计算机网络实验八 Sniffer Pro数据包捕获与协议分析

本节主要介绍Sniffer Pro软件的报文捕获及解码分析功能。

1. 选择网络接口⑴在计算机A上，依次单击“开始”→“程序”→“Sniffer Pro”→“Sniffer”菜单，打开Sniffer Pro软件主窗口，如图3-5所示。

图3-5 Sniffer Pro主窗口⑵在主窗口中，依次点击“文件”→“选定设置”，弹出“当前设置”窗口，如图3-6所示。

如果本地主机具有多个网络接口，且需要监听的网络接口不在列表中，可以单击“新建”按钮添加。

图3-6 “当前设置”窗口⑶选择正确的网络接口后，单击“确定”按钮。

2. 报文捕获与分析⑴在Sniffer Pro主窗口（如图3-5）中，依次单击“捕获”→“开始”菜单或直接单击工具栏中的“开始”按钮，开始捕获经过选定网络接口的所有数据包。

⑵打开IE浏览器，登录Web服务器（如），同时在主窗口观察数据捕获情况。

⑶依次单击主窗口中“捕获”→“停止并显示”菜单或直接单击工具栏中的“停止并显示”按钮，在弹出的窗口中选择“解码”选项卡，如图3-7所示。

图3-7 “解码”选项卡⑷在上侧的窗格中，选中向Web服务器请求网页内容的HTTP报文，在中间的窗格中选中一项，在下方的窗格将有相应的十六进制和ASCII码的数据与之相对应。

⑸从图3-7中间窗格的TCP报文段描述中可以看出，数据偏移为20字节，即TCP报文段的首部长度为20字节。

对照图3-3所示的TCP报文段的格式，可以清楚地分析捕获的报文段的十六进制代码，如图3-8所示。

z“源端口”字段的值0420，即为客户端（IP地址为222.24.21.129）进程使用的端口号；z“目的端口”字段的值0050（十进制表示为80），表示Web服务器（IP地址为202.117.128.8）使用了HTTP的默认端口；z“数据偏移”字段的值5，指出了TCP报文段首部的长度为20字节。

3. 定义过滤器有时我们并不关心经过网络接口的所有数据，可以通过定义过滤器来捕获指定的数据包。

网络分析工具Sniffer Pro一、训练目标1、了解常用网络分析工具2、会使用网络分析工具Sniffer Pro二、实训环境要求利用VMware软件虚拟出一台计算机（称为“虚拟机”或“虚拟系统”），与物理机组成一个最小的网络实验环境，作为网络攻击的目标计算机，物理机作为实施网络攻击的主机。

建议安装方式：在XP系统中，安装虚拟的windows2003/2000 Server系统三、实训内容任务1：网络分析工具Sniffer Pro的使用Sniffer Pro是一种很好的网络分析程序，允许管理员逐个数据包查看通过网络的实际数据，从而了解网络的实际运行情况。

它具有以下特点：1. 可以解码至少450种协议。

除了IP、IPX和其它一些“标准”协议外，Sniffer Pro还可以解码分析很多由厂商自己开发或者使用的专门协议，比如思科VLAN中继协议(ISL)。

2. 支持主要的局域网(LAN)、城域网(WAN)等网络技术(包括高速与超高速以太网、令牌环、802.11b无线网、SONET传递的数据包、T-1、帧延迟和ATM)。

3. 提供在位和字节水平上过滤数据包的能力。

4. 提供对网络问题的高级分析和诊断，并推荐应该采取的正确措施。

5. Switch Expert可以提供从各种网络交换机查询统计结果的功能。

6. 网络流量生成器能够以千兆的速度运行。

7. 可以离线捕获数据，如捕获帧。

因为帧通常都是用8位的分界数组来校准，所以SnifferPro只能以字节为单位捕获数据。

但过滤器在位或者字节水平都可以定义。

需要注意的是，使用Sniffer捕获数据时，由于网络中传输的数据量特别大，如果安装Sniffer的计算机内存太小，会导致系统交换到磁盘，从而使性能下降。

如果系统没有足够的物理内存来执行捕获功能，就很容易造成Sniffer系统死机或者崩溃。

因此，网络中捕获的流量越多，Sniffer系统就应该运行得更快、功能更强。

sniffer pro的工作原理
Sniffer Pro是一种网络分析工具，用于在计算机网络上捕获、分析和解码网络数据包。

它的工作原理主要包括以下几个步骤：
1. 捕获数据包：Sniffer Pro通过网络接口卡或者网络设备，如交换机、路由器等，实时监听网络通信流量，并捕获经过的数据包。

