无线网络抓包不再愁 新版sniffer讲解

Sniffer Pro的安装安装网络分析器Sniffer Pro，具体步骤如下。

（1）Sniffer Pro的安装过程比较简单，运行Sniffer Pro的安装文件进入向导，单击【Next】按钮，如图1-1所示。

图1-1 Sniffer Pro的安装向导（2）同意许可证使用协议，单击【Yes】按钮，如图1-2所示。

图1-2 许可证协议（3）输入用户信息，单击【Next】按钮，如图1-3所示。

图1-3 用户信息（4）指定安装路径，单击【Next】按钮，如图1-4所图1-4 安装路径（5）填写用户注册信息，输入序列号后单击【下一步】按钮，如图1-5和图1-6所示。

图1-5 注册信息1图1-6 注册信息2（6）指定连接到Internet的方式，如图1-7所示。

图1-7 指定连接到Internet的方式（7）注册完毕，单击【下一步】按钮，如图1-8所示。

图1-8 注册完毕（8）安装结束，单击【完成】按钮，如图1-9所示。

图1-9 安装结束（9）重新启动计算机，如图1-10所示。

图1-10 重新启动计算机（10）安装结束后，在网卡的属性中可以看到绑定了的Sniffer协议驱动，如图1-11所示。

图1-11 网卡属性（11）单击【开始】→【程序】命令，运行Sniffer，即可打开Sniffer界面。

如图1-12所示。

图1-12 Sniffer运行界面2 捕获数据包2.1明确被捕获对象选择一个网络接口进行捕获。

如果计算机上安装许多网卡，首先要明确在哪块网卡上进行捕获数据。

选择要捕获数据的网卡上进行数据捕获。

选择要捕获数据的网卡步骤如下。

（1）在菜单中选择【Files】→【Select Settings】菜单项，打开“Settings”窗口。

其中包含了一个名为“Local”的本地代理设置，下面显示了所有网卡的列表，只要选择相应的网卡就指定了要见识和捕获数据的网卡，如图2-1所示。

图2-1 “Settings”窗口（2）新建一个本地代理设置，在“Settings”窗口中单击【New…】按钮，输入该代理配置的描述，在网卡的下拉列表中选择相应的网卡。

Sniffer使用简介一、捕获数据包前的准备工作在默认情况下，sniffer将捕获其接入碰撞域中流经的所有数据包，但在某些场景下，有些数据包可能不是我们所需要的，为了快速定位网络问题所在，有必要对所要捕获的数据包作过滤。

Sniffer提供了捕获数据包前的过滤规则的定义，过滤规则包括2、3层地址的定义和几百种协议的定义。

定义过滤规则的做法一般如下：1、在主界面选择capture→define filter选项。

2、define filter→address，这是最常用的定义。

其中包括MAC地址、ip地址和ipx地址的定义。

以定义IP地址过滤为例，见图1。

图1比如，现在要捕获地址为10.1.30.100的主机与其他主机通信的信息，在Mode选项卡中，选Include(选Exclude选项，是表示捕获除此地址外所有的数据包)；在station选项中，在任意一栏填上10.1.30.100,另外一栏填上any（any表示所有的IP地址）。

这样就完成了地址的定义。

注意到Dir.栏的图标：表示，捕获station1收发的数据包；表示，捕获station1发送的数据包；表示，捕获station1收到的数据包。

最后，选取，将定义的规则保存下来，供以后使用。

3、define filter→advanced，定义希望捕获的相关协议的数据包。

如图2。

图2比如，想捕获FTP、NETBIOS、DNS、HTTP的数据包，那么说首先打开TCP选项卡，再进一步选协议；还要明确DNS、NETBIOS的数据包有些是属于UDP协议，故需在UDP选项卡做类似TCP选项卡的工作，否则捕获的数据包将不全。

