snifer详解.doc

sniffer pro 的基本使用及实战分析2009-01-22 18:54:40|分类： 技术技巧 |字号订阅 Sniffer Pro 4.7脚本错误解决方案是jre的问题, 由于系统没有正确安装相应的JAVA插件所导致的。安装jre就可以来源：/read.php?tid=4206&fpage=0&toread=&page=1sniffer pro 的基本使用及实战分析0一、前言其 实Sniffer Pro是非常优秀的协议分析软件，许多下载网站说它是最好的网络协议分析软件。做为一名合格的网管肯定需要有这么一套好的网络协议分析软件，它对分析网络 故障等极为有用。 Sniffer Pro同时又是非常优秀的嗅探器，也就是说它可以捕捉到网络中其它机器的帐号和密码。本文介绍它的基本功能和用几个例子来演示捕捉密码的过程，也算是对学 习TCP/IP的一些补充。介绍嗅探（Sniffer）原理的文章非常多，本文就不啰嗦了。二、运行环境及安装Sniffer Pro可运行在局域网的任何一台机器上，如果是练习使用，网络连接最好用Hub且在一个子网，这样能抓到连到Hub上每台机器传输的包。本文用的版本是4.6，Sniffer Pro软件的获取可在或中输入Sniffer Pro 4.6，查找相应的下载站点来下载。 该版本是不要序列号的。安装非常简单，setup后一路确定即可，第一次运行时需要选择你的网卡。最好在win2000下运行，在win2003下运行网络流量表有问题。三、常用功能介绍1、Dashboard （网络流量表）点 击图1中所指的图标，出现三个表，第一个表显示的是网络的使用率（Utilization），第二个表显示的是网络的每秒钟通过的包数量 （Packets），第三个表显示的是网络的每秒错误率（Errors）。通过这三个表可以直观的观察到网络的使用情况，红色部分显示的是根据网络要求设 置的上限。选择图1中所指的选项将显示如图2所示的更为详细的网络相关数据的曲线图。每个子项的含义无需多言，下面介绍一下测试网络速度中的几个常用单位。在TCP/IP协议中，数据被分成若干个包（Packets）进行传输，包的大小跟操作系统和网络带宽都有关系，一般为64、128、256、512、1024、1460等，包的单位是字节。很多初学者对Kbps、KB、Mbps 等单位不太明白，B 和 b 分别代表 Bytes(字节) 和 bits（比特），1比特就是0或1。1 Byte = 8 bits 。1Mbps (megabits per second兆比特每秒)，亦即 1 x 1024 / 8 = 128KB/sec（字节/秒），我们常用的ADSL下行512K指的是每秒 512K比特(Kb)， 也就是每秒512/8=64K字节（KB）图1 图2 2、Host table（主机列表）如图3所示，点击图3中所指的图标，出现图中显示的界面，选择图中所指的IP选项，界面中出现的是所有在线的本网主机地址及连到外网的外网服务器地址，此时想看看8这台机器的上网情况，只需如图中所示单击该地址出现图4界面。图3 图4中清楚地显示出该机器连接的地址。点击左栏中其它的图标都会弹出该机器连接情况的相关数据的界面。图4 3、Detail（协议列表）点击图5所示的“Detail”图标，图中显示的是整个网络中的协议分布情况，可清楚地看出哪台机器运行了那些协议。注意，此时是在图3的界面上点击的，如果在图4的界面上点击显示的是那台机器的情况。图5 4、Bar（流量列表）点击图6所示的“Bar”图标，图中显示的是整个网络中的机器所用带宽前10名的情况。显示方式是柱状图，图7显示的内容与图6相同，只是显示方式是饼图。图6 图7 5、Matrix （网络连接）点击图8中箭头所指的图标，出现全网的连接示意图，图中绿线表示正在发生的网络连接，蓝线表示过去发生的连接。将鼠标放到线上可以看出连接情况。鼠标右键在弹出的菜单中可选择放大（zoom）此图。图8 四、抓包实例1、抓某台机器的所有数据包如 图9所示，本例要抓08这台机器的所有数据包，如图中选择这台机器。点击所指图标，出现图10界面，等到图10中箭头所指 的望远镜图标变红时，表示已捕捉到数据，点击该图标出现图11界面，选择箭头所指的Decode选项即可看到捕捉到的所有包。