sniffer pro协议分析新手教程工具及文档.docx

1、sniffer pro协议分析新手教程工具及文档sniffer pro (学习笔记)边学边记系列好戏马上就开始喽一:sniffer pro问题集锦1.为什么SNIFFER4.75在我的机子上用不了？4.7.5 With SP5以上支持千兆以太网,一般我们从网络上下载的4.75不支持千M网卡2.如何导入导出snifferPro定义的过滤器的过滤文件?方法一、强行覆盖法C:Program FilesNAISnifferNTProgram下面有很多Local打头的目录，对应select settings里各个profile，进入相应的local目录，用sniffer scan.csf 去覆盖Snif

2、fer.csf(捕获过滤） 或者snifferdisplay.csf（显示过滤）方法二、声东击西法C:Program FilesNAISnifferNTProgram下面有个文件Nxsample.csf，备份。用Sniffer scan.csf替换nxsample.csf启动Sniffer新建过滤器在新建过滤器对话框的sample选择里选择相应的过滤器，建立新过滤。反复新建，直到全部加入3.sniffer的警报日志是些做什么用的?sniffer警报日志也是sniffer专家系统的一部分,通常不正常的TCP/IP通讯会产生警报和日志.比如: ping 的反映时间太长, 某一个会话中丢包或者重传数

3、过多,单位时间产生的广播/多播数过多等等. 4.利用ARP检测混杂模式的节点文章很长,原贴位于:5.sniffer 中，utilization是按什么计算的？Octect就是字节的意思。Sniffer表盘的利用率是根据你的网卡的带宽来计算的，如果要监测广域网带宽的话，需要使用Sniffer提供的相应的广域网接口设备：比如 Snifferbook用来接入E1、T1、RS/V等链路，这时它所显示出的带宽就是正确的广域网带宽（如非信道化E1它会显示2.048Mbs）。6.octets/s单位怎么计算的?octet=byte7.expert分析系统分析的数据是定义capture所截取的数据呢还是分析所

4、有流经镜像端口的数据？sniffer的专家系统只对所捕获的数据进行分析8.sniffer pro4.75 不现实仪表盘和alarm log 怎么回事?请检查您的操作系统是否安装java9.sniffer能识别出notes协议么需在Tools-Options-Protocol中将lotus所用端口定义进去。1352 是notes的端口用什么软件是次要的，关键是要理解如何根据自身的实际情况进行定制10.在sniffer中如何定义捕捉端口范围?我想捕捉端口为8000-9000的数据包,请问在sniffer中如何定义过滤器?建议使用SNIFFER PRO 4.8及以上版本11.sniffer deco

5、de面板为什么都是乱码啊？是这样的，这次你抓的都是小包，包头的ASCII没有实际含义，如果抓一些http/ftp之类，你可能就可以看到一些明文了12.为何sniffer dashboard不会动的Sniffer 4.7.5 sp5以前的版本需要Java Vitual Machine和JRE1.3.02，Java VM组件必须在安装Sniffer前检查IE里是否已存在，如果没有，就要重新安装IE组件。装完Sniffer后，第一次打开Sniffer时，会提示 安装JRE1.3.02，如果你的机器之前安装过更高版本的JRE，需要卸载然后再装JRE1.3.02，如果没有安装过，请安装JRE1.3.02

6、。满 足了这两个条件，Dashboard就没有问题了。如果因为Java的问题无法运行Dashboard的话，不会影响Sniffer其它功能的运行，大不 了不要打开Dashboard就可以了。13.对sniffer的疑问？Switch不是把数据包进行端口广播，它将通过自己的ARP缓存来决定数据包传输到那个端口上。因此，在交换网络上，如果把上面例子中的HUB换为Switch，B就不会接收到A发送给C的数据包，即便设置网卡为混杂模式，也不能进行嗅探?answer:什么都不是。这个自己再去想办法。只负责抓包分析的事。其他的自己搞定14:我这的交换机不支持端口镜像，请问我如何配置才能用sniffer p

