Sniffer抓包分数据包分析手册
前言
现在大家在一线解决故障过程中,经常会利用sniffer软件来分析网络中的数据包,从而为故障的解决及相关的部门(如研发)提供更有说服力的数据。应该来说,sniffer的包文对于解决问题确实起到了很大的作用,但很多时候有些人所提供的sniffer数据包什么数据都抓,很混,要花很大的力气才能对看明白该数据包,另外,很多时候没有给出相应的抓包的网络拓扑图,数据包中的源端口、目的端口、IP地址等方面的说明,这样不利于相关人员的分析和定位。为此,我做个这方面的case,供大家参考,望大家能够提供更有价值的数据给相关的人员。
认证客户端与NAS 设备(交换机)报文交互
一、捕获数据包拓扑图:
1、 捕获认证客户端电脑(192.168.0.241/24)与S2126G 交换机交互的报文;
2、 捕获S2126G 交换机与SAMII 服务器(192.168.0.232)交互的报文;
三、所捕获得到的sniffer 报文的文件命名:请尽可能采用一目了然的文件名,即从文件名即 可以大概知道该sniffer 的报文的内容;同时,对于每个sniffer 文件,请用一个readme.txt 简短地说明,这样便于相关的人员能够更好地知道sniffer 报文的内容; 四、交换机的配置: show run
Building configuration... Current configuration : 633 bytes version 1.0 hostname Switch
radius-server host 192.168.0.232 aaa authentication dot1x
aaa accounting server 192.168.0.232
aaa accounting
enable secret level 1 5 %2,1u_;C34-8U0
enable secret level 15 5 %2-aeh`@34'dfimL4t{bcknAQ7zyglow
interface fastEthernet 0/16
dot1x port-control auto
interface vlan 1
no shutdown
ip address 192.168.0.249 255.255.255.0
radius-server key start
ip default-gateway 192.168.0.254
五、开始捕获认证客户端电脑与S2126G交换机交互报文时,sniffer程序的设置准备:由于我们只关心认证客户端电脑与S2126G交换机之间的报文,因此我们需要将其他电脑或交换机所发的广播等报文过过滤掉,而交换机与认证客户端之间报文的交互,都是通过二层的MAC地址来进行的,因此我们要设置sniffer程序的捕获条件,即定义“定义捕获数据过滤板”,设置过程如下:
在主菜单,选择Capture(捕获),选中Define filter(定义过滤器)。在Define Filter (定义过滤器) 中的Address(地址)的Address(地址类型)选择Hardware;Mode(模式)选择Include(包含);在Station1(位置1) 输入认证客户端电脑的网卡MAC地址:
0040-050c-0ac4,Station 2(位置2) 输入交换机的MAC地址00d0-f8ef-99dc,选择捕获双向数据流;然后有在Station1 (位置1)输入认证客户端电脑的网卡MAC地址:0040-050c-0ac4,在Station 2(位置2)输入组播地址:0180-C200-0003(注:此组播地址为我们客户端私有组播地址),选择捕捉双向数据流。然后选择Capture(选择过滤器)中的Select Filter 中的Default,具体的操作如图所示:
六、单击sniffer软件左上角的“开始”按键,开始捕获数据:
七、运行客户端软件,开始认证;
八、停止捕获,则选择“捕获-?停止并显示”:
九、保存捕获所得到的数据包文件,SNIFFER主菜单FILE选项的选择SAVE AS,选择一个保存位置,输入保存的文件名称,保存文件,此处,所采用的文件名为:pc_nas(注:在取文件名
时,请尽可能采用一目了然的文件名,这样便于分析)
1、首先分析客户端软件发起认证时的802.1X EAPOL-START数据包
报文说明:
A、 一般来说,由客户端发起一个带有组播地址为0180-C200-0003的EAPOL-START 数据帧。
