sniffer 培训文档

Sniffer 数据报文解码详解本章主要对：数据报文分层、以太报文结构、IP 协议、ARP 协议、PPPOE 协议、Radius 协议等的解码分析做了简单的描述，目的在于介绍Sniffer 软件在协议分析中的功能作用并通过解码分析对协议进一步了解。

对其其他协议读者可以通过协议文档和Sniffer 捕获的报文对比分析。

1、数据报文分层如下图所示，对于四层网络结构，其不同层次完成不通功能。

每一层次有众多协议组成。

如上图所示：在Sniffer 的解码表中分别对每一个层次协议进行解码分析。

链路层对应“DLC ”；网络层对应“IP ”；传输层对应“UDP ”；应用层对对应的是“NETB ”等高层协议。

Sniffer 可以针对众多协议进行详细结构化解码分析。

并利用树形结构良好的表现出来。

2、以太报文结构EthernetII 以太网帧结构Ethernet_II 以太网帧类型报文结构为：目的MAC 地址（6bytes ）＋源MAC 地址＋（6bytes ）上层协议类型（2bytes ）＋数据字段（46-1500bytes)＋校验（4bytes ）。

应用层传输层网络层链路层Telnet FTP 和e-mail 等TCP 和UDP IP ICMP IGMP 设备驱动程序及接口卡Ethernet_IIDMAC SMAC Type DATA/PAD FCS添加时间戳目的上层协议Sniffer 自动MAC 地址源MAC 地址类型Sniffer 会在捕获报文的时候自动记录捕获的时间，在解码显示时显示出来，在分析问题时提供了很好的时间记录。

源目的MAC 地址在解码框中可以将前3字节代表厂商的字段翻译出来，方便定位问题，例如网络上2台设备IP 地址设置冲突，可以通过解码翻译出厂商信息方便的将故障设备找到，如00e0fc 为华为，010042为Cisco 等等。

如果需要查看详细的MAC 地址用鼠标在解码框中点击此MAC 地址，在下面的表格中会突出显示该地址的16进制编码。

目录摘要┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈2 前言┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈3 1 Sniffer Pro的安装┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈4 2捕获数据包┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈102.1明确被捕获对象┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈102.2捕获满足特定条件的数据包┈┈┈┈┈┈┈┈┈┈┈112.2.1使用“热连接”进行捕获┈┈┈┈┈┈┈┈┈112.2.2捕获穿过路由器的数据包┈┈┈┈┈┈┈┈┈122.2.3捕获单一协议的数据包┈┈┈┈┈┈┈┈┈┈142.3定义捕获触发器┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈152.4保存捕获到的数据┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈162.4.1实时导出捕获的包到文件中┈┈┈┈┈┈┈┈162.4.2配置数据库选项┈┈┈┈┈┈┈┈┈┈┈┈┈173 实时监控工具┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈193.1包的大小及分布情况┈┈┈┈┈┈┈┈┈┈┈┈┈┈193.2 Top Talkers ┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈203.3网络采样分析┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈21 4分析和诊断问题┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈244.1配置如何显示捕获到的数据包┈┈┈┈┈┈┈┈┈┈244.2捕获数据包的显示分析┈┈┈┈┈┈┈┈┈┈┈┈┈25 5使用Sniffer附带工具探测网络┈┈┈┈┈┈┈┈┈┈┈┈┈285.1 Ping ┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈285.2 DNS Lookup┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈285.3 Trace Route ┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈306 总结┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈327 参考文献┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈┈33摘要：要深入了解计算机网络安全，必须对网络协议有深刻的了解。

捕获网络中的协议数据包进行分析是排除网络故障的一种重要方法，也是高级网络管理员的一种基本功。

目录基本的TCP/IP协议介绍(IP/TCP/UDP) 1超级网络分析工具Sniffer Pro详解 6TCP/IP网络数据报分析26使用Sniffer工具进行TCP/IP、ICMP数据包分析32TCP协议分析实验37基本的TCP/IP协议介绍(IP/TCP/UDP)IP/IPv4：网际协议IP/IPv4：网际协议（IP/IPv4：Internet Protocol）网际协议（IP）是一个网络层协议，它包含寻址信息和控制信息，可使数据包在网络中路由。