7、ro分析网络？交换环境下的ARP欺骗和Sniffer,就这么简单1、准备 win2000/xp Etherpeek 。将自己的MAC修改为一个不存在的，具体步骤不再叙述。干坏事嘛，总得伪装一下。2、将本机的网关设为非本网段的任一IP，比如设成其他网段的网关。制作一个批处理包含以下命令： arp -s 网关IP 本网段网关的MAC这样做的目的是防止ARP欺骗时自己上网也困难3、在注册表的HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters下增加： Name:IPEnableRouter Type:REG_DWORD Va

8、lue:0x01 重启系统即可。目的是启用路由转发功能，以便在随后的ARP欺骗中本机充当MAN-IN-THE-MIDDLE(中间人）4、启动Etherpeek,构造如图所示的包（图1），可以将这个包存盘，以备后用。5、以每秒5个包的速度向外发送这个ARP欺骗包（图2）。6、启动捕获，就可以抓到整个网段内的包。7、注意：不要用此方法干坏事。被网管抓住别找我！15:通过Packet Generator如何定向发包？Q:的意思是往指定的主机发包吗？自己造包比较麻烦，你可以先截取一段数据包，然后编辑包，修改目的地址15:在监控端口和sniffer之间，可以级联交换机吗?可以，前提是要支持，并且正确配置

9、！16：Sniffer的非正常退出我在使用Sniffer的过程中，会发生异常错误。Sniffer进程无法杀掉。请问该如何解决？ntsd -c q -p PID强制杀掉进程，pid为在任务管理器里看到的进程号17:在sniffer 的 source address这一栏下，为什么有的显示ip地址，有的却显示mac地址？是不是因为显示mac地址的数据包没有包括ip层及以上的层的数据？有些协议用于链路协商，分配地址等等，是没有带ip地址的包头的，比如rapr,arp协议等。18:原创在Sniffer Pro中创建基于子网掩码的过滤器?初为做的一个说明，解释如何在Sniffer Pro中实现基于子网掩

10、码的过滤，（默认功能只能提供基于主机IP地址的过滤）以后再介绍介绍在OmniPeek里实现的快捷方式，对比一下就知道Sniffer Pro这只大笨象有多笨拙了19: 我单位使用的都是3com产品,不知能否通过Sniffer的Switch功能来能交换机进行管理呢. 我自己试了试,不行,请高手指点. ?Sniffer只支持Cisco大部分交换机和北电的450，3Com的不支持。Sniffer Switch Expert可以收集交换机的RMON信息，可以设置交换机警告并自动触发抓包，可以设置镜像端口等。如果要用Sniffer Switch Expert功能，最好是有两块网卡，一块用来与交换机通讯，一

11、块用来捕捉包。 19:Sniffer的历史采样如何打开？在sniffer里做了占用率等历史采集，保存成了.hst文件，现在想调出来看，如何做？Q:打开History，将.hst文件拖进去20: 用sniffer构建数据包时，建好了不能保存啊？用sniffer构建数据包时，建好了不能保存啊？每次都得重新构建数据包，这样很麻烦呀，可不可以保存下来，每次调用一下就OK了?Q:构造好之后发送出去，同时捕捉一次不就保存下来了，我以前常这么干，省得我自己计算ip_sum什么的。21:如何在网卡上设置，使其能在下看到小于大于的包？如果使用Sniffer提供的专用网卡（Sniffer Cardbus网卡），可

12、以捕捉到许多数链层的错误：1、CRC校验错误。2、Collison（小于64字节，一般是中继器发Jam信号导致）。3、Runt（小于64字节，但有正确的CRC）。4、Fragment（小于64字节，但CRC错误）。5、Aligment（有两种，一种是小于64字节，另一种大于64字节）。6、Jabber（大于1514字节，一般可能是网卡或中继器问题引起）。7、Oversize（大于1514字节，如果是VLAN的Trunk协议，如802.1Q协议（1518字节）和Cisco ISL协议（1540字节），它们都大于1514字节，Sniffer也会认为它们是Oversize。）那么上面说了这么多种错误

