SnifferPro数据包捕获与协议分析

本节主要介绍Sniffer Pro软件的报文捕获及解码分析功能。

1. 选择网络接口⑴在计算机A上，依次单击“开始”→“程序”→“Sniffer Pro”→“Sniffer”菜单，打开Sniffer Pro软件主窗口，如图3-5所示。

图3-5 Sniffer Pro主窗口⑵在主窗口中，依次点击“文件”→“选定设置”，弹出“当前设置”窗口，如图3-6所示。

如果本地主机具有多个网络接口，且需要监听的网络接口不在列表中，可以单击“新建”按钮添加。

图3-6 “当前设置”窗口⑶选择正确的网络接口后，单击“确定”按钮。

2. 报文捕获与分析⑴在Sniffer Pro主窗口（如图3-5）中，依次单击“捕获”→“开始”菜单或直接单击工具栏中的“开始”按钮，开始捕获经过选定网络接口的所有数据包。

⑵打开IE浏览器，登录Web服务器（如），同时在主窗口观察数据捕获情况。

⑶依次单击主窗口中“捕获”→“停止并显示”菜单或直接单击工具栏中的“停止并显示”按钮，在弹出的窗口中选择“解码”选项卡，如图3-7所示。

图3-7 “解码”选项卡⑷在上侧的窗格中，选中向Web服务器请求网页内容的HTTP报文，在中间的窗格中选中一项，在下方的窗格将有相应的十六进制和ASCII码的数据与之相对应。

⑸从图3-7中间窗格的TCP报文段描述中可以看出，数据偏移为20字节，即TCP报文段的首部长度为20字节。

对照图3-3所示的TCP报文段的格式，可以清楚地分析捕获的报文段的十六进制代码，如图3-8所示。

z“源端口”字段的值0420，即为客户端（IP地址为222.24.21.129）进程使用的端口号；z“目的端口”字段的值0050（十进制表示为80），表示Web服务器（IP地址为202.117.128.8）使用了HTTP的默认端口；z“数据偏移”字段的值5，指出了TCP报文段首部的长度为20字节。

3. 定义过滤器有时我们并不关心经过网络接口的所有数据，可以通过定义过滤器来捕获指定的数据包。

实验一Sniffer Pro的使用【实验目的】1) 熟练掌握Sniffer Pro对数据包捕获的使用方法。

2) 掌握利用Sniffer Pro进行数据包结构分析、进而理解协议对数据的封装。

【实验环境】Windows XP、2003 Server等系统，Sniffer Pro软件。

【实验内容】第一部分：学习sniffer1．首先，打开Sniffer Pro程序，如果系统要求的话，还要选择一个适配器（使用哪个网卡）。

打开了程序后，会看到图中的屏幕。

图1 Sniffer Pro程序主界面2．打开Sniffer Pro程序后，选择Capture（捕获）－Start（开始），或者使用F10键，或者是工具栏上的开始箭头。