IP 协议是TCP/IP 协议族中的主要网络层协议，与TCP 协议结合组成整个因特网协议的核心协议。

IP 协议同样都适用于LAN 和WAN 通信。

IP 协议有两个基本任务：提供无连接的和最有效的数据包传送；提供数据包的分割及重组以支持不同最大传输单元大小的数据连接。

对于互联网络中IP 数据报的路由选择处理，有一套完善的IP 寻址方式。

每一个IP 地址都有其特定的组成但同时遵循基本格式。

IP 地址可以进行细分并可用于建立子网地址。

TCP/IP 网络中的每台计算机都被分配了一个唯一的32 位逻辑地址，这个地址分为两个主要部分：网络号和主机号。

网络号用以确认网络，如果该网络是因特网的一部分，其网络号必须由InterNIC 统一分配。

一个网络服务器供应商（ISP）可以从InterNIC 那里获得一块网络地址，按照需要自己分配地址空间。

主机号确认网络中的主机，它由本地网络管理员分配。

当你发送或接受数据时（例如，一封电子信函或网页），消息分成若干个块，也就是我们所说的“包”。

每个包既包含发送者的网络地址又包含接受者的地址。

由于消息被划分为大量的包，若需要，每个包都可以通过不同的网络路径发送出去。

包到达时的顺序不一定和发送顺序相同，IP 协议只用于发送包，而TCP 协议负责将其按正确顺序排列。

除了ARP 和RARP ，其它所有TCP/IP 族中的协议都是使用IP 传送主机与主机间的通信。

FortiGate 用Sniffer 命令命令抓包分析说明文档抓包分析说明文档说明说明：：本文档针对FortiGate 产品的后台抓包命令使用进行说明，相关详细命令参照相关手册。

在使用后台抓包分析命令时，建议大家使用如SecureCRT 这样的远程管理工具，通过telnet 或者ssh 的方式登陆到网关，由于UTM 本身不支持将抓包的结果保存在设备自身的存储空间，因此需要借助SecureCRT 这样远程管理工具接收文件。

1．基本命令命令: diagnose sniffer packet.# diag sniffer packet <interface> <'filter'> <verbose> <count>2．参数说明2.1 interface<interface> 指定实际的接口名称，可以是真实的物理接口名称，也可以是VLAN 的逻辑接口名称，当使用“any ”关键字时，表示抓全部接口的数据包。

例：＃diag sniffer packet port1 //表示抓物理接口为port1的所有数据包＃diag sniffer packet any //表示抓所有接口的所有数据包＃diag sniffer packet port1-v10 //当在物理接口建立一个VLAN 子接口，其逻辑接口名为port1-v10，此时表示抓port1-v10接口的所有数据包，此处一定注意一个问题，由于抓包命令中的空格使用来区分参数字段的，但是在逻辑接口创建时，接口名称支持空格，考虑到今后抓包分析的方便，建议在创建逻辑接口时不要带有空格。

2.2 verbose<verbose> 指控制抓取数据包的内容1: print header of packets, //只抓取IP的原地址、源端口、目的地址、目的端口和数据包的Sequence numbers 为系统缺省设置2: print header and data from ip of packets, //抓取IP数据包的详细信息，包括IP数据的payload。

网络管理学习报告班级：学号姓名：2013年6月13日Sniffer软件一前言网络攻击行为已经蔓延的越来越广，网络的安全问题日趋严重。

网络的安全问题来自多方面的各种原因。

本文就是有效的防止网络故障的发生以及发现故障并且维护网络，采取一些防范的网络安全策略和解决办法。

就网络中常见故障进行分类，并对各种常见网络故障提出相应的解决方法。

宗上所述，网络管理就尤为重要，随看计算机网络规模的扩大和复杂性的增加，网络管理在计算机网络系统中的地位越来越重要。

下面介绍一款管理软件。

二SNIFFER（嗅探器）基础知识与电话电路不同，计算机网络是共享通讯通道的。

共享意味着计算机能够接收到发送给其它计算机的信息。

捕获在网络中传输的数据信息就称为sniffing （窃听）。

由于在一个普通的网络环境中，帐号和口令信息以明文方式在以太网中传输，一旦入侵者获得其中一台主机的root权限，并将其置于混杂模式（以太网是现在应用最广泛的计算机连网方式。