2. 数据包过滤：Sniffer Pro可以根据用户定义的过滤规则来筛选感兴趣的数据包。

例如，可以根据源IP地址、目标IP地址、协议类型、端口号等条件进行过滤，以便只关注特定的网络流量。

3. 解析和重组数据包：Sniffer Pro对捕获到的数据包进行解析和重组，将二进制数据转换成可读的格式，显示出数据包的各个字段和内容。

它可以支持多种协议解析，如TCP/IP、HTTP、FTP、DNS等。

4. 分析网络流量：Sniffer Pro提供了丰富的分析功能，可以对网络流量进行统计、绘图和报表生成。

用户可以通过这些分析结果来查找网络问题、检测安全漏洞、优化网络性能等。

5. 高级功能：除了基本的捕获和分析功能，Sniffer Pro 还提供了一些高级功能，如会话重建、流量重放、协议模拟等。

这些功能可以帮助用户更深入地了解网络通信过程，并
进行相关的测试和调试工作。

总之，Sniffer Pro通过捕获、分析和解码网络数据包，提供了一个全面的工具集，用于帮助用户监控和分析计算机网络中的数据流量，以实现网络故障排查、网络性能优化和网络安全等目的。

实验八-网络性能监测分析工具Sniffer捕获高层协议数据包并分析实验目的: 使用Sniffer抓取ftp的数据报分析FTP的三次“握手”的过程。

分析FTP客户端和服务器端通信过程实验环境: Windows环境下常用的协议分析工具: sniffer 搭建Serv-U FTP Server, 在计算机上建立FTP服务器VMware虚拟机, 用虚拟机进行登录FTP。

实验内容和步骤:1. 建立网络环境。

用Serv-U FTP Server在计算机上建立一台FTP服务器, 设置IP地址为: 192.168.0.10。

在Serv-U FTP Server中已设定用户xyz, 密码123123。

（也可以自行设定其他帐号）2. 在此计算机上安装了sniffer。

3．启动该机器上的虚拟机作为一台FTP客户端, 设置IP地址为: 192.168.0.12。

4. 使用ping命令看是否连通。

记录结果。

5. 使用虚拟机登录FTP服务器。

6. 运行sniffer嗅探器, 并在虚拟机的“运行”中输入ftp://192.168.0.10, 点确定后出现如下图的登录窗口:在登录窗口中输入：用户名（xyz）, 密码（123123）使用sniffer抓包, 再在sniffer软件界面点击“stop and display”, 选择“Decode”选项, 完成FTP命令操作过程数据包的捕获。

8.在sniffer嗅探器软件上点击Objects可看到下图, 再点击“DECODE(反解码)。

记录FTP三次握手信息, 写出判断这三个数据包的依据（如syn及ack）。

记录端口信息等内容。

9．找出数据包中包含FTPUSER命令的数据包, 记录显示的用户名。

10．捕获用户发送PASS命令的数据包, 记录显示的密码。

11. 找出FTP服务器端与客户端端口20进行三次握手打开数据传输。

记录数据信息。

使用用Sniffer_Pro网络分析器实验报告南京信息工程大学实验（实习）报告实验名称使用用Sniffer Pro网络分析器实验日期 201 得分指导教师朱节中系计算机专业软件工程年级 2012 班次 1 姓名董上琦学号 20122344001一、实验目的1、掌握Sniffer工具的安装和使用方法2、理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构3、掌握ICMP协议的类型和代码二、实验内容1、安装Sniffer Pro2、捕捉数据包3、分析捕捉的数据包三、实验步骤1、安装Sniffer ProSniffer Pro安装过程并不复杂，setup后一直点击“确定”即可，第一次运行时需要选择网络适配器或网卡后才能正常工作。

