snifferpor的使用

实验十 sniffer网络嗅探软件的使用
【实验目的】
1．熟悉网络监听工具Sniffer Pro操作界面；
2．了解Sniffer Pro捕获与监听网络数据方法；
3．强化网络安全意识。

【实验内容】
1.安装Sniffer Pro，执行SnifferPro.exe安装程序，完成注册和安装。

2.运用Sniffer pro的一些基本操作命令
【实验步骤】
（一）安装和运行Sniffer Pro
1.启动软件，先选择一个网卡，点击确定
2.Sniffer Pro主界面如图所示
（二）运用Sniffer Pro的操作命令
1.Ping操作：ping也属于一个通信协议，是TCP/IP协议的一部分。

利用“ping”命令可以检查网络是否连通，可以很好地帮助我们分析和判定网络故障。

应用格式：Ping空格IP地址。

该命令还可以加许多参数使用，具体是键入Ping按回车即可看到详细说明。

2.Dns look up：域名查询解析工具
3.Traceroute：traceroute (Windows 系统下是tracert) 命令利用ICMP 协议定位您的计算机和目标计算机之间的所有路由器。

TTL 值可以反映数据包经过的路由器或网关的数量，通过操纵独立ICMP 呼叫报文的TTL 值和观察该报文被抛弃的返回信息，traceroute命令能够遍历到数据包传输路径上的所有路由器。

本节主要介绍Sniffer Pro软件的报文捕获及解码分析功能。

1. 选择网络接口⑴在计算机A上，依次单击“开始”→“程序”→“Sniffer Pro”→“Sniffer”菜单，打开Sniffer Pro软件主窗口，如图3-5所示。

图3-5 Sniffer Pro主窗口⑵在主窗口中，依次点击“文件”→“选定设置”，弹出“当前设置”窗口，如图3-6所示。

如果本地主机具有多个网络接口，且需要监听的网络接口不在列表中，可以单击“新建”按钮添加。

图3-6 “当前设置”窗口⑶选择正确的网络接口后，单击“确定”按钮。

2. 报文捕获与分析⑴在Sniffer Pro主窗口（如图3-5）中，依次单击“捕获”→“开始”菜单或直接单击工具栏中的“开始”按钮，开始捕获经过选定网络接口的所有数据包。

⑵打开IE浏览器，登录Web服务器（如），同时在主窗口观察数据捕获情况。

⑶依次单击主窗口中“捕获”→“停止并显示”菜单或直接单击工具栏中的“停止并显示”按钮，在弹出的窗口中选择“解码”选项卡，如图3-7所示。

图3-7 “解码”选项卡⑷在上侧的窗格中，选中向Web服务器请求网页内容的HTTP报文，在中间的窗格中选中一项，在下方的窗格将有相应的十六进制和ASCII码的数据与之相对应。

⑸从图3-7中间窗格的TCP报文段描述中可以看出，数据偏移为20字节，即TCP报文段的首部长度为20字节。

对照图3-3所示的TCP报文段的格式，可以清楚地分析捕获的报文段的十六进制代码，如图3-8所示。

z“源端口”字段的值0420，即为客户端（IP地址为222.24.21.129）进程使用的端口号；z“目的端口”字段的值0050（十进制表示为80），表示Web服务器（IP地址为202.117.128.8）使用了HTTP的默认端口；z“数据偏移”字段的值5，指出了TCP报文段首部的长度为20字节。

3. 定义过滤器有时我们并不关心经过网络接口的所有数据，可以通过定义过滤器来捕获指定的数据包。

Sniffer_Pro中文使用教程Sniffer Pro中文使用教程第1章Sniffer软件简介............................................................................................................ 1-11.1 概述 .......................................................................................................................... ... 1-11.2 功能简介...................................................................................................................... 1-1第2章报文捕获解析................................................................................................................ 2-12.1 捕获面板...................................................................................................................... 2-12.2 捕获过程报文统计 ....................................................................................................... 2-12.3捕获报文查看.............................................................................................................. 2-22.4设置捕获条件.............................................................................................................. 2-3第3章报文放送...................................................................................................................... 3-13.1 编辑报文发送............................................................................................................... 3-13.2捕获编辑报文发送....................................................................................................... 3-2第4章网络监视功能................................................................................................................ 4-14.1Dashbord ........................................................................................................... .......... 4-14.2 Application Response Time (ART) ............................................................................. 4-1第5章数据报文解码详解......................................................................................................... 5-15.1数据报文分层.............................................................................................................. 5-15.2以太报文结构.............................................................................................................. 5-15.3 IP协议......................................................................................................................... 5-35.4 ARP协议..................................................................................................................... 5-45.5 PPPOE协议 .................................................................................................................. 5-65.6 Radius协议................................................................................................................. 5-9第1章 Sniffer软件简介1.1 概述Sniffer软件是NAI公司推出的功能强大的协议分析软件。

sniffer pro的使用先来看看， sniffer proDashboard 网络流量表Host Table 网络连接表，可以直观的看出连接你的主机，还可以用MAC/IP/IPX，三种显示。