B、 在数据包中,整个EAPOL数据包封装在普通802.3以太网帧中。首先是一个普通以太网相关的源MAC地址和目的MAC地址,其中目的MAC地址是802.1X协议申请了一个组播地址0180-C200-0003。后面是802.1X协议包头内容:(1)802.1X协议版本:0000 0001;(2)802.1X 报文类型:0000 0001 表示是一个EAPOL-START 报文;(3)802.1X报文长度为0,表示是PACKET BODY FIELD 没有实际内容,全部采用零来填充。(4)在802.1X报文中,版本字段长度是一个字节,指明现今EAPOL的版本号,一般来说填充的是:0000 00001。(4)包类型字段(Packet Type):其中长度为一个字节,表示的正在传输包的类型,主要有以下几种数据类型:
1、EAP-PACKET:0000 0000 表示的是一个EAP数据包。
2、EAPOL-START:0000 0001表示的是一个EAPOL-START帧。
3、EAPOL-LOGOFF:0000 0010表示的是一个EAPOL-LOGFF 帧。
4、EAPOL-KEY:0000 0010 表示的一个EAPOL-KEY 帧。
2、NAS设备发送一个对EAPOL-START响应EAP请求数据帧(请求相关信息)
说明:1)802.1X Version =1 表示当前的802.1X协议版本是1。
2)802.1X Packet Type = 0 表示的是802.1X, PACKET DATA的内容是:一个EAP 数据包。
3)EAP:Code=1 表示是一个请求数据包。
4)EAP Identifier=1 EAP标识是1。
5)EAP Data 后面跟随的是数据内容。
3、客户端Suppliant发送对前一个EAP请求数据帧进行响应,采用EAP数据帧的方式发送客
户端的请求信息(用户名)。
说明:1、802.1X Packet Type =0 表示一个EAP数据包
2、EAP:Code= 2 表示一个EAP响应数据包
3、EAP:Message = “hhh ” 表示请求的用户名是hhh。
4、NAS发起一个对客户端的EAP-MD5挑战信息数据包。
解释:其中在EAP DATA 里面:
1)EAP Type = 4 表示的是MD5_challenge type ,表示请求相关的MD5挑战认证的相
关信息。
5、客户端对MD5_challenge挑战信息进行响应,发送一个响应数据包。
6、NAS发送一个成功的消息给认证客户端,并且把相关NAS数据逻辑端口给打开。
说明:EAP Code = 3 表示成功认证的数据包。
7、断开客户端的连接时,客户端发送一个EAPOL-LOGOFF报文给NAS
8、NAS发送一个失败响应数据包对客户端发送一个EAPOL-LOGOFF报文响应。
说明:EAP Code=4 表示失败认证的消息。
NAS到SAMII报文交互
步骤一:定义Sniffer捕获过滤表
在Sniffer的菜单中选择捕获项(Capture)中的定义过滤表(define fliter),如图:
在地址卡(Address)中进行定义,具体规则如下:
在地址类型(address)项中选择:IP
如图所示:
在模式(Mode)中选择:包含(Include) 如图所示
在工作站(Station)选择:Station1设置为NAS的IP地址,Statio2设置为Radius服务器IP地址
如图所示:
如图所示:
步骤二:捕获端口的选择:
对NAS的上联端口进行双向的数据流进行捕获(如图所示),上连端口为连接上层交换机的端口,此口为非受控口,一般选择交换机的第一个端口或最后一个端口。将此口镜像到交换机的其他端口上,然后利用装有Sniffer软件的PC进行数据捕获。
步骤三:典型的交换机与SAM服务器认证交互的数据包分析:
交换机与SAM服务器进行认证交互分为以下四个阶段:
如图所示,将有四种类型的数据包:
数据包如图:
该数据包由以下特征:
1.在IP的内容中,源地址(source address)为交换机(NAS) 的IP地址,目的地址(destination address)为SAM服务器的IP地址。
在UDP的内容中,源端口(source port)为1812,目的端口(destination port)为1812。 在Radius的内容中,code的值标识为1,含义为接入请求。
在Radius的内容中,Identifier的值为1,含义为第一次接入请求。