如下图所示：选择好网络适配器或网卡后，即可进入主界面，如下图所示：2、捕捉数据包以抓FTP密码为例步骤1：设置规则选择Capture菜单中的Defind Filter 出现图（1）界面，选择图（1）中的ADDress项，在station1和2中分别填写两台机器的IP，选择Advanced选项，选择选IP/TCP/FTP ,将 Packet Size设置为 In Between 63 -71， Packet Type 设置为 Normal。

如图（2）所示，选择Data Pattern 项，点击箭头所指的Add Pattern按钮，出现图（3）界面，按图设置OFFset为2F,方格内填入18，name可任意起。

确定后如图（4）点击Add NOT 按钮,再点击Add Pattern按钮增加第二条规则，按图（5）所示设置好规则，确定后如图（6）所示。

图（1）图（2）图（3）图（4）图（5）图（6）步骤2：抓包按F10键出现下图界面，开始抓包。

图（7）步骤3：运行FTP命令本例使FTP到一台开有FTP服务的Linux机器上 331 Password required for test.Password:步骤4：察看结果当下图中箭头所指的望远镜图标变红时，表示已捕捉到数据图（8）点击该图标出现下图所示界面，选择箭头所指的Decode选项即可看到捕捉到的所有包。

实验二使用sniffer pro 分析IP 协议数据（一）实验目的Sniffer pro协议分析器能获取在同一网络内的所有数据流量，掌握sniffer pro的常用方法，能用sniffer分析器获取IP数据报，进行分析验证IP数据报格式。

（二）实验环境需要有sniffer pro的一个物理网络环境，sniffer pro可运行在局域网的任何一台主机上，如果是练习使用，网络最好接在用Hub且在一个子网上，这样能装到hub上每台机器传输的包（三）常用功能介绍1、Dashboard（网络流量表）在网络流量表中有三个表：①网络的使用率②网络每秒钟通过的包的数量③网络每秒的错误率2、Host table（主机列表）这里我们查看本网主机地址及连到外网的服务器地址。

3、Detail（协议列表）在此可以清楚的看到那台机器运行了哪些协议4、Bar流量表在该图中，显示的是整个网络中机器所用带宽前10名的情况。

可以按柱状图和饼图来显示。

5、Matrix(网络连接)绿线表示正在发生网络的连接，篮协表示过去发生的连接。

6、捕获报文查看Sniffer具有强大的分析能力和解码能力，对捕获的报文提供expert专家系统进行分析7、设置捕获条件基于捕获的条件有两种：①路层捕获②IP层捕获在Advanced条件下，我们还可以编辑协议捕获条件，如设置只捕获ICMP协议，还可以设置捕获的包的大小，包的类型等。

8.定义适配器为获取IP协议数据前，选择Capture菜单中的Defind Filter，选择图中ADDress项，在station和2中分别填写两台主机的IP地址，选择Advanced选项，选择IP/TCP，package size设置为Normal。

9.分析IP协议头信息4位的版本号4位的首部长度8位的服务类型16位的总长度16位的标识8位的生存时间8位的协议16位的首部检验和32位源IP地址和32位目的IP地址（四）实验步骤1、网络流量表在左边，我们可以选择索要显得信息，蓝线表示每秒通过的包的数目，绿线表示网络的使用率，红线表示错误率等2、查看主机列表在这里我们可以看见本网的主机以及连接到外网的主机。

、实验目的：1、理解协议分析仪的工作原理；2、学会使用Sniffer Pro捕获数据包；3、学会分析协议数据包。

二、实验设备硬件：PC机二台和交换机一台。

软件：作服务器的PC需安装Windows 2000 Server，另一台PC作客户机，可为Windows 2000/XP，并安装Sniffer Pro 4.7.5。

拓朴结构图：三、任务描述作为公司网络管理员需要熟悉网络协议，熟练使用协议分析仪。

使用协议分析仪，宏观上，可以进行统计以确定网络性能。

微观上，可以从数据包分析中了解协议的实现情况，是否存在网络攻击行为等，为制定安全策略及进行安全审计提供直接的依据。

四、实验内容和要求1、使用Sniffer Pro捕获数据包；2、定义过滤条件；3、分析数据包协议；4、截获HTTP网页内容（如手机号码）5、截获FTP客户名和密码。