13、，实际上你在现在的网络环境当中，就算是使用了Sniffer专用的Cardbus网卡，也不见得会捕捉到这些错误，为什么呢？ 原因有二：一是因为我们现在的网络大多是交换网络，需要进行交换机镜像才能让Sniffer进行捕捉数据包，而交换机会把这些错误包给丢弃了，根本到达不 了Sniffer镜像的端口。二是因为这些错误基本上是因为中继设备和网卡设备的硬件故障导致的，而现在无论是交换机、集线器还是网卡，硬件制造的工艺都 很成熟和稳定，以上这些错误，基本上，很难再产生了。 如果你没有Sniffer专用网卡，可以有两种办法：一，按V大说的自开发驱动。二，到市场上买Xircom CBE2-100型号网卡，Sn

14、iffer Cardbus网卡是它OEM的。22:sniffer pro是不是只能监控同一交换机下的流量？这个和Sniffer没有关系！关键在于交换机比如有些可以支持RSPAN，跨交换机的流量也可以看到啊23: 使用Sniffer Portable 抓包的时候,在解码后发现Frame too short提示 的可能原因是什么?硬件（网线、网卡、端口等）有故障的症兆或存在双工、速率匹配问题。24:请教一个sniffer的协议分析使用的问题对比了一下，发现自己的sniffer在查看protocols分布情况时，未知的协议类型都为“others”，而别人的却能显示出具体的协议和端口 号，如下图，这是

15、怎么回事？是不是什么选项没选上？加入具体的协议端口,下次你的也就不会是Other了.Tools -Options-Protocols添加25:sniffer pro ART 功能？1、ART是应用响应时间，属于Sniffer的 Monitor功能，跟Capture和Packet Gen没有关系。2、缺省情况下ART只监控HTTP应用，如果要监控其它协议，需要添加协议。这里要注意一点，添加协议完要重启ART应用才会生效，有时候需要重启Sniffer才行（个人经验）。3、如果按第2步做了还是没有数据，你就要考虑是不是你添加的协议在你所能够监视到的流量里根本就不存在。（因为你说并没有做端口镜像）。4

16、、没有让你选择网卡，你可以手动来选，打开File-select setting选择你需要的网卡。26：怎么利用sniffer做一个流量的baseline？小弟我想用sniffer做一个流量的baseline，方便以后流量出现异常用来对比，可是我对baseline具体是什么内容还不清楚，也不知道到底 该怎么做，请各位能不能指点sniffer历史采样(history sample)其实就是软件默认定义的baseline但根据网络的实际情况不同,需要制订符合实地情况的基准线建立baseline的方法,个人认为:捕获正常网络状态数据包,得出packet/s,utilization/s,broadcas

17、t/s等等的数据然后修改其阈值及采样频率以后学习到标准制订baseline方法,再改正!27：用snifferpro如何抓printer（打印）的包呢？就是想用snifferpro监控打印机的使用，抓打印文件的路径和打印者的mac地址。snifferpro的包过滤里面有tcpprinter选择，但是我怎么都抓不到东西。Q：用的是过滤中的netbios包。又有新问题，是安装了sniffer之后，发现服务器工作不正常，我觉得可能是sniffer让服务器网卡处于混杂模式的缘故。删掉之后就好了。我其实只是需要过滤 到通过服务器的包而已，请问如何设置sniffer关闭网卡的混杂模式？28：在线求助(sn

18、iffer的截图)。警报:WINS No Response? WINS no reponse是指网络中WINS服务器对WINS请求没有响应，WINS是微软的Windows Name Service，你用网上邻居时看到机器名实际上就是WINS服务起的作用。你Sniffer系统的专家告警并非误报，是由于其没有抓获WINS Reponse数据包所造成的，可能是由于你在交换环境下抓包没有做镜像，只能抓到广播包，所以能够捕获到WINS请求，但无法捕获到回应包，所以会产生告警。 29:Sniffer Pro新版本4.8已经发布了，可以说有不少的好消息?Sniffer Pro新版本4.8已经发布了，可以说有

