08年9月三级网络技术：数据捕获sniffer解析

嗅探器(sniffer)在网络安全领域是一把双刃剑，一方面常被黑客作为网络攻击工具，从而造成密码被盗、敏感数据被窃等安全事件；另一方面又在协助网络管理员监测网络状况、诊断网络故障、排除网络隐患等方面有着不可替代的作用。

嗅探器是企业必不可少的网络管理工具。

本文以Linux平台下三个常用的网络嗅探器Tcpdump、Ethereal和EtherApe为例，介绍如何借助sniffer来诊断网络故障，从而保障网络高效安全地运行。

简介嗅探器(sniffer)又称为包嗅探器，是用来截获计算机网络通信数据的软件或硬件。

与电话电路不同，计算机网络是共享通信通道的，从而意味着每台计算机都可能接收到发送给其它计算机的信息，捕获在网络中传输的数据信息通常被称为监听(sniffing)。

嗅探器常常作为一种收集网络中特定数据的有效方法，是利用计算机的网络接口截获目的地为其它计算机数据报文的一种工具。

嗅探器工作在网络环境中的底层，可以拦截所有正在网络上传送的数据，从而成为网络安全的一个巨大威胁。

通过对网络进行嗅探，一些恶意用户能够很容易地窃取到绝密文档和敏感数据，因此嗅探器经常被黑客当作网络攻击的一种基本手段。

任何工具都有弊有利，嗅探器既可以作为黑客获得非法数据的手段，但同时对网络管理员来讲又是致关重要的。

通过嗅探器，管理员可以诊断出网络中大量的不可见模糊问题。

这些问题通常会涉及到多台计算机之间的异常通信，而且可能会牵涉到多种通信协议。

借助嗅探器，管理员还可以很方便地确定出哪些通信量属于某个特定的网络协议、占主要通信量的主机是哪台、各次通讯的目标是哪台主机、报文发送占用多少时间、各主机间报文传递的间隔时间等。