五、实验步骤：1、设置IP地址：为了避免各组的IP地址发生冲突，各组将本组机的IP地址设为192.168.X.N，X为组号，N由组长指定，组内机要不相同。

服务器的IP地址： Sniffer Pro机的IP：2、新建文件夹和文件新建文件夹“D：\MyFTP”和文本文件：“test.txt”。

test.txt中的内容为：Hello, everybody! Miss you!3、新建本地用户：右击“我的电脑”—>“管理”—>“计算机管理” —>“用户”，新建用户FTPuser，密码为ftpXXXX，XXXX为班号+组号，如一班三组为：0103。

4、创建一个FTP站点：a）单击“开始”—》“程序”—》“管理工具”—》“Internet信息服务”，打开“Internet信息服务”管理工具。

b）右键单击“默认FTP站点”，选择“属性”，进入“默认FTP站点属性”设置界面。

c）修改主目录：在“本地路径”输入自己站点所在的文件夹“D:\MyFtp”。

d）设置客户对文件的操作类型（见上图），允许的操作有“读取”、“写入“和“日志”。

实验二网络抓包——sniffer pro的使用实验目的：1.了解网络嗅探的原理；2.掌握Sniffer Pro嗅探器的使用方法；实验学时：2课时实验形式：上机实验器材：联网的PC机实验环境：操作系统为Windows2000/XP实验内容：任务一熟悉Sniffer Pro工具的使用任务二使用Sniffer Pro抓获数据包实验步骤：任务一熟悉Sniffer Pro工具的使用1. Sniffer Pro工具简介Sniffer软件是NAI公司推出的功能强大的协议分析软件，具有捕获网络流量进行详细分析、利用专家分析系统诊断问题、实时监控网络活动和收集网络利用率和错误等功能，实验中使用Sniffer Pro4.7.5来截获网络中传输的FTP和HTTP数据包，并进行分析。

2. 使用说明在sniffer pro初次启动时，可能会提示选择一个网络适配器进行镜像，如图1所示，此时正确选择接入网络的网卡，这样sniffer pro才可以把网卡设置为混杂（Promiscuous）模式，以接收在网络上传输的数据包。

图1 网卡设置Sniffer Pro运行后的主界面如图2所示。

图2 sniffer pro主界面（1）工具栏简介如图3所示。

快捷键的含义如图4所示。

（2）网络监视面板简介在捕获过程中可以通过Capture Panel 查看网络的利用率、捕获报文的数量和缓冲区的利用率,如图5所示。

（3）捕获数据包窗口简介Sniffer 软件提供了强大的分析能力和解码功能。

如图6所示，对于捕获的报文提供了一个Expert 专家分析系统进行分析，还有解码选项及图形和表格的统计信息。

图3工具栏捕获停止捕获条件选择捕获捕获开始捕获暂停捕获停止并查看捕获查看编辑条件图4 快捷键含义图5 Capture Panel图6 捕获数据窗口●专家分析专家分析系统提供了一个智能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。

一、实验目的：练习sniffer工具的基本使用方法，用sniffer捕获报文并进行分析。

二、实验环境：通过集线器连接的多台PC，预装Windows 2000 Professional。

三、实验内容：
1、捕获数据包
（1）选择Monitor|Matrix命令，此时可看到网络中的Traffic Map 视图。

（2）选择Capture|Define Filter命令，然后在Advanced选项卡中选中IP，从而定义要捕捉的数据包类型。

（3）回到Traffic Map视图中，选中要捕捉的主机IP地址，然后单击鼠标右键，选择Capture命令，sniffer则开始捕捉指定IP地址的主机的数据包。

2、分析捕获的数据包
（1）从Capture Panel中看到捕获的数据包达到一定数量后，停止
捕捉，单击Stop and Display按钮，就可以停止捕获包。

