六款最主流的免费网络嗅探软件全接触

ZDNET安全频道时间：2009-01-12作者：刘源| 比特网

本文关键词：网络监听嗅探

要如何才能找到网络传输的性能瓶颈?要如何才能快速定位已经失效了的网络设备?以及要如何才能迅速找到网络病毒传播或拒绝服务攻击的源头?一些专业的网络分析设备可

以用来解决这些问题，但是它们的价格也是相当昂贵的，这对于一对成本控制比较敏感的中小企业和普通用户来说，是不能承受的。很幸运的是，网络嗅探器软件的出现，就为我们提供了一种即方便，又便宜的可视化和专业的网络分析解决方案。在本文中，我将给大家介绍六款主流的免费网络嗅探软件，希望给一些对此有兴趣的朋友提供一个选择参考。

1、WireShark

WireShark是一个开源免费的高性能网络协议分析软件，它的前身就是非常著名的网络分析软件Ethereal。你可以使用它来解决网络疑难问题，进行网络协议分析，以及作为软件或通信协议的开发参考，同时也可以用来作为学习各种网络协议的教学工具等等。WireShark支持现在已经出现了绝大多数的以太网网卡，以及主流的无线网卡。

WireShark具有如下所示的特点：

(1) 支持多种操作系统平台，可以运行于Windows、Linux、Mac OS X10.5.5、Solaris 和FreeBSD等操作系统上;

(2) 支持超过上千种的网络协议，并且还会不断的增加对新协议的支持;

(3) 支持实时捕捉，然后可在离线状态下进行分析;

(4) 支持对VOIP数据包进行分析;

(5) 支持对通过IPsec、ISAKMP、Kerberos、SNMPv3、SSL/TLS、WEP和

WPA/WPA2等协议加密了的数据包解密;

(6) 可以实时获取来自以太网、IEEE 802.11、PPP/HDLC、ATM、蓝牙、令牌环和FDDI(光纤)等网络中的数据包;

(7) 支持读取和分析许多其它网络嗅探软件保存的文件格式，包括Tcpdump、Sniffer pro、EtherPeek、Microsoft Network Monitor和CISCO Secure IDS 等软件;

(8) 支持以各种过滤条件进行捕捉，支持通过设置显示过滤来显示指定的内容，并能以不同的颜色来显示过滤后的报文;

(9) 具有网络报文数据统计功能;

(10) 可以将它捕捉到的数据导出为XML、PostScript、CSV及普通文本文件的格式。

运行WireShark所需的文件：

现在WireShark的最终版本是1.0.5，我们可以到https://www.360docs.net/doc/3410951409.html,/download/上下载它。如果WireShark要在Windows系统下运行时，还需要一个名为Winpcap的驱动库，现在它的稳定版本是WinPcap 4.0.2，最新的测试版本是WinPcap 4.1 beta3，我们可以从

https://www.360docs.net/doc/3410951409.html,上下载。如果是在Linux系统下使用时，就应当使用Libpcap驱动库，它现在的版本是Libpcap1.0.0，我们可以从https://www.360docs.net/doc/3410951409.html,上下载。

WireShark在Windows和Linux系统下安装之前，首先你得保证系统上已经安装了Winpcap或Linpcap。下图1.1就是WireShark在Windows系统下运行时的主界面。

图1.1WireShark在Windows系统下运行时的主界面

2、Tcpdump和Windump

Tcpdump是一个老牌的使用最频繁的网络协议分析软件之一，它是一个基于命令行的工具。Tcpdump通过使用基本的命令表达式，来过滤网络接口卡上要捕捉的流量。它支持现在已经出现了绝大多数的以太网适配器。

Tcpdump是一个工作在被动模式下的网络嗅探器。我们可以用它来在Linux系统下捕获网络中进出某台主机接口卡中的数据包，或者整个网络段中的数据包，然后对这些捕获到的网络协议(如TCP、ARP)数据包进行分析和输出，来发现网络中正在发生的各种状况。例如当出现网络连通性故障时，通过对TCP三次握手过程进行分析，可以得出问题出现在哪个步骤。而许多网络或安全专家，都喜欢用它来发现网络中是否存在ARP地址欺骗。我们也可以将它捕获到的数据包先写入到一个文件当中，然后用WireShark等有图形界面的嗅探器读取和分析。

它的命令格式为：

tcpdump [ -adeflnNOpqStvx ] [ -c 数量] [ -F 文件名][ -i 网络接口] [ -r 文件名]

[ -s snaplen] [ -T 类型] [ -w 文件名] [表达式]

我们可以使用-i参数来指定要捕捉的网络接口卡，用-r来读取已经存在的捕捉文件，用-w来将捕捉到的数据写入到一个文件中。至于其它的参数，我们可以从它的man文档中得到详细的说明，或者通过输入“tcpdump –-help”来到它的帮助信息。

Tcpdum有一个非常重要的特点就是可以使用正则表达式来作为过滤网络报文的条件，这使得它的使用变得非常灵活。我们可以通过它内建的各种关键字来指定想要过滤的条件，

一旦一个网络数据包满足表达式的条件，则这个数据包就会被捕获。如果我们没有给出任何条件，那么所有通过指定网络接口卡中的网络报文都会被捕获。

Tcpdump使用以下三种类型的关键字：

(1)、用于表式类型的关键字，主要有Host、Net和Port。它们分别用来指定主机的IP 地址、指定网络地址和指定端口。如果你没有指定关键字，它就会使用缺省的Host类型。

(2)、用于表式传输方向的关键字，主要有Src、Dst。分别用来指定要捕捉的源IP地址是什么或目的IP地址是什么的包。

(3)、用来表式捕捉什么协议的关键字，主要有ip，arp，tcp，udp等。

这些关键字之间可以使用逻辑运算关键字来连接，以便于我们指定某个范围或排除某个主机等。这些逻辑运算关键字也有三个，分别是取非运算“not”，或者可以用“!”符号表示;与运算“and”，可以用“&&” 符号表示;或运算“or”，可以用“||”符号表示。

Tcpdump的关键字还有很多，我就不在此全部列出。其它的可以通过它的帮助文档来得到它们的详细说明。

运行Tcpdump需要的文件：

Tcpdump可以很好地运行在UNIX、Linux和Mac OSX操作系统上，它现在的最新版本是TCPDUMP 4.0.0，我们可以从https://www.360docs.net/doc/3410951409.html,上下载它的二进制包。同时，要运行它，也需要系统中安装有Libpcap1.0.0这个驱动库。

Tcpdump在Windows系统下的版本就是Windump，它也是一个免费的基于命令行方式的网络分析软件。当然，我们在使用Windump之前，同样要确保系统中已经安装有WinPcap 4.0.2驱动库。下图2.1就是Tcpdump在Linux系统控制台下运行时的界面。

图2.1Tcpdump在Linux控制台中运行时的界面

3、DSniff

DSniff是一个非常强大的网络嗅探软件套件，它是最先将传统的被动嗅探方式向主动方式改进的网络嗅探软件之一。DSniff软件套件中包含了许多具有特殊功能的网络嗅探软件，这些特殊的网络嗅探软件可以使用一系列的主动攻击方法，将网络流量重新定向到网络嗅探

器主机，使得网络嗅探器有机会捕获到网络中某台主机或整个网络的流量。这样一来，我们就可以将DSniff在交换或路由的网络环境中，以及Cable modem拔号上网的环境中使用。甚至，当安装有DSniff的网络嗅探器不直接连接到目标网络当中，它依然可以通过运程的方式捕获到目标网络中的网络报文。DSniff支持Telnet 、Ftp、Smtp、P0P3、HTTP，以及其它的一些高层网络应用协议。它的套件当中，有一些网络嗅探软件具有特殊的窃取密码的方法，可以用来支持对SSL和SSH加密了的数据进行捕获和解密。DSniff支持现在已经出现了的绝大多数的以太网网卡。

我们可以使用DSniff来验证我们的安全防范设置是否可靠，以及用来监控使用交换机或路由器的网络环境中网络的运行情况。但我们在使用DSniff之前，最好先考虑清楚它本身可能会给我们带来的新的安全风险，以防止造成不必要的损失。

