sniffer_pro使用教程

实验：使用Sniffer Pro工具软件进行网络检测和扫描
实验环境
1台带有活动网络连接（插有网卡且工作正常）、安装有VMware虚拟机软件的PC机，其中主机环境的配置如表5-1所示：
通过该实验，掌握使用工具软件进行网络检测扫描的基本方法；进一步加深对TCP／IP 协议的理解和认识。

实验步骤和内容
1.虚拟机Ping本机ip 19
2.168.6.67
2.本机Ping虚拟机ip192.168.6.167
3.进入Sniffer主界面在Capture下的Define Filter菜单
3.1 Capture-Define Filter中进行设置
3.2 Dis-Define Filter
4．本机Ping 虚拟机IP 192.168.6.167抓包结果
5．打开网络教学综合平台抓包结果
6．打开 并用户登录抓包结果
7.DNS抓包结果
实验心得：
了解Sniffer 抓包软件的应用，和虚拟机的相关操作。

并了解和会分析相关Sniffer 软件的结果。

实验十 sniffer网络嗅探软件的使用
【实验目的】
1．熟悉网络监听工具Sniffer Pro操作界面；
2．了解Sniffer Pro捕获与监听网络数据方法；
3．强化网络安全意识。

【实验内容】
1.安装Sniffer Pro，执行SnifferPro.exe安装程序，完成注册和安装。

2.运用Sniffer pro的一些基本操作命令
【实验步骤】
（一）安装和运行Sniffer Pro
1.启动软件，先选择一个网卡，点击确定
2.Sniffer Pro主界面如图所示
（二）运用Sniffer Pro的操作命令
1.Ping操作：ping也属于一个通信协议，是TCP/IP协议的一部分。

利用“ping”命令可以检查网络是否连通，可以很好地帮助我们分析和判定网络故障。

应用格式：Ping空格IP地址。

该命令还可以加许多参数使用，具体是键入Ping按回车即可看到详细说明。

2.Dns look up：域名查询解析工具
3.Traceroute：traceroute (Windows 系统下是tracert) 命令利用ICMP 协议定位您的计算机和目标计算机之间的所有路由器。

TTL 值可以反映数据包经过的路由器或网关的数量，通过操纵独立ICMP 呼叫报文的TTL 值和观察该报文被抛弃的返回信息，traceroute命令能够遍历到数据包传输路径上的所有路由器。

本节主要介绍Sniffer Pro软件的报文捕获及解码分析功能。

1. 选择网络接口⑴在计算机A上，依次单击“开始”→“程序”→“Sniffer Pro”→“Sniffer”菜单，打开Sniffer Pro软件主窗口，如图3-5所示。

图3-5 Sniffer Pro主窗口⑵在主窗口中，依次点击“文件”→“选定设置”，弹出“当前设置”窗口，如图3-6所示。

如果本地主机具有多个网络接口，且需要监听的网络接口不在列表中，可以单击“新建”按钮添加。

图3-6 “当前设置”窗口⑶选择正确的网络接口后，单击“确定”按钮。

2. 报文捕获与分析⑴在Sniffer Pro主窗口（如图3-5）中，依次单击“捕获”→“开始”菜单或直接单击工具栏中的“开始”按钮，开始捕获经过选定网络接口的所有数据包。

⑵打开IE浏览器，登录Web服务器（如），同时在主窗口观察数据捕获情况。

⑶依次单击主窗口中“捕获”→“停止并显示”菜单或直接单击工具栏中的“停止并显示”按钮，在弹出的窗口中选择“解码”选项卡，如图3-7所示。

图3-7 “解码”选项卡⑷在上侧的窗格中，选中向Web服务器请求网页内容的HTTP报文，在中间的窗格中选中一项，在下方的窗格将有相应的十六进制和ASCII码的数据与之相对应。

