sniffer功能和使用详解

Sniffer功能和使用详解Sniffer介绍Sniffer，中文翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。Sniffer技术常常被黑客们用来截获用户的口令，据说某个骨干网络的路由器网段曾经被黑客攻入，并嗅探到大量的用户口令。但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络Sniffer的分类如果Sniffer运行在路由器上或有路由功能的主机上，就能对大量的数据进行监控，因为所有进出网络的数据包都要经过路由器。二snifferproSniffer软件是NAI公司推出的功能强大的协议分析软件。SnifferPro-功能捕获网络流量进行详细分析利用专家分析系统诊断问题实时监控网络活动收集网络利用率和错误等使用Sniffer捕获数据时，由于网络中传输的数据量特别大，如果安装Sniffer的计算机内存太小，会导致系统交换到磁盘，从而使性能下降。如果系统没有足够的物理内存来执行捕获功能，就很容易造成Sniffer系统死机或者崩溃。因此，网络中捕获的流量越多，建议Sniffer系统应该有一个速度尽可能快的计算机。1.SnifferPro计算机的连接要使Sniffer能够正常捕获到网络中的数据，安装Sniffer的连接位置非常重要，必须将它安装在网络中合适的位置，才能捕获到内、外部网络之间数据的传输。如果随意安装在网络中的任何一个地址段，Sniffer就不能正确抓取数据，而且有可能丢失重要的通信内容。一般来说，Sniffer应该安装在内部网络与外部网络通信的中间位置，如代理服务器上，也可以安装在笔记本电脑上。当哪个网段出现问题时，直接带着该笔记本电脑连接到交换机或者路由器上，就可以检测到网络故障，非常方便。(1)监控Internet连接共享如果网络中使用代理服务器，局域网借助代理服务器实现Internet连接共享，并且交换机为傻瓜交换机时，可以直接将SnifferPro安装在代理服务器上，这样，SnifferPro就可以非常方便地捕获局域网和Internet之间传输的数据。如果核心交换机为智能交换机，那么最好的方式是采用端口映射的方式，将局域网出口（连接代理服务器或者路由器的端口）映射为另外一个端口，并将SnifferPro计算机连接至该映射端口。例如，在交换机上，与外部网络连接的端口设为A，连接笔记本电脑的端口设置为B，将笔记本电脑的网卡与B端口连接，然后将A和B做端口映射，使得A端口传输的数据可以从B端口监测到，这样，Sniffer就可以监测整个局域网中的数据了。2.设置监控网卡如果计算机上安装了多个网卡，在首次运行SnifferPro时，需要选择要监控的网卡，应该选择代理网卡或者连接交换机端口的网卡。当下次运行时，SnifferPro就会自动选择同样的代理。1启动snifferpro在安装snifferpro之前需要安装Win_cap（监听包），然后选择网络适配器如图1.1,如果没有出现则点击”新建”，如图1.2:（描述）Description:为该网卡设置一个名称，可以是关于该网卡的描述。（网络适配器）Network:该下拉列表中列出了本地计算机上的所有网卡，可以选择要使用的网卡。（netpod类型）NetpodConfiguration:在这里可以设置高速以太网Pod，为了使以太网可以以全双工模式工作，在“Netpod”下拉列表中选择“FullDuplexPod（全双工Pod）”选项，在“NetpodIP”框中输入SnifferPro系统的网络适配器的IP地址再加1。例如，SnifferProIP地址为，NetpodIP地址就必须设置为。全双工Pod要求有静态IP地址，所以应该禁用DHCP。（拷贝设置从）Copysettings:在该下拉列表中显示了本地计算机中以前定义过的网卡设置，可以选择一种配置，将其复制到该新添加的网卡中。设置完成以后单击“OK”按钮，添加到“Settings”对话框中，然后就可以选择监控该网卡了。图1.1选择网络适配器

