FortiGate 用Sniffer 命令抓包分析说明文档-FGT、系统管理、培训

FortiGate 用Sniffer 命令抓包分析说明文档

更多：https://www.360docs.net/doc/fc18040848.html,

说明：

本文档针对FortiGate 产品的后台抓包命令使用进行说明，相关详细命令参照相关手册。

在使用后台抓包分析命令时，建议大家使用如SecureCRT 这样的远程管理工具，通过telnet 或者ssh 的方式登陆到网关，由于UTM 本身不支持将抓包的结果保存在设备自身的存储空间，因此需要借助SecureCRT 这样远程管理工具接收文件。

1．基本命令

命令: diagnose sniffer packet.

# diag sniffer packet <'filter'>

2．参数说明

2.1 interface

指定实际的接口名称，可以是真实的物理接口名称，也可以是VLAN 的逻辑接口名称，当使用“any”关键字时，表示抓全部接口的数据包。例：

＃diag sniffer packet port1 //表示抓物理接口为port1 的所有数据包

＃diag sniffer packet any //表示抓所有接口的所有数据包

＃diag sniffer packet port1-v10 //当在物理接口建立一个VLAN 子接口，其逻辑接口名为port1-v10，此时表示抓port1-v10 接口的所有数据包，此处一定注意一个问题，由于抓包命令中的空格使用来区分参数字段的，但是在逻辑接口创建时，接口名称支持空格，考虑到今后抓包分析的方便，建议在创建逻辑接口时不要带有空格。

2.2 verbose

指控制抓取数据包的内容

1: print header of packets, //只抓取IP的原地址、源端口、目的地址、目的端口和数据包

的Sequence numbers 为系统缺省设置

2: print header and data from ip of packets, //抓取IP数据包的详细信息，包括IP数据的

payload。

3: print header and data from ethernet of packets) ，//抓取IP数据包的详

细信息，包

括IP数据的payload，导出到文本文件可以使有专用的转换工具，转换为Ethereal支持文件格式

例：

【例1】抓所有接口（interface=any）的任何数据包（filter=none），级别1 （verbose＝1）

FG-UTM # dia sni pa any none 1

interfaces=[any]

filters=[none]

nr=2048,fr=1584,b_nr=1024,pg=4096

3.710103 127.0.0.1.1029 -> 127.0.0.1.53: udp 40

【例2】抓所有接口（interface=any）的任何数据包（filter=none），级别2 （verbose＝2），会显示数据包的payload信息。

# diag sniffer packet internal none 2 1

192.168.0.1.22 -> 192.168.0.30.1144: psh 2867817048 ack 1951061933

0x0000 4510 005c 8eb1 4000 4006 2a6b c0a8 0001 E..\..@.@.*k....

0x0010 c0a8 001e 0016 0478 aaef 6a58 744a d7ad .......x..jXtJ..

0x0020 5018 0b5c 8ab9 0000 9819 880b f465 62a8 P..\.........eb.

0x0030 3eaf 3804 3fee 2555 8deb 24da dd0d c684 >.8.?.%U..$.....

0x0040 08a9 7907 202d 5898 a85c facb 8c0a f9e5 ..y..-X..\......

0x0050 bd9c b649 5318 7fc5 c415 5a59 ...IS.....ZY

【例3】抓所有接口（interface=any）的任何数据包（filter=none），级别3 （verbose＝3），会显示数据包的payload信息。

FG-UTM # dia sni pa any none 3

interfaces=[any]

filters=[none]

nr=2048,fr=1584,b_nr=1024,pg=4096

3.770099 127.0.0.1.1029 -> 127.0.0.1.53: udp 40

0x0000 0004 0304 0000 0000 9200 0000 2a00 0800

2.3 count

指使有抓包命令抓取的数据包的数量

例：

# diag sniffer packet internal none 1 3

192.168.0.30.1156 -> 192.168.0.1.80: syn 2164883624

192.168.0.1.80 -> 192.168.0.30.1156: syn 3792179542 ack 2164883625

192.168.0.30.1156 -> 192.168.0.1.80: ack 3792179543

说明：抓取internal 接口，不使有任何过滤器（及none）级别为1，抓取3

个数据包。此处，注意“none”必须要，代表过滤器的类型；注意“1”必须要，否则系统会自动识别为参数。

2.4 filter

抓包文件过滤器

语法：'[[src|dst] host] [[src|dst]

host] [[arp|ip|gre|esp|udp|tcp] [port_num]]

[[arp|ip|gre|esp|udp|tcp] [port_num]]'

此处一定注意任何过滤语法必须使用单引号包含，否则会有问题。

第二种简单语法，适用于主机的会话抓包，无源和目的地址之分

'udp and port 1812 and host client1 and \( client2 or client3 \)'

