网络工程技术：二、Sniffer的应用技术

2022年11月12日1计算机与信息工程学院二、Sniffer的应用技术

1、Sniffer基本原理与设置2、Wireshark抓包工具使用与案例2022年11月12日2计算机与信息工程学院回顾

1、举例说明共享式网络特点？2、以太网的中心结点设备?2022年11月12日3计算机与信息工程学院1、Sniffer基本原理与设置网卡接收模式(1)广播方式(2)组播方式(3)直接方式(4)混杂(Promiscuous)模式：能够接收通过它的一切数据，而不管该数据是否是传给它的。2022年11月12日4计算机与信息工程学院嗅探(Sniffer)原理将本地NIC工作状态设成混杂模式，通过软件或硬件捕捉与其连接的物理媒体上传输的所有数据常见的Sniffer软件有Wireshark、SnifferPro、TCPdump等。2022年11月12日5计算机与信息工程学院Sniffer的应用Sniffer一般用于分析网络的数据，以便找出网络中存在的所关心的潜在问题。sniffer安全攻击

口令：sniffer可以记录到明文传送的userid和passwd.关于加密的数据金融帐号：sniffer可以很轻松截获在网上传送的用户姓名、口令、信用卡号码、截止日期、帐号和pin（密码锁）2022年11月12日6计算机与信息工程学院Sniffer的应用sniffer安全攻击偷窥机密或敏感的信息数据窥探底层的协议信息：对底层的信息协议记录比如记录两台主机之间的网络接口地址、远程网络接口ip地址、ip路由信息和tcp连接的字节顺序号码等例如：ip地址欺诈就要求你准确插入tcp连接的字节顺序号2022年11月12日7计算机与信息工程学院Sniffer软件的部署在共享式网络中Sniffer软件的部署非常简单，只需要将它安置在你需要的网段中任意位置即可。在交换环境下

SPAN（SwitchPortAnalysis）：端口镜像2022年11月12日8计算机与信息工程学院Sniffer软件的部署2022年11月12日9计算机与信息工程学院2、Wireshark抓包工具使用与案例Wireshark简介Wireshark常用功能抓包，停止抓包保存抓包设置抓包选项捕捉过滤器显示过滤器FollowTCPStream实际应用案例2022年11月12日10计算机与信息工程学院Wireshark简介网络抓包分析工具可实时捕捉多种网络接口支持其他程序抓包保存文件，例如TCPDump开源软件支持UNIX和Windows平台2022年11月12日11计算机与信息工程学院Wireshark简介发展简史：1998年由GeraldCombs完成第一个Ethereal(Wireshark前身)版本的开发。此后不久，GilbertRamirez发现它的潜力，并为其提供了底层分析1998年10月，GuyHarris正寻找一种比TcpView更好的工具，他开始为Ethereal进行改进，并提供分析。2022年11月12日12计算机与信息工程学院Wireshark简介1998年以后，正在进行TCP/IP教学的RichardSharpe关注了它在这些课程中的作用。并开始研究该软件是否他所需要的协议。如果不行，新协议支持应该很方便被添加。所以他开始从事Ethereal的分析及改进。从那以后，帮助Ethereal的人越来越多，他们的开始几乎都是由于一些尚不被Ethereal支持的协议。所以他们拷贝了已有的解析器，并为团队提供了改进回馈2006年重新命名为Wireshark2022年11月12日13计算机与信息工程学院Wireshark简介支持的系统：WindowsAPPleMacOSXDebianGNU/LinuxFreeBSDNetBSDOpenPKGRedHatFedora/EnterpriseLinux……2022年11月12日14计算机与信息工程学院Wireshark简介官方网站：/维基网站地址：/中文用户手册：/content/network/wireshark/index.html2022年11月12日15计算机与信息工程学院Wireshark简介主界面2022年11月12日16计算机与信息工程学院Wireshark常用功能

可通过Capture菜单中的Interfaces打开网卡列表，然后点击网卡右边的“Start”按钮开始抓包。或者单击工具栏的第一个按钮，和单击Capture->Interfaces的效果一样。2022年11月12日17计算机与信息工程学院Wireshark常用功能

开始抓包后，Wireshark的主界面中会以不同的颜色显示抓取到的不同的数据包。

如果要停止抓包，可通过工具栏中的Stop按钮，或者Capture->Stop菜单项停止抓包。2022年11月12日18计算机与信息工程学院Wireshark常用功能

停止抓包后我们可以将抓取到的数据包保存到文件供日后分析使用。

可通过菜单File->Save(SaveAs)

或者工具栏上的保存按钮。2022年11月12日19计算机与信息工程学院Wireshark常用功能抓包模式

在开始抓包之前还可修改Wireshark的抓包选项。通过工具栏或者菜单Capture->Options打开抓包选项设置界面。

这里可以设置很多选项，我们这里介绍一下混杂模式和非混杂模式。混杂模式：抓取经过网卡的所有数据包，包括发往本网卡和非发往本网卡的。非混杂模式：只抓取目标地址是本网卡的数据包，对于发往别的主机而经过本网卡的数据包忽略。

如左图中显示的是混杂模式2022年11月12日20计算机与信息工程学院Wireshark常用功能

由于Wireshark是将抓包数据保存在内存当中，当抓包时间比较长，抓的包比较多时可能出现内存不够用的情况。此时我们设置使用多个文件保存抓包数据就可避免这种情况。

多个文件保存的方式可以是每隔多久保存一个文件，也可以是限制每个文件保存的大小，同时也可以设置限制文件个数。

默认情况下Wireshark是只使用一个临时文件来保存抓包数据的。多文件自动保存抓包数据2022年11月12日21计算机与信息工程学院Wireshark常用功能自动停止抓包