（2）窗口中列出了捕捉到的数据，选中某一条数据后，下面分别
显示出相应的数据分析和原始的数据包。

单击窗口中的某一条数
据，可以看到下面相应的地方的背景变成灰色，表明这些数据与
之对应。

四、实验界面：
五、结论
sniffer软件是NAI公司推出的功能强大的协议分析软件。

Sniffer支持的协议丰富，解码分析速度快。

其中sniffer pro版可以运行在各种windows平台上。

Sniffer是一种常用的收集有用数据的方法，这些数据可以是用户的帐号和密码，还可以是一些商用机密数据等。

sniffer pro (学习笔记)边学边记系列~~~好戏马上就开始喽~~~一:sniffer pro问题集锦1.为什么SNIFFER4.75在我的机子上用不了？4.7.5 With SP5以上支持千兆以太网,一般我们从网络上下载的4.75不支持千M 网卡2.如何导入导出snifferPro定义的过滤器的过滤文件?方法一、强行覆盖法C:\Program Files\NAI\SnifferNT\Program\下面有很多Local打头的目录，对应select settings里各个profile，进入相应的local目录，用sniffer scan.csf 去覆盖Sniffer.csf(捕获过滤）或者snifferdisplay.csf（显示过滤）方法二、声东击西法C:\Program Files\NAI\SnifferNT\Program\下面有个文件Nxsample.csf，备份。

用Sniffer scan.csf替换nxsample.csf启动Sniffer新建过滤器在新建过滤器对话框的sample选择里选择相应的过滤器，建立新过滤。

反复新建，直到全部加入3.sniffer的警报日志是些做什么用的??sniffer警报日志也是sniffer专家系统的一部分,通常不正常的TCP/IP通讯会产生警报和日志.比如: ping 的反映时间太长, 某一个会话中丢包或者重传数过多,单位时间产生的广播/多播数过多等等.4.利用ARP检测混杂模式的节点文章很长,原贴位于:/viewthread.php?tid=1605.sniffer 中，utilization是按什么计算的？Octect就是字节的意思。

Sniffer表盘的利用率是根据你的网卡的带宽来计算的，如果要监测广域网带宽的话，需要使用Sniffer提供的相应的广域网接口设备：比如 Snifferbook用来接入E1、T1、RS/V等链路，这时它所显示出的带宽就是正确的广域网带宽（如非信道化E1它会显示2.048Mbs）。

Sniffer Pro抓包报告信研104 唐路 s2*******所用软件：Sniffer Pro v4.90.102使用ipconfig/all查看本机的基本信息如下：一、捕获TCP数据包传输控制协议TCP是网络上最常用的协议，本次使用平时较典型的HTTP 协议对TCP报文进行分析。

首先定义TCP过滤器，然后用本机(115.25.13.148)登陆北科大网站(202.204.60.28)进行HTTP测试。

图1显示了HTTP客户端与HTTP服务器之间在测试阶段的所有帧。

图1 TCP通讯的过程1、TCP三次握手(1)第一行表示TCP三次握手的起点。

在第一个数据包中，本机即HTTP客户端(115.25.13.148)向北科大服务器(202.204.60.28)发送了一个数据包，该数据包的目的端口D=80即是HTTP端口，源端口(2357)是网站从非保留端口范围中随机选择的。

SYN是TCP/IP建立连接时使用的握手信号，可以识别第一次握手。

序号SEQ=4106320857也是随机选择的，用来识别这次TCP对话。

(2)第二行表示TCP第二次握手。

服务器通过发送带有回执号ACK=4106320858的帧来发送回执对话，这个帧比上一个序号大1。

同时，服务器还在帧中包含了一个新的随机序号SEQ=2280077526，用来识别这次对话。

(3)第三行是三次握手的最后一帧。

本机发送了一个回执数据报ACK=2280077527，确认收到了来自服务器的帧。

这样就建立了对话。

现在本机和服务器就可以交换数据了。

2、以太网报文结构如图2所示，这是TCP第一次握手时的数据帧，在Sniffer的解码表中分别对每一个层次协议进行解码分析。

链路层对应“DLC”；网络层对应“IP”；传输层对应“TCP”；应用层对应的是“HTTP”等高层协议(由于TCP第一次握手时还未产生HTTP高层协议，所以下图不存在“HTTP”)。

Sniffer可以针对众多协议进行详细结构化解码分析，并利用树形结构良好的表现出来。