因为捕获过程需要几分钟才能完成，这时我们可以先了解如何自定义Sniffer Pro高级与捕获窗口，这样后面就可以节省一点时间。

3．下面，在Sniffer Pro程序中，会看到高级系统（Expert）被自动调用，如图2所示。

打开这个窗口后，不会看到任何东西，除非停止捕获过程才可以查看内容。

让捕获过程持续运行一段时间，这时可以自定义高级系统，这样就能实时地看到不断出现的问题。

图2 开始捕获过程时调用高级系统4．浏览图2中的屏幕。

高级窗口这时会滚动到窗口左边，只能看到工具栏，而没有任何详细资料。

如果要查看详细资料，就要找到高级窗口对话框左上角的箭头，这个箭头在“层次”这个词的右边。

单击这个箭头后，会显示出高级功能的另一部分窗口，如图3所示。

5．你可以看到我们能自定义Sniffer Pro程序用于将来的捕获过程，所以我们在下面要对如何使用高级功能进行分析。

如果要进一步自定义我们的Sniffe Pro高级功能，就要在一个视图中显示所有定义对象的详细资料。

如果再看一次图3，你会发现在高级对话框的最右边有两个卷标：一个是“总结”卷标，另一个是“对象”卷标。

在图4中，你会看到这两个卷标都消失了，被两个窗口取代。

实验二实验项目名称：利用Sniffer Pro软件进行局域网截包分析实验实验项目性质：普通实验所属课程名称：计算机网络实验计划学时：2学时（一）实验目的●对Sniffer软件的功能和使用进行简单了解，掌握利用该软件解决问题的思路和一些分析方法；●掌握利用专家分析系统诊断问题；●掌握实时监控网络活动的方法；●利用捕获工具，捕获以太网封包，掌握以太网帧的结构及各字段的功能。

（二）实验内容和要求本次实验包括四部分内容：Sniffer Pro软件的使用操作方法认识、捕获报文基本分析、捕获并分析传输控制协议TCP、捕获并分析用户数据报协议UDP。

1.Sniffer Pro软件的使用和分析方法：掌握Sniffer Pro软件的功能和使用方法，以及利用该软件解决问题的思路和一些分析方法；掌握Sniffer Pro专家分析系统诊断问题的方法。

2.任意捕获一个数据包，分析其数据链路层格式、网络层格式和传输层格式，加深学生对计算机网络分层概念的理解。

3.传输控制协议(TCP)是因特网上最常用的第四层协议，TCP可以保证数据传输的可靠性。

很多因特网服务，比如HTTP、FTP、SMTP和Telnet，都要依靠TCP来传输数据。

另外，很多传统的LAN程序，比如文件传输和SQL也都要使用TCP/IP。

4.用户数据报协议(UDP)是网络上另外一种很常用的第四层协议。

UDP由很多上层协议使用－例如，SNMP、普通文件传输协议(TFTP)和DNS。

（三）实验主要仪器设备和材料安装有Sniffer Pro软件的联网计算机。

（四）实验方法、步骤及结果测试A. Sniffer Pro软件的使用和分析方法·运行Sniffer软件，操作步骤：单击开始－>选择程序－>选择Sniffer pro －>单击Sniffer程序。

一、在进行流量捕获之前首先选择网络适配器，确定从计算机的哪个网络适配器上接收数据。

选择文件－>选定设置，请写出网络适配器的名称＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿。

sniffer工作原理
Sniffer是一种网络数据包捕捉工具，用于监控和分析网络通信的内容。

其工作原理如下：
1. 网络数据包捕获：Sniffer通过在网络接口上设置混杂模式（promiscuous mode），接收并记录通过网络传输的数据包。

在这种模式下，网卡将接收到的所有数据包都传递给操作系统，而不仅仅是针对该网卡的目的地地址或广播地址的数据包。

2. 数据包过滤与捕获：Sniffer会根据用户预定义的规则对接收到的数据包进行过滤处理，只保留满足规则要求的数据包。

这些规则可以是源/目的IP地址、端口号、协议类型等。

3. 数据包解析：Sniffer对捕获到的数据包进行解析，将网络数据包的各个部分进行拆解，并生成能够被阅读和分析的格式。

解析后的数据包可以展示源IP地址、目的IP地址、源端口号、目的端口号、协议类型、数据内容等相关信息。

4. 数据包分析：Sniffer对解析后的数据包进行进一步的分析，包括但不限于检测网络流量、监测网络通信行为、捕获网络攻击等。

通过分析这些信息，可以帮助网络管理员识别安全隐患、优化网络性能、调查网络故障等。

需要注意的是，由于Sniffer在网络上实时监控和捕获数据包，因此在使用过程中需要遵守法律法规，确保合法使用，并保护用户隐私与数据安全。

网络分析工具Sniffer Pro一、训练目标1、了解常用网络分析工具2、会使用网络分析工具Sniffer Pro二、实训环境要求利用VMware软件虚拟出一台计算机（称为“虚拟机”或“虚拟系统”），与物理机组成一个最小的网络实验环境，作为网络攻击的目标计算机，物理机作为实施网络攻击的主机。