以太网协议是在同一回路向所有主机发送数据包信息。

数据包头包含有目标主机的正确地址。

一般情况下只有具有该地址的主机会接受这个数据包。

如果一台主机能够接收所有数据包，而不理会数据包头内容，这种方式通常称为"混杂" 模式）以窃听网络数据，从而有可能入侵网络中的所有计算机。

ISS为Sniffer这样定义：Sniffer是利用计算机的网络接口截获目的地为其他计算机的数据报文的一种工具。

Sniffer的正当用处主要是分析网络的流量,以便找出所关心的网络中潜在的问题。

例如,假设网络的某一段运行得不是很好,报文的发送比较慢,而我们又不知道问题出在什么地方,此时就可以用嗅探器来作出精确的问题判断。

在合理的网络中，sniffer的存在对系统管理员是致关重要的，系统管理员通过sniffer可以诊断出大量的不可见模糊问题，这些问题涉及两台乃至多台计算机之间的异常通讯有些甚至牵涉到各种的协议，借助于sniffer%2C系统管理员可以方便的确定出多少的通讯量属于哪个网络协议、占主要通讯协议的主机是哪一台、大多数通讯目的地是哪台主机、报文发送占用多少时间、或着相互主机的报文传送间隔时间等等，这些信为管理员判断网络问题、管理网络区域提供了非常宝贵的信息。

Sniffer网络管理解决方案1闻名业界的Sniffer网络管理解决方案----作为被誉为业界降低网络故障的首选解决方案，Sniffer 网络分析仪为用户提供了屡获大奖的网络管理工具，凭借先进的性能，Sniffer可以帮助用户主动监测网络，在瓶颈造成故障之前，将其完满解决。

Sniffer网络分析仪是一个排除网络故障和对网络性能进行有效管理的可靠工具，它能够自动帮助网络专业人员维护网络，查找故障，协助扩展多拓朴结构、多协议的网络，极大地简化了发现及解决网络问题的过程。

----Sniffer网络分析仪作为业界用于企业网络故障和性能管理领域最为智能和强大的工具系列，目前，已在世界上得到了广泛的应用，《财富》排名前1000家企业中有80%选择其作为网络信息安全解决方案，分析、维护、开发他们的网络产品，其中包括Cisco、3COM、Lucent及AT&T。

伴随着1998年NAI进入中国，Sniffer也来到了广大中国用户面前。

现在，越来越多的中国企事业单位采用了Sniffer的安全解决方案，其中包括：中国人民银行、中国建设银行、中国工商银行等。

Sniffer网络分析仪的基本性能----专家分析系统Sniffer能够监视并捕获所有网络上的信息数据包，同时建立一个特有网络环境下的目标知识库。

经过将问题分离、分析和归类，Sniffer可实时、自动地发出警告，解释问题的性质并提出解决方案。

Sniffer与其他网络协议分析仪最大的差别在于它的人工智能专家系统(Expert System)，有了Sniffer的专家系统，用户无需知道那些数据包构成的网络问题，也不必熟悉网络协议，更不用去了解这些数据包的内容，便能轻松解决问题。

此外，Sniffer 还提供了专家配制功能，用户可以自已设定专家系统判断故障发生的触发条件。

Sniffer能够自动实时监视网络、捕捉数据、识别网络配置，自动发现网络故障并进行告警，它能指出网络故障发生的位置，出现在OSI的第几层，网络故障的性质，产生故障的可能原因以及为解决故障建议采取的行动。

