sniffer实验报告

sniffer 实验报告Sniffer实验报告引言：在当今数字化时代，网络安全问题备受关注。

Sniffer作为一种网络安全工具，被广泛应用于网络流量监测、数据包分析和安全漏洞发现等领域。

本报告旨在介绍Sniffer的原理、应用以及实验结果，并探讨其在网络安全中的重要性。

一、Sniffer的原理与工作方式Sniffer是一种网络数据包嗅探器，它能够截获经过网络的数据包，并对其进行分析和解码。

其工作原理主要包括以下几个步骤：1. 网络接口监听：Sniffer通过监听网络接口，获取经过该接口的数据包。

这可以通过底层网络协议（如以太网、无线网络等）提供的API实现。

2. 数据包截获：一旦Sniffer监听到网络接口上的数据包，它会将其截获并保存在内存或磁盘中，以便后续分析。

3. 数据包解析：Sniffer对截获的数据包进行解析，提取其中的关键信息，如源IP地址、目标IP地址、协议类型、端口号等。

这些信息可以帮助分析人员了解网络流量的来源、目的和内容。

4. 数据包分析：通过对解析得到的数据包进行深入分析，Sniffer可以检测网络中的异常行为、安全漏洞以及潜在的攻击。

二、Sniffer的应用领域Sniffer作为一种功能强大的网络安全工具，在各个领域都有广泛的应用。

以下是几个典型的应用场景：1. 网络管理与监控：Sniffer可以用于监测网络流量，分析网络性能和带宽利用情况。

通过对数据包的分析，可以及时发现网络故障和异常，提高网络管理的效率。

2. 安全漏洞发现：Sniffer可以检测网络中的异常流量和未经授权的访问行为，帮助发现系统的安全漏洞。

它可以捕获潜在的攻击数据包，并通过分析判断是否存在安全威胁。

3. 网络流量分析：Sniffer可以对网络流量进行深入分析，了解用户的行为习惯、访问偏好以及网络应用的使用情况。

这对于网络服务提供商和广告商来说，有助于优化服务和精准投放广告。

4. 数据包调试与故障排查：在网络通信过程中，数据包传输可能会出现错误或丢失。

洛阳理工学院实验报告
系别计算机与信
息工程系
班级学号姓名
课程名称网络安全实验日期2014.10.23 实验名称Sniffer抓包工具的应用成绩
实验目的：
通过实验掌握Sniffer工具的使用，理解TCP/IP 协议中TCP、IP、ICMP数据包的结构，以及TCP三次握手的过程。

实验条件：
虚拟机平台，Windows Server 2003和XP
实验内容：
一、 ICMP包
1.先将虚拟机Windows Server 2003和XP ping通。

（如图1、2）
图1 在XP上ping Windows Server显示
图2 ICMP包死亡之ping
2.打开XP中的Sniffer程序，点击开始按钮进行抓包。

（如图3）
图3 抓包结果
二、TCP三次握手
1.在windows server上建ftp，然后在XP上架设ftp，打开Sniffer的过滤器进行双向抓包。

（如图4、5）
图4 windows server的ftp显示图5 打开Filter设置ip
2.第一次握手如图6所示。

图6 第一次握手显示结果 3.第二次握手如图7所示。

图7 第二次握手显示结果4.第三次握手如图8所示。

图8 第三次握手显示结果5.过滤器显示如图9、10。

图9 过滤器(TOP10 总比特数)
图10 Traffic Map 的IP地址显示
实验总结：
通过这次试验我了解到Sniffer工具的使用以及TCP三次握手的过程，在这次试验中其实有许多不懂的地方，还好在同学的帮助下解决了许多问题，关于这方面我觉得知识方面有些欠缺，以后会多加努力。

实验1报告网络数据获取1.实验目的1.掌握sniffer捕获数据包的技术2.了解一般局域网内监听手段3.掌握如何防范攻击2. 实验内容网络监听是一种常用的被动式网络攻击方法，能帮助入侵者轻易获得用其他方法很难获得的信息，包括用户口令、账号、敏感数据、IP地址、路由信息、TCP套接字号等。

管理员使用网络监听工具1)监视网络的状态2)监听数据流动情况3)监听网络上传输的信息嗅探器（sniffer）是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。

它工作在网络的底层，把网络传输的全部数据记录下来。

嗅探器可以帮助网络管理员查找网络漏洞和检测网络性能。

嗅探器可以分析网络的流量，以便找出所关心的网络中潜在的问题。

在以太网中，嗅探器通过将以太网卡设置成混杂模式来捕获数据以太网协议的工作方式是将要发送的数据包发往连接在一起的所有主机1)包中包含着应该接收数据包主机的正确地址2)有与数据包中目标地址一致的那台主机才能接收3)但是，当主机工作监听模式下，无论数据包中的目标地址是什么，主机都将接收（当然只能监听经过自己网络接口的那些包）传输数据时，包含物理地址的帧从网络接口（网卡）发送到物理的线路上1)如果局域网是由一条粗缆或细缆连接而成，则数字信号在电缆上传输，能够到达线路上的每一台主机2)当使用集线器时，由集线器再发向连接在集线器上的每一条线路，数字信号也能到达连接在集线器上的每一台主机当数字信号到达一台主机的网络接口时1)正常情况下，网络接口读入数据帧，进行检查，如果数据帧中携带的物理地址是自己的或者是广播地址，则将数据帧交给上层协议软件，也就是IP层软件2)否则就将这个帧丢弃对于每一个到达网络接口的数据帧，都要进行这个过程。