DSniff套件当中，主要包含有以下几个方面的网络嗅探软件：

(1)、arpspoof(arp欺骗)：通过它来进行ARP地址欺骗，将网络流量重定向到网络嗅探主机，然后就机会捕捉到网络数据包;

(2)、dnsspoof(dns欺骗)：通过它来进行DNS欺骗。它有一个非常重要的功能就是webmitm，这种功能主要是用来捕获SSL和SSH加密了的数据;

(3)、mailsnarf：它可以将SMTP方式发送的E-Mail信息，重新组装成一种MBOX格式，然后就可以离线状态下被一些邮件收发软件读取;

(4)、filesnart：它可以用来得到以NFS、SMB方式传输的文件的一个副本;

(5)、urlsnart：它可以嗅探到来自HTTP流量中所有发送的URLs 请求，并保存为通用日志文件(CLF)格式。这种日志文件可以被大多数的WEB服务器所使用，可以在离线的状态下被WEB日志分析工具读取;

(6)、webspy ：它能将从客户处嗅探到的URL地址，发送到攻击者的WEB浏览器中显示。并且实时更新，攻击者就可以看到你到底浏览了哪些网站;

(7)、msgsnarf ：用它可以对一些实时聊天软件进行嗅探;

(8)、screenspy ：用进行屏幕监控;

(9)、macof：它使用MAC地址溢出攻击方法来攻击交换机。通过不断向交换机

发送包含有冒充的MAC地址的数据包，以此来溢出交换机的MAC地址表。

此时，交换就会以广播的方式发送所接收到的数据包。它一般在上述嗅探软件

前使用;

(10)、tcpkill：一种拒绝服务攻击(DoS)。主要用来切断与合法主机的网络连接，保证嗅探工作的正常进行。它一般在上述嗅探软件前使用。

运行DSniff所需的文件：

DSniff可以Linux和Windows操作系统平台下使用，它支持绝大多数的Linux

发行版本和Windows 2000以上的版本。DSniff现在在Linux中的版本是dsniff-2.4。我们可以从https://www.360docs.net/doc/3410951409.html,上下载dsniff-2.4b1.tar.gz这个包。当我们在Linux系统平台中使用DSniff时，还需要以下的几个文件：

(1)、dsniff-2.4-configure.in.diff补丁包;

(2)、dsniff-2.4-sshow.c.diff补丁包;

(3)、libnet-1.0.2a.tar.gz;

(4)、libnids-1.16-1.i386.rpm;

(5)、libpcap-0.4-39.i386.rpm;

如果安装了上述文件还不能正常工作，我们还必需安装db4.1.25和openssl。上述的这些文件可以在https://www.360docs.net/doc/3410951409.html,/tools/上下载。

如果要在Windows系统平台下使用，我们就需要以下的这些文件：

(1)、dsniff-1.8-win32-static.tgz;

(2)、libnids-1.16-win32.zip;

(3)、libevent-0.6-win32.zip;

(4)、winpcap4.0及以上版本。

它们也可以从https://www.360docs.net/doc/3410951409.html,/tools/上下载。

图3.1就是在进入安装在Windows系统中DSniff目录下的画面

图3.1 DSniff安装在Windows目录下的文件界面

4、Ettercap

Ettercap也是一个高级网络嗅探软件，它可以在使用交换机的网络环境中使用。Ettercap能够对大多数的网络协议数据包进行解码，不论这个数据包是不是加密过了的。它也支持现在已经出现了的绝大多数以太网网卡。Ettercap还拥有一些独特的方法，用来捕获主机或整个网络的流量，并对这些流量进行相应的分析。

Ettercap具有如下所示的特点：

(1)、判断网络中活动主机的操作系统类型;

(2)、得到网络中所有活动主机的IP地址和MAC地址;

(3)、可以指定以静态或被动模式进行工作;

(4)、可以从指定的过滤规则文件中加入过滤规则;

(5)、具有包过滤功能，在数据流量比较大的情况下让你便于得到需要的信息。

(6)、可以用来收集网络中以明文方式传输的用户名和密码;

(7)、可以将捕获到的数据保存到指定位置的文件中;

(8)、可以用来检测网络中是否还有其它活动的嗅探器;

(9)、支持以插件的方式来扩展功能;

(10)、可以通过一些主动的攻击，来得到加密了的数据;

(11)、它内建了许多攻击方法，如ARP地址欺骗，以及字符注入攻击等。

Ettercap的大部分特性与DSniff相似。它可以在字符模式下使用，也可以在使用Ncurses based GUI和GTK2接口的图形界面上使用。当我们安装完Ettercap以后，就可以用“-T”选项指定它运行在字符模式下，以“-C”选项指定它运行在使用Ncurses based GUI 的图形模式下，还可以“-G”选项指定它运行在使用GTK2接口的图形模式下。Ettercap的命令格式如下：

Ettercap [选项][host:port] [host:port] [mac] [mac]

它有许多选项，我们可以在字符模式下输入“ettercap –help”命令来得到它们的说明。

运行Ettercap所需的文件：

Ettercap可以Linux、Windows、FreeBSD 、OpenBSD 、NetBSD 、Mac OS X 及Sloaris等操作系统平台中运行。

当我们在Linux下使用Ettercap嗅探软件时，就需要下列所有的这几个文件：

(1)、ettercap-NG-0.7.3.tar.gz;

(2)、libpcap >= 0.8.1;

(3)、libnet >= 1.1.2.1;

(4)、libpthread;

(5)、zlib。

如果我们还要在图形界面中使用或者还想得到SSH和SSL加密了的数据，还应当得下列的文件：

(1)、libltdl，它是libtool的一部分;

(2)、libpcre;

(3)、openssl 0.9.7;

(4)、ncurses >= 5.3;

(5)、pkgconfig >= 0.15.0;

(6)、Glib >= 2.4.x、Pango >= 1.4.x。

如果我们要在Windows系统下使用它，就必需使用下列两个文件：

(1)、Ettercap-NG-0.7.3-win32.exe;

(2)、winpcap4.0及以上版本。

上面所示的文件，我们都可以从https://www.360docs.net/doc/3410951409.html,/download.php网站下载。下图4.1就是Ettercap在Windows系统下的主界面。

图4.1Ettercap在Windows系统下的主界面

5、NetStumbler

NetStumbler是一个用来寻找使用IEEE802.11a/b/g标准的无线局域网工具。它支持包括PCMCIA 无线适配器在内的绝大多数主流无线适配器，同时，还加入了对全球GPS 卫星定位系统的支持。

NetStumbler可以完成以下的工作：

(1)、用来进行“战争驾驶”;

(2)、用来验证无线客户和无线AP的配置是否存在弱点;

(3)、用来寻找一些可以接入的无线局域网所在的方位。

(4)、用来检测干扰无线局域网信号的原因;

(5)、用来检测一些没有经过授权的无线接入点;

(6)、用来得到无线局域网的SSID值。

运行NetStumbler所需的文件：

NetStumbler可以在Windows98及以上的操作系统版本中运行，它还有一个精简版本，用来在Windows CE系统下使用。

NetStumbler是一个免费的软件，它现在的最新版本是NetStumbler0.4.0，Windows CE 下最新的版本是MiniStumbler0.4.0。这两个安装包你都可以从

https://www.360docs.net/doc/3410951409.html,/downloads/网站下载。图5.1是NetStumbler启动后的主界面。

图5.1 NetStumbler的主界面

6、Kismet

Kismet 一个基于IEEE802.11系统标准的无线网络检测、嗅探软件，以及入侵检测系统，它是一个开源的、免费的软件。Kismet能够与绝大多数支持RF监控模式的无线适配器一起工作。例如PRISM2、2.5、3和GT无线芯片，以及Orinoco Gold和Atheros a/b/g 无线芯片的无线适配器。当无线适配器处于监控模式(monitoring mode)时，它可以嗅探到兼容IEEE802.11a/b/g标准的无线网络中传输的网络流量。Kismet主要以被动的方式对无线网络进行嗅探，来检测出标准的无线网络名称，包括隐藏了SSID值的无线网络也能够被检测到。