【例1】使用源地址和目的地址过滤抓包

# diag sniffer packet internal 'src host 192.168.0.130 and dst

host 192.168.0.1' 1

192.168.0.130.3426 -> 192.168.0.1.80: syn 1325244087

192.168.0.1.80 -> 192.168.0.130.3426: syn 3483111189 ack 1325244088

192.168.0.130.3426 -> 192.168.0.1.80: ack 3483111190

192.168.0.130.3426 -> 192.168.0.1.80: psh 1325244088 ack 3483111190

192.168.0.1.80 -> 192.168.0.130.3426: ack 1325244686

192.168.0.130.1035 -> 192.168.0.1.53: udp 26

192.168.0.130.1035 -> 192.168.0.1.53: udp 42

192.168.0.130.1035 -> 192.168.0.1.53: udp 42

192.168.0.130 -> 192.168.0.1: icmp: echo request

192.168.0.130.3426 -> 192.168.0.1.80: psh 1325244686 ack 3483111190

192.168.0.1.80 -> 192.168.0.130.3426: ack 1325244735

192.168.0.130 -> 192.168.0.1: icmp: echo request

【例2】使用源地址和目的地址、以及TCP 关键词过滤抓两个地址间的TCP 流量

# diag sniffer packet internal 'src host 192.168.0.130 and dst host

192.168.0.1 and tcp' 1

192.168.0.130.3569 -> 192.168.0.1.23: syn 1802541497

192.168.0.1.23 -> 192.168.0.130.3569: syn 4238146022 ack 1802541498

192.168.0.130.3569 -> 192.168.0.1.23: ack 4238146023

【例3】使用地址（含源地址和目的地址）、以及ICMP 关键词过滤抓某个地址间的ICMP 流量

# diag sniffer packet internal 'host 192.168.0.130 and icmp' 1

192.168.0.130 -> 192.168.0.1: icmp: echo request

192.168.0.1 -> 192.168.0.130: icmp: echo reply

【例4】使用ICMP 关键词抓所有地址间的ICMP 流量

FG-UTM # diagnose sniffer packet port8 'icmp'

0.340847 10.7.10.100 -> 10.7.10.1: icmp: echo request

0.340869 10.7.10.1 -> 10.7.10.100: icmp: echo reply

1.340982 10.7.10.100 -> 10.7.10.1: icmp: echo request

1.340997 10.7.10.1 -> 10.7.10.100: icmp: echo reply

【例5】使用地址（含源地址和目的地址）、以及TCP 的端口关键词过滤抓两个地址间的TCP 对应端口流量

# diag sniffer packet internal 'host 192.168.0.130 or host 192.168.0.1

and tcp and port 80' 1

192.168.0.130.3625 -> 192.168.0.1.80: syn 2057246590

192.168.0.1.80 -> 192.168.0.130.3625: syn 3291168205 ack 2057246591

192.168.0.130.3625 -> 192.168.0.1.80: ack 3291168206

192.168.0.130.3625 -> 192.168.0.1.80: psh 2057246591 ack 3291168206

192.168.0.1.80 -> 192.168.0.130.3625: ack 2057247265

【例6】使用接口、以及TCP 的端口关键词过滤抓多个地址间的TCP 非对应端

口流量，下例为不抓取23 端口的TCP 流量

FG-UTM # diagnose sniffer packet any 'tcp and port !23'

interfaces=[any]

filters=[tcp and port !23]

nr=8192,fr=1680,b_nr=4096,pg=4096

9.323698 10.7.10.100.1853 -> 10.7.10.1.443: syn 4042810565

9.323786 10.7.10.1.443 -> 10.7.10.100.1853: syn 177080791 ack 4042810566

9.324070 10.7.10.100.1853 -> 10.7.10.1.443: ack 177080792

9.326695 10.7.10.100.1853 -> 10.7.10.1.443: psh 4042810566 ack 177080792

9.326765 10.7.10.1.443 -> 10.7.10.100.1853: ack 4042810644

【例7】使用接口、以及IP 的协议端口proto 关键词过滤抓多个地址间的IP

层对应端口流量，下例为抓取IP 层协议号为 1 的及ICMP 的流量

FG-UTM # diagnose sniffer packet port8 'ip proto 1'

interfaces=[port8]

filters=[ip proto 1]

nr=8192,fr=1664,b_nr=4096,pg=4096

5.701978 10.7.10.100 -> 10.7.10.1: icmp: echo request

5.702056 10.7.10.1 -> 10.7.10.100: icmp: echo reply

6.694490 10.

7.10.100 -> 10.7.10.1: icmp: echo request

3．使用转化工具的方法

首先，由于UTM 自身不支持抓包信息的存储，必须使有其他工具进行抓包

信息的收集，本文档使有SecureCRT 进行文本收集。

其次，使用抓包命令的级别为3，此时导出的文件才能被ethereal

识别。

第三，要获取大量信息时，使有SecureCRT 工具应该通过远程数据连接（telnet 或者时SSH 方式，使用主机串口工作在这种模式下，由于串口速率的问题，无法获得大量数据。

第四，使用单独提供的文件进行转换，主机必须提前perl 的解释程序和Ethereal 软件，并在提供的转换使用的脚本文件中做必要的路径指向。

3.1 SecureCRT 的配置

正常安装SecureCRT 软件，并通过远程方式登陆到UTM 网关。

1、配置：文件接收――工具栏――Transfer――Receive ASCII

2、选择配置文件存储的路径，文件格式为*.txt

执行抓包命令：

FG-UTM # diagnose sniffer packet any none 3

其中3 代表抓包的输出文件支持经过转换为Ethereal 格式文件。

3.2 编辑使用的脚本文件

编辑提供的转换文件脚本fgt2eth.pl，修改脚本的第59 行，此处需要指明Ethereal 的安装路径，下例中Ethereal 抓包分析软件安装在D 分区的根目录的Ethereal 目录下，只需要指明安装目录即可，注意使用\\