当主机工作在监听模式下，所有的数据帧都将被交给上层协议软件处理。

当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时，如果一台主机处于监听模式下，它还能接收到发向与自己不在同一子网（使用了不同的掩码、IP地址和网关）的主机的数据包。

实验一：虚拟机的安装与使用一、实验目的1、学习安装、使用虚拟机2、给虚拟机安装xp操作系统及常用软件二、实验内容安装虚拟机步骤：1.双击VMware-workstation-5.5.3-34685.exe2.按照流程向导Next>3.选择安装路径4.安装完成可以看到home5.6.按照安装向导下一步7.选择安装的操作系统8.选择安装路径9.选择联网方式10.完成虚拟机的添加11.可以在看到点击CD-ROM12.点击CD-ROM选择我们准备好的windows安装系统，把路径指向windows安装的镜像文件13.点start this virtual machine或绿色开始按钮14.windows安装可选手动或自动15.最终完成在虚拟机上的windows安装后可以看到16.可以通过虚拟机上安装一些工具用来直接把主系统的软件拖拽到虚拟机中VM-》install Vmware tools17.设置虚拟机中的IP以及DNS等，使其能够上网18.用ping测试网络的连通性三、实验心得通过这个实验，帮助我们掌握了虚拟机的安装，Windows的安装，以及虚拟机的网络互联，我们以后会在虚拟机中进一步了解其他的网络安全试验，帮助我们为以后的实验创造一个安全的平台。

四、实验反馈实验中由于刚刚接触VMware Workstation，并不熟练在安装应用时花费了较长的时间。

实验二：TCP，UDP端口扫描一、实验目的1. 了解常用的TCP、UDP端口扫描的原理及其各种手段2. 掌握sniffer等网络嗅探工具的使用二、实验内容sniffer安装步骤：1.双击snifferpro.exe2.进入installshield wizard3.提取文件后单击Next继续安装，接下来是软件许可协议yes。

4.填入名字公司5.选择安装路径6.安装文件7.sniffer用户注册填入serial number8.选择直连internet9.用户注册完成完成后10.sniffer的release note文件就会出现11.重启计算机12.打开sniffer时会要求选择网卡选择后确定进入软件sniffer的应用：了解常用的TCP、UDP端口扫描的原理及其各种手段UDP（用户数据报协议）简介UDP协议是英文User Datagram Protocol的缩写，即用户数据报协议，主要用来支持那些需要在计算机之间传输数据的网络应用。

这次接上次实验的下半部分，关于sniffer工具的熟悉和使用，这个工具相对x-scanf比较好下载，下载后是个可执行文件，安装下吧，不要懒，对了，下载的时候同时把对应的sn也记录下来啊。

我下载的时候就没有记下来，回到宿舍里安装的时候可痛苦了，因为不能上网。

安装过程中就会让你填写个人资料和Sn的，也请不要懒，更不要随便填，看好是填什么格式的字符的，我的同学在填写信息的时候全用数字或全用英文加中文，然后总是不能进行下一步，我想这就是他没有认真看注册说明。

我也劝乖乖认真注册吧，否则烦死你，哈哈。

安装完成后可能会有1-2次重启，我是遇到二次了，真是郁闷到极点。

这个sniffer软件将捕获其接入碰撞域中流经的所有数据包，但在某些场景下，有些数据包可能不是我们所需要的，为了快速定位网络问题所在，有必要对所要捕获的数据包作过滤。

这次我们主要尝试捕获FTP密码，做这个实验有些前提准备，比如要带系统的虚拟机，当然局域网里的电脑也可以的，然后目标电脑开启FTP服务。

我的电脑现在正在开启虚拟机，正准备安装FTP，趁这段时间我给大家讲讲流程，我们在目标系统上开启FTP服务后，加入密码，然后从本机进行FTP连接，在连接的之前，打开Sniffer，监听和过滤FTP端口，即25端口。

好了，现在我们开启虚拟机（总算可以开工了），，然后载入系统XP，，载入完成后，安装IIS服务，这个很简单的这里就不详述了：安装完成后，安装里面的FTP服务，。

这里要注意点的是，光驱里一定要放XP安装盘或镜像文件哦，当然i386文件夹也是可以的，还有就是本地链接要配置跟本机一个网段的IP啊！然后配置下FTP，一般设置个位置和密码，我们把密码定为123456，呵呵，为了实验方便嘛。

