Sniffer pro 使用辅助说明

实验：使用Sniffer Pro工具软件进行网络检测和扫描
实验环境
1台带有活动网络连接（插有网卡且工作正常）、安装有VMware虚拟机软件的PC机，其中主机环境的配置如表5-1所示：
通过该实验，掌握使用工具软件进行网络检测扫描的基本方法；进一步加深对TCP／IP 协议的理解和认识。

实验步骤和内容
1.虚拟机Ping本机ip 19
2.168.6.67
2.本机Ping虚拟机ip192.168.6.167
3.进入Sniffer主界面在Capture下的Define Filter菜单
3.1 Capture-Define Filter中进行设置
3.2 Dis-Define Filter
4．本机Ping 虚拟机IP 192.168.6.167抓包结果
5．打开网络教学综合平台抓包结果
6．打开 并用户登录抓包结果
7.DNS抓包结果
实验心得：
了解Sniffer 抓包软件的应用，和虚拟机的相关操作。

并了解和会分析相关Sniffer 软件的结果。

实验十 sniffer网络嗅探软件的使用
【实验目的】
1．熟悉网络监听工具Sniffer Pro操作界面；
2．了解Sniffer Pro捕获与监听网络数据方法；
3．强化网络安全意识。

【实验内容】
1.安装Sniffer Pro，执行SnifferPro.exe安装程序，完成注册和安装。

2.运用Sniffer pro的一些基本操作命令
【实验步骤】
（一）安装和运行Sniffer Pro
1.启动软件，先选择一个网卡，点击确定
2.Sniffer Pro主界面如图所示
（二）运用Sniffer Pro的操作命令
1.Ping操作：ping也属于一个通信协议，是TCP/IP协议的一部分。

利用“ping”命令可以检查网络是否连通，可以很好地帮助我们分析和判定网络故障。

应用格式：Ping空格IP地址。

该命令还可以加许多参数使用，具体是键入Ping按回车即可看到详细说明。

2.Dns look up：域名查询解析工具
3.Traceroute：traceroute (Windows 系统下是tracert) 命令利用ICMP 协议定位您的计算机和目标计算机之间的所有路由器。

TTL 值可以反映数据包经过的路由器或网关的数量，通过操纵独立ICMP 呼叫报文的TTL 值和观察该报文被抛弃的返回信息，traceroute命令能够遍历到数据包传输路径上的所有路由器。

通过专用sniffer程式监视异常ARP除了NAI Sniffer pro 以外，网络上还提供有非常多专用的ARP监视工具，这些工具也是sniffer的一种，只是在功能上更有针对性，大多数界面也非常简单、友好。

这里我们简单介绍由国内欣全向公司研发，颇为流行的免费ARP检测工具：“欣向巡路之ARP工具1.1Beta” ,大家能从/downcenter.asp直接下载。

和非常多数据包捕捉工具相同，在程式安装运行前，需要提前安装WinPcap驱动。

使用方法：步骤一：使用方法非常简单。

首先选择网卡，程式会根据网卡扫描出相应网段IP-MAC清单。

但需要注意，IP-MAC清单的扫描务必在网络内正常的情况下。

步骤二：添加ARP检测范围，一般将网关或路由的IP填入即可。

步骤三：启动ARP检测。

这个时候，如果网络内出现ARP欺骗，程式则会报警，并用红色字体在“ARP步骤四：如果发现ARP欺骗纪录后，应该怎么处理，防止断线呢？这个时候能使用软件中“主动维护”功能来修复网络。

这个功能的含义是：定义好网关正确IP-MAC，在网内以一定频率广播，来修复网络。

注意：使用了本功能后，网内被欺骗的机器，受正确ARP广播的影响，ARP缓存表暂时恢复正常，请尽快处理出现故障机器。

总结：在网络出现故障时，有经验的网络管理员通常都能够迅速发现故障并加以排除，这是基于网络管理员自身技能素养、对环境的了解、和经验。

不过在网络日益发展的今天，网络应用、规模、手段都在急速膨胀，仅仅依靠对环境的了解和经验显然是不够的。

因此，使用sniffer pro程式来处理ARP，本文不矢为一种快速有效的手段。

由于本文不涉及sniffer的高级应用，如抓取数据包分析ARP问题等，所以比较适合初级用户阅读参考，我们会在以后的文章中进一步深入探讨sniffer的相关技术问题。

敬请期待。

Sniffer软件是NAI公司推出的功能强大的协议分析软件，具有捕获网络流量进行详细分析、实时监控网络活动、利用专家分析系统诊断问题、收集网络利用率和错误等功能。

Sniffer Pro 4.6可以运行在各种Windows平台上，只要安装在网络中的任何一台机器上，都可以监控到整个网络。

以下以Sniffer 4.70汉化版本为例，介绍一下Snffer在网吧网络维护中的具体应用。

一、Sniffer软件的安装在网上下载Sniffer软件后，直接运行安装程序，系统会提示输入个人信息和软件注册码，安装结束后，重新启动，之后再安装Sniffer汉化补丁。