建议安装方式：在XP系统中，安装虚拟的windows2003/2000 Server系统三、实训内容任务1：网络分析工具Sniffer Pro的使用Sniffer Pro是一种很好的网络分析程序，允许管理员逐个数据包查看通过网络的实际数据，从而了解网络的实际运行情况。

它具有以下特点：1. 可以解码至少450种协议。

除了IP、IPX和其它一些“标准”协议外，Sniffer Pro还可以解码分析很多由厂商自己开发或者使用的专门协议，比如思科VLAN中继协议(ISL)。

2. 支持主要的局域网(LAN)、城域网(WAN)等网络技术(包括高速与超高速以太网、令牌环、802.11b无线网、SONET传递的数据包、T-1、帧延迟和ATM)。

3. 提供在位和字节水平上过滤数据包的能力。

4. 提供对网络问题的高级分析和诊断，并推荐应该采取的正确措施。

5. Switch Expert可以提供从各种网络交换机查询统计结果的功能。

6. 网络流量生成器能够以千兆的速度运行。

7. 可以离线捕获数据，如捕获帧。

因为帧通常都是用8位的分界数组来校准，所以SnifferPro只能以字节为单位捕获数据。

但过滤器在位或者字节水平都可以定义。

需要注意的是，使用Sniffer捕获数据时，由于网络中传输的数据量特别大，如果安装Sniffer的计算机内存太小，会导致系统交换到磁盘，从而使性能下降。

如果系统没有足够的物理内存来执行捕获功能，就很容易造成Sniffer系统死机或者崩溃。

因此，网络中捕获的流量越多，Sniffer系统就应该运行得更快、功能更强。

sniffer pro的工作原理
Sniffer Pro是一种网络分析工具，用于在计算机网络上捕获、分析和解码网络数据包。

它的工作原理主要包括以下几个步骤：
1. 捕获数据包：Sniffer Pro通过网络接口卡或者网络设备，如交换机、路由器等，实时监听网络通信流量，并捕获经过的数据包。

2. 数据包过滤：Sniffer Pro可以根据用户定义的过滤规则来筛选感兴趣的数据包。

例如，可以根据源IP地址、目标IP地址、协议类型、端口号等条件进行过滤，以便只关注特定的网络流量。

3. 解析和重组数据包：Sniffer Pro对捕获到的数据包进行解析和重组，将二进制数据转换成可读的格式，显示出数据包的各个字段和内容。

它可以支持多种协议解析，如TCP/IP、HTTP、FTP、DNS等。

4. 分析网络流量：Sniffer Pro提供了丰富的分析功能，可以对网络流量进行统计、绘图和报表生成。

用户可以通过这些分析结果来查找网络问题、检测安全漏洞、优化网络性能等。

5. 高级功能：除了基本的捕获和分析功能，Sniffer Pro 还提供了一些高级功能，如会话重建、流量重放、协议模拟等。

这些功能可以帮助用户更深入地了解网络通信过程，并
进行相关的测试和调试工作。

总之，Sniffer Pro通过捕获、分析和解码网络数据包，提供了一个全面的工具集，用于帮助用户监控和分析计算机网络中的数据流量，以实现网络故障排查、网络性能优化和网络安全等目的。

实验八-网络性能监测分析工具Sniffer捕获高层协议数据包并分析实验目的: 使用Sniffer抓取ftp的数据报分析FTP的三次“握手”的过程。

分析FTP客户端和服务器端通信过程实验环境: Windows环境下常用的协议分析工具: sniffer 搭建Serv-U FTP Server, 在计算机上建立FTP服务器VMware虚拟机, 用虚拟机进行登录FTP。

实验内容和步骤:1. 建立网络环境。

用Serv-U FTP Server在计算机上建立一台FTP服务器, 设置IP地址为: 192.168.0.10。

在Serv-U FTP Server中已设定用户xyz, 密码123123。

（也可以自行设定其他帐号）2. 在此计算机上安装了sniffer。

3．启动该机器上的虚拟机作为一台FTP客户端, 设置IP地址为: 192.168.0.12。

4. 使用ping命令看是否连通。

记录结果。

5. 使用虚拟机登录FTP服务器。

6. 运行sniffer嗅探器, 并在虚拟机的“运行”中输入ftp://192.168.0.10, 点确定后出现如下图的登录窗口:在登录窗口中输入：用户名（xyz）, 密码（123123）使用sniffer抓包, 再在sniffer软件界面点击“stop and display”, 选择“Decode”选项, 完成FTP命令操作过程数据包的捕获。