Kismet具有以下的特点：

(1)、能将嗅探到的文件保存为Tcpdump等软件可以读取的格式;

(2)、能检测出无线网络现在所使用的IP地址范围;

(3)、能检测出无线网络中安装有NetStumbler软件的主机，以此来找到非法无线接入者;

(4)、能检测出隐藏了的无线网络SSID值;

(5)、与GPS合作，绘制无线访问点和无线客户所在位置的网络地图;

(6)、使用客户/服务器体系结构;

(7)、可识别无线访问点和无线客户中无线适配器的制造商和工作模式;

(8)、能找出无线访问点和无线客户现在存在的弱点;

(9)、可以解码通过WEP加密的数据包;

(10)、可以和其它软件合作，来扩展这些软件的应用范围。例如可以与snort网络入侵检测系统合作;

运行Kismet所需的文件：

Kismet可以在Linux2.0及以上的发行版本中运行得很好。在刚开始时，它只支持Linux 系统平台，现在，它也有运行在Windows2000及以上系统下的版本。

当Kismet在Linux发行版本中运行，我们可以从

https://www.360docs.net/doc/3410951409.html,/download.shtml下载Kismet-2008-05-R1文件。如果要在Windows2000及以上系统中运行，我们就需要从上述相同网站中下载

setup_kismet_2008-05-R1.exe安装文件，还必需从

https://www.360docs.net/doc/3410951409.html,/support/downloads.htm 下载AirPcap的setup_airpcap_3_2_1.exe文件。图6.1就是Kismet在Linux系统字符终端下运行的界面。

图6.1 Kismet在Linux系统字符终端下运行的界面

在以太网中，还有一些网络嗅探软件也是比较常用的。例如Sniffer Pro网络协议分析软件，它可以在多种平台下运行，用来对网络运行状况进行实时分析，而且又有丰富的图示功能。以及Analyzer，它是一个运行在Windows操作系统下的免费的网络嗅探软件。另外，还一些商业性质的网络嗅探软件，虽然它们需要支付一定的费用，但是，它们的功能也是没得说的，其中比较著名的代表就是EtherPeek套件。

用网络分析器来为我们工作

现在，你已经知道如何将你的网络分析器连入到你的网络结构中了，就可以着手使用网络分析器来为自己进行各种网络管理或安全管理等工作的时候了。网络分析器，主要用来帮助进行系统管理，解决网络疑难问题，进行安全管理这三方面的工作。下面就对这三个方面的具体内容进行详细说明。

一、使用网络分析器来进行系统管理

一台处于网络中的主机，对于出现的一些关于网络连通性相关的问题，在通过一些常规的网络命令工具(如ping命令)不能确定是系统还是网络服务器出现问题时，就可以通过网络分析器来分析某种网络协议(如TCP协议)的工作方式，来确定问题所在。

现在通过一个解决TCP连接的例子来说明如何使用网络协议来帮助系统管理的。

一般要完成一个成功的TCP连接，必需经过三层握手，我们可以通过使用网络分析器来分析TCP连接过程中的三次握手时的响应标志，就以发现问题的所在。一共有以下三种情况：

1、有SYN标志，没有SYN+ACK标志。

当网络分析器捕获的包中只有客户机的SYN包，但没有来自服务器响应的SYN+ACK 标志包，那么，就可以说明服务器不能处理数据包，可能原因是被防火墙类设备阻止。

2、SYN后服务器立即响应RST。

这种方式说明目标服务器的所对应的服务没有开放对应的正确端口。重新绑定商品对应的服务上就可以解决这个问题。

3、SYN SYN+ACK ACK 立即关闭。

如果TCP建立连接后立即关闭，可能是由于目标服务器拒绝使用包中源IP地址的客户机连接服务器。检查服务器中的防火墙及其它安全软件中的访问控制列表，将客户机的IP 地址添加到信任列表当中。

二、使用网络分析器来解决网络疑难问题

网络管理的一个基本职能，就是应当尽量解决网络中出现的各种故障，以确保网络能够正常运行。解决网络故障的关键，就是应当尽快找到故障出现的位置，然后确定故障产生的原因。有一种方法可以帮助我们能够加快解决网络故障的速度，就是在网络的各个关键位置布置网络分析器。这样，你就可以通过网络分析器来了解现在网络传输速度，网络会话过程是否正常，检测有哪些设备出现了故障，故障产生的原因是什么等等。

还有，为了快速正确地解决网络问题，在事先制定一个解决问题的策略是一个很好的方法。这会最大限度地减少在处理故障过程中出现的人为失误。一个好的处理网络故障的步骤一般应包括以下几个方面：

发现问题-认识问题-问题分类-隔离问题-验证和测试问题的起因-解决问题-验证问题是否真的被解决。

三、使用网络分析器来进行安全管理

网络分析器是一个非常好的网络协议分析工具，用它不仅能找到一些网络应用程序在数据传输过程中的缺点，例如FTP和Telnet都是通过明文方式来传输数据的，因此，网络分析器能轻而易举地捕获到这些数据包中的重要信息(如用户名和密码)。由此，也可以使用网络分析器来检查其它需要在网络中使用的网络协议的传输是否安全。

同时，我们还可以使用网络分析器来检查存于系统中的蠕虫病毒传播的源头，以及诸如拒绝服务攻击产生的源头等等。

因此，使用网络分析器来分析网络流量，可以帮助我们找到网络安全弱点，强化我们的安全策略。

网络嗅探器的设计与实现

计算机网络课程设计题目网络嗅探器的设计与实现系 (部) 姓名学号指导教师 2015年7月18日

计算机网络课程设计任务书

网络嗅探器的设计与实现摘要：网络嗅探器是对网络中的数据帧进行捕获的一种被动监听手段，是一种常用的收集有用数据的方法。本设计是关于网络嗅探器的设计与实现，其功能包括实现网络层抓包，对获得包的源和目的地址、端口、协议等进行分析和实现简单的包嗅探器功能。关键字：网络嗅探器;数据包捕获; 套接字引言由于网络技术的发展，计算机网络的应用越来越广泛，其作用也越来越重要。计算机网络安全问题更加严重，网络破坏所造成的损失越来越大。但是由于计算机系统中软硬件的脆弱性和计算机网络的脆弱性以及地理分布的位置、自然环境、自然破坏以及人为因素的影响，不仅增加了信息存储、处理的风险，也给信息传送带来了新的问题。嗅探器是一种常用的收集有用数据的方法，可以作为网络数据包的设备。嗅探器是通过对网卡的编程来实现网络通讯的，对网卡的编程是使用通常的套接字（socket）方式来进行。通常的套接字程序只能响应与自己硬件地址相匹配的或是以广播形式发出的数据帧，对于其他形式的数据帧比如已到达网络接口但却不是发给此地址的数据帧，网络接口在验证投递地址并非自身地址之后将不引起响应，也就是说应用程序无法收取到达的数据包。而网络嗅探器的目的恰恰在于从网卡接收所有经过它的数据包，这些数据包即可以是发给它的也可以是发往别处的。 1 基本概念 1.1 嗅探器每一个在局域网（LAN）上的工作站都有其硬件地址，这些地址唯一地表示了网络上的机器。当用户发送一个数据包时，这些数据包就会发送到LAN上所有可用的机器。在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的数据包则不予响应。嗅探器工作在网络的底层，在网络上监听数据包来获取敏感信息。从原理上来说，在一个实际的系统中，数据的收发是由网卡来完成的，网卡接收到传输来的数据，其内的单片程序接收数据帧的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就接收后产生中断信号通知CPU，认为不该接收就丢掉不管，所以不该接收的数据网卡就截断了，计算机根本就不知道。对于网卡来说一般有四种接收模式： a)广播方式：该模式下的网卡能够接收网络中的广播信息。 b)组播方式：设置在该模式下的网卡能够接收组播数据。 c)直接方式：在这种模式下，只有目的网卡才能接收该数据。