运行Sniffer程序后，系统会自动搜索机器中的网络适配器，点击确定进入Sniffer主界面。

二、Sniffer软件的使用打开Sniffer软件后，会出现主界面，显示一些机器列表和Sniffer软件目前的运行情况，上面是软件的菜单，下面有一些快捷工具菜单，左侧还有一排快捷菜单按钮。

由于使用的是汉化版软件，因此部分词语汉化不是太准确。

1、获取网络中的机器列表Sniffer软件运行后，首先要搜索网络中的机器。

在“工具”菜单中找到“地址簿”选项并运行，在“地址簿”中的左侧工具菜单中，可以找到一个“放大镜”的图标，这是“自动搜索”的按钮。

运行“自动搜索”功能后，在IP地址段中输入网络的开始IP地址和结束地址，然后系统会自动搜索。

搜索完成后，会出现一个如图1的机器列表。

2、保存机器列表Sniffer搜索网络中所有的机器列表后，可以在“数据库”菜单中选择“保存地址簿”选项，将当前的机器列表保存，以备日后使用。

由于Sniffer的地址簿保存了网络中客户机的IP地址、网卡的MAC地址等信息，如果网络中的客户机更换了网卡，则必须重新搜索机器列表并重新保存地址簿。

如果网络中没有新机器增加，就无需更新此地址簿。

三、Sniffer菜单及功能简介Sniffer进入时，需要设置当前机器的网卡信息。

SNIFFER PRO的科普我这里不废话了，打开SNIFFER PRO---捕获---定义过滤器---数据模式---增加模式：
新建一个名字：随便输入一个。

补偿:就是数据偏移多少啦，看你现在用的网络，如果是在局域网就填写2D ，ADSL拨号就填写35.
我们偏移这个位置干吗，根据经验想过滤这种数据包，腾讯给他定义了一种标示用00 D5 来标示，我们就在特定位置过滤这种字节好了。

当然在框框里面输入00 D5，如下图
设置完毕，好。

下面我们打开捕获按钮，找到你的QQ好友，打开聊天对话框和他问候一下，先几句废话，等SNIFFER PRO捕获到数据包，点击停止并显示。

选择一个比较合适的数据包，怎么选择看那个比较舒服（屁话）。

例如下面的数据包：
我们选中这个数据包点右键---发送当前帧，在发送选择连续不断，延迟1.
确定，然后你找个地方窃喜去吧，你好友一会一脸疑惑的对你说，和你聊不了天。

怎么停止发送顺便说下。

工具--数据包发生器--停止--OK。

附图：好友被攻击后，CPU占用%50也就是说双核一个CPU满负荷。

创建筛选配置文件
每次创建新筛选时，请一定通过单击“定义筛选”对话框的配置文件按钮开始。

然后，单击新建按钮打开对话框，为筛选配置文件命名。

明明筛选配置文件后，该配置文件将显示在“定义筛选”对话框的设置窗格中，您可以通过该窗格对筛选设置进行微调。

此外，该筛选还会显示在“选择筛选”对话框中，您可通过该对话框将其应用于所需的给定监视、捕获或解码会话。

创建筛选配置文件：
1.从“监视”、“捕获”或“显示”菜单中选择定义筛选命令（取决于要创建的筛选类
型）
2.单击配置文件按钮
随即出现捕获配置文件对话框，其中列出了已定义的筛选配置文件（图1-1）
图1-1.捕获配置文件对话框
3.单击新建按钮创建新的筛选配置文件
新建捕获配置文件对话框出现（图1-2）
图1-2.新建捕获配置文件对话框
4.在“新建捕获配置文件”对话框中输入筛选配置文件的名称。

此外，您还可以通过
现有的已定义配置文件（复制现有配置文件选项）或通过Sniffer Pro随附的示例（复制配置文件示例选项）为此筛选复制设置
5.单击确定。

6.在“捕获配置文件”对话框中，单击完成。

该筛选随即显示在“定义筛选”对话框的设置窗格中。

此时，您可以在“定义筛选”对话框的其他选项卡（地址、数据模式、高级等等）上对此筛选的设置进行微调。

主要组件
图1-1显示了Sniffer Pro的主要组件
图1-1.Sniffer Pro主要组件
图1-1显示了Sniffer Pro的主要功能块：监视、捕获、实时专家系统分析和显示
●监视功能用于计算并显示实时网络通信量数据。

●捕获功能用于捕获网络通信量并将当前数据包存储在缓冲区（或者文件）中以备将
来分析使用。

●实时专家分析功能用于在捕获过程中分析网络数据包，并警告您注意网络中潜在的
问题。

这些问题可分为症状和诊断。

●显示功能用于解码和分析捕获缓冲区中的数据包，并用各种格式加以显示。

●。