这些工作做好后，我们开启sniffer软件。

这个软件很特殊，开启里必须联网，浪费我钱~刚开启时因为我电脑上有3块网卡，他会让我选择网卡，选择本地网卡即可，其中vm开头的都是虚拟网卡。

实验八-网络性能监测分析工具Sniffer捕获高层协议数据包并分析实验目的: 使用Sniffer抓取ftp的数据报分析FTP的三次“握手”的过程。

分析FTP客户端和服务器端通信过程实验环境: Windows环境下常用的协议分析工具: sniffer 搭建Serv-U FTP Server, 在计算机上建立FTP服务器VMware虚拟机, 用虚拟机进行登录FTP。

实验内容和步骤:1. 建立网络环境。

用Serv-U FTP Server在计算机上建立一台FTP服务器, 设置IP地址为: 192.168.0.10。

在Serv-U FTP Server中已设定用户xyz, 密码123123。

（也可以自行设定其他帐号）2. 在此计算机上安装了sniffer。

3．启动该机器上的虚拟机作为一台FTP客户端, 设置IP地址为: 192.168.0.12。

4. 使用ping命令看是否连通。

记录结果。

5. 使用虚拟机登录FTP服务器。

6. 运行sniffer嗅探器, 并在虚拟机的“运行”中输入ftp://192.168.0.10, 点确定后出现如下图的登录窗口:在登录窗口中输入：用户名（xyz）, 密码（123123）使用sniffer抓包, 再在sniffer软件界面点击“stop and display”, 选择“Decode”选项, 完成FTP命令操作过程数据包的捕获。

8.在sniffer嗅探器软件上点击Objects可看到下图, 再点击“DECODE(反解码)。

记录FTP三次握手信息, 写出判断这三个数据包的依据（如syn及ack）。

记录端口信息等内容。

9．找出数据包中包含FTPUSER命令的数据包, 记录显示的用户名。

10．捕获用户发送PASS命令的数据包, 记录显示的密码。

11. 找出FTP服务器端与客户端端口20进行三次握手打开数据传输。

记录数据信息。

教师：
4. Matrix矩阵的应用
点击图Matrix图标，出现全网的连接示意图，图中绿线表
示正在发生的网络连接绿色线表示过去发生的连接。

将鼠
标放到线上可以看出连接情况。

很多人用他来发现病毒，
其实用他来评估网络状况和异常流量，是一个很好用的工
具。

如要查看哪那一台主机的连接数最多，鼠标右键在弹
出的菜单中可选择放大（zoom）此图。

找到对外连接最多
的机器，选中后，按鼠标右键，选show select nodes，就可
以查看特定的点对多点的网络连接。

6.抓某台机器的所有数据包
6.1抓取192.168.0.46这台机器的所有数据包。

如下图选择这台机器。

点击左侧捕获图标望远镜图标变红时，表示已捕捉到数据
五、实验数据及结果分析：
1、数据报文分层
如下表所示为网络结构中的四层协议，不同层次完成不同的功能，每一层都有众多协议组成。

应用层---------------Telnet、Ftp和Email等
传输层---------------TCP 和UDP
2、以太报文结构
如下表所示为Ethernet帧结构
DMAC SMAC TYPE DATA/PAD
这种类型报文结构为：目的MAC地址（６bytes）+源MAC地址（６bytes）＋上层协议类型（2bytes）+数据字段（
于是，如图所示，解码表中分别显示各字段内容，若要查看MAC详细内容，鼠标点击上面解码框中地址，在下面的表格中回以黑色突出显示对应的１６进制编码。

局域网网络性能测试与分析网络运行情况一、实验目的通过使用Sniffer Pro软件的多种监测模式，掌握局域网运行状况和检测局域网，通过网络流量测试，获得网络的使用情况（利用率、碰撞、错误帧及广播四大参数) ，对网络物理层及数据链路层的健康状况进行评估。

二、实验要求掌握Sniffer软件的功能和步骤来完成实验，在掌握基本功能的基础上，实现局域网监控应用，给出实验总结报告三、实验设备及软件Windows xp操作系统的计算机，局域网环境，Sniffer软件。

四、实验步骤1、Sniffer软件的安装及部署安装在代理服务器、要监控的应用服务器或接在交换机镜像口上的主机上。

五、实验中的问题及解决办法。

这次实验遇到的问题主要是，刚接触这个实验，有点无所是从，觉得奇怪的是，一开始什么都不用配置，就按钮就可以分析了，以前用惯了嗅探工具，都是先选择监听网卡，然后配置过滤器，最后点捕获，就可以抓取到信息了，不过sniffer这个不是这样，它不仅仅有抓包功能，更主要的是 sniffer具有网络流量的分析功能，这也是其最主要功能，因此比其他的嗅探工具强大多了。

六、实验思考题解答。

1、如何利用Sniffer Pro进行蠕虫病毒流量分析？答：可以通过下面的步骤进行分析：（1）利用Sniffer的Host Table功能，找出产生网络流量最大的主机。

（2）分析这些主机的网络流量流向，用Sniffer的Matrix查看发包目标。

（3）通过Sniffer的解码（Decode）功能，了解主机向外发出的数据包的内容。

六、实验心得体会。

通过这次实验，我发现懂得使用各种软件也是一门学问，只要你需要时联想到，就会对你有难以想象得作用。

《防火墙技术》Sniffer协议分析实验报告姓名*****＿班级网工1 学号****** 机位号＿＿34＿上机目的：1、掌握使用sniffer软件捕获IP、TCP数据包；2、学会分析IP、TCP数据包格式；3、能在IP数据包中区分源目地址等字段；4、能在TCP封包格式中区别源端口地址和目标端口地址；5、掌握TCP的三次握手过程。