图9 图10 图11 2、抓Telnet密码本例从08 这台机器telnet到0，用Sniff Pro抓到用户名和密码。步骤1：设置规则如 图12所示，选择Capture菜单中的Defind Filter，出现图13界面，选择图13中的ADDress项，在station1和2中分别填写两台机器的IP地址，如图14所示选择 Advanced选项，选择选IP/TCP/Telnet ,将 Packet Size设置为 Equal 55， Packet Type 设置为 Normal.。图12 图13 图14 步骤2：抓包按F10键出现图15界面，开始抓包。图15 步骤3：运行telnet命令本例使telnet到一台开有telnet服务的Linux机器上。telnet 0login: testPassword:步骤4：察看结果图16中箭头所指的望远镜图标变红时，表示已捕捉到数据，点击该图标出现图17界面，选择箭头所指的Decode选项即可看到捕捉到的所有包。可以清楚地看出用户名为test密码为123456。图16图17解释：虽 然把密码抓到了，但大家也许对包大小（Packet Size）设为55不理解，网上的数据传送是把数据分成若干个包来传送，根据协议的不同包的大小也不相同，从图18可以看出当客户端telnet到服务端 时一次只传送一个字节的数据，由于协议的头长度是一定的，所以telnet的数据包大小=DLC(14字节)+IP(20字节)+TCP(20字节)+数 据（一个字节）=55字节，这样将Packet Size设为55正好能抓到用户名和密码，否则将抓到许多不相关的包。图183、抓FTP密码本例从08 这台机器ftp到0，用Sniff Pro抓到用户名和密码。步骤1：设置规则如 图12所示，选择Capture菜单中的Defind Filter出现图19界面，选择图19中的ADDress项，在station1和2中分别填写两台机器的IP地址，选择Advanced选项，选择选 IP/TCP/FTP ,将 Packet Size设置为 In Between 63 -71， Packet Type 设置为 Normal。如图20所示，选择Data Pattern项，点击箭头所指的Add Pattern按钮，出现图21界面，按图设置OFFset为2F,方格内填入18，name可任意起。确定后如图22点击Add NOT按钮,再点击Add Pattern按钮增加第二条规则，按图23所示设置好规则，确定后如图24所示。图19注:未能显示的图片请自行输入连接可打开查看 by jerkoh图20img/pub/attachment/2004/7/311356.gif/img图21img/pub/attachment/2004/7/311358.gif/img图22img/pub/attachment/2004/7/311360.gif/img图23img/pub/attachment/2004/7/311362.gif/img图24步骤2：抓包按F10键出现图15界面，开始抓包。步骤3：运行FTP命令本例使FTP到一台开有FTP服务的Linux机器上D:ftp 0Connected to 0.220 test1 FTP server (Version wu-2.6.1(1) Wed Aug 9 05:54:50 EDT 2000) ready.User (0:(none): test331 Password required for test.Password:步骤4：察看结果图16中箭头所指的望远镜图标变红时，表示已捕捉到数据，点击该图标出现图25界面，选择箭头所指的Decode选项即可看到捕捉到的所有包。可以清楚地看出用户名为test密码为123456789。img/pub/attachment/2004/7/311364.jpg/img图25解释：虽 然把密码抓到了，但大家也许设不理解，将图19中Packet Size设置为 63 -71是根据用户名和口令的包大小来设置的，图25可以看出口令的数据包长度为70字节，其中协议头长度为：14+20+20=54，与telnet的头 长度相同。