8.在sniffer嗅探器软件上点击Objects可看到下图, 再点击“DECODE(反解码)。

记录FTP三次握手信息, 写出判断这三个数据包的依据（如syn及ack）。

记录端口信息等内容。

9．找出数据包中包含FTPUSER命令的数据包, 记录显示的用户名。

10．捕获用户发送PASS命令的数据包, 记录显示的密码。

11. 找出FTP服务器端与客户端端口20进行三次握手打开数据传输。

记录数据信息。

惠州学院《计算机网络》实验报告实验08 Sniffer Pro数据包捕获与协议分析1。

实验目的（1）了解Sniffer的工作原理.(2）掌握SnifferPro工具软件的基本使用方法。

(3）掌握在非交换以太网环境下侦测、记录、分析数据包的方法。

2。

实验原理数据在网络上是以很小的被称为“帧"或“包”的协议数据单元（PDU)方式传输的.以数据链路层的“帧"为例，“帧"由多个部分组成，不同的部分对应不同的信息以实现相应的功能，例如，以太网帧的前12个字节存放的是源MAC地址和目的MAC地址，这些数据告诉网络该帧的来源和去处，其余部分存放实际用户数据、高层协议的报头如TCP／IP的报头或IPX报头等等.帧的类型与格式根据通信双方的数据链路层所使用的协议来确定，由网络驱动程序按照一定规则生成，然后通过网络接口卡发送到网络中，通过网络传送到它们的目的主机。

目的主机按照同样的通信协议执行相应的接收过程.接收端机器的网络接口卡一旦捕获到这些帧,会告诉操作系统有新的帧到达，然后对其进行校验及存储等处理.在正常情况下，网络接口卡读入一帧并进行检查，如果帧中携带的目的MAC地址和自己的物理地址一致或者是广播地址，网络接口卡通过产生一个硬件中断引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理，否则就将这个帧丢弃。

如果网络中某个网络接口卡被设置成“混杂"状态，网络中的数据帧无论是广播数据帧还是发向某一指定地址的数据帧,该网络接口卡将接收所有在网络中传输的帧，这就形成了监听。

如果某一台主机被设置成这种监听（Snfffing）模式，它就成了一个Sniffer.一般来说，以太网和无线网被监听的可能性比较高，因为它们是一个广播型的网络，当然无线网弥散在空中的无线电信号能更轻易地截获。

3. 实验环境与器材本实验在虚拟机中安装SnifferPro4。

7版本，要求虚拟机开启FTP、HTTP等服务，即虚拟机充当服务器,物理机充当工作站。

sniffer工作原理Sniffer是一种网络安全工具，它可以截获网络数据包并分析其中的内容。

Sniffer的工作原理是通过网络接口卡（NIC）将数据包从网络中截获，然后将数据包传递给分析程序进行分析。

Sniffer的工作流程可以分为以下几个步骤：1. 捕获数据包Sniffer通过网络接口卡（NIC）截获网络数据包。

NIC是计算机与网络之间的接口，它可以将计算机发送的数据转换成网络数据包，并将网络数据包转换成计算机可以理解的数据。

Sniffer通过NIC截获网络数据包，然后将数据包传递给分析程序进行分析。

2. 分析数据包Sniffer将截获的数据包传递给分析程序进行分析。

分析程序可以根据需要对数据包进行过滤、排序、统计等操作，并将分析结果输出到屏幕或保存到文件中。

分析程序可以根据需要对数据包进行深度分析，例如分析数据包中的协议、源地址、目的地址、端口号等信息。

3. 显示分析结果Sniffer将分析程序输出的结果显示到屏幕上。

分析结果可以以图形化界面或命令行方式呈现，用户可以根据需要选择不同的显示方式。

分析结果可以帮助用户了解网络中的流量情况，发现网络中的异常行为，提高网络安全性。

Sniffer的应用场景非常广泛，可以用于网络管理、网络安全、网络故障排除等方面。

例如，网络管理员可以使用Sniffer来监控网络流量，发现网络中的异常行为，及时采取措施保障网络安全；网络安全专家可以使用Sniffer来分析网络攻击行为，发现攻击者的攻击手段和目的，提高网络安全性；网络工程师可以使用Sniffer来排查网络故障，快速定位故障点，提高网络可靠性。