上机准备：1、运行Sniffer软件：2、操作步骤：单击开始－选择程序－选择Sniffer pro－单击Sniffer程序上机过程：一、复习TCP协议1、TCP封包格式2、以下表格体现了封包从传输层到网络接口层的封装过程,把以下几个选项写到下面的表格中。

A、以太网帧头部B、以太网帧尾部C、应用数据D、TCP 头E、IP 头所以一个帧的字节大小等于＿＿＿＿＿＿＿＿AEDCB＿＿＿的和3、TCP的传输服务遵循以下几个阶段：＿建立连接＿、＿传送数据＿、＿释放连接＿。

二、TCP协议在建立连网时的三次握手。

TCP的数据包是靠IP协议来传输的。

但IP协议是只管把数据送到出去，但不能保证IP 数据报能成功地到达目的地，保证数据的可靠传输是靠TCP协议来完成的。

当接收端收到来自发送端的信息时，接受端详发送短发送一条应答信息，意思是：“我已收到你的信息了。

”第三组数据将能看到这个过程。

TCP是一个面向连接的协议。

无论哪一方向另一方发送数据之前，都必须先在双方之间建立一条连接。

建立连接的过程就是三次握手的过程。

这个过程就像要我找到了张三向他借几本书，第一步：我说：“你好，我是杜杜”，第二步：张三说：“你好，我是张三”，第三步：我说：“我找你借几本书。

”这样通过问答就确认对方身份，建立了联系。

下面来分析一下此例的三次握手过程。

1、图一表示第一次握手，请求端（客户端）即开启1161端口的机器发送一个初始序号（ISN）4027175139给开启80端口的服务器图一2、图二表示第二次握手，开启80端口的服务器收到这个序号后，将应答信号（ACK）和随机产生一个初始序号（ISN）4158117370发回到请求端（客户端），因为有应答信号和初始序号，所以标志位ACK和SYN都置为1。

sniffer实验报告实验报告：Sniffer实验引言：Sniffer是一种网络工具，用于捕获和分析网络数据包。

它可以帮助我们了解网络通信的细节，并帮助网络管理员识别和解决网络问题。

本实验旨在介绍Sniffer的原理和应用，以及通过实际操作来深入了解其功能和效果。

一、Sniffer的原理和工作机制Sniffer工作在网络的数据链路层，通过监听网络上的数据包来获取信息。

它可以在网络中的一个节点上运行，或者通过集线器、交换机等设备进行监测。

Sniffer通过网卡接口，将数据包拷贝到自己的缓冲区中，然后进行解析和分析。

二、Sniffer的应用领域1. 网络故障排查：Sniffer可以帮助管理员快速定位网络故障的原因，通过捕获数据包并分析其中的错误信息，找到导致网络中断或延迟的问题源。