第65 行：my $text2pcapdirwin = "d:\\Ethereal";

转换文件脚本fgt2eth.pl 请参考本文档『附录』，注意一定要进行必要的编辑。

3.3 转换操作

1、首先正常安装Perl 解释器，本例使用的是ActivePerl 5.8.8 Build 819 版本的

perl 语言工具。（工具可以自己从网上下载）

2、在DOS 命令行执行

C:\>perl D:\ fgt2eth.pl -in D:\packet

[转换脚本文件的路径和文件名] [输入参数] [输入抓包获取的文件名]

缺省的输出文件与输入的相同路径下。

C:\>perl D:\fgt2eth.pl -in D:\packet

Conversion of file D:\packet phase 1 (FG verbose 3 conversion)

Output written to D:\packet.eth.

Conversion of file D:\packet phase 2 (windows text2pcap)

Ouput file to load in Ethereal is 'D:\packet.eth'

上例显示，转换成功，转化输出的文件在D 分区下，转换生成的文件为packet.eth'。

如果需要改变输出的文件名，执行命令：

C:\>perl D:\ fgt2eth.pl -in D:\packet –out D:\[输出文件名]

3、使用Ethereal 打开生成的转换文件

上图显示生成的文件可以正常打开，并使用Ethereal 工具分析。

附录：

Fgt2eth.pl

共享网络嗅探工具(如Sniffer Pro)的功能使用和结构分析和IP地址欺骗扫描工具Hping2的使用

课程设计II报告 （2011 / 2012 学年第一学期） 题目1：共享网络嗅探工具（如Sniffer Pro）的功能使用和结构分析 题目2：IP地址欺骗扫描工具Hping2的使用 专业 学生姓名 班级学号 指导教师 指导单位 日期年月日

指导教师成绩评定表 学生姓名刘铭菲班级学号08001019 专业信息安全 评分内容评分标准优秀良好中等差 平时成绩认真对待课程设计，遵守实验室规定，上机不迟到早退，不做和设计无关的事 设计成果设计的科学、合理性 功能丰富、符合题目要求界面友好、外观漂亮、大方程序功能执行的正确性 程序算法执行的效能 设计报告设计报告正确合理、反映系统设计流程文档内容详实程度 文档格式规范、排版美观 验收答辩 简练、准确阐述设计内容，能准确有条理回答各 种问题，系统演示顺利。 评分等级 指导教师 简短评语 指导教师签名日期 备注评分等级有五种：优秀、良好、中等、及格、不及格

实验一Sniffer Pro的使用 一．课题内容和要求 1) 熟练掌握Sniffer Pro对数据包捕获的使用方法。 2) 掌握利用Sniffer Pro进行数据包结构分析、进而理解协议对数据的封装。 重点：1) Sniffer Pro对数据包捕获的使用方法。 2) 利用Sniffer Pro进行数据包结构分析。 难点：Sniffer Pro进行数据包结构分析。 【实验环境】 Windows XP、2003 Server等系统，Sniffer Pro软件。 二、设计思路分析 打开snifeer 软件，出现下图，这个界面是用来选择要抓包得网卡，选择好了之后点击OK 常用功能介绍 1、Dashboard （网络流量表） 点击图1中①所指的图标，出现三个表，第一个表显示的是网络的使用率，第二个表显示的是网络的每秒钟通过的包数量，第三个表显示的是网络的每秒错误率。通过这三个表可以直观的观察到网络的使用情况，红色部分显示的是根据网络要求设置的上限。

sniffer软件的初步使用方法

使用Sniffer工具分析以太网帧和IP数据报 一、实验目的 通过使用Sniffer Pro软件掌握Sniffer(嗅探器)工具的使用方法，实现捕捉FTP、HTTP等协议的数据包，以理解TCP／IP协议中多种协议的数据结构。 二、实验原理 Sniffer即网络嗅探器，用于监听网络中的数据包，分析网络性能和故障。Sniffer 主要用于网络管理和网络维护，系统管理员通过Sniffer可以诊断出通过常规工具难以解决的网络疑难问题，包括计算机之间的异常通信、不同网络协议的通信流量、每个数据包的源地址和目的地址等，它将提供非常详细的信息。 通常每个网络接口都有一个互不相同的硬件地址(MAC地址)，同时，每个网段有一个在此网段中广播数据包的广播地址(代表所有的接口地址)。一般情况下，一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，并由操作系统进一步进行处理，同时丢弃不是发给自己的数据帧。 通过Sniffer工具，可以将网络接口设置为“混杂”(promiscuous)模式。在这种模式下，网络接口就处于一个对网络进行“监听”的状态，它可以监听此网络中传输的所有数据帧-而不管数据帧的目标地址是广播地址还是自己或者其它网络接口的地址了。它将对遭遇的每一个数据帧产生硬件中断．交由操作系统对这个帧进行处理，比如截获这个数据帧，进而实现实时分析数据帧中包含的内容。 当然，如果一个数据帧没有发送到目标主机的网络接口，则目标主机将无法监听到该帧。所以Sniffer所能监听到的信息将仅限于在同一个物理网络内传送的数据帧．就是说和监听的目标中间不能有路由(交换)或其它屏蔽广播包的设备。因此。当Sniffer 工作在由集线器(hub)构建的广播型局域网时，它可以监听到此物理网络内所有传送的数据；而对于由交换机(switch)和路由器(router)构建的网络中，由于这些网络设备只根据目标地址分发数据帧，所以在这种网络中，Sniffer工具就只能监测到目标地址是自己的数据帧再加上针对广播地址的数据帧了。 Sniffer工作在OSI模型中的第2层，它一般在已经进入对方系统的情况下使用。实验中要注意，虽然Sniffer能得到在局域网中传送的大量数据，但是不加选择的接收所有的数据包，并且进行长时间的监听，那么你需要分析的数据量将是非常巨大的，并且会浪费大量硬盘空间。 Sniffer工具分为软件和硬件两大类，在这里我们主要以Sniffer Pro软件为例对Sniffer工具的使用方法和功能进行简单的介绍。当然，Sniffer软件工具还有很多种，例如 SQLServerSniffer、FsSniffer等，它们的功能和使用的环境有所不同，如果读者感兴趣，可以自己进行深入探索。 对于Sniffer工具的防范可以从以下几个方面进行：首先，如果通过网管工具发现在局域网内存在长时间占用较大带宽的计算机，这台计算机可能在进行嗅探：其次，Sniffer的记录文件增长很快，通过分析文件系统大小的变换情况，可以找到这个文件；最后，如果计算机的网络接口处于混杂模式下(在Unix环境下通过ifconfig -a命令查看网络接口状态)，则它很可能运行了Sniffer。通过上面的几种方法，可以对Sniffer 进行分析监测。除了这些间接分析方法外，还可以利用AntiSniff工具，它具有直接检测Sniffer的功能，从而可以对Sniffer进行有效防范。