Ftp的数据长度为16，其中关键字PASS占4个字节，空格占1个字节，密码占9个字节，Od 0a(回车 换行)占2个字节，包长度=54+16=70。如果用户名和密码比较长那么Packet Size的值也要相应的增长。Data Pattern中的设置是根据用户名和密码中包的特有规则设定的，为了更好的说明这个问题，请在开着图15的情况下选择Capture菜单中的 Defind Filter，如图20所示，选择Data Pattern项，点击箭头所指的Add Pattern按钮，出现图26界面，选择图中1所指然后点击2所指的Set Data按钮。OFFset、方格内、Name将填上相应的值。同理图27中也是如此。这 些规则的设置都是根据你要抓的包的相应特征来设置的，这些都需要对TCP/IP协议的深入了解，从图28中可以看出网上传输的都是一位一位的比特流，操作 系统将比特流转换为二进制，Sniffer这类的软件又把二进制换算为16进制，然后又为这些数赋予相应的意思，图中的18指的是TCP协议中的标志位是 18。OFFset指的是数据包中某位数据的位置，方格内填的是值。img/pub/attachment/2004/7/311366.gif/img图26img/pub/attachment/2004/7/311368.gif/img图27img/pub/attachment/2004/7/311370.jpg/img图284、抓HTTP密码步骤1：设置规则按照下图29、30进行设置规则，设置方法同上。img/pub/attachment/2004/7/311372.gif/img图29img/pub/attachment/2004/7/311374.gif/img图30步骤2：抓包按F10 键开始抓包。步骤3：访问网站步骤4：察看结果图 16中箭头所 指的望远镜图标变红时，表示已捕捉到数据，点击该图标出现图31界面，选择箭头所指的Decode选项即可看到捕捉到的所有包。在Summary中找到含 有POST关键字的包，可以清楚地看出用户名为qiangkn997，密码为?，这可是我邮箱的真实密码！当然不能告诉你，不过欢迎来信进行交流。img/pub/attachment/2004/7/311376.jpg/img图31五、后记本 文中的例子是网内试验，若捕捉全网机器的有关数据请将图13中的station设置为anyany，作为学习研究可以，可别做坏事！如果要用好Sniff Pro必须有扎实的网络基础知识特别是TCP/IP协议的知识，其实Sniff Pro本身也是学习这些知识的好工具。Sniffer Pro是个博大精深的工具，由于水平有限，本文这是介绍了其中的一小部分，希望能起到抛砖引玉的作用。使用Sniffer Pro监控网络流量作者： zdnet安全频道简介：随着互联网多层次性、多样性的发展，网吧已由过去即时通信、浏览网页、电子邮件等简单的应用，扩展成为运行大量在线游戏、在线视频音频、互动教学、P2P等技术应用。应用特点也呈现出多样性和复杂性，因此，这些 .随着互联网多层次性、多样性的发展，网吧已由过去即时通信、浏览网页、电子邮件等简单的应用，扩展成为运行大量在线游戏、在线视频音频、互动教学、P2P等技术应用。应用特点也呈现出多样性和复杂性，因此，这些应用对我们的网络服务质量要求更为严格和苛刻。 目前，大多数网吧的网络设备不具备高端网络设备的智能性、交互性等扩展性能，当网吧出现掉线、网络卡、遭受内部病毒攻击、流量超限等情况时，很多网络管 理员显的心有于而力不足。毕竟，靠网络管理员的经验和一些简单传统的排查方法：无论从时间上面还是准确性上面都存在很大的误差，同时也影响了工作效率和正 常业务的运行。Sniffer Pro 著名网络协议分析软件。本文利用其强大的流量图文系统Host Table来实时监控网络流量。在监控软件上，我们选择了较为常用的NAI公司的sniffer pro，事实上，很多网吧管理员都有过相关监控网络经验：在网络出现问题、或者探查网络情况时，使用P2P终结者、网络执法官等网络监控软件。这样的软件 有一个很大优点：不要配置端口镜像就可以进行流量查询（其实sniffer pro也可以变通的工作在这样的环境下）。