sniffer功能和使用详解.docx

1、sniffer功能和使用详解Sniffer功能和使用详解一 Sniffer介绍Sniffer，中文翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。Sniffer技术常常被黑客们用来截获用户的口令，据说某个骨干网络的路由器网段曾经被黑客攻入，并嗅探到大量的用户口令。但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络Sniffer的分类 如果Sniffer运行

2、在路由器上或有路由功能的主机上，就能对大量的数据进行监控，因为所有进出网络的数据包都要经过路由器。二 sniffer pro Sniffer软件是NAI公司推出的功能强大的协议分析软件。Sniffer Pro - 功能捕获网络流量进行详细分析 利用专家分析系统诊断问题 实时监控网络活动 收集网络利用率和错误等使用Sniffer捕获数据时，由于网络中传输的数据量特别大，如果安装 Sniffer的计算机内存太小，会导致系统交换到磁盘，从而使性能下降。如果系统没有足够的物理内存来执行捕获功能，就很容易造成Sniffer系统死 机或者崩溃。因此，网络中捕获的流量越多，建议Sniffer系统应该有一个速

3、度尽可能快的计算机。1. Sniffer Pro计算机的连接要使Sniffer能够正常捕获到网络中的数据，安装Sniffer的连接位置非常重 要，必须将它安装在网络中合适的位置，才能捕获到内、外部网络之间数据的传输。如果随意安装在网络中的任何一个地址段，Sniffer就不能正确抓取数 据，而且有可能丢失重要的通信内容。一般来说，Sniffer应该安装在内部网络与外部网络通信的中间位置，如代理服务器上，也可以安装在笔记本电脑上。 当哪个网段出现问题时，直接带着该笔记本电脑连接到交换机或者路由器上，就可以检测到网络故障，非常方便。(1) 监控Internet连接共享如果网络中使用代理服务器，局域网

4、借助代理服务器实现Internet连接共享，并且交换机为傻瓜交换机时，可以直接将Sniffer Pro安装在代理服务器上，这样，Sniffer Pro就可以非常方便地捕获局域网和Internet之间传输的数据。如果核心交换机为智能交换机，那么最好的方式是采用端口映射的方式，将局域网出口(连接 代理服务器或者路由器的端口)映射为另外一个端口，并将Sniffer Pro计算机连接至该映射端口。例如，在交换机上，与外部网络连接的端口设为A，连接笔记本电脑的端口设置为B，将笔记本电脑的网卡与B端口连接，然后将 A和B做端口映射，使得A端口传输的数据可以从B端口监测到，这样，Sniffer就可以监测整个

5、局域网中的数据了。2. 设置监控网卡如果计算机上安装了多个网卡，在首次运行Sniffer Pro时，需要选择要监控的网卡，应该选择代理网卡或者连接交换机端口的网卡。当下次运行时，Sniffer Pro就会自动选择同样的代理。1 启动sniffer pro 在安装sniffer pro之前需要安装Win_cap（监听包），然后选择网络适配器如图1.1，如果没有出现则点击”新建”,如图1.2：（描述）Description：为该网卡设置一个名称，可以是关于该网卡的描述。（网络适配器）Network：该下拉列表中列出了本地计算机上的所有网卡，可以选择要使用的网卡。（netpod类型）Netpod C

6、onfiguration：在这里可以设置高速以太网Pod，为了使以太网可以以全双工模式工作，在“Netpod”下拉列表中选择“Full Duplex Pod(全双工Pod)”选项，在 “Netpod IP”框中输入Sniffer Pro系统的网络适配器的IP地址再加1。例如，Sniffer Pro IP地址为192.168.1.1，Netpod IP地址就必须设置为192.168.1.2。全双工Pod要求有静态IP地址，所以应该禁用DHCP。（拷贝设置从）Copy settings：在该下拉列表中显示了本地计算机中以前定义过的网卡设置，可以选择一种配置，将其复制到该新添加的网卡中。设置完成以后

7、单击“OK”按钮，添加到“Settings”对话框中，然后就可以选择监控该网卡了。图1.1 选择网络适配器图1.2 添加网络适配器 图1.3 Sniffer pro 协议分析器主界面2.认识sniffer pro 界面 2.1 仪表盘 首先我们能看到的是三个类似汽车仪表的图象，从左到右依次为“Utilization%网络使用率”， “Packets/s数据包传输率”，“Error/s错误数据情况”。其中红色区域是警戒区域，如果发现有指针到了红色区域我们就该引起一定的重视了，说明网络线路不好或者网络使用压力负荷太大。一般我们浏览网页的情况，使用率不高，传输情况也是9到30个数据包每秒，错误数基本