Applicatien Response Time 主机回应指数，可以选择协议的， TCP/UDP下的http.Ftp 等等。

Matrix （让我想到黑客帝国）这里是查看网路连结，很立体的那种。

Protocol Distribution 显示网络中协议的使用量， IP/ARP/IPXGlobal statistics 整体网络使用显示下面是Capture 下的选项:Start 开始捕捉Display 显示Define Filter 设置过滤下面是Tools 下的选项:Address Book 地址本Packet Generator 数据发送机Ping 工具 (这些都是常用的工具）Trace RouteDns lookupFingerWho isCustomize user Tools 用户自定义工具，可自己把工具加上去。

选项高级选项大体上是这样了！现就抓几个包来看看啦！1. Telnet密码1.1 由本机连接到别的开telnet的主机和netxray的用法一样， Define filter ---> advanced在协议中选上 IP/TCP/TELNET, 然后Packet Size --> Equal 55, Packet Type --> Normal.截取的数据包:当你想停止sniff时，按capture --> stop en display , 然后会选Decode 就可一看到数据包的内容了!你就可一在 Summary 中看到用户和密码，从上往下， chi就是用户名。

1.2 本地主机开了Telnet, 并进行监听这里也许会麻烦点，不过是为了过滤掉没用的Tcp数据包，好，Capture --> Define filter -> Advanced选IP/TCP/Telnet , Packet Size --> Equal 67, Packet Type --> Normal.然后用Data Pattern --> Add Pattern, 大家可以看到，这里有2个and 关系的Pattern, 上面这个name: TCP : Flags = 18 的意思就是 PSH ACK 的数据包，大家看图啦，还有一个Name: IP: Type of service = 10 , 开了Telnet, 好了，设好后就可以，抓包了!看看数据包，一目了然，一看就知道是 administrator.2。

使用sniffer查询流量信息：重新启动计算机后我们可以通过sniffer pro来监测网络中的数据包。

我们通过“开始->所有程序->sniffer pro->sniffer”来启动该程序。

第一步：默认情况下sniffer pro会自动选择你的网卡进行监听，不过如果不能自动选择或者本地计算机有多个网卡的话，就需要我们手工指定网卡了。

方法是通过软件的file菜单下的select settings来完成。

第二步：在settings窗口中我们选择准备监听的那块网卡，记得要把右下角的“LOG ON”前打上对勾才能生效，最后点“确定”按钮即可。

(如图4)图4第三步：选择完毕后我们就进入了网卡监听模式，这种模式下将监视本机网卡流量和错误数据包的情况。

首先我们能看到的是三个类似汽车仪表的图象，从左到右依次为“Utilization%网络使用率”，“Packets/s数据包传输率”，“Error/s错误数据情况”。

其中红色区域是警戒区域，如果发现有指针到了红色区域我们就该引起一定的重视了，说明网络线路不好或者网络使用压力负荷太大。

一般我们浏览网页的情况和我图11中显示的类似，使用率不高，传输情况也是9到30个数据包每秒，错误数基本没有。

(如图5)图5第四步：在三个仪表盘下面是对网络流量，数据错误以及数据包大小情况的绘制图，我们可以通过点选右边一排参数来有选择的绘制相应的数据信息，可选网络使用状况包括数据包传输率，网络使用率，错误率，丢弃率，传输字节速度，广播包数量，组播包数量等，其他两个图表可以设置的参数更多，随着时间的推移图象也会自动绘制。

(如图6)图6第五步：为了更好更详细的看出差别，笔者决定通过FTP来下载大量数据，由于是内网传输所以速度非常快，在这种情况下我们继续通过sniffer pro来查看本地网络流量情况，FTP下载速度接近4Mb/s。

(如图7)图7第六步：网络传输速度提高后在sniffer pro中的显示也有了很大变化，utiliazation使用百分率一下到达了30%左右，由于我们100M网卡的理论最大传输速度为12.5Mb/s，所以4Mb/s刚好接近这个值的30%，实际结果和理论符合;数据包传输速度也从原来的几十变成了3500到5200，当然令人满意的是错误数据包依然没有出现，这说明网络负载并不大，网卡性能不错。

使用Sniffer pro查看Bittorrent协议最近一段时间，一直在学习Sniffer 软件，在实际学习使用过程中，对网络流量中存在的B ittorrent协议产生的流量非常感兴趣，故突然想要通过Sniffer 来查看网络中的Bittorrent 流量是那些地址产生的。

下文就是针对此目的进行的试验。

BitTrrent(简称BT，比特洪流)是一个文件分发协议，它通过URL识别内容并且和网络无缝结合。

它在HTTP平台上的优势在于，同时下在一个文件的下载者在下载的同时不断互相上传数据，使文件源可以在很有限的负载增加的情况下支持大量下载者同时下载。

一般情况下，我们可以在Sniffer中添加相应要监控服务的端口号实现流量的监控，同样的我们可以定义BitTrrent所使用的端口号实现监控（比方6881），但是我们都知道，通常BitT rrent使用的端口号是可以进行自定义的，所以使用端口进行监控比较粗糙，并不准确。