总之，Sniffer是一种非常实用的网络安全工具，它可以帮助用户了解网络中的流量情况，发现网络中的异常行为，提高网络安全性。

Sniffer的工作原理是通过网络接口卡（NIC）将数据包从网络中截获，然后将数据包传递给分析程序进行分析。

Sniffer的应用场景非常广泛，可以用于网络管理、网络安全、网络故障排除等方面。

sniffer实验报告实验报告：Sniffer实验引言：Sniffer是一种网络工具，用于捕获和分析网络数据包。

它可以帮助我们了解网络通信的细节，并帮助网络管理员识别和解决网络问题。

本实验旨在介绍Sniffer的原理和应用，以及通过实际操作来深入了解其功能和效果。

一、Sniffer的原理和工作机制Sniffer工作在网络的数据链路层，通过监听网络上的数据包来获取信息。

它可以在网络中的一个节点上运行，或者通过集线器、交换机等设备进行监测。

Sniffer通过网卡接口，将数据包拷贝到自己的缓冲区中，然后进行解析和分析。

二、Sniffer的应用领域1. 网络故障排查：Sniffer可以帮助管理员快速定位网络故障的原因，通过捕获数据包并分析其中的错误信息，找到导致网络中断或延迟的问题源。

2. 安全监测：Sniffer可以用于检测网络中的恶意行为，如入侵、数据泄露等。

通过分析数据包的内容和流量模式，管理员可以发现异常活动并采取相应措施。

3. 性能优化：Sniffer可以监测网络的吞吐量、延迟等性能指标，帮助管理员优化网络结构和配置，提高网络的传输效率和响应速度。

4. 协议分析：Sniffer可以解析各种网络协议，包括TCP/IP、HTTP、FTP等，帮助管理员了解网络通信的细节和流程，从而更好地管理和优化网络。

三、实验步骤与结果1. 硬件准备：连接电脑和网络设备，确保网络正常运行。

2. 软件安装：下载并安装Sniffer软件，如Wireshark等。

3. 打开Sniffer软件：选择合适的网卡接口，开始捕获数据包。

4. 分析数据包：通过过滤器设置，选择需要分析的数据包类型，如HTTP请求、FTP传输等。

5. 结果分析：根据捕获的数据包，分析网络通信的细节和问题，并记录相关信息。

6. 故障排查与优化：根据分析结果，定位网络故障的原因，并采取相应措施进行修复和优化。

实验结果显示，Sniffer软件成功捕获了网络中的数据包，并能够准确地分析其中的内容和流量模式。

sniffer pro协议分析软件合同编号：__________第一章：合同双方基本信息1.1.1名称：________________1.1.2地址：________________1.1.3联系人：________________1.1.4联系电话：________________1.2.1名称：________________1.2.2地址：________________1.2.3联系人：________________1.2.4联系电话：________________第二章：合同目的第三章：软件交付与验收3.1软件交付：3.1.1乙方应在合同签订后__个工作日内，将软件安装包及相关文档通过电子邮件或在线传输方式交付给甲方。