8、没有。在Sniffer主窗口中，默认会显示Dashboard(仪表盘)窗口，共显示了三个仪表盘，即“Utilization%”“Packets/s”“Errors/s”，分别用来显示网络利用率、传输的数据和错误统计。(1) Utilization%(利用率百分比)用传输量与端口能处理的最大带宽值的比值来表示线路使用带宽的百分比。表盘的红色区域表 示警戒值，表盘下方有两个数字，第一个数字代表当前利用率百分比，第二个是最大的利用率百分比数值。监控网络利用率是网络分析中很重要的部分。但是，网络 数据流通常都是突发型的，一个几秒钟内爆发的数据流和能在长时间保持活性数据流的重要性是不同的。表示网络利用率

9、的理想方法要因网络不同而改变，而且很大 程度上要取决于网络的拓扑结构。在以太网端口，利用率到40%，效率可能已经很高了，但是在全双工可转换端口，80%的利用率才是高效的。(2) Packets/s(每秒传输的数据包)显示当前数据包的传输速度。同样，红色区域表示警戒值，下方的数字显示当前的数据包传输 速度及其峰值。根据数据包速率可以得出网络上流量类型的一些重要信息。例如，如果网络利用率很高，而数据包传输速度相对较低，则说明网络上的帧比较大;而 如果网络利用率很高，数据包传输速率也很高，说明帧比较小。通过查看规模分布的统计结果，可以更详细的了解帧的大小。(3) Errors/s(每秒产生的错误)该

10、表盘可显示当前出错率和最大出错率。不过，并非所有的错误都产生故障。例如，以太网中经常会发生冲突，并不一定会对网络造成影响，但过多的冲突就会带来问题。如果要重新设定仪表盘的值，可以单击仪表盘窗口上方的Reset(重置)按钮。 2.2 主机表。对单个主机进行分析图2.2主机显示表 通过这个表我们可以对网络内的单个工作站进行数据捕获，排序可以按照MAC地址、IP地址和IPX协议。实际上在大部分的情况下一旦网络出现异常，可以在第一时间直观的通过HostTable功能找到问题的根源，在这个表种显示了每台计算机的上行速率和下行速率，用来分析各主机的通信量。在捕获过程中可以通过查看下面面板查看捕获报文的数量

11、和缓冲区的利用率。图 2.3 查看捕获面板 图2.4 显示面板统计信息 捕获面板能够显示捕获保温的大小，以及显示缓冲器的使用率，2.3 矩阵 图 2.3 局域网正常数据传输矩阵用于直观的显示整个网络的数据传输情况。上图位局域网正常的数据传输，当出现异常情况时出现下图2.3.1，一台主机跟多台计算机在通信，如果发生在服务器上，是正常的，但是这种情况发生在其它非服务器的计算机上就有可能是攻击行为了。图 2.3.1 局域网内主机异常通信点击查看“饼图”可以查看那台计算机的流量最大（如下图）。图 5.2 饼图显示各主机通信量3ART监控 请求响应时间图3.14 历史取样图 4.1 历史取样图5.协议分

12、布图 5.1 协议分布图 此试图能够检测网络当中各计算机使用的网络协议，包括FTP、HTTP、ICMP、DNS等，并监测其数据流量。6 定义过滤器，设置缓冲大小 选择捕获定义过滤器图6.1 选择定义过滤器 图 6.2 设置缓冲器大小 二 捕获报文查看Sniffer软件提供了强大的分析能力和解码功能。如下图所示，对于捕获的报文提供了一个Expert专家分析系统进行分析，还有解码选项及图形和表格的统计信息。专家分析专家分分析系统提供了一个只能的分析平台，对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容，可

13、以方便了解网络中高层协议出现故障的可能点。对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因。解码分析下图是对捕获报文进行解码的显示，通常分为三部分，目前大部分此类软件结构都采用这种结构显示。对于解码主要要求分析人员对协议比较熟悉，这样才能看懂解析出来的报文。使用该软件是很简单的事情，要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。工具软件只是提供一个辅助的手段。因涉及的内容太多，这里不对协议进行过多讲解，请参阅其他相关资料。对于MAC地址，Snffier软件进行了头部的替换，如00e0fc开头的就替换成Hua