具备以上特征的数据包认定为交换机(NAS)向SAM服务器发起的接入请求包(RADIUS Access-request)。
二.SAM服务器向交换机(NAS)发送的接入询问数据包(RADIUS access-challenge)
数据包如图:
课程设计II报告 (2011 / 2012 学年第一学期) 题目1:共享网络嗅探工具(如Sniffer Pro)的功能使用和结构分析 题目2:IP地址欺骗扫描工具Hping2的使用 专业 学生姓名 班级学号 指导教师 指导单位 日期年月日
指导教师成绩评定表 学生姓名刘铭菲班级学号08001019 专业信息安全 评分内容评分标准优秀良好中等差 平时成绩认真对待课程设计,遵守实验室规定,上机不迟到早退,不做和设计无关的事 设计成果设计的科学、合理性 功能丰富、符合题目要求界面友好、外观漂亮、大方程序功能执行的正确性 程序算法执行的效能 设计报告设计报告正确合理、反映系统设计流程文档内容详实程度 文档格式规范、排版美观 验收答辩 简练、准确阐述设计内容,能准确有条理回答各 种问题,系统演示顺利。 评分等级 指导教师 简短评语 指导教师签名日期 备注评分等级有五种:优秀、良好、中等、及格、不及格
实验一Sniffer Pro的使用 一.课题内容和要求 1) 熟练掌握Sniffer Pro对数据包捕获的使用方法。 2) 掌握利用Sniffer Pro进行数据包结构分析、进而理解协议对数据的封装。 重点:1) Sniffer Pro对数据包捕获的使用方法。 2) 利用Sniffer Pro进行数据包结构分析。 难点:Sniffer Pro进行数据包结构分析。 【实验环境】 Windows XP、2003 Server等系统,Sniffer Pro软件。 二、设计思路分析 打开snifeer 软件,出现下图,这个界面是用来选择要抓包得网卡,选择好了之后点击OK 常用功能介绍 1、Dashboard (网络流量表) 点击图1中①所指的图标,出现三个表,第一个表显示的是网络的使用率,第二个表显示的是网络的每秒钟通过的包数量,第三个表显示的是网络的每秒错误率。通过这三个表可以直观的观察到网络的使用情况,红色部分显示的是根据网络要求设置的上限。
用Sniffer抓包分析以太网帧-抓包分析ICMP错误响应 2007-08-22 10:02 用sniffer抓icmp包来分析。 1。ping 192.168.1.1 -l 0 ping一个ip,指定携带的数据长度为0 抓包分析如图: 从图上的1处我们可以看到这个数据总大小是:60byte 从2处看到ip数据总长度:28byte ip数据为什么是28byte? 因为ip头部是20个字节(4处标记的),而icmp头部是8个字节,因为我们的ping是指定数据长度为0的,所以icmp里不带额外数据,即: 28=20+8 而我们知道以太网类型帧头部是6个字节源地址+6个字节目标地址+2个字节类型=14字节 以太网帧头部+ip数据总长度=14+28=42 注意3处标记的,填充了18个字节。 42+18=60 刚好等于总长度,其实这里我们需要注意到这里捕捉到帧不含4个字节的尾部校验,如果加
上4字节尾部校验,正好等于64! 64恰好是以太类型帧最小大小。 在图中我们还可以看到这个帧没有分割,flags=0x,因为不需要分割。第15个字节TOS的含义如下: 15 00 // TOS ( type of service, //bit 0 = 0, CE bit - no congestion; //bit1 = 0, ECT bit - transport protocol will ignore the CE bit; //bit 2 =0, normal reliability; //bit 3 = 0, normal throughtput; //bit 4 = 0, normal delay; //bit 5 ~ bit 7 = 000, routine. 再分析一个 ping 192.168.1.1 -l 64 数据大小106byte 106-14(以太类型帧头部)=92 刚好等于ip部分的显示大小 92-20(ip)-8(icmp头)=64 刚好等于我们指定的64字节ping 包