3.1.2乙方应确保交付的软件符合甲方要求，且无病毒、木马等恶意程序。

3.2软件验收：3.2.1甲方应在收到软件后__个工作日内进行验收，并出具验收报告。

3.2.2若验收合格，双方签署验收报告，验收合格视为软件交付完成；若验收不合格，甲方有权要求乙方在指定期限内进行整改，直至验收合格。

第四章：软件使用与维护4.1软件使用：4.1.1甲方应按照乙方的使用说明和技术支持，合理使用软件，不得进行非法破解、复制、传播等行为。

4.1.2甲方在软件使用过程中，如遇到问题，可向乙方提出技术支持请求。

4.2软件维护：4.2.1乙方应提供软件的日常维护服务，确保软件正常运行。

4.2.2乙方应在甲方提出维护请求后__个工作小时内响应，并在指定期限内解决问题。

第五章：软件升级与售后服务5.1软件升级：5.1.1乙方应及时向甲方提供软件升级版本，确保甲方使用的是最新版本。

5.1.2甲方在软件升级过程中，如需技术支持，乙方应提供必要的协助。

5.2售后服务：5.2.1乙方应提供软件的售后服务，包括但不限于技术支持、使用培训等。

5.2.2乙方应在甲方提出售后服务请求后__个工作小时内响应，并在指定期限内提供相应服务。

超级网络嗅探器——Sniffer pro 的使用Sniffer软件是NAI公司推出的功能强大的协议分析软件。

实现对网络的监控，更深入地了解网络存在的问题，检测和修复网络故障和安全问题。

Sniffer可以监听到网上传输的所有信息，主要用来接收在网络上传输的信息。

Sniffer可以截获口令、专用信道内的信息、信用卡号、经济数据、E-mail等，还可以用来攻击与自己相临的网络。

Sniffer的功能主要包括如下几方面：捕获网络流量进行详细分析。

利用专家分析系统诊断问题。

实时监控网络活动情况。

监控单个工作站、会话或者网络中任何一部分的网络利用情况和错误统计。

支持主要的LAN、WAN和网络技术。

提供在位和字节水平过滤数据包的能力。

1 Sniffer Pro的启动和设置2 理解Sniffer Pro主要4种功能组件的作用：监视：实时解码并显示网络通信流中的数据。

捕获：抓取网络中传输的数据包并保存在缓冲区或指定的文件中，供以后使用。

分析：利用专家系统分析网络通信中潜在的问题，给出故障症状和诊断报告。

显示：对捕获的数据包进行解码并以统计表或各种图形方式显示在桌面上。

3 学会sniffer工具的基本使用方法，用sniffer捕获报文并进行分析。

环境：windows XP， windows 7，能访问INTERNET。

Sniffer pro主界面在默认情况下，Sniffer将捕获其接入的域中流经的所有数据包，但在某些场景下，有些数据包可能不是我们所需要的，为了快速定位网络问题所在，有必要对所要捕获的数据包作过滤。

Sniffer提供了捕获数据包前的过滤规则的定义，过滤规则包括2、3层地址的定义和几百种协议的定义。

定义过滤规则的做法一般如下：(1) 在主界面选择【Capture】→【Define Filter】。

(2) 在“Define Filter”对话框中选择“Address”选项卡，这是最常用的定义。

其中包括MAC地址、IP地址和IPX地址的定义。

banker将向网友介绍如何使用snifferpro来监控ARP欺骗行为。

文中会介绍一些更为简便和直截了当的snffer程序，它们都属于snffer程序的一种，只是在功能上更有针对性。

一、使用snifferpro监控ARP实际上，使用snifferpro程序的监控功能能够更方便、更为迅速的关心我们定位咨询题。

步骤一：首先，我们在差不多做了端口镜像的机器上启动snfferpro程序。

选择菜单栏中Monitor→DefineFilter来定义我们需要的过滤器。

在弹出的defineFilter对话框中选择Profiles→New来新建一个过滤器，我们那个地方取名为ARP。

图1步骤二：点击Advanced高级标签，我们那个地方选中ARP协议。

单击OK后完成过滤器的新建。

图2步骤三：系统默认过滤器为Default，我们来选择刚刚新建过滤器ARP。

首先，选择Monitor →SelectFilter。

图3步骤四：在弹出的对话框中点击ARP。

在那个地方要注重的是：一定要把Applymonitor勾选。

点击确定后，过滤器定义和选择工作预备完毕。

图4步骤五：鼠标点击工具栏中HostTable按钮(联网图标)，在弹出的子窗口中选择Detail工具(放大镜图标)。

注重瞧瞧本图同之前程序使用默认DefaultFilter过滤器的不同之处。

现在，按照我们的定义，监视器内Protocol(协议类型)仅包括IP_ARP.这关于我们查寻咨询题，层次上更加清晰。

那个地方需要注重的是：①那个地方的Address(地址)以IP或者机器名的形式显示，假如显示MAC，请先使用Tools →Addressbook进行扫描，IP-MAC的显示转换后，将有利于我们快速定位节点。