14、wei，这样有利于了解网络上各种相关设备的制造厂商信息。功能是按照过滤器设置的过滤规则进行数据的捕获或显示。在菜单上的位置分别为Capture-Define Filter和Display-Define Filter。过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。在最上面的窗口中显示了捕获的帧和捕获的顺序、“Source Address(源地址)”、“Dest Address(目的地址)”、“Summary(摘要信息)”以及时间等信息。此时可以选中需要的帧左侧的复选框，然后就可以保存为新的捕获文件。选择 “Display”菜单中的“Save Select”选项，即将选择的帧保存为新的捕

15、获文件;选择“Select Range(选择范围)”选项可以选择全部帧、取消对全部范围的选择，或者选择和取消任何一个范围的选择。UDP文件头信息以太报文结构EthernetII以太网帧结构Ethernet_II以太网帧类型报文结构为：目的MAC地址（6bytes）源MAC地址（6bytes）上层协议类型（2bytes）数据字段（46-1500bytes)校验（4bytes）Ethernet_IIDMAC SMAC Type DATA/PAD FCSSniffer会在捕获报文的时候自动记录捕获的时间，在解码显示时显示出来，在分析问题时提供了很好的时间记录。源目的MAC地址在解码框中可以将前3字节

16、代表厂商的字段翻译出来，方便定位问题，例如网络上2台设备IP地址设置冲突，可以通过解码翻译出厂商信息方便的将故障设备找到，如00e0fc为华为，010042为Cisco等等。如果需要查看详细的MAC地址用鼠标在解码框中点击此MAC地址，在下面的表格中会突出显示该地址的16进制编码。IP网络来说Ethertype字段承载的时上层协议的类型主要包括0x800为IP协议，0x806为ARP协议。IP协议IP报文结构为IP协议头载荷，其中对IP协议头部的分析，时分析IP报文的主要内容之一，关于IP报文详细信息请参考相关资料。这里给出了IP协议头部的一个结构。版本：4IPv4首部长度：单位为4字节，最大

17、60字节TOS：IP优先级字段总长度：单位字节，最大65535字节标识：IP报文标识字段标志：占3比特，只用到低位的两个比特MF（More Fragment）MF=1，后面还有分片的数据包MF=0，分片数据包的最后一个DF（Dont Fragment）DF=1，不允许分片DF=0，允许分片段偏移：分片后的分组在原分组中的相对位置，总共13比特，单位为8字节寿命：TTL（Time To Live）丢弃TTL=0的报文协议：携带的是何种协议报文1 ：ICMP6 ：TCP17：UDP89：OSPF头部检验和：对IP协议首部的校验和源IP地址：IP报文的源地址目的IP地址：IP报文的目的地址IP文件头

18、信息上图为Sniffer对IP协议首部的解码分析结构，和IP首部各个字段相对应，并给出了各个字段值所表示含义的英文解释。如上图报文协议（Protocol）字段的编码为0x11，通过Sniffer解码分析转换为十进制的17，代表UDP协议。其他字段的解码含义可以与此类似，只要对协议理解的比较清楚对解码内容的理解将会变的很容易 Version(版本)：版本序号为4，代表IPv4。Header length：Internet文件头长度，为20个字节。Type of service(服务类型值)：该值为00，我们会看到ToS下面一直到总长度部分都是0。这里可以提供服务质量(QoS)信息;每个二进制数位

19、的意义都 不同，这取决于最初的设定。例如，正常延迟设定为0，说明没有设定为低延迟，如果是低延迟，设定值应该为1。Total length(总长度)：显示该数据的总长度，为Internet文件头和数据的长度之和。Identification：该数值是文件头的标识符部分，当数据包被划分成几段传送时，接收数据的主机可以用这个数值来重新组装数据。Flag(标记)：数据包的“标记”功能，例如，数据包分段用0标记，未分段用1标记。Fragment offset(分段差距)：分段差距为0个字节。可以设定0代表最后一段，或者设定1代表更多区段，这里该值为0。分段差距用来说明某个区段属于数据包的哪个部分。Time to live(保存时间)：表示TTL值的大小，说明一个数据包可以保存多久。Protocol(协议)：显示协议值，在Sniffer Pro中代表传输层协议。文件头的协议部分只说明要使用的下一个上层协议是什么，这里为UDP。Header checksum(校验和)：这里显示了校验和(只在这个头文件中使用)的值，并且已经做了标记，表明这个数值是正确的。Source address(源地址)：显示了数据的来源地址。Destination address(目的地址)：显示了数据访问的目的地址。IP文件头下面为TCP或者UDP文件头，这里为UDP协议(如图14所示)。