2. 安全监测：Sniffer可以用于检测网络中的恶意行为，如入侵、数据泄露等。

通过分析数据包的内容和流量模式，管理员可以发现异常活动并采取相应措施。

3. 性能优化：Sniffer可以监测网络的吞吐量、延迟等性能指标，帮助管理员优化网络结构和配置，提高网络的传输效率和响应速度。

4. 协议分析：Sniffer可以解析各种网络协议，包括TCP/IP、HTTP、FTP等，帮助管理员了解网络通信的细节和流程，从而更好地管理和优化网络。

三、实验步骤与结果1. 硬件准备：连接电脑和网络设备，确保网络正常运行。

2. 软件安装：下载并安装Sniffer软件，如Wireshark等。

3. 打开Sniffer软件：选择合适的网卡接口，开始捕获数据包。

4. 分析数据包：通过过滤器设置，选择需要分析的数据包类型，如HTTP请求、FTP传输等。

5. 结果分析：根据捕获的数据包，分析网络通信的细节和问题，并记录相关信息。

6. 故障排查与优化：根据分析结果，定位网络故障的原因，并采取相应措施进行修复和优化。

实验结果显示，Sniffer软件成功捕获了网络中的数据包，并能够准确地分析其中的内容和流量模式。

sniffer实验报告Sniffer实验报告引言：在现代信息技术高度发达的时代，网络安全问题日益突出。

为了保护个人隐私和网络安全，网络管理员和安全专家需要不断寻找新的方法和工具来监测和防止网络攻击。

Sniffer（嗅探器）作为一种常见的网络安全工具，可以帮助我们分析网络流量并检测潜在的威胁。

本实验旨在了解Sniffer的工作原理和应用，并通过实际操作来验证其有效性。

一、Sniffer的工作原理Sniffer是一种网络数据包分析工具，其基本原理是通过监听网络接口，捕获经过该接口的数据包，并对其进行解析和分析。

Sniffer可以在本地网络或互联网上的任何位置运行，以便监测和分析网络流量。

它可以截取各种类型的数据包，包括TCP、UDP、ICMP等，并提取其中的关键信息，如源IP地址、目标IP地址、端口号等。

二、Sniffer的应用场景1. 网络安全监测：Sniffer可以帮助网络管理员及时发现和分析潜在的网络攻击，如端口扫描、DDoS攻击等。

通过监测网络流量，Sniffer可以检测到异常的数据包，并对其进行分析，提供有关攻击者的信息和攻击方式的线索。

2. 网络故障排查：当网络出现故障时，Sniffer可以帮助我们快速定位问题所在。

通过捕获和分析数据包，我们可以了解网络中的通信情况，查找网络设备的故障点，并进行相应的修复。

3. 网络性能优化：Sniffer可以帮助我们监测和分析网络的性能瓶颈，并提供优化建议。

通过分析网络流量和延迟情况，我们可以找到网络中的瓶颈节点，并采取相应的措施来提高网络的性能和稳定性。

三、实验过程和结果为了验证Sniffer的有效性，我们在实验室环境中搭建了一个小型网络，并使用Sniffer来捕获和分析数据包。

实验中，我们使用了Wireshark作为Sniffer工具，并连接了一台电脑和一个路由器。

首先，我们启动Wireshark，并选择要监听的网络接口。

然后，我们开始捕获数据包，并进行一段时间的网络活动，包括浏览网页、发送电子邮件等。

Sniffer工具使用实验报告学院：计算机科学与工程学院班级：专业：学生姓名：学号：目录实验目的 (3)实验平台 (3)实验内容 (3)实验1：抓ping和回应包 (3)实验要求： (3)实验过程与分析 (3)实验2 ：捕获内网发往外网的重要数据 (4)实验要求： (4)实验过程与分析： (5)实验3 ：Arp包编辑发送 (6)实验要求： (6)实验过程与分析： (6)实验4 ：ARP欺骗 (7)实验要求： (7)实验过程与分析 (8)实验深入分析： (11)实验5：交换机端口镜像的简单配置 (11)实验要求： (11)实验过程与分析： (12)实验心得 (13)实验目的了解著名协议分析软件sniffer的主要功能，以及sniffer能处理什么网络问题实验平台Sniffer软件是NAI公司推出的功能强大的协议分析软件。

与Netxray比较，Sniffer支持的协议更丰富，如Netxray不支持PPPOE协议，但Sniffer能快速解码分析；Netxray不能在Windows 2000和Windows XP上正常运行，而SnifferPro 4.6可以运行在各种Windows平台上。

缺点：运行时需要的计算机内存比较大，否则运行比较慢功能：1）捕获网络流量进行详细分析2)利用专家分析系统诊断问题3）实时监控网络活动4）收集网络利用率和错误等实验内容实验1：抓ping和回应包实验要求：Ping xxxx–t观察icmp:echo和icmp:echo(reply)包信息实验过程与分析1）设置过滤器过滤ICMP协议2）让Sniffer开始抓包Ping 222.201.146.92 –t截获包如下Echo包：ICMP头后面abcde……为填充内容（数据填充码），纯熟用来凑够一个帧大小Echo reply包与Echo包对比可知，ID和sequence number是一致的。

同样ICMP头后面abcde……为填充内容（数据填充码），纯熟用来凑够一个帧大小实验2 ：捕获内网发往外网的重要数据实验要求：捕获条件可选择协议dns(tcp),http,pop,smtp,地址为本机IP到any登陆华南目棉BBS或华工教学在线或其他网络论坛。

实验1－Sniffer网络嗅探实验一、实验目的掌握网络嗅探工具的使用，捕获FTP数据包并进行分析，捕获HTTP数据包并分析，通过实验了解FTP、HTTP等协议明文传输的特性，以建立安全意识。

二、实验原理Sniffer（网络嗅探器），用于坚挺网络中的数据包，分析网络性能和故障。

Sniffer主要用于网络管理和网络维护，系统管理员通过Sniffer可以诊断出通过常规工具难以解决的网络疑难问题，包括计算机之间的异常通信、不同网络协议的通信流量、每个数据包的源地址和目的地址等，它将提供非常详细的信息。

Sniffer是一种常用的收集有用数据方法，这些数据可以是用户的帐号和密码，可以是一些商用机密数据等等。

Snifffer可以作为能够捕获网络报文的设备,ISS为Sniffer这样定义：Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。

Sniffer的正当用处主要是分析网络的流量,以便找出所关心的网络中潜在的问题。

例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题判断。

在合理的网络中，sniffer的存在对系统管理员是致关重要的，系统管理员通过sniffer可以诊断出大量的不可见模糊问题，这些问题涉及两台乃至多台计算机之间的异常通讯有些甚至牵涉到各种的协议，借助于sniffer%2C系统管理员可以方便的确定出多少的通讯量属于哪个网络协议、占主要通讯协议的主机是哪一台、大多数通讯目的地是哪台主机、报文发送占用多少时间、或着相互主机的报文传送间隔时间等等，这些信息为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。