sniffer使用及图解

sniffer使用及图解 sniffer软件的安装还是比较简单的，我们只需要按照常规安装方法进行即可。需要说明的是: 在选择sniffer pro的安装目录时，默认是安装在c:\program files\nai\snifferNT目录中，我们可以通过旁边的Browse按钮修改路径，不过为了更好的使用还是建议各位用默认路径进行安装。 在注册用户时，随便输入注册信息即可，不过EMAIL一定要符合规范，需要带“@”。（如图1） 注册诸多数据后我们就来到设置网络连接状况了，一般对于企业用户只要不是通过“代理服务器”上网的都可以选择第一项——direct connection to the internet。（如图2）

接下来才是真正的复制sniffer pro必需文件到本地硬盘，完成所有操作后出现setup complete提示，我们点finish按钮完成安装工作。 由于我们在使用sniffer pro时需要将网卡的监听模式切换为混杂，所以不重新启动计算机是无法实现切换功能的，因此在安装的最后，软件会提示重新启动计算机，我们按照提示操作即可。（如图3） 重新启动计算机后我们可以通过sniffer pro来监测网络中的数据包。我们通过“开始->所有程序->sniffer pro->sniffer”来启动该程序。 第一步：默认情况下sniffer pro会自动选择你的网卡进行监听，不过如果不能自动选择或者本地计算机有多个网卡的话，就需要我们手工指定网卡了。方法是通过软件的file菜单下的select settings来完成。 第二步：在settings窗口中我们选择准备监听的那块网卡，记得要把右下角的“LOG ON”前打上对勾才能生效，最后点“确定”按钮即可。（如图4） 第三步：选择完毕后我们就进入了网卡监听模式，这种模式下将监视本机网卡流量和错误数据包的情况。首先我们能看到的是三个类似汽车仪表的图象，

用Sniffer抓包分析以太网帧-抓包分析ICMP错误响应

用Sniffer抓包分析以太网帧-抓包分析ICMP错误响应 2007-08-22 10:02 用sniffer抓icmp包来分析。 1。ping 192.168.1.1 -l 0 ping一个ip，指定携带的数据长度为0 抓包分析如图： 从图上的1处我们可以看到这个数据总大小是：60byte 从2处看到ip数据总长度：28byte ip数据为什么是28byte？ 因为ip头部是20个字节（4处标记的），而icmp头部是8个字节，因为我们的ping是指定数据长度为0的，所以icmp里不带额外数据，即： 28＝20＋8 而我们知道以太网类型帧头部是6个字节源地址＋6个字节目标地址＋2个字节类型＝14字节 以太网帧头部＋ip数据总长度＝14＋28＝42 注意3处标记的，填充了18个字节。 42＋18＝60 刚好等于总长度，其实这里我们需要注意到这里捕捉到帧不含4个字节的尾部校验，如果加

上4字节尾部校验，正好等于64！ 64恰好是以太类型帧最小大小。 在图中我们还可以看到这个帧没有分割，flags＝0x，因为不需要分割。第15个字节TOS的含义如下： 15 00 // TOS ( type of service, //bit 0 = 0, CE bit - no congestion; //bit1 = 0, ECT bit - transport protocol will ignore the CE bit; //bit 2 =0, normal reliability; //bit 3 = 0, normal throughtput; //bit 4 = 0, normal delay; //bit 5 ~ bit 7 = 000, routine. 再分析一个 ping 192.168.1.1 -l 64 数据大小106byte 106－14（以太类型帧头部）=92 刚好等于ip部分的显示大小 92－20（ip）－8（icmp头）＝64 刚好等于我们指定的64字节ping 包