使用Wireshark嗅探器分析网络协议书范本

实验2 使用Wireshark嗅探器分析网络协议实验日期：实验目的： 1、掌握嗅探器工具Wireshark的下载和安装方法 2、掌握Wireshark的简单使用方法，了解抓包结果的分析方法 3、掌握封装这一操作的具体含义以及TCP/IP体系结构的分层，了解各层的一些常用协议。实验步骤： 1、预习课本与ping命令及tracert命令相关的因特网控制报文协议ICMP相关的容(4.4节)，通过搜索引擎了解什么是嗅探器，了解嗅探器工具Wireshark的下载、安装和使用方法 2、自己下载安装并启动Wireshark（安装程序里附带的WinPcap也一定要安装）如有时间可搜索Wireshark的中文使用说明，作为实验的辅助资料。FTP上有《Wireshark 网络分析就这么简单》的电子版，供参考。 3、选择正确的网络适配器（俗称网卡）。这一步很重要。选错了网卡，可能抓不到任何包。 4、开始抓包。 5、在Wireshark的显示过滤器输入栏中输入正确的表达式，可过滤出需要的数据包。

7、单击选中其中一个报文，可在树形视图面板中看它各层协议首部的详细信息。 8、过滤出http流量，选择其中的一个数据包，回答以下问题：（以下

4个问题需回答并截图证明） 1）此http包的http协议版本号是多少？此http包的http协议版本号是HTTP/1.1 2）http协议在传输层使用的是TCP协议还是UDP协议？ http协议在传输层使用的是TCP协议 3）此http包在网络层使用的是什么协议？

此http包在网络层使用的是IPV4协议 4）此http包在数据链路层使用的是什么协议？此http包在数据链路层使用的是Ethernet II协议 9、过滤出QQ流量（协议名称为OICQ），选择其中的一个数据包，回答以下问题：（以下4个问题需回答并截图证明） 1）此QQ包的OICQ协议版本号是多少？此QQ包的OICQ协议版本号是OICQ 121

共享网络嗅探工具(如Sniffer Pro)的功能使用和结构分析和IP地址欺骗扫描工具Hping2的使用

课程设计II报告（2011 / 2012 学年第一学期）题目1：共享网络嗅探工具（如Sniffer Pro）的功能使用和结构分析题目2：IP地址欺骗扫描工具Hping2的使用专业学生姓名班级学号指导教师指导单位日期年月日

指导教师成绩评定表学生姓名刘铭菲班级学号08001019 专业信息安全评分内容评分标准优秀良好中等差平时成绩认真对待课程设计，遵守实验室规定，上机不迟到早退，不做和设计无关的事设计成果设计的科学、合理性功能丰富、符合题目要求界面友好、外观漂亮、大方程序功能执行的正确性程序算法执行的效能设计报告设计报告正确合理、反映系统设计流程文档内容详实程度文档格式规范、排版美观验收答辩简练、准确阐述设计内容，能准确有条理回答各种问题，系统演示顺利。评分等级指导教师简短评语指导教师签名日期备注评分等级有五种：优秀、良好、中等、及格、不及格

实验一Sniffer Pro的使用一．课题内容和要求 1) 熟练掌握Sniffer Pro对数据包捕获的使用方法。 2) 掌握利用Sniffer Pro进行数据包结构分析、进而理解协议对数据的封装。重点：1) Sniffer Pro对数据包捕获的使用方法。 2) 利用Sniffer Pro进行数据包结构分析。难点：Sniffer Pro进行数据包结构分析。【实验环境】 Windows XP、2003 Server等系统，Sniffer Pro软件。二、设计思路分析打开snifeer 软件，出现下图，这个界面是用来选择要抓包得网卡，选择好了之后点击OK 常用功能介绍 1、Dashboard （网络流量表）点击图1中①所指的图标，出现三个表，第一个表显示的是网络的使用率，第二个表显示的是网络的每秒钟通过的包数量，第三个表显示的是网络的每秒错误率。通过这三个表可以直观的观察到网络的使用情况，红色部分显示的是根据网络要求设置的上限。

(2020年编辑)网络嗅探器的设计与实现

《网络与信息安全》课程设计报告班级学号：姓名：题目：评阅：成绩： 2011年1月

目录一、开发背景 1、网络安全现状。 2、开发意义。二、设计分析 1、实现目标。 2、开发技术简介。三、详细设计 1、嗅探原理。 2、代码设计。四、测试运行五、总结六、参考文献

摘要网络嗅探器是作用在网络上的一种监听程序，它是系统管理员的一个得力助手，管理员可以用它来分析网络。例如当网络繁忙时可利用它来查找是哪一段网络繁忙，数据报文是属于哪一种协议，这样可以计算出哪种业务受欢迎。但是当有黑客使用它时，它又变得很可怕。它可以非法获取一些保密性信息，如帐号、密码等，它带来的负面破坏是非常大的。作为从事网络安全技术方面的人员来说，要想有效地利用它、防范它就得深入地学习、分析网络嗅探技术。 1、本设计的基本任务是设计一个嗅探软件，实现对常用网络数据包抓取、分析。 2、软件所要完成对本机在网络中的通信数据,比如协议类型，源、目的地址和端口、数据包的大小等加以分析的功能。 3、本设计用到的开发工具为Microsoft Visual Studio 2010 开发环境为Windows 7。 4、程序由韩瑞彬同学和我共同完成，本人主要负责主界面的设计和网络数据包的抓取，韩瑞彬同学负责对数据包的解析设计。关键字：嗅探器，安全，黑客，数据报文一、开发背景

1、网络安全现状随着各种新的网络技术的不断出现、应用和发展，计算机网络的应用越来越广泛，其作用也越来越重要。但是由于计算机系统中软硬件的脆弱性和计算机网络的脆弱性以及地理分布的位置、自然环境、自然破坏以及人为因素的影响，不仅增加了信息存储、处理的风险，也给信息传送带来了新的问题。计算机网络安全问题越来越严重，网络破坏所造成的损失越来越大。Internet 的安全已经成为亟待解决的问题。多数黑客入侵成功并植入后门后的第一件事就是选择一个合适当前网络的嗅探器，以获得更多的受侵者的信息。嗅探器是一种常用的收集有用数据的方法，可以作为分析网络数据包的设备。网络嗅探器就是利用计算机的网络接口截获其他计算机的数据报文的一种工具，而且它与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值，而嗅探器捕获的则是真实的网络报文.如果把网络嗅探器放置于网络节点处，对网络中的数据帧进行捕获的一种被动监听手段，是一种常用的收集有用数据的方法，可以分析各种信息包并描述出网络的结构和使用的机器，由于它接收任何一个在同一网段上传输的数据包，所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。这成为黑客们常用的扩大战果的方法，用来夺取其他主机的控制权。当然嗅探器的正当用处主要是网络管理人员分析网络的流量，以便找出所关心的网络中潜在的问题。例如，假设网络的某一段运行得不是很好，报文的发送比较慢，而我们又不知道问题出在什么地方，此时就可以用嗅探器截获网络中的数据包，分析问题的所在。 2、开发意义本次设计只是对抓取到的本机在网络中的通信数据,比如说协议类型，源、目的地址和端口、数据包的大小等加以分析，而无法做到像Sniffer 或者影音神探那种成熟的嗅探器所拥有的强大功能。作为从事网络技术方面的人员来说，要想有效地利用它、防范它，就得深入地学习、分析网络嗅探技术。最为重要的是，对于网络嗅探器的设计与实现，使我对网络通信，数据传输和网络信息安全等有了切身的体会与融入，同时也是对网络安全技术这门课的学以致用，不断提高自我的一种有效途径。二、设计分析 1、实现目标（1）实现网络嗅探器的界面。（2）实现抓取数据包的功能。