19、不少的好消息：1、Dashboard不再使用Java了，呵呵，原先Sniffer使用Java是很多人深恶痛绝的（包括本人），一打开Sniffer不再是CPU和内存蹭蹭的往上串了。2、地址过滤可以使用子网过滤了（不再需要用Data Pattern来做了）。3、可以做端口范围的过滤（如TCP 1050-1052）。4、Data Pattern的Offset里多了一个叫”Variable offset“的功能，也就是说你可以做不用管位偏移在哪里的模式匹配了，举个例子：你要捕捉所有访问Sina网页的数据，你可以在Data Pattern里填入”sina“的ASCII字符，然后把”Variable of

20、fset“选项打勾，这样不管sina这个字符出现在数据的哪一部分，Sniffer都可以捕捉。5、支持802.11g无线协议。6、支持通用10/100/1000M Ethernet网卡。7、支持实时解码这点也是Sniffer以前常被人诟病的地方，俺喜欢这功能。8、支持Sniffer Mobile 1.0和Sniffer Voice 2.5。呵呵，前面举了这么多好的方面，当然也有坏的消息：不再是使用序列号注册的方式，而是采用跟收集硬件信息和Grand No的方式来授权使用，必须在安装Sniffer的机器上生成一个请求授权文件，然后把该文件电邮给NG公司，由它们授权返回一个文件再导入才能正常使 用，

21、要不，只能试用15天。（谁要是有办法解决授权问题，不妨共享给俺俺会十分感谢的）30: 请问:sniffer的dashboard中的利用率到底是什么意思?我的计算机级联的是10M以太网集线器,我也没有把网口插入交换机的镜像端口,就是直接运行SNIFFER,所以SNIFFER监测的流量及数据全是我的机器的,SNIFFER显示的是10M以太网卡.这时我做了一个FTP测试,下载电影.每秒900多K,利用率怎么会显示百分之八十多呢?我就不明白啦,我连的这个网段是10M,而现在才使用啦每秒900多K,利用率怎么会显示百分之八十多呢?不懂,请高手指教!谢谢!下载时候的速度显示的是KB/S,而你的带宽单位是K

22、b/s,你下载的速度乘以8才是你对带宽的占用率,900多乘以8,可不是差不多接近10M的80%31:Sniffer抓包时，为什么总是自己机器在流量最大？网络环境：电信2M ADSL+宽带路由器+四口交换机，四个人通过交换机共享一个2M的ADSL，在的电脑接在交换机的端口之，然后在我的电脑安装Sniffer，然后看主 机列表中的数据包，为什么老是我的机器的数据流最大？为什么比网关（路由器IP）的收发的数据包还多?Q: 他们说的对,主要是与你接入的位置有关.取流量的三种方式:交换机镜象口HUBTAP32:我想的找一个SNIFFER4.8 有哪个大侠给一个连接?试用15days33:sniffer

23、reporter怎么用啊？我下了一个sniffer reporter想专门用来做流量分析报告，可惜不会用啊，俺英文也不好，帮助也看不大懂，哪位用过的兄弟说说啊Q: 倒，手册这么好的东西不看。在装有Sniffer的机器上安装Reporter，然后启动Reporter Agent，再启动Console，添加你用Sniffer打开的那块网卡做为Agent。打开Sniffer，在Database-Options里将所有你需要生成的数据项目都打上叉，最好调整默认的时间60分钟为5分钟，这样就可以比较快的生成报告。一小时（比较好的时间，这样可以有更多点的数据）后就可以在Console上生成你需要的项目的报

24、告了。34:【网络分析入门】原创如何使用Sniffer的过滤器文件?坛里经常看到许多人对Sniffer的过滤器文件不知道该如何使用，闲来无事，就截了几副图演示一番。 首先，我们可以去NG公司的网站去下载Sniffer过滤器（主要是用来检测Vulnerabilites和Virus的），漏洞的过滤器下载网址：病毒的过滤器下载网址： ，需要说明的是Sniffer的病毒过滤器的名称定义是来自McAfee的定义，与其它防病毒厂商尤其是国内的防病毒厂商的病毒名称定义是有一些差异的。 下载到过滤器，我们就可以把该过滤器导入到Sniffer里去了。 解压开下载到的过滤器文件，你会看到许多文件，我们以Mydoo