Sniffer入门使用教程

目录 第1章 Sniffer软件简介............................................................................................................ 1-1 1.1 概述.................................................................................................................................... 1-1 1.2 功能简介............................................................................................................................. 1-1第2章报文捕获解析................................................................................................................ 2-1 2.1 捕获面板............................................................................................................................. 2-1 2.2 捕获过程报文统计.............................................................................................................. 2-1 2.3捕获报文查看..................................................................................................................... 2-2 2.4设置捕获条件..................................................................................................................... 2-4第3章报文放送 ...................................................................................................................... 3-1 3.1 编辑报文发送 ..................................................................................................................... 3-1 3.2捕获编辑报文发送 ............................................................................................................. 3-2第4章网络监视功能................................................................................................................ 4-1 4.1 Dashbord ........................................................................................................................... 4-1 4.2 Application Response Time (ART) .................................................................................... 4-1第5章数据报文解码详解......................................................................................................... 5-1 5.1数据报文分层..................................................................................................................... 5-1 5.2以太报文结构..................................................................................................................... 5-1 5.3 IP协议................................................................................................................................ 5-3 5.4 ARP协议............................................................................................................................ 5-5 5.5 PPPOE协议......................................................................................................................... 5-6 5.6 Radius协议 ....................................................................................................................... 5-9

sniffer使用及图解教程

sniffer使用及图解 注：sniffer使用及图解sniffer pro 汉化注册版下载 黑白影院高清免费在线电影聚集网无聚集无生活，聚集网络经典资源下载 sniffer软件的安装还是比较简单的，我们只需要按照常规安装方法进行即可。需要说明的是: 在选择sniffer pro的安装目录时，默认是安装在c:\program files\nai\snifferNT目录中，我们可以通过旁边的Browse按钮修改路径，不过为了更好的使用还是建议各位用默认路径进行安装。 在注册用户时，随便输入注册信息即可，不过EMAIL一定要符合规范，需要带“@”。（如图1） 图1 点击放大 注册诸多数据后我们就来到设置网络连接状况了，一般对于企业用户只要不是通过“代理服务器”上网的都可以选择第一项——direct connection to the internet。（如图2） 图2 接下来才是真正的复制sniffer pro必需文件到本地硬盘，完成所有操作后出现setup complete提示，我们点finish按钮完成安装工作。 由于我们在使用sniffer pro时需要将网卡的监听模式切换为混杂，所以不重新启动计算机是无法实现切换功能的，因此在安装的最后，软件会提示重新启动计算机，我们按照提示操作即可。（如图3） 重新启动计算机后我们可以通过sniffer pro来监测网络中的数据包。我们通过“开始->所有程序->sniffer pro->sniffer”来启动该程序。 第一步：默认情况下sniffer pro会自动选择你的网卡进行监听，不过如果不能自动选择或者本地计算机有多个网卡的话，就需要我们手工指定网卡了。方法是通过软件的file菜单下的select settings来完成。 第二步：在settings窗口中我们选择准备监听的那块网卡，记得要把右下角的“LOG ON”前打上对勾才能生效，最后点“确定”按钮即可。（如图4） 图4 第三步：选择完毕后我们就进入了网卡监听模式，这种模式下将监视本机网卡流量和错误数据包的情况。首先我们能看到的是三个类似汽车仪表的图象，从左到右依次为“Utiliz ation%网络使用率”，“Packets/s 数据包传输率”，“Error/s错误数据情况”。其中红色区域是警戒区域，如果发现有指针到了红色区域我们就该引起一定的重视了，说明网络线路不好或者网络使用压力负荷太大。一般我们浏览网页的情况和我图11中显示的类似，使用率不高，传输情况也是9到30个数据包每秒，错误数基本没有。（如图5） 图5

Sniffer使用教

目录 第1章 Sniffer软件简介 .............................................................................................................. 1-1 1.1 概述.................................................................................................................................... 1-1 1.2 功能简介............................................................................................................................. 1-1第2章报文捕获解析.................................................................................................................. 2-1 2.1 捕获面板............................................................................................................................. 2-1 2.2 捕获过程报文统计.............................................................................................................. 2-1 2.3捕获报文查看..................................................................................................................... 2-2 2.4设置捕获条件..................................................................................................................... 2-4第3章报文放送 ........................................................................................................................ 3-1 3.1 编辑报文发送 ..................................................................................................................... 3-1 3.2捕获编辑报文发送 ............................................................................................................. 3-2第4章网络监视功能.................................................................................................................. 4-1 4.1 Dashbord ........................................................................................................................... 4-1 4.2 Application Response Time (ART) .................................................................................... 4-1第5章数据报文解码详解 .......................................................................................................... 5-1 5.1数据报文分层..................................................................................................................... 5-1 5.2以太报文结构..................................................................................................................... 5-1 5.3 IP协议 ................................................................................................................................ 5-3 5.4 ARP协议 ............................................................................................................................ 5-5 5.5 PPPOE协议.......................................................................................................................... 5-6 5.6 Radius协议 ........................................................................................................................ 5-9