⑸从图3-7中间窗格的TCP报文段描述中可以看出，数据偏移为20字节，即TCP报文段的首部长度为20字节。

对照图3-3所示的TCP报文段的格式，可以清楚地分析捕获的报文段的十六进制代码，如图3-8所示。

z“源端口”字段的值0420，即为客户端（IP地址为222.24.21.129）进程使用的端口号；z“目的端口”字段的值0050（十进制表示为80），表示Web服务器（IP地址为202.117.128.8）使用了HTTP的默认端口；z“数据偏移”字段的值5，指出了TCP报文段首部的长度为20字节。

3. 定义过滤器有时我们并不关心经过网络接口的所有数据，可以通过定义过滤器来捕获指定的数据包。

使用Sniffer Pro监控网络流量(1)Sniffer Pro 著名网络协议分析软件。

本文利用其强大的流量图文系统Host Table来实时监控网络流量。

在监控软件上，我们选择了较为常用的NAI公司的sniffer pro，事实上，很多网吧管理员都有过相关监控网络经验：在网络出现问题、或者探查网络情况时，使用P2P终结者、网络执法官等网络监控软件。

这样的软件有一个很大优点：不要配置端口镜像就可以进行流量查询（其实sniffer pro也可以变通的工作在这样的环境下）。

这种看起来很快捷的方法，仍然存在很多弊端：由于其工作原理利用ARP地址表，对地址表进行欺骗，因此可能会衍生出很多节外生枝的问题，如掉线、网络变慢、ARP广播巨增等。

这对于要求正常的网络来说，是不可思议的。

在这里，我们将通过软件解决方案来完成以往只有通过更换高级设备才能解决的网络解决方案，这对于很多管理员来说，将是个梦寐以求的时刻。

硬件环境（网吧）：100M网络环境下，92台终端数量，主交换采用D-LINK（友讯）DES-3226S二层交换机(支持端口镜像功能)，级联普通傻瓜型交换机。

光纤10M接入，华为2620做为接入网关。

软件环境：操作系统Windows2003 Server企业标准版（Sniffer Pro4.6及以上版本均支持Windows2000 Windows-xp Windows2003）、NAI协议分析软件-Sniffer Portable 4.75（本文选用网络上较容易下载到的版本做为测试）环境要求：1、如果需要监控全网流量，安装有Sniffer Portable 4.7.5(以下简称Sniffer Pro)的终端计算机，网卡接入端需要位于主交换镜像端口位置。

（监控所有流经此网卡的数据）2、Snffier pro 475仅支持10M、100M、10/100M网卡，对于千M网卡，请安装SP5补丁，或4.8及更高的版本网络拓扑：监控目的：通过Sniffer Pro 实时监控，及时发现网络环境中的故障（例如病毒、攻击、流量超限等非正常行为）。

Sniffer_Pro中文使用教程Sniffer Pro中文使用教程第1章Sniffer软件简介............................................................................................................ 1-11.1 概述 .......................................................................................................................... ... 1-11.2 功能简介...................................................................................................................... 1-1第2章报文捕获解析................................................................................................................ 2-12.1 捕获面板...................................................................................................................... 2-12.2 捕获过程报文统计 ....................................................................................................... 2-12.3捕获报文查看.............................................................................................................. 2-22.4设置捕获条件.............................................................................................................. 2-3第3章报文放送...................................................................................................................... 3-13.1 编辑报文发送............................................................................................................... 3-13.2捕获编辑报文发送....................................................................................................... 3-2第4章网络监视功能................................................................................................................ 4-14.1Dashbord ........................................................................................................... .......... 4-14.2 Application Response Time (ART) ............................................................................. 4-1第5章数据报文解码详解......................................................................................................... 5-15.1数据报文分层.............................................................................................................. 5-15.2以太报文结构.............................................................................................................. 5-15.3 IP协议......................................................................................................................... 5-35.4 ARP协议..................................................................................................................... 5-45.5 PPPOE协议 .................................................................................................................. 5-65.6 Radius协议................................................................................................................. 5-9第1章 Sniffer软件简介1.1 概述Sniffer软件是NAI公司推出的功能强大的协议分析软件。

sniffer pro的使用先来看看， sniffer proDashboard 网络流量表Host Table 网络连接表，可以直观的看出连接你的主机，还可以用MAC/IP/IPX，三种显示。