网络嗅探与监听

网络嗅探与监听局域网具有设备共享、信息共享、可进行高速数据通讯和多媒体信息通信、分布式处理、具有较高的兼容性和安全性等基本功能和特点。目前局域网主要用于办公室自动化和校园教学及管理，一般可根据具体情况采用总线形、环形、树形及星形的拓扑结构。一、网络监听网络监听技术本来是提供给网络安全管理人员进行管理的工具，可以用来监视网络的状态、数据流动情况以及网络上传输的信息等。当信息以明文的形式在网络上传输时，使用监听技术进行攻击并不是一件难事，只要将网络接口设置成监听模式，便可以源源不断地将网上传输的信息截获。网络监听可以在网上的任何一个位置实施，如局域网中的一台主机、网关上或远程网的调制解调器之间等。二、在局域网实现监听的基本原理对于目前很流行的以太网协议，其工作方式是：将要发送的数据包发往连接在一起的所有主机，包中包含着应该接收数据包主机的正确地址，只有与数据包中目标地址一致的那台主机才能接收。但是，当主机工作监听模式下，无论数据包中的目标地址是什么，主机都将接收(当然只能监听经过自己网络接口的那些包)。在因特网上有很多使用以太网协议的局域网，许多主机通过电缆、集线器连在一起。当同一网络中的两台主机通信的时候，源主机将写有目的的主机地址的数据包直接发向目的主机。但这种数据包不能在IP层直接发送，必须从TCP/IP 协议的IP层交给网络接口，也就是数据链路层，而网络接口是不会识别IP地址的，因此在网络接口数据包又增加了一部分以太帧头的信息。在帧头中有两个域，分别为只有网络接口才能识别的源主机和目的主机的物理地址，这是一个与IP 地址相对应的48位的地址。

传输数据时，包含物理地址的帧从网络接口(网卡)发送到物理的线路上，如果局域网是由一条粗缆或细缆连接而成，则数字信号在电缆上传输，能够到达线路上的每一台主机。当使用集线器时，由集线器再发向连接在集线器上的每一条线路，数字信号也能到达连接在集线器上的每一台主机。当数字信号到达一台主机的网络接口时，正常情况下，网络接口读入数据帧，进行检查，如果数据帧中携带的物理地址是自己的或者是广播地址，则将数据帧交给上层协议软件，也就是IP层软件，否则就将这个帧丢弃。对于每一个到达网络接口的数据帧，都要进行这个过程。然而，当主机工作在监听模式下，所有的数据帧都将被交给上层协议软件处理。而且，当连接在同一条电缆或集线器上的主机被逻辑地分为几个子网时，如果一台主机处于监听模式下，它还能接收到发向与自己不在同一子网(使用了不同的掩码、IP地址和网关)的主机的数据包。也就是说，在同一条物理信道上传输的所有信息都可以被接收到。另外，现在网络中使用的大部分协议都是很早设计的，许多协议的实现都是基于一种非常友好的、通信的双方充分信任的基础之上，许多信息以明文发送。因此，如果用户的账户名和口令等信息也以明文的方式在网上传输，而此时一个黑客或网络攻击者正在进行网络监听，只要具有初步的网络和TCP/IP协议知识，便能轻易地从监听到的信息中提取出感兴趣的部分。同理，正确的使用网络监听技术也可以发现入侵并对入侵者进行追踪定位，在对网络犯罪进行侦查取证时获取有关犯罪行为的重要信息，成为打击网络犯罪的有力手段。三、局域网监听的简单实现要使主机工作在监听模式下，需要向网络接口发出I/O控制命令，将其设置为监听模式。在Unix系统中，发送这些命令需要超级用户的权限。在Windows 系列操作系统中，则没有这个限制。要实现网络监听，可以自己用相关的计算机语言和函数编写出功能强大的网络监听程序，也可以使用一些现成的监听软件，在很多黑客网站或从事网络安全管理的网站都有。 1. 一个使用Wireshark进行监听并解析IPv4协议头部的例子 (1)IP数据报首部概述

网络嗅探器设计

目录一、什么是嗅探器二、嗅探器的作用三、网络嗅探器原理四、反嗅探技术五、网络嗅探器的设计六、总结：一、什么是嗅探器嗅探器，可以理解为一个安装在计算机上的窃听设备它可以用来窃听计算机在网络上所产生的众多的信息。简单一点解释：一部电话的窃

听装置, 可以用来窃听双方通话的内容，而计算机网络嗅探器则可以窃听计算机程序在网络上发送和接收到的数据。可是，计算机直接所传送的数据，事实上是大量的二进制数据。因此, 一个网络窃听程序必须也使用特定的网络协议来分解嗅探到的数据，嗅探器也就必须能够识别出那个协议对应于这个数据片断，只有这样才能够进行正确的解码。计算机的嗅探器比起电话窃听器，有他独特的优势：很多的计算机网络采用的是“共享媒体"。也就是说，你不必中断他的通讯，并且配置特别的线路，再安装嗅探器，你几乎可以在任何连接着的网络上直接窃听到你同一掩码范围内的计算机网络数据。我们称这种窃听方式为“基于混杂模式的嗅探”（promiscuous mode）。尽管如此，这种“共享” 的技术发展的很快，慢慢转向“交换” 技术，这种技术会长期内会继续使用下去，它可以实现有目的选择的收发数据。二、嗅探器的作用嗅探器是网络的抓包工具，可以对网络中大量数据抓取，从而方便使用者对网络中用户的一些信息进行分析，所以，通常被黑客运用于网络攻击。我们如果也能掌握网络嗅探器的原理和设计，可以将它运用与网络故障检测、网络状况的监视，还可以加强企业信息安全防护。三、网络嗅探器原理嗅探器是如何工作的？如何窃听网络上的信息？网络的一个特点就是数据总是在流动中，从一处到另外一处，而互联网是由错综复杂的各种网络交汇而成的，也就是说:当你的数据从网络的一台电脑到另一台电脑的时候，通常会经过大量不同的网络设备，(我们用tracert命令就可以看到这种路径是如何进行的)。如果传输过程中，有人看到了传输中的数据，那么问题就出现了——这就好比给人发了一封邮件，在半路上被人拆开偷看一样，这样说或许还不是很可怕，那要是传送的数据是企业的机密文件那，或是用户的信用卡帐号和密码呢……? 嗅探侦听主要有两种途径，一种是将侦听工具软件放到网络连接的

网络扫描与网络嗅探工具的使用

网络扫描与网络嗅探一实验目的（1）理解网络嗅探和扫描器的工作机制和作用（2）使用抓包与协议分析工具Wireshark （3）掌握利用扫描器进行主动探测，收集目标信息的方法（4）掌握使用漏洞扫描器检测远程或本地主机安全性漏洞二实验环境 Windows xp操作系统平台，局域网环境网络抓包与协议分析工具Wireshark 扫描器软件：Superscan 三实验步骤使用Wireshark 抓包并进行协议分析（1）下载并安装软件，主界面如图（2）单击capture，打开interface接口选项，选择本地连接，如图

（3）使用Wireshark数据报获取，抓取TCP数据包并进行分析从抓取的数据包来看,首先关于本次分析的数据包是典型的TCP三次握手,如图所示: （4）TCP三次握手过程分析（以第一次握手为例）主机（172.16.1.64）发送一个连接请求到（172.16.0.1），第一个TCP包的格式如图所示：

第三行是ipv4的报文,网际协议IP是工作在网络层,也就是数据链路层的上层, IPv4报文中的源地址和目的地址是ip地址,版本号TCP是6，其格式为: 第四行是TCP报文,从上面两个可以知道,这个TCP包被层层包装,经过下面一层就相应的包装一层,第三段是经过传输层的数据,TCP报文的格式为: TCP的源端口2804也就是宿主机建立连接开出来的端口,目的端口8080。Sequence number同步序号，这里是0x3a 2a b7 bb,但这里显示的是相对值0。Acknowledgment number确认序号4bytes,为0,因为还是第一个握手包。Header Length头长度28字节,滑动窗口65535大小字节,校验和,紧急指针为0。Options选项8字节

网络嗅探器的设计实现

- - -. 《网络与信息安全》课程设计报告

2011年1月目录一、开发背景 1、网络安全现状。 2、开发意义。二、设计分析 1、实现目标。 2、开发技术简介。三、详细设计 1、嗅探原理。 2、代码设计。四、测试运行五、总结