如果不选任何协议，则捕获所有协议的数据包。

Packet Size选项中，可以定义捕获的包大小，图3，是定义捕获包大小界于64至128bytes 的数据包。

图34、define filter buffer,定义捕获数据包的缓冲区。

如图4：图4Buffer size选项卡，将其设为最大40M。

sniffer工作原理
Sniffer是一种网络数据包捕捉工具，用于监控和分析网络通信的内容。

其工作原理如下：
1. 网络数据包捕获：Sniffer通过在网络接口上设置混杂模式（promiscuous mode），接收并记录通过网络传输的数据包。

在这种模式下，网卡将接收到的所有数据包都传递给操作系统，而不仅仅是针对该网卡的目的地地址或广播地址的数据包。

2. 数据包过滤与捕获：Sniffer会根据用户预定义的规则对接收到的数据包进行过滤处理，只保留满足规则要求的数据包。

这些规则可以是源/目的IP地址、端口号、协议类型等。

3. 数据包解析：Sniffer对捕获到的数据包进行解析，将网络数据包的各个部分进行拆解，并生成能够被阅读和分析的格式。

解析后的数据包可以展示源IP地址、目的IP地址、源端口号、目的端口号、协议类型、数据内容等相关信息。

4. 数据包分析：Sniffer对解析后的数据包进行进一步的分析，包括但不限于检测网络流量、监测网络通信行为、捕获网络攻击等。

通过分析这些信息，可以帮助网络管理员识别安全隐患、优化网络性能、调查网络故障等。

需要注意的是，由于Sniffer在网络上实时监控和捕获数据包，因此在使用过程中需要遵守法律法规，确保合法使用，并保护用户隐私与数据安全。

Sniffer的使用一、实验简介：Sniffer是一个完善的网络监听工具。

使用Sniffer的目的是截获通信的内容，同时能对数据包的内容进行协议分析，使同学们加深对IP协议、TCP协议、UDP 协议和ICMP协议的认识。

二、实验步骤：1、设置Sniffer1．在抓包过滤器窗口中，选择Address选项卡，如图所示。

2．窗口中需要修改两个地方：在Address下拉列表中，选择抓包的类型是IP，在Station1下面输入主机的IP地址；在与之对应的Station2下面输入虚拟机的IP地址.3．设置完毕后，点击该窗口的Advanced选项卡，拖动滚动条找到IP项，将IP和ICMP选中，如下图所示。

4．向下拖动滚动条，将TCP和UDP选中，再把TCP下面的FTP和Telnet两个选项选中，如图所示。

5．这样Sniffer的抓包过滤器就设置完毕了，后面的实验也采用这样的设置。

选择菜单栏Capture下Start菜单项，启动抓包以后，在主机的DOS窗口中Ping虚拟机，如图所示。

6.这样Sniffer的抓包过滤器就设置完毕了，后面的实验也采用这样的设置。

选择菜单栏Capture下Start菜单项，启动抓包以后，在主机的DOS窗口中Ping虚拟机，如图所示。

7.等Ping指令执行完毕后，点击工具栏上的停止并分析按钮，如图所示。

8. 在出现的窗口选择Decode选项卡，可以看到数据包在两台计算机间的传递过程，如图所示。

2、抓取Ping指令发送的数据包1．按照前面对Sniffer的设置抓取Ping指令发送的数据包，命令执行如图所示。

2. 其实IP报头的所有属性都在报头中显示出来，可以看出实际抓取的数据报和理论上的数据报一致，分析如图所示。

3、抓取TCP数据包1．启动Sniffer，然后在主机的DOS命令行下利用FTP指令连接目标主机上的FTP服务器，连接过程如图所示。

2．登录FTP的过程是一次典型的TCP连接，因为FTP服务使用的是TCP协议。

网络分析SNIFFER软件的使用介绍Sniffer（嗅探器）就是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种技术。

该技术被广泛应用于网络维护和管理方面，它工作的时候就像一部被动声纳，默默的接收着来自网络的各种信息，通过对这些数据的分析，网络管理员可以深入了解网络当前的运行状况，以便找出所关心的网络中潜在的问题。

Sniffer技术简介数据在网络上是以很小的称为“帧”（又称：包）的单位传输的，帧由多个部分组成，不同的部分对应不同的信息以实现相应的功能，例如，以太网的前12个字节存放的是源地址和目的地址，这些数据告诉网络该帧的来源和去处。

其余的部分存放实际用户数据、TCP/IP 的报头或IPX报头等等。

帧是根据通讯所使用的协议，由网络驱动程序按照一定规则生成，然后通过网络接口卡（网络接口卡，在局域网中一般指网卡）发送到网络中，通过网线传送到它们的目的主机，在目的主机的一端按照同样的通讯协议执行相反的过程。

接收端机器的网络接口卡捕获到这些帧，并告诉操作系统有新的帧到达，然后对其进行存储。

在正常情况下，网络接口卡读入一帧并进行检查，如果帧中携带的目的地址（这里的目的地址是指物理地址而非IP地址，该地址是网络设备的唯一性标志）和自己的物理地址一致或者是广播地址（就是被设定为一次性发送到网络所有主机的特殊地址，当目标地址为该地址时，所有的网络接口卡都会接收该帧），网络接口卡通过产生一个硬件中断引起操作系统注意，然后将帧中所包含的数据传送给系统进一步处理，否则就将这个帧丢弃。

我们可以想象到这样一种特别的情况：如果网络中某个网络接口卡的物理地址不确定呢（这可以通过本地网络接口卡设置成“混杂”状态来实现）？网络接口卡会如何处理收到的帧呢？实际的情况是该网络接口卡将接收所有在网络中传输的帧，无论该帧是广播的还是发向某一指定地址的，这就形成了监听。

如果某一台主机被设置成这种监听模式，它就成了一个Sniffer。

1捕获面板报文捕获功能可以在报文捕获面板中进行完成，如下是捕获面板的功能图：图中显示的是处于开始状态的面板2捕获过程报文统计在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。