ar建赛描述.①)向缗适配器：心TF~1.T1TKL1bXg'1*1'ival.asejX.dA.pi.at-—Usat-Madfi□^.p-Luira拷贝设宣从：旧］取泊图1.2添加网络适配器图1.3Snifferpro协议分析器主界面2.认识snifferpro界面2.1仪表盘&文件⑭监视器峻捐荻。显示⑪工具(!)数据库团：窗口⑪帮助⑩国13|割憧售|撕布国剖制您|闻章@||仪表盘，点击后显示如图1.1首先我们能看到的是三个类似汽车仪表的图象，从左到右依次为“Utilization%网络使用率”，“Packets/s数据包传输率”，“Error/s错误数据情况”。其中红色区域是警戒区域，如果发现有指针到了红色区域我们就该引起一定的重视了，说明网络线路不好或者网络使用压力负荷太大。一般我们浏览网页的情况，使用率不高，传输情况也是9到30个数据包每秒，错误数基本没有。在Sniffer主窗口中，默认会显示Dashboard（仪表盘）窗口，共显示了三个仪表盘，即“Utilization%”“Packets/s”“Errors/s”，分别用来显示网络利用率、传输的数据和错误统计。（1）Utilization%（利用率百分比）用传输量与端口能处理的最大带宽值的比值来表示线路使用带宽的百分比。表盘的红色区域表示警戒值，表盘下方有两个数字，第一个数字代表当前利用率百分比，第二个是最大的利用率百分比数值。监控网络利用率是网络分析中很重要的部分。但是，网络数据流通常都是突发型的，一个几秒钟内爆发的数据流和能在长时间保持活性数据流的重要性是不同的。表示网络利用率的理想方法要因网络不同而改变，而且很大程度上要取决于网络的拓扑结构。在以太网端口，利用率到40%，效率可能已经很高了，但是在全双工可转换端口，80%的利用率才是高效的。（2）Packets/s（每秒传输的数据包）显示当前数据包的传输速度。同样，红色区域表示警戒值，下方的数字显示当前的数据包传输速度及其峰值。根据数据包速率可以得出网络上流量类型的一些重要信息。例如，如果网络利用率很高，而数据包传输速度相对较低，则说明网络上的帧比较大;而如果网络利用率很高，数据包传输速率也很高，说明帧比较小。通过查看规模分布的统计结果，可以更详细的了解帧的大小。（3）Errors/s（每秒产生的错误）该表盘可显示当前出错率和最大出错率。不过，并非所有的错误都产生故障。例如，以太网中经常会发生冲突，并不一定会对网络造成影响，但过多的冲突就会带来问题。如果要重新设定仪表盘的值，可以单击仪表盘窗口上方的Reset（重置）按钮。2.2主机表。对单个主机进行分析

售文件妙监视器⑩捎获©显示⑪工具。数据库也窗口也）帮助也）昭gg国画席痴国前醯回却置画|主机表：显示主机表如图2.2SnifferPurtable-Laical^Ethernet(Line盅r典dnt售文件妙监视器⑩捎获©显示⑪工具。数据库也窗口也）帮助也）昭gg国画席痴国前醯回却置画|主机表：显示主机表如图2.2SnifferPurtable-Laical^Ethernet(Line盅r典dnt100Kbps】-IJfcu—,M||,|莅］何耕心"V］商：J登:：.」剑到疗仲|电匍＜3悒|刻§IlnPkk|lr岛曷IOul^4B™dtlUpdateTi™ICreate14W28.252.212611若弛97125.4665.T919Z.16S.1J78192.1S8.1.lg4182.1EatZ230.163.1*i9Z163.1.iS5302.10G4S1512CZ1095.™2fl?J6111272C?68178239昨m心罚191160.1,101016W3*20103.33.492011t».3310!>vv>qpviinml，BG1OQ2Z7QQQ111172126第。。00.205En-ft-o1H21-F-u0o4flMlI1iB75_■

