Sniffer软件的功能和使用方法.doc

6.2.3 Sniffer软件的功能和使用方法一、Sniffer基本概念Sniffer，中文可以翻译为嗅探器，是一种基于被动侦听原理的网络分析方式。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。Sniffer技术常常被黑客们用来截获用户的口令，据说某个骨干网络的路由器网段曾经被黑客攻入，并嗅探到大量的用户口令。但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。二、Sniffer功能Sniffer Pro主要包含4种功能组件（1）监视：实时解码并显示网络通信流中的数据。（2）捕获：抓取网络中传输的数据包并保存在缓冲区或指定的文件中，供以后使用。（3）分析：利用专家系统分析网络通信中潜在的问题，给出故障症状和诊断报告。（4）显示：对捕获的数据包进行解码并以统计表或各种图形方式显示在桌面上。网络监控是Sniffer的主要功能，其他功能都是为监控功能服务的，网络监控可以提供下列信息。（1）负载统计数据，包括一段时间内传输的帧数、字节数、网络利用率、广播和组播分组计数等。（2）出错统计数据，包换CRC错误、冲突碎片、超长帧、对准出错、冲突计数等。（3）按照不同的底层协议进行统计的数据。（4）应用程序的响应时间和有关统计数据。（5）单个工作站或会话组通信量的统计数据。（6）不同大小数据包的统计数据。三、 Sniffer Pro 网络监控的几种模式 1.1 moniter host table 图中不同颜色的区块代表了同一网段内与你的主机相连接的通信量的多少。本次以 IP 地址为测量基准。 1.2 monitor matrix 监听矩阵显示 该兰色圆中的各点连线表明了当前处于活跃状态的点对点连接，也可通过将鼠标放在IP地址上点右键showselectnodes查看特定的点对多点的网络连接，如下图，表示出与192.168.0.250相连接的IP地址1.3、monitor protocol distribution查看协议分布状态，可以看到不同颜色的区块代表不同的网络协议1.4、monitor dashboard该表显示各项网络性能指标包括利用率、传输速度、错误率Network：显示网络利用率等统计信息。Detail Errors：显示出错统计信息。Size Distribution：显示各种不同大小分组数的统计信息。1.5 Dashbord，它可以监控网络的利用率，流量及错误报文等内容。1.6、monitor-size distribution可以查看网络上传输包的大小比例分配。1.7、monitor application response time该表显示了局域网内的通信其响应速度列表，并将本地网段的机器名以NETBIOS名的形式解析出来。三、包的抓取与分析1、过滤器的定制definefilter.Capture-definefilter进入该界面后address指定以IP地址为类型，然后在下面的station1和station2中分别指定源和目的地地址。并将该设置指定为某settingprofile.这个图中显示的是sniffer设置过滤条件的对话框。过滤条件可以用逻辑关系，比如像AND、OR、NOT等组合来设置。在这里可以设置的过滤条件有IP地址或者物理地址（一般我们说的都是在Internet之中，使用的是TCP/IP协议，所以选择Ip地址是比较合适的）、数据包、协议等。好，那就一下下来设置看看了。例：第一、地址类型，选择IP了。选择模式,如果选包括，其意义就是指sniffer在捕获的时候就会只对你在Station1中和Station2中所列的节点包进行捕获。选择除外则恰恰相反。也就是说它在捕获的时候会过滤掉Station1和Station2中所列及的地址数据包的。第二、在Station1和Station2以及DIR的设置中，你可以指定地址对，而我要对它截获的是与他连接的所有主机，也就是说这个Any代表的是任何主机的意思。至于Dir，则是要选择你要捕获的目标主机与其连接主机间的信息流向，这里选的是互流，即为要截获的是与之所连接的所有主机与它的信息数据.2、capture select filter start在上图中的1部分，显示的是所监控的202.103.190.4与202.103.137.1主机间的应用层的协议以及对监控之后所得到的数据包的总结以及有效数据包的长度和整个数据包的长度、确认序列号的信息。上图中是对OICQ的监控，所以它显示的端口是8000和4000。而第2部分是对应1中的灰色区域里的数据包内容从协议的上进行的分析。这个图中所显示的是1中灰色部分的IP和TCP层的解释，从这里可以看出这个捕获到的数据包的组成以及数据包使用的端口、状态、时间等许多信息，用鼠标拉动滚动条可以看到更详细的对以太桢和应用层的解释。第3部分是这次捕获的数据包的内容，能看到的是十六进制和ASCII两中显示形式。左边是用十六进制表示的包中每一个数据的位置，中间的部分是用十六进制表示的被截获的数据包中的内容，右边看到的则是ASCII形式。四、软件中快捷键的位置五、报文捕获解析5.1捕获面板如图显示的是处于开始状态的面板：5.2捕获过程报文统计可查看捕获报文的数量和缓冲区的利用率5.3捕获报文查看5.4专家分析系统专家分析系统可对网络上的流量进行一些分析。下图显示出网络中wins查询失败的次数及TCP重传的次数统计等内容，可方便了解网络中高层协议出现故障的可能点。对于某项统计分析可以通过用鼠标双击此条记录查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的作用。5.5解码分析六、基本捕获条件基本的捕获条件有两种：1、链路层捕获，按源MAC和目的MAC地址进行捕获，输入方式为十六进制连续输入，如：00E0FC123456。2、IP层捕获，按源IP和目的IP进行捕获。输入方式为点间隔方式，如：10.107.1.1。如果选择IP层捕获条件则ARP等报文将被过滤掉。高级捕获条件在“Advance”页面下，你可以编辑你的协议捕获条件，如图：高级捕获条件编辑图在协议选择树中你可以选择你需要捕获的协议条件，如果什么都不选，则表示忽略该条件，捕获所有协议。在捕获帧长度条件下，你可以捕获，等于、小于、大于某个值的报文。在错误帧是否捕获栏，你可以选择当网络上有如下错误时是否捕获。在保存过滤规则条件按钮“Profiles”，你可以将你当前设置的过滤规则，进行保存，在捕获主面板中，你可以选择你保存的捕获条件。任意捕获条件在Data Pattern下，你可以编辑任意捕获条件，如下图：用这种方法可以实现复杂的报文过滤，但很多时候是得不偿失，有时截获的报文本就不多，还不如自己看看来得快七、报文放送编辑报文发送Sniffer软件报文发送功能就比较弱，如下是发送的主面板图：发送前，你需要先编辑报文发送的内容。点击发送报文编辑按钮。可得到如下的报文编辑窗口：首先要指定数据帧发送的长度，然后从链路层开始，一个一个将报文填充完成，如果是NetXray支持可以解析的协议，从“Decode”页面中，可看见解析后的直观表示。捕获编辑报文发送将捕获到的报文直接转换成发送报文，然后修修改改可也。如下是一个捕获报文后的报文查看窗口：选中某个捕获的报文，用鼠标右键激活菜单，选择“Send Current Packet”，这时