3捕获报文查看Sniffer软件提供了强大的分析能力和解码功能。

如下图所示，对于捕获的报文提供了一个Expert专家分析系统进行分析，还有解码选项及图形和表格的统计信息。

专家分析专家分分析系统提供了一个只能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。

在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。

对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因。

解码分析下图是对捕获报文进行解码的显示，通常分为三部分，目前大部分此类软件结构都采用这种结构显示。

对于解码主要要求分析人员对协议比较熟悉，这样才能看懂解析出来的报文。

使用该软件是很简单的事情，要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。

工具软件只是提供一个辅助的手段。

因涉及的内容太多，这里不对协议进行过多讲解，请参阅其他相关资料。

对于MAC地址，Snffier软件进行了头部的替换，如00e0fc开头的就替换成Huawei，这样有利于了解网络上各种相关设备的制造厂商信息。

功能是按照过滤器设置的过滤规则进行数据的捕获或显示。

在菜单上的位置分别为 Capture->Define Filter和Display->Define Filter。

过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。

统计分析对于Matrix，Host Table，Portocol Dist. Statistics等提供了丰富的按照地址，协议等内容做了丰富的组合统计，比较简单，可以通过操作很快掌握这里就不再详细介绍了。

目录基本的TCP/IP协议介绍(IP/TCP/UDP) 1超级网络分析工具Sniffer Pro详解 6TCP/IP网络数据报分析26使用Sniffer工具进行TCP/IP、ICMP数据包分析32TCP协议分析实验37基本的TCP/IP协议介绍(IP/TCP/UDP)IP/IPv4：网际协议IP/IPv4：网际协议（IP/IPv4：Internet Protocol）网际协议（IP）是一个网络层协议，它包含寻址信息和控制信息，可使数据包在网络中路由。

IP 协议是TCP/IP 协议族中的主要网络层协议，与TCP 协议结合组成整个因特网协议的核心协议。

IP 协议同样都适用于LAN 和WAN 通信。

IP 协议有两个基本任务：提供无连接的和最有效的数据包传送；提供数据包的分割及重组以支持不同最大传输单元大小的数据连接。

对于互联网络中IP 数据报的路由选择处理，有一套完善的IP 寻址方式。

每一个IP 地址都有其特定的组成但同时遵循基本格式。

IP 地址可以进行细分并可用于建立子网地址。

TCP/IP 网络中的每台计算机都被分配了一个唯一的32 位逻辑地址，这个地址分为两个主要部分：网络号和主机号。

网络号用以确认网络，如果该网络是因特网的一部分，其网络号必须由InterNIC 统一分配。

一个网络服务器供应商（ISP）可以从InterNIC 那里获得一块网络地址，按照需要自己分配地址空间。

主机号确认网络中的主机，它由本地网络管理员分配。

当你发送或接受数据时（例如，一封电子信函或网页），消息分成若干个块，也就是我们所说的“包”。

每个包既包含发送者的网络地址又包含接受者的地址。

由于消息被划分为大量的包，若需要，每个包都可以通过不同的网络路径发送出去。

包到达时的顺序不一定和发送顺序相同，IP 协议只用于发送包，而TCP 协议负责将其按正确顺序排列。

除了ARP 和RARP ，其它所有TCP/IP 族中的协议都是使用IP 传送主机与主机间的通信。

MySniffer抓包程序一、开发思路在windows操作系统下，要想捕获网络上的数据包,必须要对网卡进行控制,因为本机的数据报从网络上来到本机是通过网卡然后再保存到本地缓冲区上的，所以要抓获网包就必须调用网卡驱动中的对外函数.因此，通过调用网卡驱动函数,将网卡设置为杂乱模式状态,使得网卡不能阻塞、过滤或控制其他应用程序数据报的收发，以达到抓取数据包的目的.开发环境：系统:Windows XP;IDE:MyEclipse6.0。

1；工具包： winpcap；Jpcap;开发语言：java二、开发流程1、MySniffer功能本程序基本功能:包括对ipv6数据包的抓取,分析.扩展功能：提供友好的可视化界面和操作。

2、MySniffer层次结构MySniffer抓包程序分为三大部分：访问网络底层部分、数据包分析部分、可视化界面部分。

因此，层次结构大概为下图所示：图一、MySniffer抓包程序层次结构图从MySniffer抓包程序层次结构图可知,程序各部分的主要功能包括：●可视化界面部分:提供友好界面显示，抓包操作(网卡选择、开始抓包、停止抓包）及显示数据包分析结果。

●数据包分析部分：负责分析数据包及保存抓取到的数据包.●访问网络底层部分：提供底层服务，检测网卡设备及抓取网络中的原始数据包.3、MySniffer操作流程MySniffer操作流程具体为：初始化界面—〉检测网卡—〉调用网卡抓包—〉对抓到的数据包即时统计、分析->停止抓包—〉显示数据包内容。

如下图所示：图二、MySniffer抓包程序操作流程图4、MySniffer具体实现MySniffer抓包程序包括4个类,分别是IPV6Main(主函数）、IPV6Frame（界面)、IPV6Packet(数据包信息）、IPV6Captor（抓包）。

IPV6Frame提供界面显示，有以下方法：startButton（）//开始按钮触发方法，调用doCapture（）。