针对这样的特点，发现使用application signature 方法来监控BitTrrent的流量实用而且准确。

经过查阅相关资料，发现BitTrrent协议的握手消息格式中有如下特征：<字符（1字节）><字符串（19字节）>,其中第一个字节是固定的值‘19’，并且后面字符串的值是‘BitTorrent prot ocol’。

由此我们可以使用如下此握手签名信息进行标识BitTorrent流量的数据包：1、第1个字节的字符19（0X18）在TCP的有效负载数据中；2、这后面的19个字节匹配字符串‘BitTorrent protocol’。

针对以上BitTrrent协议特征，我使用如下方法进行抓取BitTrrent协议使用者的地址信息：实验步骤：步骤1、打开Sniffer pro软件。

步骤2、设置过滤器的地址信息，设置相应源目的地址信息。

步骤3、设置过滤签名信息（这个是好东西）。

超级网络嗅探器——Sniffer pro 的使用Sniffer软件是NAI公司推出的功能强大的协议分析软件。

实现对网络的监控，更深入地了解网络存在的问题，检测和修复网络故障和安全问题。

Sniffer可以监听到网上传输的所有信息，主要用来接收在网络上传输的信息。

Sniffer可以截获口令、专用信道内的信息、信用卡号、经济数据、E-mail等，还可以用来攻击与自己相临的网络。

Sniffer的功能主要包括如下几方面：捕获网络流量进行详细分析。

利用专家分析系统诊断问题。

实时监控网络活动情况。

监控单个工作站、会话或者网络中任何一部分的网络利用情况和错误统计。

支持主要的LAN、WAN和网络技术。

提供在位和字节水平过滤数据包的能力。

1 Sniffer Pro的启动和设置2 理解Sniffer Pro主要4种功能组件的作用：监视：实时解码并显示网络通信流中的数据。

捕获：抓取网络中传输的数据包并保存在缓冲区或指定的文件中，供以后使用。

分析：利用专家系统分析网络通信中潜在的问题，给出故障症状和诊断报告。

显示：对捕获的数据包进行解码并以统计表或各种图形方式显示在桌面上。

3 学会sniffer工具的基本使用方法，用sniffer捕获报文并进行分析。

环境：windows XP， windows 7，能访问INTERNET。

Sniffer pro主界面在默认情况下，Sniffer将捕获其接入的域中流经的所有数据包，但在某些场景下，有些数据包可能不是我们所需要的，为了快速定位网络问题所在，有必要对所要捕获的数据包作过滤。

Sniffer提供了捕获数据包前的过滤规则的定义，过滤规则包括2、3层地址的定义和几百种协议的定义。

定义过滤规则的做法一般如下：(1) 在主界面选择【Capture】→【Define Filter】。

(2) 在“Define Filter”对话框中选择“Address”选项卡，这是最常用的定义。

其中包括MAC地址、IP地址和IPX地址的定义。

banker将向网友介绍如何使用sniffer pro来监控ARP欺骗行为。

文中会介绍一些更为简便和直接的snffer程序，它们都属于snffer程序的一种，只是在功能上更有针对性。

一、使用sniffer pro监控ARP实际上，使用sniffer pro程序的监控功能可以更方便、更为迅速的帮助我们定位问题。

步骤一：首先，我们在已经做了端口镜像的机器上启动snffer pro程序。

选择菜单栏中Monitor→Define Filter 来定义我们需要的过滤器。

在弹出的define Filter对话框中选择Profiles→New 来新建一个过滤器，我们这里取名为ARP。

图1步骤二：点击Advanced高级标签，我们这里选中ARP协议。

单击OK后完成过滤器的新建。

图2步骤三：系统默认过滤器为Default，我们来选择刚才新建过滤器ARP。

首先，选择Monitor →Select Filter。

图3步骤四：在弹出的对话框中点击ARP。

在这里要注意的是：一定要把Apply monitor勾选。

点击确定后，过滤器定义和选择工作准备完毕。

图4步骤五：鼠标点击工具栏中Host Table按钮(联网图标)，在弹出的子窗口中选择Detail工具(放大镜图标)。

注意观察本图同之前程序使用默认Default Filter过滤器的不同之处。

现在，按照我们的定义，监视器内Protocol(协议类型)仅包括IP_ARP.这对于我们查找问题，层次上更加分明。

这里需要注意的是：①这里的Address(地址)以IP或者机器名的形式显示，如果显示MAC，请先使用Tools →Address book进行扫描，IP-MAC的显示转换后，将有利于我们快速定位节点。

②网内终端中所有ARP广播包的和，合计后等于Broadcast数据包(广播包)。

图5步骤六：我们先来观察，在正常网络状况下，ARP协议的TOP流量分布图，这将方便我们的区分、判断。