这种看起来很快捷的方法，仍然存在很多弊端：由于其工作原理利用ARP地址表，对地址表进行欺骗，因此可能会衍 生出很多节外生枝的问题，如掉线、网络变慢、ARP广播巨增等。这对于要求正常的网络来说，是不可思议的。在这里，我们将通过软件解决方案来完成以往只有通过更换高级设备才能解决的网络解决方案，这对于很多管理员来说，将是个梦寐以求的时刻。硬件环境（网吧）：100M网络环境下，92台终端数量，主交换采用D-LINK（友讯）DES-3226S二层交换机(支持端口镜像功能)，级联普通傻瓜型交换机。光纤10M接入，华为2620做为接入网关。软件环境： 操作系统Windows2003 Server企业标准版（Sniffer Pro4.6及以上版本均支持Windows2000 Windows-xp Windows2003）、NAI协议分析软件-Sniffer Portable 4.75（本文选用网络上较容易下载到的版本做为测试）环境要求：1、如果需要监控全网流量，安装有Sniffer Portable 4.7.5(以下简称Sniffer Pro)的终端计算机，网卡接入端需要位于主交换镜像端口位置。（监控所有流经此网卡的数据）2、Snffier pro 475仅支持10M、100M、10/100M网卡，对于千M网卡，请安装SP5补丁，或4.8及更高的版本网络拓扑：图监控目的：通 过Sniffer Pro实时监控，及时发现网络环境中的故障（例如病毒、攻击、流量超限等非正常行为）。对于很多企业、网吧网络环境中，网关（路由、代理等）自身不具备流 量监控、查询功能，本文将是一个很好的解决方案。Sniffer Pro强大的实用功能还包括：网内任意终端流量实时查询、网内终端与终端之间流量实时查询、终端流量TOP排行、异常告警等。同时，我们将数据包捕获后， 通过Sniffer Pro的专家分析系统帮助我们更进一步分析数据包，以助更好的分析、解决网络异常问题。步骤一：配置交换机端口镜像（Mirroring Configurations）以DES-3226S二层交换机为例，我们来通过WEB方式配置端口镜像（也可用CLI命令行模式配置）。如果您的设备不支持WEB方式配置，请参考相关用户手册。1.DES-3226S默认登陆IP为：0 因此，需要您配置本机IP为相同网段才可通过浏览器访问WEB界面。如图（1）所示：图12.使用鼠标点击上方红色字体：“Login”,如果您是第一次配置，输入默认用户名称、密码:admin 自动登陆管理主界面。3.如图（2）所示，主界面上方以图形方式模拟交换机界面，其中绿色灯亮起表示此端口正在使用。下方文字列出交换机的一些基本信息。图24.如图（3）：鼠标点击左下方菜单中的advanced setup-Mirroring Configurations （高级配置镜像配置）图3 5.将Mirror Status 选择为Enable（默认为关闭状态，开启），本例中将Port-1端口设置为监听端口:Target Port=Port-1，其余端口选择为Both，既：监听双向数据（Rx接收 Tx发送），选择完毕后，点击Apply应用设置。此时所有的端口数据都将复制一份到Port-1。（如图4）图4接下来，我们就可以在Port-1端口，接入计算机并安装配置Sniffer Pro。步骤二：Sniffer Pro 安装、启动、配置Sniffer Pro 安装过程与其它应用软件没有什么太大的区别，在安装过程中需要注意的是：Sniffer Pro 安装大约占用70M左右的硬盘空间。安装完毕Sniffer Pro后，会自动在网卡上加载Sniffer Pro 特殊的驱动程序（如图5）。安装的最后将提示填入相关信息及序列号，正确填写完毕，安装程序需要重新启动计算机。对于英文不好的管理员可以下载网上的汉化补丁。图5我们来启动Sniffer Pro。第一次启动Sniffer Pro时,需要选择程序从那一个网络适配器接收数据，我们指定位于端口镜像所在位置的网卡。具体位于：File-Select Settings-New名称自定义、选择所在网卡下拉菜单，点击确定即可。(如图6)图6这样我们就进入了Sniffer Pro的主界面。