Sniffer抓包分数据包分析手册 前言 现在大家在一线解决故障过程中,经常会利用sniffer软件来分析网络中的数据包,从而为故障的解决及相关的部门(如研发)提供更有说服力的数据。应该来说,sniffer的包文对于解决问题确实起到了很大的作用,但很多时候有些人所提供的sniffer数据包什么数据都抓,很混,要花很大的力气才能对看明白该数据包,另外,很多时候没有给出相应的抓包的网络拓扑图,数据包中的源端口、目的端口、IP地址等方面的说明,这样不利于相关人员的分析和定位。为此,我做个这方面的case,供大家参考,望大家能够提供更有价值的数据给相关的人员。
认证客户端与NAS 设备(交换机)报文交互 一、捕获数据包拓扑图: 1、 捕获认证客户端电脑(192.168.0.241/24)与S2126G 交换机交互的报文; 2、 捕获S2126G 交换机与SAMII 服务器(192.168.0.232)交互的报文; 三、所捕获得到的sniffer 报文的文件命名:请尽可能采用一目了然的文件名,即从文件名即 可以大概知道该sniffer 的报文的内容;同时,对于每个sniffer 文件,请用一个readme.txt 简短地说明,这样便于相关的人员能够更好地知道sniffer 报文的内容; 四、交换机的配置: show run Building configuration... Current configuration : 633 bytes version 1.0 hostname Switch radius-server host 192.168.0.232 aaa authentication dot1x aaa accounting server 192.168.0.232
Sniffer嗅探、抓包实验 实验目的 通过实验,掌握常用嗅探工具的安装与使用方法,理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构,了解FTP、HTTP等协议明文传输的特性,建立安全意识,防止此类协议传输明文造成的泄密。 建议实验工具 Sniffer Pro、FsSniffer或SQLServerSniffer等、至少两台安装了Windows 2000或XP的PC机,其中一台安装Sniffer软件,两台PC机互联。 实验用时 3学时(约120分钟) 实验原理 Sniffer即网络嗅探器,用于监听网络中的数据包,分析网络性能和故障,主要用于网络管理和维护,通过它,可以诊断处通过常规工具难以解决的疑难问题,包括计算机之间的异常通信,不同网络协议的通信流量,每个数据包的源地址和目的地址等,可以提供非常详细的信息。 实验步骤: 1、首先安装Sniffer软件。安装过程有关图片如下:如果此过程速度比较缓慢,一般与电脑速度较慢有关。安装完成后重新启动计算机。注意:需要重新启动才可以使用sniffer。 2、启动Sniffer。可以看到它的 界面如下:包括工具栏、网络监视面 板、多种视图等,其中,Dashboard可以监控网络的利用率、流量、及错误报文等内容,从Host table可以直观的看出连接的主机,用其IP显示。 3、获取被监视方机器的IP,假设A机监视B机的活动,A应知道B机的IP 地址,在实验环境下,操作B机的同学可以输入Ipconfig命令查询自己的IP 地址,并告之操作A机的同学。 4、选中Monitor菜单下的Matirx或直接点击网络性能监视快捷键,可以看到网络中的Traffic Map视图,单击左下角的MAC地址,IP地址或IPX使视图
使用Sniffer工具分析以太网帧和IP数据报 一、实验目的 通过使用Sniffer Pro软件掌握Sniffer(嗅探器)工具的使用方法,实现捕捉FTP、HTTP等协议的数据包,以理解TCP/IP协议中多种协议的数据结构。 二、实验原理 Sniffer即网络嗅探器,用于监听网络中的数据包,分析网络性能和故障。Sniffer 主要用于网络管理和网络维护,系统管理员通过Sniffer可以诊断出通过常规工具难以解决的网络疑难问题,包括计算机之间的异常通信、不同网络协议的通信流量、每个数据包的源地址和目的地址等,它将提供非常详细的信息。 通常每个网络接口都有一个互不相同的硬件地址(MAC地址),同时,每个网段有一个在此网段中广播数据包的广播地址(代表所有的接口地址)。一般情况下,一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧,并由操作系统进一步进行处理,同时丢弃不是发给自己的数据帧。 通过Sniffer工具,可以将网络接口设置为“混杂”(promiscuous)模式。