Sniffer抓包分析手册

Sniffer抓包分数据包分析手册 前言 现在大家在一线解决故障过程中，经常会利用sniffer软件来分析网络中的数据包，从而为故障的解决及相关的部门（如研发）提供更有说服力的数据。应该来说，sniffer的包文对于解决问题确实起到了很大的作用，但很多时候有些人所提供的sniffer数据包什么数据都抓，很混，要花很大的力气才能对看明白该数据包，另外，很多时候没有给出相应的抓包的网络拓扑图，数据包中的源端口、目的端口、IP地址等方面的说明，这样不利于相关人员的分析和定位。为此，我做个这方面的case，供大家参考，望大家能够提供更有价值的数据给相关的人员。

认证客户端与NAS 设备（交换机）报文交互 一、捕获数据包拓扑图： 1、 捕获认证客户端电脑（192.168.0.241/24）与S2126G 交换机交互的报文； 2、 捕获S2126G 交换机与SAMII 服务器（192.168.0.232）交互的报文； 三、所捕获得到的sniffer 报文的文件命名：请尽可能采用一目了然的文件名，即从文件名即 可以大概知道该sniffer 的报文的内容；同时，对于每个sniffer 文件，请用一个readme.txt 简短地说明，这样便于相关的人员能够更好地知道sniffer 报文的内容； 四、交换机的配置： show run Building configuration... Current configuration : 633 bytes version 1.0 hostname Switch radius-server host 192.168.0.232 aaa authentication dot1x aaa accounting server 192.168.0.232

Sniffer嗅探、抓包实验

Sniffer嗅探、抓包实验 实验目的 通过实验，掌握常用嗅探工具的安装与使用方法，理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构，了解FTP、HTTP等协议明文传输的特性，建立安全意识，防止此类协议传输明文造成的泄密。 建议实验工具 Sniffer Pro、FsSniffer或SQLServerSniffer等、至少两台安装了Windows 2000或XP的PC机，其中一台安装Sniffer软件，两台PC机互联。 实验用时 3学时（约120分钟） 实验原理 Sniffer即网络嗅探器，用于监听网络中的数据包，分析网络性能和故障，主要用于网络管理和维护，通过它，可以诊断处通过常规工具难以解决的疑难问题，包括计算机之间的异常通信，不同网络协议的通信流量，每个数据包的源地址和目的地址等，可以提供非常详细的信息。 实验步骤： 1、首先安装Sniffer软件。安装过程有关图片如下：如果此过程速度比较缓慢，一般与电脑速度较慢有关。安装完成后重新启动计算机。注意：需要重新启动才可以使用sniffer。 2、启动Sniffer。可以看到它的 界面如下：包括工具栏、网络监视面 板、多种视图等，其中，Dashboard可以监控网络的利用率、流量、及错误报文等内容，从Host table可以直观的看出连接的主机，用其IP显示。 3、获取被监视方机器的IP，假设A机监视B机的活动，A应知道B机的IP 地址，在实验环境下，操作B机的同学可以输入Ipconfig命令查询自己的IP 地址，并告之操作A机的同学。 4、选中Monitor菜单下的Matirx或直接点击网络性能监视快捷键，可以看到网络中的Traffic Map视图，单击左下角的MAC地址，IP地址或IPX使视图

sniffer_Pro的使用大全

实验一Sniffer Pro的使用 【实验目的】 1) 熟练掌握Sniffer Pro对数据包捕获的使用方法。 2) 掌握利用Sniffer Pro进行数据包结构分析、进而理解协议对数据的封装。 【实验环境】 Windows XP、2003 Server等系统，Sniffer Pro软件。 【实验内容】 第一部分：学习sniffer 1．首先，打开Sniffer Pro程序，如果系统要求的话，还要选择一个适配器（使用哪个网卡）。打开了程序后，会看到图中的屏幕。 图1 Sniffer Pro程序主界面 2．打开Sniffer Pro程序后，选择Capture（捕获）－Start（开始），或者使用F10键，或者是工具栏上的开始箭头。因为捕获过程需要几分钟才能完成，这时我们可以先了解如何自定义Sniffer Pro高级与捕获窗口，这样后面就可以节省一点时间。 3．下面，在Sniffer Pro程序中，会看到高级系统（Expert）被自动调用，如图2所示。打开这个窗口后，不会看到任何东西，除非停止捕获过程才可以查看内容。让捕获过程持续运行一段时间，这时可以自定义高级系统，这样就能实时地看到不断出现的问题。

图2 开始捕获过程时调用高级系统 4．浏览图2中的屏幕。高级窗口这时会滚动到窗口左边，只能看到工具栏，而没有任何详细资料。如果要查看详细资料，就要找到高级窗口对话框左上角的箭头，这个箭头在“层次”这个词的右边。单击这个箭头后，会显示出高级功能的另一部分窗口，如图3所示。 5．你可以看到我们能自定义Sniffer Pro程序用于将来的捕获过程，所以我们在下面要对如何使用高级功能进行分析。如果要进一步自定义我们的Sniffe Pro高级功能，就要在一个视图中显示所有定义对象的详细资料。如果再看一次图3，你会发现在高级对话框的最右边有两个卷标：一个是“总结”卷标，另一个是“对象”卷标。在图4中，你会看到这两个卷标都消失了，被两个窗口取代。如果要改变视图，只需要将鼠标停在图4中圈起的位置，这时箭头的形状会改变，然后可以将这一栏上移，就可以看到Sniffer Pro高级窗口中对象的所有详细资料了。 图3 在高级系统中查看更多的细节