六、参考文献摘要网络嗅探器是作用在网络上的一种监听程序，它是系统管理员的一个得力助手，管理员可以用它来分析网络。例如当网络繁忙时可利用它来查找是哪一段网络繁忙，数据报文是属于哪一种协议，这样可以计算出哪种业务受欢迎。但是当有黑客使用它时，它又变得很可怕。它可以非法获取一些XX性信息，如XX、密码等，它带来的负面破坏是非常大的。作为从事网络安全技术方面的人员来说，要想有效地利用它、防X它就得深入地学习、分析网络嗅探技术。 1、本设计的基本任务是设计一个嗅探软件，实现对常用网络数据包抓取、分析。 2、软件所要完成对本机在网络中的通信数据,比如协议类型，源、目的地址和端口、数据包的大小等加以分析的功能。 3、本设计用到的开发工具为Microsoft Visual Studio 2010 开发环境为Windows 7。 4、程序由韩瑞彬同学和我共同完成，本人主要负责主界面的设计和网络数据包的抓取，韩瑞彬同学负责对数据包的解析设计。关键字：嗅探器，安全，黑客，数据报文

一、开发背景 1、网络安全现状随着各种新的网络技术的不断出现、应用和发展，计算机网络的应用越来越广泛，其作用也越来越重要。但是由于计算机系统中软硬件的脆弱性和计算机网络的脆弱性以及地理分布的位置、自然环境、自然破坏以及人为因素的影响，不仅增加了信息存储、处理的风险，也给信息传送带来了新的问题。计算机网络安全问题越来越严重，网络破坏所造成的损失越来越大。Internet 的安全已经成为亟待解决的问题。多数黑客入侵成功并植入后门后的第一件事就是选择一个合适当前网络的嗅探器，以获得更多的受侵者的信息。嗅探器是一种常用的收集有用数据的方法，可以作为分析网络数据包的设备。网络嗅探器就是利用计算机的网络接口截获其他计算机的数据报文的一种工具，而且它与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值，而嗅探器捕获的则是真实的网络报文.如果把网络嗅探器放置于网络节点处，对网络中的数据帧进行捕获的一种被动监听手段，是一种常用的收集有用数据的方法，可以分析各种信息包并描述出网络的结构和使用的机器，由于它接收任何一个在同一网段上传输的数据包，所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。这成为黑客们常用的扩大战果的方法，用来夺取其他主机的控制权。当然嗅探器的正当用处主要是网络管理人员分析网络的流量，以便找出所关心的网络中潜在的问题。例如，假设网络的某一段运行得不是很好，报文的发送比较慢，而我们又不知道问题出在什么地方，此时就可以用嗅探器截获网络中的数据包，分析问题

《网络嗅探器》课程设计报告

《网络与信息安全技术》课程报告课题名称：网络嗅探器提交报告时间：2010年12月17 日网络嗅探器专业组号指导老师 [摘要]随着网络技术的飞速发展，网络安全问题越来越被人重视。嗅探技术作为网络安全攻防中最基础的技术，既可以用于获取网络中传输的大量敏感信息，也可以用于网络管理。通过获取网络数据包的流向和内容等信息，可以进行网络安全分析和网络威胁应对。因此对网络嗅探器的研究具有重要意义。本课程设计通过分析网络上常用的嗅探器软件，在了解其功能和原理的基础上，以VC为开发平台，使用Windows环境下的网络数据包捕获开发库WinPcap，按照软件工程的思想进行设计并实现了一个网络嗅探工具。该嗅探工具的总体架构划分为5部分，分别是最底层的数据缓存和数据访问，中间层的数据捕获，协议过滤，协议分析和最顶层的图形画用户界面。本嗅探器工具完成了数据包捕获及分析，协议过滤的主要功能，实现了对网络协议，源IP 地址，目标IP地址及端口号等信息的显示，使得程序能够比较全面地分析出相关信息以供用户参考决策。关键词：网络嗅探；WinPcap编程接口；数据包；网络协议；多线程（中文摘要在150字左右。摘要正文尽量用纯文字叙述。用五号宋体字。姓名与摘要正文之间空二行。关键词与摘要之间不空行。“摘要”这两个字加粗）关键词：入侵检测系统；感应器；分析器；分布式入侵检测系统模型 Network sniffer Major: software engineering Group Number: 29 [Abstract] With the rapid development of network technology, network security is increasingly being attention. Sniffing network security technology as the most basic offensive and defensive

浅谈网络嗅探

浅谈网络嗅探邹宁随着信息化进程的加快、宽带网的普及，计算机网络在各个领域得到了广泛的应用，网络通信安全成为电信运营商和广大用户所关心的重要问题。病毒肆虐、黑客攻击，常常会导致网络莫名其妙的变慢甚至中断。而嗅探器，既是网络维护人员分析捕获网络故障的有效工具，也成为黑客进行网络入侵的得力助手。嗅探器，是指在运行以太网协议、TCP／IP协议、IPX协议或者其他协议的网络上，可以捕获网络信息流的工具。嗅探器分软件和硬件两种，硬件的有网络分析仪，软件的如sniffer则是著名的嗅探器程序。嗅探器所捕获到的是动态的以信息包形式(如IP数据包或者以太网包)封装的信息流。其中可能携带了重要数据或敏感信息，譬如明文密码。嗅探器可以将捕获到的数据流分类，并可以作进一步分析。享即意味着网络中的一台机器可以嗅探到传递给本网段(冲突域)中的所有机器的报文。例如最常见的以太网就是一种共享式的网络技术，以太网卡收到报文后，通过对目的地址进行检查，来判断是否是传递给自己的，如果是则把报文传递给操作系统；否则将报文丢弃而不进行处理；网卡存在一种特殊的工作模式，在这种工作模式下，网卡不对目的地址进行判断，而直接将他收到的所有报文都传递给操作系统进行处理。这种特殊的工作模式，就称之为混杂模式。网络嗅探器通过将网卡设置为混杂模式，并利用数据链路访问技术来实现对网络的嗅探。实现了数据链路层的访问，就可以把嗅探能力扩展到任意类型的数据链路帧，而不光是IP数据报。嗅探器用于网络维护上是个得力的工具，在日常的网络查障中也发挥着重要的作用。嗅探器能够分析网络的流量,以便找出所关心的网络中潜在的问题。例如,网络的某一段频繁掉线、网速缓慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题判断。系统管理员通过嗅探器可以诊断出大量的不可见模糊问题，这些问题涉及两台乃至多台计算机之间的异常通讯有些甚至牵涉到各种的协议，借助嗅探器，系统管理

网络嗅探实验报告

HUNAN UNIVERSITY 信息安全实验报告题目：网络嗅探实验指导老师：学生姓名：学生学号：院系名称：信息科学与工程学院专业班级： 2015年5月15日星期五

一、实验目的掌握Sniffer（嗅探器）工具的使用方法，实现FTP、HTTP数据包的捕捉。掌握对捕获数据包的分析方法，了解FTP、HTTP数据包的数据结构和连接过程，了解FTP、HTTP协议明文传输的特性，以建立安全意识。二、实验环境 ①Windows 7 ②Wireshark(网络封包分析软件) ③FLASHFXP（FTP下载软件） ④Serv_U(FTP服务器端) ⑤搜狗浏览器。三、实验要求每两个学生为一组：其中学生A进行Http或者Ftp连接，学生B运行Wireshark软件监听学生A主机产生的网络数据包。完成实验后，互换角色重做一遍。四、实验内容任务一：熟悉Wireshark工具的使用任务二：捕获FTP数据包并进行分析任务三：捕获HTTP数据包并分析五、实验原理网卡有几种接收数据帧的状态：unicast（接收目的地址是本级硬件地址的数据帧），Broadcast（接收所有类型为广播报文的数据帧），multicast（接收特定的组播报文），promiscuous（目的硬件地址不检查，全部接收）。以太网逻辑上是采用总线拓扑结构，采用广播通信方式，数据传输是依靠帧中的MAC 地址来寻找目的主机。每个网络接口都有一个互不相同的硬件地址（MAC地址），同时，每个网段有一个在此网段中广播数据包的广播地址。一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧，丢弃不是发给自己的数据帧。但网卡工作在混杂模式下，则无论帧中的目标物理地址是什么，主机都将接收。 1．HTTP 协议简介 HTTP 是超文本传输协议（Hyper Text Transfer Protocol）的缩写，用于WWW 服务。（1）HTTP 的工作原理 HTTP 是一个面向事务的客户服务器协议。尽管HTTP 使用TCP 作为底层传输协议，但HTTP 协议是无状态的。也就是说，每个事务都是独立地进行处理。当一个事务开始时，就在web客户和服务器之间建立一个TCP 连接，而当事务结束时就释放这个连接。此外，客户可以使用多个端口和和服务器（80 端口）之间建立多个连接。其工作过程包括以下几个阶段。 ①服务器监听TCP 端口 80，以便发现是否有浏览器（客户进程）向它发出连接请求； ②一旦监听到连接请求，立即建立连接。 ③浏览器向服务器发出浏览某个页面的请求，服务器接着返回所请求的页面作为响应。 ④释放TCP 连接。