嗅探器与一般的键盘捕获程序不同。

键盘捕获程序捕获在终端上输入的键值，而嗅探器则捕获真实的网络报文。

Sniffer程序是一种利用以太网的特性把网络适配卡(NIC,一般为以太同卡)置为杂乱模式状态的工具，一旦同卡设置为这种模式，它就能接收传输在网络上的每一个信息包。

西邮网络嗅探实验报告sniffer一、实验目的1. 掌握Sniffer(嗅探器)工具的使用方法，实现FTP、HTTP数据包的捕捉。

2. 掌握对捕获数据包的分析方法，了解FTP、HTTP数据包的数据结构和连接过程，了解FTP、HTTP协议明文传输的特性，以建立安全意识。

二、实验原理网络嗅探器Sniffer的原理(1)网卡有几种接收数据帧的状态:unicast(接收目的地址是本级硬件地址的数据帧)，Broadcast(接收所有类型为广播报文的数据帧)，multicast(接收特定的组播报文)，promiscuous(目的硬件地址不检查，全部接收)(2)以太网逻辑上是采用总线拓扑结构，采用广播通信方式，数据传输是依靠帧中的MAC地址来寻找目的主机。

(3)每个网络接口都有一个互不相同的硬件地址(MAC地址)，同时，每个网段有一个在此网段中广播数据包的广播地址(4)一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，丢弃不是发给自己的数据帧。

但网卡工作在混杂模式下，则无论帧中的目标物理地址是什么，主机都将接收(5)通过Sniffer工具，将网络接口设置为“混杂”模式。

可以监听此网络中传输的所有数据帧。

从而可以截获数据帧，进而实现实时分析数据帧的内容。

三、实验环境1. 实验室所有机器安装了Windows操作系统，并组成了一个局域网，并且都安装了SnifferPro软件。

2. 每两个学生为一组:其中学生A进行Http或者Ftp连接，学生B运行SnifferPro软件监听学生A主机产生的网络数据包。

完成实验后，互换角色重做一遍。

四、实验内容和步骤熟悉SnifferPro工具的使用,并且定义捕捉规则抓取192.168.47.46的数据包文件菜单----选择网络探测器/适配器(N)----显示所有在Windows中配置的适配器(1) 命令符提示下输入IPCONFIG查询自己的IP地址。

Host table(主机列表点击图中所示的“Detail”图标，图中显示的是整个网络中的协议分布情况，可清楚地看出哪台机器运行了那些协议。

河南师范大学综合性、设计性实验项目图1图22、Host table （主机列表）如图3所示，点击图3中①所指的图标，出现图中显示的界面，选择图中②所指的IP选项，界面中出现的是所有在线的本网主机地址及连到外网的外网服务器地址，此时想看看192.168.113.88这台机器的上网情况，只需如图中③所示单击该地址出现图4界面。

图3图4中清楚地显示出该机器连接的地址。

点击左栏中其它的图标都会弹出该机器连接情况的相关数据的界面。

图43、Dtail (协议列表)点击图5所示的“Detail”图标，图中显示的是整个网络中的协议分布情况，可清楚地看出哪台机器运行了那些协议。

注意，此时是在图3的界面上点击的，如果在图4的界面上点击显示的是那台机器的情况。

图54、Bar（流量列表）点击图6所示的“Bar”图标，图中显示的是整个网络中的机器所用带宽前10名的情况。

显示方式是柱状图，图7显示的内容与图6相同，只是显示方式是饼图。

图6图75、Matrix（网络连接）点击图8中箭头所指的图标，出现全网的连接示意图，图中绿线表示正在发生的网络连接，蓝线表示过去发生的连接。

将鼠标放到线上可以看出连接情况。

鼠标右键在弹出的菜单中可选择放大（zoom）此图。

图8（2）抓包实例1.抓某台机器的所有数据包如图9所示，本例要抓192.168.113.208这台机器的所有数据包，如图中①选择这台机器。

点击②所指图标，出现图10界面，等到图10中箭头所指的望远镜图标变红时，表示已捕捉到数据，点击该图标出现图11界面，选择箭头所指的Decode选项即可看到捕捉到的所有包。

图9图10图112、抓Telnet密码本例从192.168.113.208 这台机器telnet到192.168.113.50，用Sniff Pro抓到用户名和密码。

步骤1：设置规则如图12所示，选择Capture菜单中的Defind Filter，出现图13界面，选择图13中的ADDress项，在station1和2中分别填写两台机器的IP地址，如图14所示选择Advanced选项，选择选IP/TCP/Telnet ,将Packet Size设置为Equal 55，Packet Type 设置为Normal.。