这些信息为管理员判断网络问题及优化网络性能，提供了十分宝贵的信息。

作为一种发展比较成熟的技术，嗅探器在协助监测网络数据传输、排除网络故障等方面有着不可替代的作用，倍受网络管理员的青睐。

可以通过分析网络流量来确定网络上存在的各种问题，如瓶颈效应或性能下降；也可以用来判断是否有黑客正在攻击网络系统。

第1章什么是Sniffer网络工程师经常要做的工作是通过诊断网络解决各种问题。

为了解决网络问题需要对网络中的数据进行相应的捕获和分析，Sniffer就是这样一种类型的软件。

它能够针对网络工作中的各种数据进行相应的捕获和分析。

从本章开始，本书将对Sniffer这类网络工具的功能和使用方法进行介绍。

1.1局域网安全概述局域网是日常使用中最常见的一种网络结构，同时也是组成网络的基本单位。

由于Sniffer必须在局域网中使用，所以在使用Sniffer之前必须了解局域网的一些性能和基本知识。

目前的局域网基本上都采用以广播为技术基础的以太网。

在这种网络结构中任何两个节点之间的通信数据包不仅为这两个节点的网卡所接收，同时也为处在同一以太网上的任何一个节点的网卡所截获。

因此，只要使用软件在接入以太网上的任一节点进行侦听，就可以捕获在这个以太网上传输的所有数据包。

如果使用相应的算法对截获的数据包进行解包分析，就可以获得相应的关键信息，这是以太网固有的安全隐患。

针对这一安全隐患，可以使用多种软件达到截获数据包并进行分析的目的。

Sniffer就是这样的一种软件。

这也是本书的一个意义：认识这种安全隐患技术，从而达到避免这种安全隐患，维护网络安全的目的。

针对以太网的这种固有的安全隐患可以使用如下几种方法来解决局域网安全问题。

1.1.1 网络分段网络分段通常被认为是控制网络广播风暴的一种基本手段，也是保证网络安全的一项重要措施。

其目的就是将非法用户与敏感的网络资源相互隔离，从而防止可能的非法侦听。

网络分段可分为物理分段和逻辑分段两种方式。

物理分段是以硬件设备将网络划分成不同的网络地址段。

在出现问题时可以通过物理手段来断开网络以避免更大的损失。

第1章什么是Sniffer逻辑分段则通过网段的划分和IP地址策略的制定达到网络分段的目的。

在实际的网络工程应用中，这两种方式经常混合使用以便达到更好的效果。

通常在保密级别相对较高的地点会采用物理分段的方式，而保密的级别相对较低的地点采用逻辑分段就可以了。

sniffer工作原理
Sniffer是一种网络数据包捕捉工具，用于监控和分析网络通信的内容。

其工作原理如下：
1. 网络数据包捕获：Sniffer通过在网络接口上设置混杂模式（promiscuous mode），接收并记录通过网络传输的数据包。

在这种模式下，网卡将接收到的所有数据包都传递给操作系统，而不仅仅是针对该网卡的目的地地址或广播地址的数据包。

2. 数据包过滤与捕获：Sniffer会根据用户预定义的规则对接收到的数据包进行过滤处理，只保留满足规则要求的数据包。

这些规则可以是源/目的IP地址、端口号、协议类型等。

3. 数据包解析：Sniffer对捕获到的数据包进行解析，将网络数据包的各个部分进行拆解，并生成能够被阅读和分析的格式。

解析后的数据包可以展示源IP地址、目的IP地址、源端口号、目的端口号、协议类型、数据内容等相关信息。

4. 数据包分析：Sniffer对解析后的数据包进行进一步的分析，包括但不限于检测网络流量、监测网络通信行为、捕获网络攻击等。

通过分析这些信息，可以帮助网络管理员识别安全隐患、优化网络性能、调查网络故障等。

需要注意的是，由于Sniffer在网络上实时监控和捕获数据包，因此在使用过程中需要遵守法律法规，确保合法使用，并保护用户隐私与数据安全。

网络分析SNIFFER软件的使用介绍Sniffer（嗅探器）就是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。

该技术被广泛应用于网络维护和管理方面，它工作的时候就像一部被动声纳，默默的接收着来自网络的各种信息，通过对这些数据的分析，网络管理员可以深入了解网络当前的运行状况，以便找出所关心的网络中潜在的问题。

Sniffer技术简介数据在网络上是以很小的称为“帧”（又称：包）的单位传输的，帧由多个部分组成，不同的部分对应不同的信息以实现相应的功能，例如，以太网的前12个字节存放的是源地址和目的地址，这些数据告诉网络该帧的来源和去处。

其余的部分存放实际用户数据、TCP/IP 的报头或IPX报头等等。

帧是根据通讯所使用的协议，由网络驱动程序按照一定规则生成，然后通过网络接口卡（网络接口卡，在局域网中一般指网卡）发送到网络中，通过网线传送到它们的目的主机，在目的主机的一端按照同样的通讯协议执行相反的过程。

接收端机器的网络接口卡捕获到这些帧，并告诉操作系统有新的帧到达，然后对其进行存储。

在正常情况下，网络接口卡读入一帧并进行检查，如果帧中携带的目的地址（这里的目的地址是指物理地址而非IP地址，该地址是网络设备的唯一性标志）和自己的物理地址一致或者是广播地址（就是被设定为一次性发送到网络所有主机的特殊地址，当目标地址为该地址时，所有的网络接口卡都会接收该帧），网络接口卡通过产生一个硬件中断引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理，否则就将这个帧丢弃。

我们可以想象到这样一种特别的情况：如果网络中某个网络接口卡的物理地址不确定呢（这可以通过本地网络接口卡设置成“混杂”状态来实现）？网络接口卡会如何处理收到的帧呢？实际的情况是该网络接口卡将接收所有在网络中传输的帧，无论该帧是广播的还是发向某一指定地址的，这就形成了监听。

如果某一台主机被设置成这种监听模式，它就成了一个Sniffer。

sniffer工作原理Sniffer是一种网络安全工具，它可以截获网络数据包并分析其中的内容。

Sniffer的工作原理是通过网络接口卡（NIC）将数据包从网络中截获，然后将数据包传递给分析程序进行分析。

Sniffer的工作流程可以分为以下几个步骤：1. 捕获数据包Sniffer通过网络接口卡（NIC）截获网络数据包。

NIC是计算机与网络之间的接口，它可以将计算机发送的数据转换成网络数据包，并将网络数据包转换成计算机可以理解的数据。

Sniffer通过NIC截获网络数据包，然后将数据包传递给分析程序进行分析。

2. 分析数据包Sniffer将截获的数据包传递给分析程序进行分析。

分析程序可以根据需要对数据包进行过滤、排序、统计等操作，并将分析结果输出到屏幕或保存到文件中。

分析程序可以根据需要对数据包进行深度分析，例如分析数据包中的协议、源地址、目的地址、端口号等信息。

3. 显示分析结果Sniffer将分析程序输出的结果显示到屏幕上。

分析结果可以以图形化界面或命令行方式呈现，用户可以根据需要选择不同的显示方式。

分析结果可以帮助用户了解网络中的流量情况，发现网络中的异常行为，提高网络安全性。

Sniffer的应用场景非常广泛，可以用于网络管理、网络安全、网络故障排除等方面。

例如，网络管理员可以使用Sniffer来监控网络流量，发现网络中的异常行为，及时采取措施保障网络安全；网络安全专家可以使用Sniffer来分析网络攻击行为，发现攻击者的攻击手段和目的，提高网络安全性；网络工程师可以使用Sniffer来排查网络故障，快速定位故障点，提高网络可靠性。