17.13Tu-9JtfF口口口陌谜岳曲演™口口UO96SJ*«J&0J&7921re24-37浏口膜965|场诙Gu^TJe593ln5136*l75766Erx.roi--*l事_4J上7-.*221/1rxjt33_<*?1Mir2.rJL□OOOQQO^OOOOQ-QOOOOOQ^0300M&-ie15.2507.970.2d0?-l002007-lD-2613tZ34E.^.ZCOMD0a»7-i55402a)0M00濒7102E13:234U1K2007-1002007-1l>2619:2320.21i.2M7100200740-2615:2513.630.aJQMC02M7-1B-2€15244C.£222007-10Cl3OO7i[»-2€Tft^^.07i.^07100*通1$的皿啊.ZflOMDLi却财珅IK&仆充OSFU2U0MD02M7-ia-2€142507.725.2007-100河7如•跚1集23蕊.柏?.2007^100aM74t2C19.2454.39fi.2007-1002007-1U-26ra2447E4t.20Q7-1Q020074^2612007^1003W7ltbSG1J343§.136.20071003M74DbZ61?.244&.33.2ZWMD02007-1W26i»24:S0.321.20OMD0额7-T>I€l“45C”3.200MO020071D-2S112453.92S.2007100胡皿102®摄网55.铲-.5-jnmmr■n>■n，i~dll■,一s—___J*rHtlp,f«-tssF]通过这个表我们可以对网络内的单个工作站进行数据捕获，排序可以按照MAC地址、IP地址和IPX协议。实际上在大部分的情况下一旦网络出现异常，可以在第一时间直观的通过HostTable功能找到问题的根源，在这个表种显示了每台计算机的上行速率和下行速率，用来分析各主机的通信量。在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。

图2.3查看捕获面板图2.4显示面板统计信息捕获面板能够显示捕获保温的大小，以及显示缓冲器的使用率，2.L矩阵一—e文件⑥监视器始措萩慎显示⑪工具①数据库皿窗口他）帮助⑪弟到豳割习4网国御禽卸宓I倒配辱阵［如图2.3“

SnifftiPoEtablp-Jl«C31,Etlietft&t<L±ne"k曰ntiflBTbps)-g…因匹I区图2.3局域网正常数据传输SnifftiPoEtablp-Jl«C31,Etlietft&t<L±ne"k曰ntiflBTbps)-g…因匹I区图2.3局域网正常数据传输矩阵用于直观的显示整个网络的数据传输情况。上图位局域网正常的数据传输，当出现异常情况时出现下图2.3.1，一台主机跟多台计算机在通信，如果发生在服务器上，是正常的，但是这种情况发生在其它非服务器的计算机上就有可能是攻击行为了。图2.3.1局域网内主机异常通信点击查看“饼图”可以查看那台计算机的流量最大（如下图）。1笑1陶理跛雄'辑-EI.1^1.241x92II»1：B83iisaiK211SUHIBBtiis.itn.i3i□珥41g"MBS图5.2饼图显示各主机通信量3ART监控请求响应时间取边牛口飞视器⑶厂措获酒显示⑪TM（I）数据库鱼）窗口地）帮助史）目务器倾.目港P地址|守毕|90舶华|心.-斗|Tatf袖jD.i辱目务器倾.目港P地址|守毕|90舶华|心.-斗|Tatf袖jD.i辱4寥国阑圆国却圈画|迪受雇|剑SWI£：I曲逸明■叩睥妇呈禾回工具⑴煎据庠®窗口匹】mfjqi）■U|垂15泡匡|o＞图Ml酸包|却囹剑|tWflilr高曜焉管毋规化】-粗去腿图3.1请求响应时间如图：3.14历史取样闵文件但）监视器⑪措获睇显示叱im（t）数据库呢：窗口迪帮助也gg«i®i剑撕席倒国国科园刿邕凰|/历史取样，查看以'前某个时间段的数据信息，如图4.1图4.1历史取样图5.协议分布娶文件口监视器⑩措荻如显示⑪工具①数据库回窗口地）帮助⑩细受1国1朝画席翅国通阐饱IA1剑剑I一__3I协议分布，列出局域网内计算机使用协议的分布图，如图5.1</LSnifCut一LocalsEthtfrciet(Li^cespeedMLOOIbpif>一[Pi^--[t||^|图5.1协议分布图此试图能够检测网络当中各计算机使用的网络协议，包括FTP、HTTP、ICMP、DNS等,并监测其数据流量。6定义过滤器，设置缓冲大小选择捕获一定义过滤器

图6.1选择定义过滤器图6.2设置缓冲器大小图6.1选择定义过滤器图6.2设置缓冲器大小Sniffer软件提供了强大的分析能力和解码功能。如下图所示，对于捕获的报文提供了一个Expert专家分析系统进行分析，还有解码选项及图形和表格的统计信息。

n国倒圈凰Sait2：JTs^ert^3803Et±'、-V吊I京统Hitn国倒圈凰Sait2：JTs^ert^3803Et±'、-V吊I京统Hit51i<■nLU902T[[LO.13.105)敬ifflrr-迎超0SBEDHI.[10.LI.10G.BY]jlC2721i：<[10i1.105S3])ri724i[LO1i.10559j孑¥27247[:[in1i!(]□钮])gHiuriA』灿如顶输匕?•Pr血bIDisl.j\SM非:I；出-'Jl图屈抻i・雅泉我女的其他