sniffer实验报告sniffer实验报告ParseTPLayer( BuffRevnIpHeaderLen*4] ); break; aseHI_UDP: ParseUDPLayer( BuffRevnIpHeaderLen*4] ); 0, (strut break; } ut***************************************************************************** endl endl; } // 关闭套接字lsesket( SkRa ); // 卸载insk库 SAleanup(); return 0; } // 解析IP层，获得上层协议类型 int ParseIPLayer( har* Buff ){ unsigned int usIp1=0, usIp2=0, usIp3=0, usIp4=0; unsigned int nIpHiType=0; epy( usIp1, BuffIP_SADDR], sizef(har) ); epy( usIp2, BuffIP_SADDR+1], sizef(har) ); epy( usIp3, BuffIP_SADDR+2], sizef(har) ); epy( usIp4, BuffIP_SADDR+3], sizef(har) ); ut *************** IP Layer **************** endl; ut 源IP地址： usIp1 . usIp2 . usIp3 . usIp4 epy( usIp1, BuffIP_DADDR], sizef(har) ); epy( usIp2, BuffIP_DADDR+1], sizef(har) ); epy( usIp3, BuffIP_DADDR+2], sizef(har) );epy( usIp4, BuffIP_DADDR+3], sizef(har) ); ut 目的IP地址：usIp1 . usIp2 . usIp3 . usIp4 epy( nIpHiType, BuffIP_HITYPE], sizef(har) ); sith ( nIpHiType) { ase 1: ut IP高层协议类型: nIpHiType (IP) endl; return HI_IP; ase 2: ut IP高层协议类型: nIpHiType (IGP) endl; return HI_IGP; ase 6: ut IP高层协议类型: nIpHiType (TP) endl; return HI_TP; ase 17: ut IP高层协议类型: nIpHiType (UDP) endl; return HI_UDP; ase 89: ut IP高层协议类型: nIpHiType (SPF) endl; return HI_SPF; default: ut IP高层协议类型: nIpHiType (未知的类型) endl; return HI_UNKN; } } // 解析IP数据包，获得IP类型 vid ParseIPLayer( har* Buff ) { unsigned int nIpType=0;epy( nIpType, BuffIP_TYPE], sizef(har) ); ut**************** IP Layer *************** endl; sith( nIpType ) { ase 3: ut IP类型： nIpType (终点不可达) endl;break; ase 4: ut IP类型： nIpType (源点抑制) endl; break; ase 11: ut IP类型： nIpType (超时) endl; break; ase 12: ut IP 类型： nIpType (参数问题) endl; break; ase 5: ut IP类型：nIpType (改变路由) endl; break; ase 8: ut IP类型： nIpType (回送请求) endl; break; ase 0: ut IP类型： nIpType (回送回答) endl; break; ase 13: ut IP类型： nIpType (时间戳请求) endl; break; ase 14: ut IP类型： nIpType (时间戳回答) endl; break; ase 17: ut IP类型： nIpType (地址掩码请求) endl; break; ase 18: ut IP类型： nIpType (地址掩码回答) endl; break; ase 10: ut IP类型： nIpType (路由器询问) endl; break; ase 9: ut IP 类型： nIpType (路由器通告) endl; break; default: ut IP类型： nIpType (未知的IP类型) endl; } } // 解析TP数据包，获得源、目的端口对 vid ParseTPLayer( har* Buff ) { unsigned shrt usSPrt=0; unsigned shrt usDPrt=0; ut ***************** TP Layer *************** endl; epy( usSPrt, BuffTP_SPRT],2*sizef(har) ); usSPrt = htns( usSPrt );//将证书转换成络字节序 sith ( usSPrt ) { ase : ut TP源端口： usSPrt (FTP 数据) break; ase : ut TP源端口： usSPrt (FTP 控制) break; ase 23: ut TP源端口： usSPrt (TELNET) break; ase : ut TP源端口： usSPrt (STP) break; ase 80: ut TP源端口： usSPrt (HTTP) break; ase 110: ut TP源端口： usSPrt (PP3) break; ase 1: ut TP源端口： usSPrt (IAP) break; default: ut TP源端口： usSPrt break; } epy( usDPrt, BuffTP_DPRT], 2*sizef(har) ); usDPrt = htns( usDPrt ); sith ( usDPrt ) { ase : ut TP目的端口： usDPrt (FTP 数据) endl; break; ase : ut TP目的端口： usDPrt (FTP 控制) endl; break; ase 23: ut TP目的端口： usDPrt (TELNET) endl; break; ase : ut TP目的端口： usDPrt (STP) endl; break; ase 80: ut TP目的端口： usDPrt (HTTP) endl; break; ase 110: ut TP目的端口： usDPrt (PP3) endl; break; ase 1: ut TP目的端口： usDPrt (Iap) endl; break; default: ut TP目的端口： usDPrt endl; break; } } // 解析UDP数据包，获得源、目的端口对 vidParseUDPLayer( har* Buff ) { unsigned shrt usSPrt=0; unsigned shrt usDPrt=0; ut ********************** UDP Layer******************** endl; epy( usSPrt, BuffUDP_SPRT],2*sizef(har) ); usSPrt = htns( usSPrt ); sith ( usSPrt ) { ase 161: ut UDP源端口： usSPrt (SNP) break; ase 67: ut UDP源端口： usSPrt (DHP) break; ase 68: ut UDP源端口： usSPrt (DHP) break; ase : ut UDP源端口： usSPrt (DNS) break; ase 5: ut UDP源端口： usSPrt (RIP) break; ase 138: ut UDP源端口： usSPrt (NetBis) break; ase 139: } ut UDP源端口： usSPrt (SB) break; ase 137: ut UDP源端口： usSPrt (INS) break; default: ut UDP 源端口： usSPrt break; } epy( usDPrt, BuffUDP_DPRT],2*sizef(har) ); usDPrt = htns( usDPrt ); sith ( usDPrt ) { ase 161: ut UDP目的端口： usDPrt (SNP) endl; break; ase 67: ut UDP目的端口： usDPrt (DHP) endl; break; ase 68: ut UDP目的端口： usDPrt (DHP) endl; break; ase : ut UDP目的端口： usDPrt (DNS) endl; break; ase 5: ut UDP目的端口： usDPrt (RIP) endl; break; ase 138: ut UDP目的端口： usDPrt (NetBis) endl; break; ase 139: ut UDP目的端口： usDPrt (SB) endl; break; ase 137: ut UDP目的端口： usDPrt (INS) endl; break; default: ut UDP 目的端口： usDPrt endl; break; } 实验结果：实验心得：通过本次实验，明白了络连接还有络嗅探的基本原理。