25、m病毒过滤器文件举例说明：Importing Filter.rtf（导入过滤器说明文件），Sniffer Filter Creation Specification for W32_MyDoomMM.rtf（说明如何定义Mydoom病毒过滤器），NetAsyst - W32_MydoomMM.csf（NetAsyst软件使用NG公司针对中小型企业定制的软件，功能与Sniffer Pro基本相当，只限10/100M Ethernet和Wireless使用），SnifferDistributed4.* - W32_MyDoomMM.csf(分布式Sniffer使用，有多个版本：4.1，4.2，4.

26、3，4.5等），还有就是我们需要使用的SnifferPortable4.* - W32_MydoomMM.csf（有4.7,4.7.5,4.8等版本，针对你所使用的Sniffer版本号来选择你需要的）。 接着找到Sniffer的安装目录，默认情况下是在：C:Program FilesNAISnifferNTProgram，找到该目录下的“Nxsample.csf”文件，将它改名成 Nxsample.csf.bak（主要是为了备份，否则可以删除），然后将我们所需要的过滤器文件SnifferPortable4.7.5 - W32_MydoomMM.csf文件拷贝到该目录，并将它改名为“Nxsamp

27、le.csf”。 然后，我们再打开Sniffer Pro软件，定义过滤器（Capture-Define Filter），选择ProfileNew在New Profile Name里填入相应的标识，如W32/Mydoom选择Copy Sample Profile选择W32/MydoomMM，确定后，我们就算做好了Mydoom这个病毒的过滤器。 现在，我们就可以在过滤器选择里选择Mydoom过滤器对Mydoom病毒进行检测了。35:怎样用SNIFFER查找ARP欺骗？各位，现在的ARP欺骗问题是越来越多了，造成的影响也是越来越大，利用SNIFFER怎样才能发现ARP欺骗呢？Q:从最近常见的欺骗来看

28、，最明显的是ARP REQUEST包的目的的如果不是广播而是网关，那就基本可以确定有问题.36:Sniffer打开trace file提示“unsupported file format”问题很多.cap文件，使用sniffer打开提示“unsupported file format”错误使用omnipeek打开,提示有人研究过是怎么回事吗？Q:不支持这种格式。CAP是一种通用的格式，而不仅仅是Sniffer的CAP，不同CAP文件的内部结构是不一样的。举个例，在Ethereal中，如果你将保存类型设为libpcap，然后保存为*.cap，这样Sniffer就打不开这个cap文件。37:Sni

29、ffer抓包时，为什么总是自己机器在流量最大？Q:没开镜像呀,抓的都是你自己的包.38:sniffer pro提示有Local Routing是什么原因？网络很简单Harbor58423F是本地的三层交换NortelF4CA0D是上级三层1.在抓包后有很多的Local Routing是什么原因？2.为什么会出现Local Routing？Qocal Routing属于TCP层的告警，产生原因是检测到Packet本应在DLC层进行转发但却通过ROUTER转发，原因有以下三点：1、路由器的路由表设置问题，使在同一段内能直接通信的设备不致通过路由器进行通信；2、路由器出于安全考虑，防止访问网络的特定部分；3、路由器实现网关类功能，在应用层执行协议转换功能；4、新设备联入网络未识别到与其他设备有直接路由、或设备配置成使用指定路由器。39:用sniffer模拟发包的疑问？今天应客户要求做一个ACL过滤功能的测试，我想使用sniffer的模拟发包功能（packet generator）来模拟发包！下面是我的方法：1、先访问一个网站并抓包（收集TCP、UDP数据包）2、选择一个TCP包，并使用send current frame编辑包3、修改目的IP地址、端口号并发送。4、把两个VLAN 上的ACL全部去掉，并在对端抓包，发现没有