在这种模式下,网络接口就处于一个对网络进行“监听”的状态,它可以监听此网络中传输的所有数据帧-而不管数据帧的目标地址是广播地址还是自己或者其它网络接口的地址了。它将对遭遇的每一个数据帧产生硬件中断.交由操作系统对这个帧进行处理,比如截获这个数据帧,进而实现实时分析数据帧中包含的容。 当然,如果一个数据帧没有发送到目标主机的网络接口,则目标主机将无法监听到该帧。所以Sniffer所能监听到的信息将仅限于在同一个物理网络传送的数据帧.就是说和监听的目标中间不能有路由(交换)或其它屏蔽广播包的设备。因此。当Sniffer工作在由集线器(hub)构建的广播型局域网时,它可以监听到此物理网络所有传送的数据;而对于由交换机(switch)和路由器(router)构建的网络中,由于这些网络设备只根据目标地址分发数据帧,所以在这种网络中,Sniffer工具就只能监测到目标地址是自己的数据帧再加上针对广播地址的数据帧了。 Sniffer工作在OSI模型中的第2层,它一般在已经进入对方系统的情况下使用。实验中要注意,虽然Sniffer能得到在局域网中传送的大量数据,但是不加选择的接收所有的数据包,并且进行长时间的监听,那么你需要分析的数据量将是非常巨大的,并且会浪费大量硬盘空间。 Sniffer工具分为软件和硬件两大类,在这里我们主要以Sniffer Pro软件为例对Sniffer工具的使用方法和功能进行简单的介绍。当然,Sniffer软件工具还有很多种,例如 SQLServerSniffer、FsSniffer等,它们的功能和使用的环境有所不同,如果读者感兴趣,可以自己进行深入探索。 对于Sniffer工具的防可以从以下几个方面进行:首先,如果通过网管工具发现在局域网存在长时间占用较大带宽的计算机,这台计算机可能在进行嗅探:其次,Sniffer 的记录文件增长很快,通过分析文件系统大小的变换情况,可以找到这个文件;最后,如果计算机的网络接口处于混杂模式下(在Unix环境下通过ifconfig -a命令查看网络接口状态),则它很可能运行了Sniffer。通过上面的几种方法,可以对Sniffer进行分析监测。除了这些间接分析方法外,还可以利用AntiSniff工具,它具有直接检测Sniffer的功能,从而可以对Sniffer进行有效防。
1捕获面板 报文捕获功能可以在报文捕获面板中进行完成,如下是捕获面板的功能图:图中显示的是处于开始状态的面板 2捕获过程报文统计 在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。 3捕获报文查看
Sniffer软件提供了强大的分析能力和解码功能。如下图所示,对于捕获的报文提供了一个Expert专家分析系统进行分析,还有解码选项及图形和表格的统计信息。 专家分析 专家分分析系统提供了一个只能的分析平台,对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。 在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容,可以方便了解网络中高层协议出现故障的可能点。 对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因。
解码分析 下图是对捕获报文进行解码的显示,通常分为三部分,目前大部分此类软件结构都采用这种结构显示。对于解码主要要求分析人员对协议比较熟悉,这样才能看懂解析出来的报文。使用该软件是很简单的事情,要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。工具软件只是提供一个辅助的手段。因涉及的内容太多,这里不对协议进行过多讲解,请参阅其他相关资料。 对于MAC地址,Snffier软件进行了头部的替换,如00e0fc开头的就替换成Huawei,这样有利于了解网络上各种相关设备的制造厂商信息。
功能是按照过滤器设置的过滤规则进行数据的捕获或显示。在菜单上的位置分别为 Capture->Define Filter和Display->Define Filter。过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。 统计分析 对于Matrix,Host Table,Portocol Dist. Statistics等提供了丰富的按照地址,协议等内容做了丰富的组合统计,比较简单,可以通过操作很快掌握这里就不再详细介绍了。 4设置捕获条件 基本捕获条件 基本的捕获条件有两种: 1、链路层捕获,按源MAC和目的MAC地址进行捕获,输入方式为十六进制连续输入,如:00E0FC123456。 2、IP层捕获,按源IP和目的IP进行捕获。输入方式为点间隔方式,