步骤三：新手上路，查询网关流量下面以图文的方式介绍，如何查询网关（路由、代理：219.*.238.65）流量，这也是最为常用、重要的查询之一。1 扫描IP-MAC对应关系。这样做是为了在查询流量时，方便判断具体流量终端的位置，MAC地址不如IP地址方便。 选择菜单栏中Tools-Address Book 点击左边的放大镜（autodiscovery 扫描）在弹出的窗口中输入您所要扫描的IP地址段，本例输入：219.*.238.64-219.*.238.159点击OK，系统会自动扫描IP- MAC对应关系。扫描完毕后，点击DataBase-Save Address Book 系统会自动保存对应关系，以备以后使用。(如图7)图72.查看网关流量。点 击Monitor-Host Table，选择Host table界面左下角的MAC-IP-IPX中的MAC。（为什么选择MAC？在网络中，所有终端的对外数据，例如使用QQ、浏览网站、上传、下载等行 为，都是各终端与网关在数据链路层中进行的）(如图8)图83.找到网关的IP地址-选择single station-bar (本例中网关IP为219.*.238.65)图9如图(9)所示： 219.*.238.65（网关）流量TOP-10 此图为实时流量图。在此之前如果我们没有做扫描IP（Address Book）的工作，右边将会以网卡物理地址-MAC地址的方式显示，现在转换为IP地址形式（或计算机名），现在很容易定位终端所在位置。流量以3D柱形 图的方式动态显示，其中最左边绿色柱形图与网关流量最大，其它依次减小。本图中219.*.238.93与网关流量最大，且与其它终端流量差距悬殊，如果 这个时候网络出现问题，可以重点检查此IP是否有大流量相关的操作。如果要查看219.*.238.65（网关）与内部所有流量通信图，我们可以点击左边菜单中，排列第一位的-MAP按钮如图(10)所示,网关与内网间的所有流量都在这里动态的显示。图10需要注意的是：绿色线条状态为：正在通讯中暗蓝色线条状态为：通信中断线条的粗细与流量的大小成正比如果将鼠标移动至线条处,程序显示出流量双方位置、通讯流量的大小（包括接收、发送）、并自动计算流量占当前网络的百分比。其它主要功能：PIE：饼图的方式显示TOP 10的流量占用百分比。Detail：将Protocol(协议类型)、From Host（原主机）、in/out packets/bytes(接收、发送字节数、包数)等字段信息以二维表格的方式显示。步骤三：新手上路，查询网关流量下面以图文的方式介绍，如何查询网关（路由、代理：219.*.238.65）流量，这也是最为常用、重要的查询之一。1 扫描IP-MAC对应关系。这样做是为了在查询流量时，方便判断具体流量终端的位置，MAC地址不如IP地址方便。 选择菜单栏中Tools-Address Book 点击左边的放大镜（autodiscovery 扫描）在弹出的窗口中输入您所要扫描的IP地址段，本例输入：219.*.238.64-219.*.238.159点击OK，系统会自动扫描IP- MAC对应关系。扫描完毕后，点击DataBase-Save Address Book 系统会自动保存对应关系，以备以后使用。(如图7)图72.查看网关流量。点 击Monitor-Host Table，选择Host table界面左下角的MAC-IP-IPX中的MAC。（为什么选择MAC？在网络中，所有终端的对外数据，例如使用QQ、浏览网站、上传、下载等行 为，都是各终端与网关在数据链路层中进行的）(如图8)图83.找到网关的IP地址-选择single station-bar (本例中网关IP为219.*.238.65)图9如图(9)所示： 219.*.238.65（网关）流量TOP-10 此图为实时流量图。在此之前如果我们没有做扫描IP（Address Book）的工作，右边将会以网卡物理地址-MAC地址的方式显示，现在转换为IP地址形式（或计算机名），现在很容易定位终端所在位置。流量以3D柱形 图的方式动态显示，其中最左边绿色柱形图与网关流量最大，其它依次减小。本图中219.*.238.93与网关流量最大，且与其它终端流量差距悬殊，如果 这个时候网络出现问题，可以重点检查此IP是否有大流量相关的操作。