SNIFFER: Troubleshooting with the Sniffer Sniffer学习手册编者：毛晋晋 著深圳龙岗毛晋晋 MSN:maojinjincn@ E-mail:maojinjin@ 欢迎指正提出建议共同学习绪 言最近沉下心来在学习sniffer，对于sniffer没有什么好说的，大凡稍微懂点网络知识的或喜欢黑客的朋友都知道sniffer=嗅探器,在这个方面相信很多人比我学的好，因为这个东西我接触的晚，而且网络这东西这也是最近两年才刚开始，所以很多东西还需要改进，前些日子在网上看了一篇《范伟导老师Sniffer 课程资料》的贴子觉得很不错，感觉很深，实话直说这篇贴子我看了三遍，先介绍一下让我感兴趣的范老师（虽然我至今还没见过他照片当然本人更是没见过），而且在这篇教程中也借用许多范老师讲课的内容。

范老师，范伟导，现在是Sniffer中国技术中心的技术总监，中国唯一的Sniffer大师(SCM)，CISCO和Sniffer的授权讲师，这是范老师的邮箱：fanweidao@，大家没有什么特别的事不要轻易去打扰他。

我本人，毛晋晋，现在在深圳一家制造业公司做网络管理，2006年获信息产业部的网络工程师中级职称，毕业后留校任教半年，现正在向CISCO方向学习，个人技术博客：/maodou521,MSN：maojinjincn@ 希望有这方面爱好的人一起来学习。

决定写sniffer教程有三个原因，一是因为个人最近在学习比较的清闲，第二方面就是前面说到的范老师的讲课给我很大的刺激，下面我到时会全文引用范老师一个学生写的范老师讲课内容。

第三点是因为我自已也是一个搞网络的，毕竟这年头什么都要学点才不至于落伍嘛。

下面我稍微叙述一下sniffer教程的一些基本内容，以便让大家做个决定，哪些该看，哪些可以跳过去的，当然我希望大家能跳过去的越多越好，这样一来就表明大家的知识比起我来就丰富的多了，同时我这上面也有很多是从网上整理来的，所以大家的看时不要觉得奇怪，这里我在哪看过了，这里是什么地方来的，我现在申明就是这个意思。

目录第1章 Sniffer软件简介1.1 概述1.2 功能简介第2章报文捕获解析2.1 捕获面板2.2 捕获过程报文统计2.3 捕获报文查看2.4 设置捕获条件第3章报文放送3.1 编辑报文发送3.2 捕获编辑报文发送第4章网络监视功能4.1 Dashbord4.2 Application Response Time (ART)第5章数据报文解码详解5.1 数据报文分层5.2 以太报文结构5.3 IP协议5.4 ARP协议5.5 PPPOE协议5.6 Radius协议第1章Sniffer软件简介1.1 概述Sniffer软件是NAI公司推出的功能强大的协议分析软件。

本文针对用Sniffer Pro网络分析器进行故障解决。

利用Sniffer Pro 网络分析器的强大功能和特征，解决网络问题，将介绍一套合理的故障解决方法。

与Netxray比较，Sniffer支持的协议更丰富，例如PPPOE协议等在Netxray并不支持，在Sniffer上能够进行快速解码分析。

Netxray不能在Windows 2000和Windows XP上正常运行，Sniffer Pro 4.6可以运行在各种Windows平台上。

Sniffer软件比较大，运行时需要的计算机内存比较大，否则运行比较慢，这也是它与Netxray相比的一个缺点。

1.2 功能简介下面列出了Sniffer软件的一些功能介绍，其功能的详细介绍可以参考Sniffer的在线帮助。

捕获网络流量进行详细分析利用专家分析系统诊断问题实时监控网络活动收集网络利用率和错误等在进行流量捕获之前首先选择网络适配器，确定从计算机的哪个网络适配器上接收数据。

位置：File->select settings选择网络适配器后才能正常工作。

该软件安装在Windows 98操作系统上，Sniffer可以选择拨号适配器对窄带拨号进行操作。

如果安装了EnterNet500等PPPOE软件还可以选择虚拟出的PPPOE网卡。