sniffer网络嗅探器

1、sniffersniffer网络嗅探器网络嗅探器姓姓 名：名：学学 号：号：班班 级：级：陈述内容陈述内容 （一）（一）Sniffer软件软件简介简介 （二）（二）Sniffer功能模块功能模块 （三）报文捕获与分析三）报文捕获与分析 （四（四）数据包的过滤数据包的过滤 （五）（五）Sniffer Pro的其它工具的其它工具 （六）小组分工（六）小组分工 Sniffer，中文可以翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。 Sniffer软件是NAI公司推出的一款一流的便携式网管和应用故障诊断分析软件，不管是在有线

2、网络还是在无线网络中，它都具有实时的网络监视、数据包捕获以及故障诊断分析的能力。 对于在现场进行快速的网络和应用问题故障诊断，基于便携式软件的解决方案具备最高的性价比，能够让用户获得强大的网管和应用故障诊断功能。 硬件环境：Snffier pro 4.75仅支持10M、100M、10/100M网卡，对于千M网卡，需要安装SP5补丁，或4.8及更高的版本。 软件环境：操作系统 Windows2003 Server企业标准版（Sniffer Pro4.5及以上版本均支持Windows2000 Windows-xp Windows2003）。 如果需要监控全网流量，安装有Sniffer Portab

3、le 4.7.5(以下简称Sniffer Pro)的终端计算机，网卡接入端需要位于主交换镜像端口位置。（监控所有流经此网卡的数据）p 捕获网络流量进行详细分析p 利用专家分析系统诊断问题p 实时监控网络活动p 收集网络利用率和错误等p 在进行流量捕获之前首先选择网络适配器，确定从计算机的哪个网络适配器上接收数据。 1. 可以解码至少450种协议。除了IP、IPX和其它一些“标准”协议外，Sniffer Pro还可以解码分析很多由厂商自己开发或者使用的专门协议，比如思科VLAN中继协议(ISL)。 2. 支持主要的局域网(LAN)、城域网(WAN)等网络技术。 3. 提供在位和字节水平上过滤数据

4、包的能力。 4. 提供对网络问题的高级分析和诊断，并推荐应该采取的正确措施。 5. 可以离线捕获数据，如捕获帧。因为帧通常都是用8位的分界数组来校准，所以Sniffer Pro只能以字节为单位捕获数据。但过滤器在位或者字节水平都可以定义。 报文捕获功能可以在报文捕获面板中进行完成，如下是捕获面板的功能图：图中显示的是处于开始状态的面板。捕获开始捕获暂停捕获停止捕获停止并查看捕获查看捕获条件编辑选择捕获条件捕获开始捕获暂停捕获停止捕获停止并查看捕获查看捕获条件编辑选择捕获条件 Sniffer的界面通过工具栏和菜单栏就可以完成大部分操作，并在当前窗口中显示出所监测的效果。 在Sniffer主窗口中

5、，默认会显示Dashboard(仪表盘)窗口，共显示了三个仪表盘，即“Utilization%”、“Packets/s” 和“Errors/s”，分别用来显示网络利用率、数据传输速率和错误统计。 在仪表盘窗口中，单击“Detail(详细)”，显示如图5所示窗口，以表格的形式显示了关于利用率、数据包传输速度和出错率的详细统计结果。 Sniffer Pro的很多网络分析结果都可以设定阀值，若超出阀值，报警记录就会生成一条信息，并在仪表盘上以红色来标记超过设定阀值的范围。单击仪表盘上的“Set Thresholds(设定阀值)”按钮，显示 “Dashboard Properties”对话框，可查看或

6、者修改这些值。 在工具栏上单击“Start”按钮，或者选择“Capture”菜单中的“Start”选项，显示如图所示“Expert”对话框，此时，Sniffer便开始捕获局域网与外部网络所传输的所有数据。 在首次运行Sniffer Pro时，需要选择要监控的网卡，应该选择代理网卡或者连接交换机端口的网卡。 当缓冲器中积累了一定流量后，可以单击“Stop and display”停止并查看所捕获的数据。 单击窗口下方的“Decode(解码)”选项卡，如图所示，该窗口共分为三个部分，由上到下依次为：总结、详细资料和Hex窗口的内容， 可以查看所捕获的每个帧的详细信息。 Sniffer可以在全部七层

7、OSI协议上进行解码，目前没有任何一个系统可以做到对协议有如此透彻的分析；它采用分层方式，从最低层开始，一直到第七层，每一层用不同的颜色加以区别。 “Decode”窗口中间的窗口部分显示所选择的协议的详细资料，如图所示。最上面显示的就是DLC文件头信息，包括帧到达时间、帧大小(以字节计)、目标、源MAC地址、以及Ethertype(以太网类型)。在这里，以太网类型值为0800，表示为IPv4协议。 IP文件头下面为TCP或者UDP文件头。 “Decode”窗口最下方为“Hex窗口”，这里显示的内容最直观，但也难以理解，如图所示。“Hex窗口”中的信息是16进制代码的信息集合。在“Hex窗口”中

8、查看数据时，看到的就是处于传输状态的原始ASC格式的数据。 主机列表视图。 在默认情况下，Sniffer会接收网络中所有传输的数据包，但我们在分析网络协议查找网络故障时，有许多数据包不是我们需要的，这就要对捕获的数据进行过滤，只接收与分析的问题或者事件相关的数据。Sniffer提供了捕获数据包前的过滤 规则和定义，过滤规则包括二、三层地址的定义和几百种协议的定义。 ICMP协议即Internet控制信息协议，而且是TCP/IP协议的一部分，它是网络设备间报告错误的基于控制的协议。ICMP是一种非常强大的工具，允许我们报告20种以上不同的网络状况。 在Sniffer Pro主窗口中，选择“Capture”菜单中的“Start”选项开始捕获过程，向默认网关发送ping命令。选择“Stop”选项则可停止捕获。 当捕获数据完成以后，在“Expert”对话框中选择下面的“Decode”标签，展开“ICMP”列表。 Type=8(Echo)：ICMP Echo有两种类型，类型8是请求，而类型0是响应。 Code：该代码现在在ICMP Echo信息中并不常用，经常设定为0。 Sniffer Pro内置了一些其它的网络工具，可以对网络管理起到辅助作用