如果要查看219.*.238.65（网关）与内部所有流量通信图，我们可以点击左边菜单中，排列第一位的-MAP按钮如图(10)所示,网关与内网间的所有流量都在这里动态的显示。图10需要注意的是：绿色线条状态为：正在通讯中暗蓝色线条状态为：通信中断线条的粗细与流量的大小成正比如果将鼠标移动至线条处,程序显示出流量双方位置、通讯流量的大小（包括接收、发送）、并自动计算流量占当前网络的百分比。其它主要功能：PIE：饼图的方式显示TOP 10的流量占用百分比。Detail：将Protocol(协议类型)、From Host（原主机）、in/out packets/bytes(接收、发送字节数、包数)等字段信息以二维表格的方式显示。1. Sniffer Pro计算机的连接 要使Sniffer能够正常捕获到网络中的数据，安装Sniffer的连接位置非常重要，必须将它安装在网络中合适的位置，才能捕获到内、外部网络之 间数据的传输。如果随意安装在网络中的任何一个地址段，Sniffer就不能正确抓取数据，而且有可能丢失重要的通信内容。一般来说，Sniffer应该 安装在内部网络与外部网络通信的中间位置，如代理服务器上，也可以安装在笔记本电脑上。当哪个网段出现问题时，直接带着该笔记本电脑连接到交换机或者路由 器上，就可以检测到网络故障，非常方便。 (1) 监控Internet连接共享 如果网络中使用代理服务器，局域网借助代理服务器实现Internet连接共享，并且交换机为傻瓜交换机时，可以直接将Sniffer Pro安装在代理服务器上，这样，Sniffer Pro就可以非常方便地捕获局域网和Internet之间传输的数据。 如果核心交换机为智能交换机，那么最好的方式是采用端口映射的方式，将局域网出口(连接代理服务器或者路由器的端口)映射为另外一个端口，并将 Sniffer Pro计算机连接至该映射端口。例如，在交换机上，与外部网络连接的端口设为A，连接笔记本电脑的端口设置为B，将笔记本电脑的网卡与B端口连接，然后将 A和B做端口映射，使得A端口传输的数据可以从B端口监测到，这样，Sniffer就可以监测整个局域网中的数据了。 (2) 监控某个VLAN或者端口 若欲监控某个VLAN中的通信时，应将Sniffer Pro计算机添加至该VLAN，使其成为该VLAN中的一员，从而监控该VLAN中的所有通信。 若欲监控某个或者几个端口的通信时，可以采用端口映射的方式，将被监控的端口(或若干端口)映射为Sniffer Pro计算机所连接的端口。2. 设置监控网卡如果计算机上安装了多个网卡，在首次运行Sniffer Pro时，需要选择要监控的网卡，应该选择代理网卡或者连接交换机端口的网卡。当下次运行时，Sniffer Pro就会自动选择同样的代理。Sniffer安装完成以后，从“开始”菜单运行，显示“Settings”对话框，在“Select settings for monitoring”列表框中单击选择要监控的网卡，单击“确定”按钮，Sniffer就会监控该网卡中传输的数据，如图1所示。如果以后要改变监控设 置，可以选择“File”菜单中的“Select Settings”选项，同样会出现该对话框，用来改变要监控的网卡。图1 选择网卡如果在“Settings”对话框中没有显示要监控的网卡，可以将其它网卡添加到该列表框中。单击“New”按钮，显示如图2所示“New Settings”对话框，可以设置新添加的网卡。图2 添加新网卡Description：为该网卡设置一个名称，可以是关于该网卡的描述。Network：该下拉列表中列出了本地计算机上的所有网卡，可以选择要使用的网卡。Netpod Configuration：在这里可以设置高速以太网Pod，为了使以太网可以以全双工模式工作，在“Netpod”下拉列表中选择“Full Duplex Pod(全双工Pod)”选项，在“Netpod IP”框中输入Sniffer Pro系统的网络适配器的IP地址再加1。例如，Sniffer Pro IP地址为，Netpod IP地址就必须设置为。全双工Pod要求有静态IP地址，所以应该禁用DHCP。