sniffer功能和使用详解

Sniffer功能和使用详解 一Sniffer介绍 Sniffer，中文翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文 的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。Sniffer技术常常被黑客们用来截获用户的口令，据说某个骨干网络的路由器网段曾经被黑客攻入，并嗅探到大量的用户口令。但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网 络Sniffer的分类 如果Sniffer运行在路由器上或有路由功能的主机上，就能对大量的数据进行监控，因为所有进出网络的数据包都要经过路由器。 二sniffer pro Sniffer软件是NAI公司推出的功能强大的协议分析软件。 Sniffer Pro - 功能 ●捕获网络流量进行详细分析 ●利用专家分析系统诊断问题 ●实时监控网络活动 ●收集网络利用率和错误等 使用Sniffer捕获数据时，由于网络中传输的数据量特别大，如果安装Sniffer的计算机内存太小，会导致系统交换到磁盘，从而使性能下降。如果系统没有足够的物理内存来执行捕获功能，就很容易造成Sniffer系统死机或者崩溃。因此，网络中捕获的流量越多，建议Sniffer系统应该有一个速度尽可能快的计算机。 1. Sniffer Pro计算机的连接 要使Sniffer能够正常捕获到网络中的数据，安装Sniffer的连接位置非常重要，必须将它安装在网络中合适的位置，才能捕获到内、外部网络之间数据的传输。如果随意安装在网络中的任何一个地址段，Sniffer就不能正确抓取数据，而且有可能丢失重要的通信内容。一般来说，Sniffer应该安装在内部网络与外部网络通信的中间位置，如代理服务器上，也可以安装在笔记本电脑上。当哪个网段出现问题时，直接带着该笔记本电脑连接到交换机或者路由器上，就可以检测到网络故障，非常方便。 (1) 监控Internet连接共享 如果网络中使用代理服务器，局域网借助代理服务器实现Internet连接共享，并且交换机为傻瓜交换机时，可以直接将Sniffer Pro安装在代理服务器上，这样，Sniffer

Sniffer抓包中文教程

1捕获面板 报文捕获功能可以在报文捕获面板中进行完成，如下是捕获面板的功能图：图中显示的是处于开始状态的面板 2捕获过程报文统计 在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。 3捕获报文查看

Sniffer软件提供了强大的分析能力和解码功能。如下图所示，对于捕获的报文提供了一个Expert专家分析系统进行分析，还有解码选项及图形和表格的统计信息。 专家分析 专家分分析系统提供了一个只能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。 在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。 对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因。

解码分析 下图是对捕获报文进行解码的显示，通常分为三部分，目前大部分此类软件结构都采用这种结构显示。对于解码主要要求分析人员对协议比较熟悉，这样才能看懂解析出来的报文。使用该软件是很简单的事情，要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。工具软件只是提供一个辅助的手段。因涉及的内容太多，这里不对协议进行过多讲解，请参阅其他相关资料。 对于MAC地址，Snffier软件进行了头部的替换，如00e0fc开头的就替换成Huawei，这样有利于了解网络上各种相关设备的制造厂商信息。

功能是按照过滤器设置的过滤规则进行数据的捕获或显示。在菜单上的位置分别为 Capture->Define Filter和Display->Define Filter。过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。 统计分析 对于Matrix，Host Table，Portocol Dist. Statistics等提供了丰富的按照地址，协议等内容做了丰富的组合统计，比较简单，可以通过操作很快掌握这里就不再详细介绍了。 4设置捕获条件 基本捕获条件 基本的捕获条件有两种： 1、链路层捕获，按源MAC和目的MAC地址进行捕获，输入方式为十六进制连续输入，如：00E0FC123456。 2、IP层捕获，按源IP和目的IP进行捕获。输入方式为点间隔方式，

实验三 网络数据包的捕获与分析

实验三 网络数据包的捕获与分析 一、实验目的和要求 通过本次实验，了解sniffer 的基本作用，并能通过sniffer 对指定的网络行为所产生的数据包进行抓取，并分析所抓取的数据包。 二、实验内容 A ：1、首先打开sniffer 软件，对所要监听的网卡进行选择 2、选择网卡按确定后，进入sniffer 工作主界面，对主界面上的操作按钮加以熟悉。 B ：设置捕获条件进行抓包 基本的捕获条件有两种： 1、链路层捕获，按源MAC 和目的MAC 地址进行捕获，输入方式为十六进制连续输入，如：00E0FC123456。 2、IP 层捕获，按源IP 和目的IP 进行捕获。输入方式为点间隔方式，如：10.107.1.1。如果选择IP 层捕获条件则ARP 等报文将被过滤掉。 任意捕协议捕缓冲区基本捕获条件数据流链路层捕获获条件编辑 获编辑 编辑 链路层捕获IP 层捕获 方向 地址条件 高级捕获条件

在“Advance ”页面下，你可以编辑你的协议捕获条件，如图： 选择要捕捕获帧长错误帧是保存过滤获的协议 度条件 否捕获 规则条件 高级捕获条件编辑图 在协议选择树中你可以选择你需要捕获的协议条件，如果什么都不选，则表示忽略该条件，捕获所有协议。 在捕获帧长度条件下，你可以捕获，等于、小于、大于某个值的报文。 在错误帧是否捕获栏，你可以选择当网络上有如下错误时是否捕获。 在保存过滤规则条件按钮“Profiles ”，你可以将你当前设置的过滤规则，进行保存，在捕获主面板中，你可以选择你保存的捕获条件。 C ：捕获报文的察看： Sniffer 软件提供了强大的分析能力和解码功能。如下图所示，对于捕获的报文提供了一个Expert 专家分析系统进行分析，还有解码选项及图形和表格的统计信息。 专家分析专家分析捕获报文的捕获报文的其他 系统 系统图形分析 统计信息 专家分析 专家分分析系统提供了一个只能的分析平台，对网络上的流量进行了一些分析对于分析出的