&H■敬I专家分分析系统提供了一个只能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容，可以方便了解网络中高层协议出现故障的可能点。对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因。解码分析下图是对捕获报文进行解码的显示，通常分为三部分，目前大部分此类软件结构都采用这种结构显示。对于解码主要要求分析人员对协议比较熟悉，这样才能看懂解析出来的报文。使用该软件是很简单的事情，要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。工具软件只是提供一个辅助的手段。因涉及的内容太

多，这里不对协议进行过多讲解，请参阅其他相关资料。®de,1/明融3EUkernr-iISill(2.tn'iaW61001135捕曲的Mltc™7EEEI3IU3JIT-VB3P9582DHW27247[in11i^gl§7]11o®de,1/明融3EUkernr-iISill(2.tn'iaW61001135捕曲的Mltc™7EEEI3IU3JIT-VB3P9582DHW27247[in11i^gl§7]11onnIni；u：V卫m*P："WI-Z"?：Y'：常*E.TARP:fz-amerpeprpjttAAAAA一一一一-D廖tMgsP3：uawai0011»CAI3：[5UI：[1U.11.12E157JLI.T?77d.?l-ir:：o\ZBFEUtype■=i(ISJMJbGtJieKifitE'rotjilcLtype=0800.IP)"1Leng-th口:fhcirdxari^address匚6hyt己％T.riTi-zrh'hrrf「ivrTLmLiI~irlrlT>mn一・1Tityf.inniTOC\o"1-5"\h\zOOaDDDOO:WMm吐是"血i£匚叩11.旧口^UOUiiUy：II:JUULUL>U4U00：OUell土匚『1115dJq:O0QODD2O:DOOD00DO000()OaObt93b00QOoJp"00000030:DODOUUDO'0U00,OU0O3cdeAlIf11Dst.listiesDst.功能是按照过滤器设置的过滤规则进行数据的捕获或显示。在菜单上的位置分别为Capture->DefineFilter和Display->DefineFilter。过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。在最上面的窗口中显示了捕获的帧和捕获的顺序、“SourceAddress（源地址）”、“DestAddress^的地址）”、“Summary（摘要信息）”以及时间等信息。此时可以选中需要的帧左侧的复选框，然后就可以保存为新的捕获文件。选择“Display”菜单中的“SaveSelect”选项，即将选择的帧保存为新的捕获文件;选择“SelectRange（选择范围）”选项可以选择全部帧、取消对全部范围的选择，或者选择和取消任何一个范围的选择。单击减号E可阳少麝W!服

示空间-单击加号《书可展—摘耍fil格逐行显示了捕长瞄包的麟SHEEar-Ljfd；Ht同她昵弁•】(][)HbjG-J5E目.恫旧用偿BJ伺物■际TOH£.■制!IMNt#©里云m，工具叫费箫伴他flH-iiHSuhjJ^ljdIII.蘑凹I”•营域通国筮匝顷喧鹫国倒血垂）鱼！］|钢|岫翻毗…T*的fctotI拍尊在F孝遂|_|口口口：I.i.^E拓&口.Ll?55255IFTThtflr.Keswe•尹：nt4-drFrrvrjrniDcMgT】直natLIk3<ZICTE-rcoidE-ihii.1KT.CFA=^J32.I£■GP【2巳珞W.O.lIJkEf.sirk^ssajsH：l\^LiJhw>55JHC?few]?.><-s-mcM3[FIE1:IFUcisioai-日b&sdcrle-ocfLli°toffliTiSJk样细信思倒格林活7Jk样细信思倒格林活7'■摘牌”明格中当嗣所诚甄捍赫的岸细向客f，IFOOCI-ro«.itin»s-□0I1I1UOO0h11±7H11NfiflellC-l.5a2Lce!1D00EuaflftUUlD:013?GbJODOO00Li09相cd110ULttf±*i..二□0050020EfECon43OD44DI14"M02i)J0600de-'■..C.T-例.c00Cfooouooao..48onQU叮]qSB)63cB_o8BDE3v*林=*率碑好I是j,王乳*(\蜘山可剧h睥愤■博/~十六爆鞘脂梅以十关连晚ASCEE,:戒EBCDtCj情式显示所逝眈据可UDP文件头信息以太报文结构EthernetlI以太网帧结构Ethernet_ll以太网帧类型报文结构为：目的1^入。地址（6bytes）+源MAC地址+（6bytes）上层协议类型（2bytes）+数据字段（46-1500bytes）+校验（4bytes）EthernetII