sniffer嗅探器基本知识

嗅探器嗅探器保护网络嗅探器是一种监视网络数据运行的软件设备，协议分析器既能用于合法网络管理也能用于窃取网络信息。网络运作和维护都可以采用协议分析器：如监视网络流量、分析数据包、监视网络资源利用、执行网络安全操作规则、鉴定分析网络数据以及诊断并修复网络问题等等。非法嗅探器严重威胁网络安全性，这是因为它实质上不能进行探测行为且容易随处插入，所以网络黑客常将它作为攻击武器。目录编辑本段简介嗅探器最初由 Network General 推出，由 Network Associates 所有。最近，Network Associates 决定另开辟一个嗅探器产品单元，该单元组成一家私有企业并重新命名为 Network General，如今嗅探器已成为 Network General 公司的一种特征产品商标，由于专业人士的普遍使用，嗅探器广泛应用于所有能够捕获和分析网络流量的产品。编辑本段网络技术与设备简介在讲述Sniffer的概念之前，首先需要讲述局域网设备的一些基本概念。数据在网络上是以很小的称为帧（Frame）的单位传输的，帧由几部分组成，不同的部分执行不同的功能。帧通过特定的称为网络驱动程序的软件进行成型，然后通过网卡发送到网线上，通过网线到达它们的目的机器，在目的机器的一端执行相反的过程。接收端机器的以太网卡捕获到这些帧，并告诉操作系统帧已到达，然后对其进行存储。就是在这个传输和接收的过程中，存在安全方面的问题。每一个在局域网（LAN）上的工作站都有其硬件地址，这些地址惟一地表示了网络上的机器（这一点与Internet地址系统比较相似）。当用户发送一个数据包时，这些数据包就会发送到LAN上所有可用的机器。在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的数据包则不予响应（换句话说，工作站A不会捕获属于工作站B 的数据，而是简单地忽略这些数据）。如果某个工作站的网络接口处于混杂

实验报告-网络扫描与监听

信息安全实验报告学号：学生姓名：班级：

实验一网络扫描与监听一、实验目的网络扫描是对整个目标网络或单台主机进行全面、快速、准确的获取信息的必要手段。通过网络扫描发现对方，获取对方的信息是进行网络攻防的前提。该实验使学生了解网络扫描的内容，通过主机漏洞扫描发现目标主机存在的漏洞，通过端口扫描发现目标主机的开放端口和服务，通过操作系统类型扫描判断目标主机的操作系统类型。通过该实验，了解网络扫描的作用，掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法，能够通过网络扫描发现对方的信息和是否存在漏洞。要求能够综合使用以上的方法来获取目标主机的信息。而网络监听可以获知被监听用户的敏感信息。通过实验使学生了解网络监听的实现原理，掌握网络监听软件的使用方法，以及对网络中可能存在的嗅探结点进行判断的原理。掌握网络监听工具的安装、使用，能够发现监听数据中的有价值信息，了解网络中是否存在嗅探结点的判断方法及其使用。二、实验要求基本要求了解网络扫描的作用，掌握主机漏洞扫描、端口扫描、操作系统类型扫描软件的使用的方法，能够通过网络扫描发现对方的信息和是否存在漏洞。掌握网络监听工具的安装、使用，能够发现监听数据中的有价值信息等。提高要求能够对网络中可能存在的嗅探结点进行判断的方法及工具使用等。三、实验步骤 1）扫描软件X-Scan 和Nmap 以及WinPcap 驱动安装包并安装。 2）打开X-Scan，如下图所示。 3）点击“设置”->“扫描参数”，弹出扫描参数设置对话框，在“指定IP 范围”输入被扫描的IP 地址或地址范围。在“全局设置”的“扫描模块”设置对话框中选择需要检测的模块。其他可以使用默认的设置，也可以根据实际需要进行选择。最后点击“确定”回到主界面。

网络嗅探器的设计与实现论文总结

目录 1 引言 (1) 1.1 开发背景 (1) 1.2 开发意义 (1) 2 系统分析 (2) 2.1 设计概述 (2) 2.1.1 实现目标 (2) 2.1.2 开发环境 (2) 2.2 开发相关技术简介 (2) 2.2.1 C#语言简介 (2) 2.2.2 嗅探技术简介 (3) 2.2.3 TCP/IP协议 (4) 2.2.4 数据包简介 (6) 2.3 可行性分析 (8) 3 详细设计 (9) 3.1 设计原理 (9) 3.2 功能说明 (12) 3.3 系统实施 (12) 3.4 系统测试 (14) 4 论文总结 (19) 5 参考文献 (20) 6 致谢 (21)

1 引言 1.1 开发背景随着各种新的网络技术的不断出现、应用和发展，计算机网络的应用越来越广泛，其作用也越来越重要。但是由于计算机系统中软硬件的脆弱性和计算机网络的脆弱性以及地理分布的位置、自然环境、自然破坏以及人为因素的影响，不仅增加了信息存储、处理的风险，也给信息传送带来了新的问题。计算机网络安全问题越来越严重，网络破坏所造成的损失越来越大。Internet的安全已经成为亟待解决的问题。多数黑客入侵成功并植入后门后的第一件事就是选择一个合适当前网络的嗅探器，以获得更多的受侵者的信息。嗅探器是一种常用的收集有用数据的方法，可以作为分析网络数据包的设备。网络嗅探器就是利用计算机的网络接口截获其他计算机的数据报文的一种工具，而且它与一般的键盘捕获程序不同。键盘捕获程序捕获在终端上输入的键值，而嗅探器捕获的则是真实的网络报文.如果把网络嗅探器放置于网络节点处，对网络中的数据帧进行捕获的一种被动监听手段，是一种常用的收集有用数据的方法，可以分析各种信息包并描述出网络的结构和使用的机器，由于它接收任何一个在同一网段上传输的数据包，所以也就存在着捕获密码、各种信息、秘密文档等一些没有加密的信息的可能性。这成为黑客们常用的扩大战果的方法，用来夺取其他主机的控制权。当然嗅探器的正当用处主要是网络管理人员分析网络的流量，以便找出所关心的网络中潜在的问题。例如，假设网络的某一段运行得不是很好，报文的发送比较慢，而我们又不知道问题出在什么地方，此时就可以用嗅探器截获网络中的数据包，分析问题的所在。[1] 1.2 开发意义本次毕业设计是基于C#的网络嗅探器的设计与实现，由于本人能力上的限度，只是对抓取到的本机在网络中的通信数据,比如说协议类型，源、目的地址和端口、数据包的大小等加以分析，而无法做到像Sniffer或者影音神探那种成熟的嗅探器所拥有的强大功能。作为从事网络技术方面的人员来说，要想有效地利用它、防范它，就得深入地学习、分析网络嗅探技术。最为重要的是，对于网络嗅探器的设计与实现，使我对网络通信，数据传输和网络信息安全等有了切身的体会与融入，同时也是对大学四年的学以致用，不断提高自我的一种有效途径。