Applicatien Response Time 主机回应指数，可以选择协议的， TCP/UDP下的http.Ftp 等等。

Matrix （让我想到黑客帝国）这里是查看网路连结，很立体的那种。

Protocol Distribution 显示网络中协议的使用量， IP/ARP/IPXGlobal statistics 整体网络使用显示下面是Capture 下的选项:Start 开始捕捉Display 显示Define Filter 设置过滤下面是Tools 下的选项:Address Book 地址本Packet Generator 数据发送机Ping 工具 (这些都是常用的工具）Trace RouteDns lookupFingerWho isCustomize user Tools 用户自定义工具，可自己把工具加上去。

选项高级选项大体上是这样了！现就抓几个包来看看啦！1. Telnet密码1.1 由本机连接到别的开telnet的主机和netxray的用法一样， Define filter ---> advanced在协议中选上 IP/TCP/TELNET, 然后Packet Size --> Equal 55, Packet Type --> Normal.截取的数据包:当你想停止sniff时，按capture --> stop en display , 然后会选Decode 就可一看到数据包的内容了!你就可一在 Summary 中看到用户和密码，从上往下， chi就是用户名。

1.2 本地主机开了Telnet, 并进行监听这里也许会麻烦点，不过是为了过滤掉没用的Tcp数据包，好，Capture --> Define filter -> Advanced选IP/TCP/Telnet , Packet Size --> Equal 67, Packet Type --> Normal.然后用Data Pattern --> Add Pattern, 大家可以看到，这里有2个and 关系的Pattern, 上面这个name: TCP : Flags = 18 的意思就是 PSH ACK 的数据包，大家看图啦，还有一个Name: IP: Type of service = 10 , 开了Telnet, 好了，设好后就可以，抓包了!看看数据包，一目了然，一看就知道是 administrator.2。

使用sniffer查询流量信息：重新启动计算机后我们可以通过sniffer pro来监测网络中的数据包。

我们通过“开始->所有程序->sniffer pro->sniffer”来启动该程序。

第一步：默认情况下sniffer pro会自动选择你的网卡进行监听，不过如果不能自动选择或者本地计算机有多个网卡的话，就需要我们手工指定网卡了。

方法是通过软件的file菜单下的select settings来完成。

第二步：在settings窗口中我们选择准备监听的那块网卡，记得要把右下角的“LOG ON”前打上对勾才能生效，最后点“确定”按钮即可。

(如图4)图4第三步：选择完毕后我们就进入了网卡监听模式，这种模式下将监视本机网卡流量和错误数据包的情况。

首先我们能看到的是三个类似汽车仪表的图象，从左到右依次为“Utilization%网络使用率”，“Packets/s数据包传输率”，“Error/s错误数据情况”。

其中红色区域是警戒区域，如果发现有指针到了红色区域我们就该引起一定的重视了，说明网络线路不好或者网络使用压力负荷太大。

一般我们浏览网页的情况和我图11中显示的类似，使用率不高，传输情况也是9到30个数据包每秒，错误数基本没有。

(如图5)图5第四步：在三个仪表盘下面是对网络流量，数据错误以及数据包大小情况的绘制图，我们可以通过点选右边一排参数来有选择的绘制相应的数据信息，可选网络使用状况包括数据包传输率，网络使用率，错误率，丢弃率，传输字节速度，广播包数量，组播包数量等，其他两个图表可以设置的参数更多，随着时间的推移图象也会自动绘制。

(如图6)图6第五步：为了更好更详细的看出差别，笔者决定通过FTP来下载大量数据，由于是内网传输所以速度非常快，在这种情况下我们继续通过sniffer pro来查看本地网络流量情况，FTP下载速度接近4Mb/s。

(如图7)图7第六步：网络传输速度提高后在sniffer pro中的显示也有了很大变化，utiliazation使用百分率一下到达了30%左右，由于我们100M网卡的理论最大传输速度为12.5Mb/s，所以4Mb/s刚好接近这个值的30%，实际结果和理论符合;数据包传输速度也从原来的几十变成了3500到5200，当然令人满意的是错误数据包依然没有出现，这说明网络负载并不大，网卡性能不错。