DMACSMACTypeDATA/PADFCSShffar;kJ;枷如郦-----.-----；1-…-r:Fh:l?-la-DLC-•JD1CFrasus4arrivedat15-0120.9dO7;-fraii^Er己(D0h7hex)byte?Shffar;kJ;枷如郦-----.-----；1-…-r:Fh:l?-la-A3LCEthertyi_e□DLCIP：D-[10.11.104TCP口=18%A3LCEthertyi_e□DLCIP：D-[10.11.104TCP口=18%字我FTT.WPOST-LG35220-3eru-UFirSsrtreiv3二fuiUin3u-jk_eaily05OS'JO4500.茂.体，.，E,一HI犯IJSi7.T.0I清PmTDpj.220-Gsrv^UFTPSurert301_rUiASockdv....L0LIcaOa.Uz静ab3050IBG727tM打2076332c30b/2072f.51-I-1223一―lani_o?&0c7JJ5fo/d2rb6cUno-L3■J—l,£LTr—Lj-|D&CL22ee□83?6Qce25m-a4nu_M._u37d

6Li4o55oeu6oooF_io-u222h-t5_.bo2_M_731D5724dn-3.4i_e£-creru62oyeo66OJ15M—i7467—-uu8Aoo4o1s12?-&0COOODOOLOonoooozo0000003000000040GOOCOOSOUOOOOObOSniffer会在捕获报文的时候自动记录捕获的时间，在解码显示时显示出来，在分析问题时提供了很好的时间记录。源目的1^入。地址在解码框中可以将前3字节代表厂商的字段翻译出来，方便定位问题，例如网络上2台设备IP地址设置冲突，可以通过解码翻译出厂商信息方便的将故障设备找到，如00e0fc为华为，010042为Cisco等等。如果需要查看详细的MAC地址用鼠标在解码框中点击此MAC地址，在下面的表格中会突出显示该地址的16进制编码。IP网络来说Ethertype字段承载的时上层协议的类型主要包括0乂800为IP协议，0x806为ARP协议。IP协议IP报文结构为IP协议头+载荷，其中对IP协议头部的分析，时分析IP报文的主要内容之一，关于IP报文详细信息请参考相关资料。这里给出了旧协议头部的一个结构。版本：4IPv4首部长度：单位为4字节，最大60字节TOS：IP优先级字段总长度：单位字节，最大65535字节标识：IP报文标识字段标志：占3比特，只用到低位的两个比特MF(MoreFragment)MF=1，后面还有分片的数据包MF=0，分片数据包的最后一个DF(Don'tFragment)DF=1，不允许分片DF=0，允许分片段偏移：分片后的分组在原分组中的相对位置，总共13比特，单位为8字节寿命：TTL(TimeToLive)丢弃TTL=0的报文协议：携带的是何种协议报文1:ICMP6:TCP

17：UDP89：OSPF头部检验和：对IP协议首部的校验和源IP地址：IP报文的源地址目的旧地址：IP报文的目的地址曰，"菖IP:IPHeader17：UDP89：OSPF头部检验和：对IP协议首部的校验和源IP地址：IP报文的源地址目的旧地址：IP报文的目的地址|i-QIP:IP■V1ersicn=4,headerlength=20bytesL-tQIP：T?peofservxcs=00:j--QIP.tlOO....=routinejIF....0....=ncriiia.ldelay:-IP...0.=ncrmaltliroughput:=--[3IPCl.一=noj?i?ialreliability；j--rQIP■....0.=ECTbit—transportprotocol:■0=CEhit-nocongestionh-tQIP:Totallength=1&6bytes:IP