Copy settings：在该下拉列表中显示了本地计算机中以前定义过的网卡设置，可以选择一种配置，将其复制到该新添加的网卡中。设置完成以后单击“OK”按钮，添加到“Settings”对话框中，然后就可以选择监控该网卡了。利用Sniffer Pro彻底解决IP被盗用问题(图)2008年07月08日 星期二 下午 01:01在公司中，经常有一些事情令网管很头痛，IP地址被非法用户盗用更是头痛。为了找到是哪台机器盗用了IP地址，一般可以采用如下方法： 1. 首先登记所有机器的网卡物理地址，即网卡的MAC地址。 2. 以后如果发现有IP地址被盗用，先使用Ping命令Ping相应的IP地址。 3. 然后用Arp -a命令查看当前的Arp解析表，从中获得对方网卡的MAC地址。 4. 检查网卡MAC地址列表，确定机器位置。 但随着网络蠕虫病毒的流行和网络攻击的增多，许多计算机上都安装了防火墙软件，从而使得单纯的Ping命令失效。如果盗用IP的这台机器安装了防火墙 软件并且把所有端口都关闭的话，这台机器就仿佛从网络上消失了一样，你无法用正常的方法去访问到它，从而也就无法知道它的具体位置。 解决问题的思路： 用户使用网络，访问网络上的资源，就势必会在网络上传输数据。如果我们能够监听到这些数据并对它进行分析的话，就有可能找出特定用户的位置。 解决方案： 经过对各种方法的测试，笔者发现有一种方法可以在机器安装了防火墙的情况下依然可以探测到它的存在并且查到它的网卡MAC地址，从而确定它的物理位置。 首先安装Sniffer Pro，它是一个网络监测软件，可以监测到网络上面流动的数据，安装好后运行该软件，单击工具条最左边的“开始”按钮，启动探测功能。 此时屏幕上会出现一个窗口，显示当前发现的机器列表和相应的参数，其中有一项“DLC Station”指的就是机器网卡的MAC地址，如图所示： Sniffer Pro的Expert对话框找到被盗用的IP地址所对应的网卡MAC地址，就可以顺藤摸瓜查到这台机器究竟是哪台了。1. 蠕虫病毒流量分析1.1. 环境简介这是一个对某网络系统中广域网部分的日常流量分析，我们在其广域网链路上采用Sniffer进行流量捕获，并把产生流量最多的协议HTTP协议的网络流量过滤出来加以分析，分析过程及结果如下。1.2. 找出产生网络流量最大的主机我们分析的第一步，找出产生网络流量最大的主机，产生网络流量越大，对网络造成的影响越重，我们一般进行流量分析时，首先关注的是产生网络流量最大的那些计算机。我们利用Sniffer的Host Table功能，将所有计算机按照发出数据包的包数多少进行排序，结果如下图。从图6中我们可以清楚的看到网络中计算机发出数据包数量多少的统计列表，我们下面要做的是对列表中发出数据包数量多的计算机产生的流量进行分析。通过Host Table，我们可以分析每台计算机的流量情况，有些异常的网络流量我们可以直接通过Host Table来发现，如排在发包数量前列的IP地址为的主机，其从网络收到的数据包数是0，但其向网络发出的数据包是445个，这对HTTP协议来说显然是不正常的，HTTP协议是基于TCP的协议，是有连接的，不可能是光发不收的，一般来说光发包不收包是种类似于广播的应用，UDP这种非连接的协议有可能。同样，我们可以发现，如下IP地址存在同样的问题：IP地址发包数量收包数量55300050243305222101918902147001294021091321090这样的主机还有很多。1.1. 分析这些主机的网络流量下面是我们对部分主机的流量分析。首先我们对IP地址为的主机产生的网络流量进行过滤，然后查看其网络流量的流向，下面是用Sniffer的Matrix看到的其发包目标。我们可以看到，其发包的目标地址非常多，非常分散，且对每个目标地址只发两个数据包。通过Sniffer的解码（Decode）功能，我们来了解这台主机向外发出的数据包的内容，如图。从Sniffer的解码中我们可以看出，该主机发出的所有的数据包都是HTTP的SYN包，SYN包是主机要发起TCP连接时发出的数据包，也就是IP地址为的主机试图同网络中非常多的主机建立HTTP连接，但没有得到任何回应，这些目标主机IP地址非常广泛（可以认为是随机产生的），且根本不是HTTP服务器，而且发出这些包的时间间隔非常短，为毫秒级，应该不是人为发出的。