在无人值守情况下，我们可设置在某些条件下自动停止抓包。这些条件可以是：

抓到多少包之后；

抓到多大数据量之后(存储容量)；

抓取多少分钟之后

2022年11月12日22计算机与信息工程学院Wireshark常用功能过滤器

在Wireshark中有两种过滤器。捕捉过滤器：在抓包之前设置，让Wireshark只抓取过滤器指定的包。显示过滤器：在抓包之前或者完成抓包之后都可，不影响抓包，只是方便查看。

2022年11月12日23计算机与信息工程学院Wireshark常用功能捕捉过滤器例子：[src|dst]host<host>主机过滤srchost59捕捉源IP地址是59的包。dsthost59捕捉目标IP地址是59的包。host59捕捉源IP或者目标IP是59的包。

[tcp|udp][src|dst]port<port>端口过滤host59andtcpport9990捕捉源/目标IP地址是59，源/目标端口是TCP9990端口的数据包。

2022年11月12日24计算机与信息工程学院Wireshark常用功能Protocol（协议）:

可能的值:ether,fddi,ip,arp,rarp,decnet,lat,sca,moprc,mopdl,tcpandudp.

如果没有特别指明是什么协议，则默认使用所有支持的协议。

Direction（方向）:

可能的值:src,dst,srcanddst,srcordst

如果没有特别指明来源或目的地，则默认使用“srcordst”作为关键字。

例如，”host″与”srcordsthost″是一样的。捕捉过滤器2022年11月12日25计算机与信息工程学院Wireshark常用功能Host(s):

可能的值：

net,port,host,portrange.

如果没有指定此值，则默认使用“host”关键字。

例如，src与srchost相同。

LogicalOperations（逻辑运算）:

可能的值：not,and,or.

否(“not”)具有最高的优先级。或(“or”)和与(“and”)具有相同的优先级，运算时从左至右进行。

例如，

“nottcpport3128andtcpport23″与”(nottcpport3128)andtcpport23″相同。

“nottcpport3128andtcpport23″与”not(tcpport3128andtcpport23)”不同。捕捉过滤器2022年11月12日26计算机与信息工程学院Wireshark常用功能显示过滤器例子：http显示TCP80端口的http包。tcp.port==9990显示tcp端口是9990的包。tcp.flags.reset==1显示tcp标志字段中reset标志为1的包。tcp.port==80ortcp.port==9990显示端口是80或者9990的包显示过滤器2022年11月12日27计算机与信息工程学院Wireshark常用功能Protocol（协议）:

可以使用大量位于OSI模型第2至7层的协议。点击“Expression…”按钮后，可以看到它们。

比如：IP，TCP，DNS，SSH。String1,String2(可选项):

协议的子类。

点击相关父类旁的“+”号，然后选择其子类。显示过滤器2022年11月12日28计算机与信息工程学院Wireshark常用功能Comparisonoperators（比较运算符）例如：tcp.port==9990过滤显示TCP端口是9990的数据包。Tcp.seqeq115过滤显示序列号为115的数据包。……2022年11月12日29计算机与信息工程学院

Wireshark常用功能Logicale­xpressions（逻辑运算符）例如：tcp.port==9990ortcp.port==9991过滤显示TCP端口是9990或者9991的包。!(ip.src==36)过滤显示源IP地址不是36的数据包。……2022年11月12日30计算机与信息工程学院Wireshark常用功能

如果是在抓取和分析基于TCP协议的包，从应用层的角度查看TCP流的内容有时是非常有用的。要查看TCP流的内容，只需要选中其中的任意一个TCP包，选择右键菜单中的“Followtcpstream”即可。FollowTCPStream2022年11月12日31计算机与信息工程学院Wireshark常用功能

这里有一个技巧可以比较简单方便的查看到每一个TCP连接流的内容：一.我们通过显示过滤器tcp.flags.syn==1andtcp.flags.ack!=1将所抓包的建立每个TCP连接的第一个包给过滤出来。二.在每个单独的包上面执行“FollowTCPStream”。三.回到显示过滤器重新选择第一步中的过滤器，再对其他的包执行第二步。FollowTCPStream2022年11月12日32计算机与信息工程学院实际应用案例2010年底到2011年初一段时间公司组织客户端，服务端，运维等对网盘上传失败率较高的原因进行了深入调查分析，找出了很多网络和程序上的问题，这个是其中的一个案例。问题现象：彩讯深圳办公室的网盘或者超大附件采用控件上传经常在中途失败。彩讯深圳办公室内网深信服防火墙阻断分布式上传的案例2022年11月12日33计算机与信息工程学院实际应用案例调查分析的大致过程是：1抓包发现在上传失败时，有较多RST包关闭连接，RST包是TCP标志位reset志为1的包。以下几种情况可能导致出现RST包：（1）.connect一个不存在的端口。

（2）.send一个已经关掉的连接。

（3）.采用shutdown立即关闭一个已经建立的连接。显然现在属于第三中情况，而且RST包的源IP地址都是服务器的IP地址，说明是“服务器”主动关闭连接。2022年11月12日34计算机与信息工程学院实际应用案例2查看服务器端的日志及抓包看什么原因导致其关闭连接，发现服务器并没有主动关闭连接。3倒回来对客户端的抓包进一步进行分析，对RST包的IP层的TTL进行对比发现其TTL值为127，而其他从服务器发过来的正常包的TTL值是117，明显大很多，说明其经过的路由器跳转少很多，而如果服务器的