实验八--网络性能监测分析工具Sniffer捕获高层协议数据包并分析

实验八-网络性能监测分析工具Sniffer捕获高层协议数据包并分析实验目的：使用Sniffer抓取ftp的数据报分析FTP的三次“握手”的过程。分析FTP客户端和服务器端通信过程实验环境：Windows环境下常用的协议分析工具：sniffer 搭建Serv-U FTP Server，在计算机上建立FTP服务器 VMware虚拟机，用虚拟机进行登录FTP。实验内容和步骤: 1．建立网络环境。用Serv-U FTP Server在计算机上建立一台FTP服务器，设置IP地址为：192.168.0.10。在Serv-U FTP Server中已设定用户xyz，密码123123。（也可以自行设定其他帐号） 2．在此计算机上安装了sniffer。 3．启动该机器上的虚拟机作为一台FTP客户端，设置IP地址为：192.168.0.12。 4．使用ping命令看是否连通。记录结果。 5．使用虚拟机登录FTP服务器。 6．运行sniffer嗅探器，并在虚拟机的“运行”中输入ftp://192.168.0.10，点确定后出现如下图的登录窗口：在登录窗口中输入：用户名（xyz），密码（123123） 7．使用sniffer抓包，再在sniffer软件界面点击“stop and display”，选择“Decode”选项，完成FTP命令操作过程数据包

的捕获。 8.在sniffer嗅探器软件上点击Objects可看到下图，再点击“DECODE(反解码)。记录FTP三次握手信息，写出判断这三个数据包的依据（如syn及ack）。记录端口信息等内容。 9．找出数据包中包含FTPUSER命令的数据包，记录显示的用户名。10．捕获用户发送PASS命令的数据包，记录显示的密码。 11．找出FTP服务器端与客户端端口20进行三次握手打开数据传输。记录数据信息。

网络扫描与网络嗅探工具的使用

网络扫描和网络嗅探一实验目的（1）理解网络嗅探和扫描器的工作机制和作用（2）使用抓包和协议分析工具Wireshark （3）掌握利用扫描器进行主动探测，收集目标信息的方法（4）掌握使用漏洞扫描器检测远程或本地主机安全性漏洞二实验环境 Windows xp操作系统平台，局域网环境网络抓包和协议分析工具Wireshark 扫描器软件：Superscan 三实验步骤使用Wireshark 抓包并进行协议分析（1）下载并安装软件，主界面如图（2）单击capture，打开interface接口选项，选择本地连接，如图

第三行是ipv4的报文,网际协议IP是工作在网络层,也就是数据链路层的上层, IPv4报文中的源地址和目的地址是ip地址,版本号TCP是6，其格式为: 第四行是TCP报文,从上面两个可以知道,这个TCP包被层层包装,经过下面一层就相应的包装一层,第三段是经过传输层的数据,TCP报文的格式为:

TCP的源端口2804也就是宿主机建立连接开出来的端口,目的端口8080。Sequence number同步序号，这里是0x3a 2a b7 bb,但这里显示的是相对值0。Acknowledgment number确认序号4bytes,为0,因为还是第一个握手包。Header Length头长度28字节,滑动窗口65535大小字节,校验和,紧急指针为0。Options选项8字节使用superscan 扫描（1）下载并安装（2）主界面如下所示：

网络嗅探器源代码

#include /*windows socketμ?í·???t￡??μí3?¨ò?μ?*/ #include #include #include #include #pragma comment(lib,"ws2_32.lib") /*á′?óAPI?à1?á?μ?Ws2_32.lib?2ì??a*/ #define MAX_HOSTNAME_LAN 255 #define SIO_RCVALL _WSAIOW(IOC_VENDOR,1) #define MAX_ADDR_LEN 16 struct ipheader { unsigned char ip_hl:4; /*header length(±¨í·3¤?è￡?*/ unsigned char ip_v:4; /*version(°?±?)*/ unsigned char ip_tos; /*type os service·t??ààDí*/ unsigned short int ip_len; /*total length (×ü3¤?è)*/ unsigned short int ip_id; /*identification (±êê?·?)*/ unsigned short int ip_off; /*fragment offset field(??ò???óò)*/ unsigned char ip_ttl; /*time to live (éú′?ê±??)*/ unsigned char ip_p; /*protocol(D-òé)*/ unsigned short int ip_sum; /*checksum(D￡?éoí)*/ unsigned int ip_src; /*source address(?′μ??·)*/ unsigned int ip_dst; /*destination address(??μ?μ??·)*/ }; /* total ip header length: 20 bytes (=160 bits) */ typedef struct tcpheader { unsigned short int sport; /*source port (?′???úo?)*/ unsigned short int dport; /*destination port(??μ????úo?)*/ unsigned int th_seq; /*sequence number(°üμ?DòáDo?)*/ unsigned int th_ack; /*acknowledgement number(è·è?ó|′eo?)*/ unsigned char th_x:4; /*unused(?′ê1ó?)*/ unsigned char th_off:4; /*data offset(êy?Y??ò?á?)*/ unsigned char Flags; /*±ê??è?*/ unsigned short int th_win; /*windows(′°?ú)*/ unsigned short int th_sum; /*checksum(D￡?éoí)*/ unsigned short int th_urp; /*urgent pointer(???±????)*/ }TCP_HDR;

网络嗅探器的设计与实现

{ 计算机网络课程设计题目网络嗅探器的设计与实现] 系 (部) 姓名学号指导教师 # 2015年7月18日

计算机网络课程设计任务书

网络嗅探器的设计与实现摘要：网络嗅探器是对网络中的数据帧进行捕获的一种被动监听手段，是一种常用的收集有用数据的方法。本设计是关于网络嗅探器的设计与实现，其功能包括实现网络层抓包，对获得包的源和目的地址、端口、协议等进行分析和实现简单的包嗅探器功能。关键字：网络嗅探器;数据包捕获; 套接字引言由于网络技术的发展，计算机网络的应用越来越广泛，其作用也越来越重要。计算机网络安全问题更加严重，网络破坏所造成的损失越来越大。但是由于计算机系统中软硬件的脆弱性和计算机网络的脆弱性以及地理分布的位置、自然环境、自然破坏以及人为因素的影响，不仅增加了信息存储、处理的风险，也给信息传送带来了新的问题。嗅探器是一种常用的收集有用数据的方法，可以作为网络数据包的设备。嗅探器是通过对网卡的编程来实现网络通讯的，对网卡的编程是使用通常的套接字（socket）方式来进行。通常的套接字程序只能响应与自己硬件地址相匹配的或是以广播形式发出的数据帧，对于其他形式的数据帧比如已到达网络接口但却不是发给此地址的数据帧，网络接口在验证投递地址并非自身地址之后将不引起响应，也就是说应用程序无法收取到达的数据包。而网络嗅探器的目的恰恰在于从网卡接收所有经过它的数据包，这些数据包即可以是发给它的也可以是发往别处的。 1基本概念 1.1嗅探器每一个在局域网（LAN）上的工作站都有其硬件地址，这些地址唯一地表示了网络上的机器。当用户发送一个数据包时，这些数据包就会发送到LAN上所有可用的机器。在一般情况下，网络上所有的机器都可以“听”到通过的流量，但对不属于自己的数据包则不予响应。嗅探器工作在网络的底层，在网络上监听数据包来获取敏感信息。从原理上来说，在一个实际的系统中，数据的收发是由网卡来完成的，网卡接收到传输来的数据，其内的单片程序接收数据帧的目的MAC地址，根据计算机上的网卡驱动程序设置的接收模式判断该不该接收，认为该接收就接收后产生中断信号通知CPU，认为不该接收就丢掉不管，所以不该接收的数据网卡就截断了，计算机根本就不知道。对于网卡来说一般有四种接收模式： a)广播方式：该模式下的网卡能够接收网络中的广播信息。 b)组播方式：设置在该模式下的网卡能够接收组播数据。 c)直接方式：在这种模式下，只有目的网卡才能接收该数据。