②网内终端中所有ARP播送包的和，合计后等于Broadcast数据包(播送包)。

图5步骤六：我们先来瞧瞧，在正常网络状况下，ARP协议的TOP流量分布图，这将方便我们的区分、判定。

一、实验目的：练习sniffer工具的基本使用方法，用sniffer捕获报文并进行分析。

二、实验环境：通过集线器连接的多台PC，预装Windows 2000 Professional。

三、实验内容：
1、捕获数据包
（1）选择Monitor|Matrix命令，此时可看到网络中的Traffic Map 视图。

（2）选择Capture|Define Filter命令，然后在Advanced选项卡中选中IP，从而定义要捕捉的数据包类型。

（3）回到Traffic Map视图中，选中要捕捉的主机IP地址，然后单击鼠标右键，选择Capture命令，sniffer则开始捕捉指定IP地址的主机的数据包。

2、分析捕获的数据包
（1）从Capture Panel中看到捕获的数据包达到一定数量后，停止
捕捉，单击Stop and Display按钮，就可以停止捕获包。

（2）窗口中列出了捕捉到的数据，选中某一条数据后，下面分别
显示出相应的数据分析和原始的数据包。

单击窗口中的某一条数
据，可以看到下面相应的地方的背景变成灰色，表明这些数据与
之对应。

四、实验界面：
五、结论
sniffer软件是NAI公司推出的功能强大的协议分析软件。

Sniffer支持的协议丰富，解码分析速度快。

其中sniffer pro版可以运行在各种windows平台上。

Sniffer是一种常用的收集有用数据的方法，这些数据可以是用户的帐号和密码，还可以是一些商用机密数据等。

网络嗅探与协议分析（1）（Sniffer软件应用）一、实验目的和意义网络嗅探器sniffer可以监听到所有流经同一以太网网段的数据包，不管它的接收者或发送者是不是运行sniffer的主机。

通过在网络上拦截（接收）数据包并做出分析，来确定该数据包使用了什么协议，是TCP/IP协议，还是UDP协议等，并同时分析出不同数据包的结构，再从中得到具体的内容，如帧的源MAC和目的MAC地址、IP地址、TCP序号等，这些数据内容还可以是用户的帐号和密码，以及一些商用机密数据等。

sniffer几乎能得到以太网上传送的任何数据包，黑客也就会使用各种方法Sniffer是NAI公司推出的协议分析软件，它支持丰富的协议，在网络特殊应用尤其是在网络管理过程中，可以通过计算机的网络接口，从网络上截获目的地为其他计算机的数据报文，利用专家分析系统，对捕获到的数据帧进行快速解码分析，诊断收集到的数据，实时监控网络活动，网络运行状态和错误信息等，是网络管理的有力工具。

本实验通过sniffer软件的应用，监视并分析TCP/UDP应用层程序在客户端和服务器间的交互（如Telnet、HTTP、FTP、DNS等的应用），加强对TCP连接中的三次握手过程及相关网络原理、协议及相关技术的掌握，同时熟练掌握涉及网络管理、网络安全方面的技术技能，为今后的网络管理、网络开发应用打下良好基础。

二、实验原理1、网络嗅探网络中处于同一个网段上的所有网络接口都有一个不同的硬件地址，每个网络还有一个广播地址。

在正常工作情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的报文则不予响应，因为此网络接口应该只响应： 1）帧的目标地址和本机网络接口的硬件地址相匹配；2）帧的目标区域具有"广播地址"，这样的两种数据帧。

在接收到上面两种情况的数据包时，nc通过cpu产生一个硬件中断，由操作系统将帧中所包含的数据传送给系统进一步处理。