总之，Sniffer是一种非常实用的网络安全工具，它可以帮助用户了解网络中的流量情况，发现网络中的异常行为，提高网络安全性。

Sniffer的工作原理是通过网络接口卡（NIC）将数据包从网络中截获，然后将数据包传递给分析程序进行分析。

Sniffer的应用场景非常广泛，可以用于网络管理、网络安全、网络故障排除等方面。

此文章主要向大家讲述的是Sniffer攻击含义以及对其工作原理的描述，sniffers(嗅探器)几乎与internet有一样发展历史了.Sniffer是一种常用的收集有用数据方法，这些数据可以是用户的帐号和密码，可以是一些商用机密数据等等。

随着Internet及电子商务的日益普及,Internet的安全也越来越受到重视。

一.有关sniffer及sniffer的含义sniffers(嗅探器)几乎和internet有一样久的历史了.Sniffer是一种常用的收集有用数据方法，这些数据可以是用户的帐号和密码，可以是一些商用机密数据等等。

随着Internet及电子商务的日益普及,Internet的安全也越来越受到重视。

在Internet安全隐患中扮演重要角色之一的Sniffer以受到越来越大的关注，所以今天我要向大家介绍一下介绍Sniffer以及如何阻止sniffer。

大多数的黑客仅仅为了探测内部网上的主机并取得控制权，只有那些"雄心勃勃"的黑客，为了控制整个网络才会安装特洛伊木马和后门程序，并清除记录。

他们经常使用的手法是安装sniffer。

在内部网上，黑客要想迅速获得大量的账号(包括用户名和密码)，最为有效的手段是使用"sniffer" 程序。

这种方法要求运行Sniffer 程序的主机和被监听的主机必须在同一个以太网段上，故而在外部主机上运行sniffer是没有效果的。

再者，必须以root的身份使用sniffer 程序，才能够监听到以太网段上的数据流。

谈到以太网sniffer，就必须谈到以太网sniffing。

那么什么是以太网sniffer攻击呢?以太网sniffing是指对以太网设备上传送的数据包进行侦听，发现感兴趣的包。

如果发现符合条件的包，就把它存到一个log文件中去。

通常设置的这些条件是包含字"username"或"password"的包。

今天的课程是snifffer详解第三天1、数据包的捕获2、专家模式的应用3、解码分析如何捕获数据包捕获数据的机制相对比较简单，需要做的就是实际分析虽然sniffer是一款强大的网络嗅探软件，但是它不能监测网络任意点的所有流量，sniffer主要用于捕获该工具所在的网络链路的流量并进行分析。

在显示捕获信息的窗口中，包括：高级、解码、矩阵、主机列表、协议分布、统计{Expert}高级专家模式在没有捕获到数据之前，这个窗口不会显示任何信息，捕获的信息和过滤器相关联Diagnoses 产生一些错误或者问题Symptoms 征兆Objects 可以得到数据包在各个层的信息常见的一些征兆：ack too long(180ms)“ACK 过长”这个问题是由于发送方没能在指定时内收到预期的回应而引起的。

这个问题在比较慢的LAN 区段或者WAN 链接中经常出现。

这里，我们会与一个流量受到限制的Novell NetWare 服务器进行通讯，这里得到TCP ACK 回应就需要长一点时window Frozen“窗口冻结”这条信息说明一个应用程序可能存在性能上的问题，原因是接收方的主机可能不能跟上发送方主机传输数据的速度WIND No Response当你的主机找不到WINS 服务器或者设置的WINS 服务器有错误时，经常会出现这条信息解码{Decode}：单击Decode选项，显示解码窗口，其显示了所有被sniffer pro 按照过滤器规则捕获的解码窗口从上到下分为三个部分：总结：给出了捕获的数据，源地址、目标地址、时间和长度详细资料：可以详细查看所捕获的协议信息HEX窗口：以十六进制表示的解码时间标记：绝对时间（Abs.Time）表明了数据包捕获的时间，和当前系统时间一样相对时间（Rel.Time）表明了捕获过程中某个被标记的帧和当前帧的时间差差值间距时间（Delta Time）表明的是两个相邻数据包之间的时间差。