使用用Sniffer_Pro网络分析器实验报告

南京信息工程大学实验（实习）报告 实验名称使用用Sniffer Pro网络分析器实验日期 2014.12.21 得分指导教师朱节中 系计算机专业软件工程年级 2012 班次 1 姓名董上琦学号 20122344001 一、实验目的 1、掌握Sniffer工具的安装和使用方法 2、理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构 3、掌握ICMP协议的类型和代码 二、实验内容 1、安装Sniffer Pro 2、捕捉数据包 3、分析捕捉的数据包 三、实验步骤 1、安装Sniffer Pro Sniffer Pro安装过程并不复杂，setup后一直点击“确定”即可，第一次运行时需要选择 网络适配器或网卡后才能正常工作。如下图所示： 选择好网络适配器或网卡后，即可进入主界面，如下图所示： 2、捕捉数据包

以抓FTP密码为例 步骤1：设置规则 选择Capture菜单中的Defind Filter出现图（1）界面，选择图（1）中的ADDress 项，在station1和2中分别填写两台机器的IP地址，选择Advanced选项，选择选IP/TCP/FTP ,将 Packet Size设置为 In Between 63 -71， Packet Type 设置为 Normal。如图（2）所示，选择Data Pattern项，点击箭头所指的Add Pattern按钮，出现图（3）界面，按图设置OFFset 为2F,方格内填入18，name可任意起。确定后如图（4）点击Add NOT按钮,再点击Add Pattern 按钮增加第二条规则，按图（5）所示设置好规则，确定后如图（6）所示。 图（1） 图（2）

虚拟机安装及Sniffer配置实验报告

①虚拟机安装： 实验环境： 操作系统Microsoft Windows 8 专业版(64位) CPU (英特尔)Intel(R) Core(TM) i7-3517U CPU @ 1.90GHz(2401 MHz) 主板华硕S400CA 内存12.00 GB ( 1600 MHz) 主硬盘500 GB (希捷ST500LT012-9WS142 已使用时间: 2715小时) 显卡Intel(R) HD Graphics 4000 (2112 MB) 显示器LG LG Display 32位真彩色60Hz 声卡High Definition Audio 设备 网卡Qualcomm Atheros AR9485WB-EG Wireless Network Adapter 虚拟机版本：Vmware 9.0 一.下载XP系统的光盘镜像(可在内网下载浙师大版的XP) 二.虚拟机软件的安装 桌面上下载完的文件 解压得到 先运行setup，将软件安装到电脑上，注册码可以在注册机中生成，然后汉化，汉化需要先将VM相关的服务停止才可以，右击计算机-管理-服务与应用程序-服务

将VMware的相关服务的启动类型改为停用，然后将汉化文件覆盖到安装目录中，汉化就完成了，下面是汉化好的VMware 9.0：(网上最新有10.0，支持原生中文) VM的图标： 系统托盘的图标： 主界面：

三.虚拟系统的安装与配置选择文件-新建虚拟机 选择自定义，下一步

兼容性选择9.0就行，下一步 选择安装盘的位置，软件会自动识别操作系统版本，然后下一步

从网上找一个XP系统的密钥，然后下一步 设定虚拟机的名称和位置，下一步

实训一 网络诊断工具Sniffer的使用

实训一、网络诊断工具Sniffer的使用 一、Sniffer工具介绍 概述 Sniffer软件是NAI公司推出的功能强大的协议分析软件。本文针对用Sniffer Pro网络分析器进行故障解决。利用Sniffer Pro 网络分析器的强大功能和特 征，解决网络问题，将介绍一套合理的故障解决方法。 与Netxray比较，Sniffer支持的协议更丰富，例如PPPOE协议等在Netxray 并不支持，在Sniffer上能够进行快速解码分析。Netxray不能在Windows 2000 和Windows XP上正常运行，Sniffer Pro 4.6可以运行在各种Windows平台上。 Sniffer软件比较大，运行时需要的计算机内存比较大，否则运行比较慢，这 也是它与Netxray相比的一个缺点。 功能简介 下面列出了Sniffer软件的一些功能介绍，其功能的详细介绍可以参考Sniffer 的在线帮助。 捕获网络流量进行详细分析 利用专家分析系统诊断问题 实时监控网络活动 收集网络利用率和错误等 在进行流量捕获之前首先选择网络适配器，确定从计算机的哪个网络适配器 上接收数据。位置：File->select settings 选择网络适配器后才能正常工作。该软件安装在Windows 98操作系统上，Sniffer可以选择拨号适配器对窄带拨号进行操作。如果安装了EnterNet500等PPPOE软件还可以选择虚拟出的PPPOE 网卡。对于安装在Windows 2000/XP上则无上述功能，这和操作系统有关。 本文将对报文的捕获几网络性能监视等功能进行详细的介绍。下图为在软件中快捷键的位置。