实验报告填写时间：图1（2）捕获报文Sniffer软件提供了两种最基本的网络分析操作，即报文捕获和网络性能监视（如图2）。

在这里我们首先对报文的捕获加以分析，然后再去了解如何对网络性能进行监视。

图2捕获面板报文捕获可以在报文捕获面板中进行，如图2中蓝色标注区所示即为开始状态的报文捕获面板，其中各按钮功能如图3所示图3捕获过程的报文统计在报文统计过程中可以通过单击Capture Panel 按钮来查看捕获报文的数量和缓冲区的利用率（如图4、5）。

图4图5三、Sniffer菜单及功能简介Sniffer进入时，需要设置当前机器的网卡信息。

进入Sniffer软件后，会出现如图2的界面，可以看到Sniffer软件的中文菜单，下面是一些常用的工具按钮。

在日常的网络维护中，使用这些工具按钮就可以解决问题了。

1、主机列表按钮：保存机器列表后，点击此钮，Sniffer会显示网络中所有机器的信息，其中，Hw地址一栏是网络中的客户机信息。

网络中的客户机一般都有惟一的名字，因此在Hw地址栏中，可以看到客户机的名字。

对于安装Sniffer的机器，在Hw地址栏中用“本地”来标识；对于网络中的交换机、路由器等网络设备，Sniffer只能显示这些网络设备的MAC 地址。

入埠数据包和出埠数据包，指的是该客户机发送和接收的数据包数量，后面还有客户机发送和接收的字节大小。

可以据此查看网络中的数据流量大小。

2、矩阵按钮：矩阵功能通过圆形图例说明客户机的数据走向，可以看出与客户机有数据交换的机器。

使用此功能时，先选择客户机，然后点击此钮就可以了。

3、请求响应时间按钮：请求响应时间功能，可以查看客户机访问网站的详细情况。

当客户机访问某站点时，可以通过此功能查看从客户机发出请求到服务器响应的时间等信息。

4、警报日志按钮：当Sniffer监控到网络的不正常情况时，会自动记录到警报日志中。

所以打开Sniffer软件后，首先要查看一下警报日志，看网络运行是否正常。

Sniffer工具使用实验报告学院：计算机科学与工程学院班级：专业：学生姓名：学号：目录实验目的 (1)实验平台 (1)实验内容 (2)实验1：抓ping和回应包 (2)实验要求： (2)实验过程与分析 (2)实验2 ：捕获内网发往外网的重要数据 (3)实验要求： (3)实验过程与分析： (4)实验3 ：Arp包编辑发送 (5)实验要求： (5)实验过程与分析： (5)实验4 ：ARP欺骗 (6)实验要求： (6)实验过程与分析 (7)实验深入分析： (10)实验5：交换机端口镜像的简单配置 (10)实验要求： (10)实验过程与分析： (11)实验心得 (12)实验目的了解著名协议分析软件sniffer的主要功能，以及sniffer能处理什么网络问题实验平台Sniffer软件是NAI公司推出的功能强大的协议分析软件。

与Netxray比较，Sniffer支持的协议更丰富，如Netxray不支持PPPOE协议，但Sniffer能快速解码分析；Netxray不能在Windows 2000和Windows XP上正常运行，而SnifferPro 可以运行在各种Windows平台上。

缺点：运行时需要的计算机内存比较大，否则运行比较慢功能：1）捕获网络流量进行详细分析2)利用专家分析系统诊断问题3）实时监控网络活动4）收集网络利用率和错误等实验内容实验1：抓ping和回应包实验要求：Ping xxxx–t观察icmp:echo和icmp:echo(reply)包信息实验过程与分析1）设置过滤器过滤ICMP协议2）让Sniffer开始抓包Ping –t截获包如下Echo包：ICMP头后面abcde……为填充内容（数据填充码），纯熟用来凑够一个帧大小Echo reply包与Echo包对比可知，ID和sequence number是一致的。

同样ICMP头后面abcde……为填充内容（数据填充码），纯熟用来凑够一个帧大小实验2 ：捕获内网发往外网的重要数据实验要求：捕获条件可选择协议dns(tcp),http,pop,smtp,地址为本机IP到any登陆华南目棉BBS或华工教学在线或其他网络论坛。