通过以上的分析，我们能够非常肯定的断定，IP地址为的主机产生的网络流量肯定是异常网络流量。该主机发出的网络流量是某种软件自动发出的，很可能是感染了某种采用HTTP协议传播的病毒，不断在网络中寻找HTTP服务器，从而进行传播。我们在来分析一下IP地址为02的主机产生的网络流量，就能清楚的看到感染病毒的计算机的网络行为轨迹。从图11和图12中我们可以清楚的看到，IP地址为02的主机先向网络中不断发出HTTP请求，寻找HTTP服务器，在发现HTTP服务器并与之建立连接后，紧接着就试图利用IIS的漏洞将病毒传播到目标主机。正式由于大量感染病毒的计算机不断向网络中发送数据包，而且是小数据包，使网络的效率非常低，大大影响网络的性能，并导致业务应用的无法正常运行，给用户带来很大损失。采用协议分析的方法，能非常直观且快速的发现这些计算机，帮助网络管理人员快速确定并解决问题。本文出自 51CTO.COM技术博客ARP预防之sniffer排查ARP查实例2011-04-26 13:47这段时间以来，我们都遭受着arp 欺骗之苦，根据个人在实际中的经验，特此把本人排除此类网络故障的一些心得体会，供大家互相学习，有不对的地方请大家指正。 网络故障现象：网速变得很慢，部分机能正常上网，但也会偶尔出现连续几个掉包现象，大部分机器不能正常上网，出现了严重的连续的掉包现象，过一段时间又能自动连上，ping网关，time 在波动比较大。 故障排除过程：运行Arp a 命令，发现网关指向不正确。（注本网络网关是3d0a），初步判断是31b6 机器在进行arp 欺骗，如下图把分析故障主机连在镜像口上，运行sniffer pro 4.7。打开dashboard 面版，发现broadcasts/s，因为本人抓的是其中一个网段，此网段也不过是多台主机，每秒钟26个广播包很不正常， 但也不应该能引起广播风暴， 应该是arp 欺骗包正常的情况broadcasts/s 维持在比较低的水平, 如下图。正常的情况broadcasts/s 维持在比较低的水平，如果发现某个时间段以来broadcasts/s居高不下，就应该引起足够的中重视. 切换到Hosttable 面版，发现其中一台主机的广播量远远大于其他主机（正常情况下维持比较低的广播量，具体要看监控时间长短但分布比较均匀，不会出现某一台主机的广播量远远 大于其他正常主机的现象）， 因为没有截取31b6 机器当时hosttable 的图，用这张图片做示例，如下图：切换到Protocol distribudion ,发现Arp 协议使用率占很大比例（一般在正常网络运行， ip 占99以上），如下图：对广播量最大的主机31b6 进行抓包解码分析,发现31b6 主机不断欺骗网关，宣称它是/24 网段的主机（够狠毒，让其他的主机不能和网关正常通讯），如下图：附图说明：31b6 对网关宣称它是 主机31B6 对网关3d0a 宣称它是5 的主机，如下图：到此，造成这次的网络故障原因就已经很清楚了，是31b6 机器在进行arp 欺骗活动，所以造成其他主机不能正常上网，很遗憾因为抓包时间不够长，所以不能看到31b6 欺骗其他主机，宣称它是网关的数据包，因此，对31b6 进行隔离,杀毒，发现了是一个可疑进程npf，用超级魔法兔子清除此进程，用反间谍专家清除木马文件，用kav6 杀毒。图解用Sniffer pro实现ARP攻击2008年12月13日 星期六 19:05ARP协议：ARP协议是“Address Resolution Protocol”（地址解析协议） 的缩写。在局域网中，网络中实际传输的是“帧”，帧里面是有目标主机的MAC地址的。在以太网中，一个主机和另一个主机进行直接通信，必须要知道目标主机 的MAC地址。但这个目标MAC地址是如何获得的呢？它就是通过地址解析协议获得的。所谓“地址解析”就是主机在发送帧前将目标IP地址转换成目标MAC 地址的过程。ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的MAC地址，以保证通信的顺利进行。 原理：正因为基于ARP协议的这一工作