曲线图。

每个子项的含义无需多言，下面介绍一下测试网络速度中的几个常用单位。

在TCP/IP协议中，数据被分成若干个包（Packets）进行传输，包的大小跟操作系统和网络带宽都有关系，一般为64、128、256、512、1024、1460等，包的单位是字节。

很多初学者对Kbps、KB、Mbps 等单位不太明白，B 和 b 分别代表Bytes(字节) 和bits（比特），1比特就是0或1。

1 Byte = 8 bits 。

1Mbps (megabits per second兆比特每秒)，亦即1 x 1024 / 8 = 128KB/sec（字节/秒），我们常用的ADSL下行512K指的是每秒512K比特(Kb)，也就是每秒512/8=64K字节（KB）图1图22、Host table（主机列表）如图3所示，点击图3中①所指的图标，出现图中显示的界面，选择图中②所指的IP选项，界面中出现的是所有在线的本网主机地址及连到外网的外网服务器地址，此时想看看192.168.113.88这台机器的上网情况，只需如图中③所示单击该地址出现图4界面。

实验一网络信息检测实验(使用Sniffer工具嗅探)一、实验目的通过使用Sniffer Pro软件掌握sniffer(嗅探器)工具的使用方法，实现捕捉FTP、HTTP 等协议的数据包，以理解TCP/IP协议中多种协议的数据结构、会话连接建立和终止的过程、TCP序列号、应答序号的变化规律。

并且，通过实验了解FTP、HTTP等协议明文传输的特性，以建立安全意识，防止FTP、HTTP等协议由于传输明文密码造成的泄密。

二、实验原理Sniffer即网络嗅探器，用于监听网络中的数据包，分析网络性能和故障。

Sniffer主要用于网络管理和网络维护，系统管理员通过Sniffer可以诊断出通过常规工具难以解决的网络疑难问题，包括计算机之间的异常通讯、不同网络协议的通讯流量、每个数据包的源地址和目的地址等，它将提供非常详细的信息。

通常每个网络接口都有一个互不相同的硬件地址(MAC)，同时，每个网段有一个在此网段中广播数据包的广播地址（代表所有的接口地址）。

一般情况下，一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，并由操作系统进一步进行处理，而丢弃不是发给自己的数据帧。

而通过Sniffer工具，可以将网络接口设置为“混杂”(promiscuous)模式。

在这种模式下，网络接口就处于一个对网络进行“监听”的状态，而它可以监听此网络中传输的所有数据帧，而不管数据帧的目标地址是广播地址还是自己或者其他网络接口的地址了。

它将对遭遇的每一个数据帧产生硬件中断，交由操作系统对这个帧进行处理，比如截获这个数据帧，进而实现实时分析数据帧中包含的内容。

当然，如果一个数据帧没有发送到目标主机的网络接口，则目标主机将无法监听到该帧。

所以Sniffer所能监听到的信息将仅限于在同一个物理网络内传送的数据帧，就是说和监听的目标中间不能有路由（交换）或其他屏蔽广播包的设备。

因此，当Sniffer工作在由集线器(HUB)构建的广播型局域网时，它可以监听到此物理网络内所有传送的数据；而对于由交换机(switch)和路由器(router)构建的网络中，由于这些网络设备只根据目标地址分发数据帧，所以在这种网络中，sniffer工具就只能监测到目标地址是自己的数据帧再加上针对广播地址的数据帧了。