实验三 网络数据包的捕获与分析 一、实验目的和要求 通过本次实验,了解sniffer 的基本作用,并能通过sniffer 对指定的网络行为所产生的数据包进行抓取,并分析所抓取的数据包。 二、实验内容 A :1、首先打开sniffer 软件,对所要监听的网卡进行选择 2、选择网卡按确定后,进入sniffer 工作主界面,对主界面上的操作按钮加以熟悉。 B :设置捕获条件进行抓包 基本的捕获条件有两种: 1、链路层捕获,按源MAC 和目的MAC 地址进行捕获,输入方式为十六进制连续输入,如:00E0FC123456。 2、IP 层捕获,按源IP 和目的IP 进行捕获。输入方式为点间隔方式,如:10.107.1.1。如果选择IP 层捕获条件则ARP 等报文将被过滤掉。 任意捕协议捕缓冲区基本捕获条件数据流链路层捕获获条件编辑 获编辑 编辑 链路层捕获IP 层捕获 方向 地址条件 高级捕获条件
在“Advance ”页面下,你可以编辑你的协议捕获条件,如图: 选择要捕捕获帧长错误帧是保存过滤获的协议 度条件 否捕获 规则条件 高级捕获条件编辑图 在协议选择树中你可以选择你需要捕获的协议条件,如果什么都不选,则表示忽略该条件,捕获所有协议。 在捕获帧长度条件下,你可以捕获,等于、小于、大于某个值的报文。 在错误帧是否捕获栏,你可以选择当网络上有如下错误时是否捕获。 在保存过滤规则条件按钮“Profiles ”,你可以将你当前设置的过滤规则,进行保存,在捕获主面板中,你可以选择你保存的捕获条件。 C :捕获报文的察看: Sniffer 软件提供了强大的分析能力和解码功能。如下图所示,对于捕获的报文提供了一个Expert 专家分析系统进行分析,还有解码选项及图形和表格的统计信息。 专家分析专家分析捕获报文的捕获报文的其他 系统 系统图形分析 统计信息 专家分析 专家分分析系统提供了一个只能的分析平台,对网络上的流量进行了一些分析对于分析出的
南京信息工程大学实验(实习)报告 实验名称使用用Sniffer Pro网络分析器实验日期 2014.12.21 得分指导教师朱节中 系计算机专业软件工程年级 2012 班次 1 姓名董上琦学号 20122344001 一、实验目的 1、掌握Sniffer工具的安装和使用方法 2、理解TCP/IP协议栈中IP、TCP、UDP等协议的数据结构 3、掌握ICMP协议的类型和代码 二、实验内容 1、安装Sniffer Pro 2、捕捉数据包 3、分析捕捉的数据包 三、实验步骤 1、安装Sniffer Pro Sniffer Pro安装过程并不复杂,setup后一直点击“确定”即可,第一次运行时需要选择 网络适配器或网卡后才能正常工作。如下图所示: 选择好网络适配器或网卡后,即可进入主界面,如下图所示: 2、捕捉数据包
以抓FTP密码为例 步骤1:设置规则 选择Capture菜单中的Defind Filter出现图(1)界面,选择图(1)中的ADDress 项,在station1和2中分别填写两台机器的IP地址,选择Advanced选项,选择选IP/TCP/FTP ,将 Packet Size设置为 In Between 63 -71, Packet Type 设置为 Normal。如图(2)所示,选择Data Pattern项,点击箭头所指的Add Pattern按钮,出现图(3)界面,按图设置OFFset 为2F,方格内填入18,name可任意起。确定后如图(4)点击Add NOT按钮,再点击Add Pattern 按钮增加第二条规则,按图(5)所示设置好规则,确定后如图(6)所示。 图(1) 图(2)
实验二 网络抓包——sniffer pro 的使用 实验目的: 1. 了解网络嗅探的原理; 2. 掌握Sniffer Pro 嗅探器的使用方法; 实验学时:2课时 实验形式:上机 实验器材: 联网的PC 机 实验环境:操作系统为Windows2000/XP 实验内容: 任务一 熟悉Sniffer Pro 工具的使用 任务二 使用Sniffer Pro 抓获数据包 实验步骤: 任务一 熟悉Sniffer Pro 工具的使用 1. Sniffer Pro 工具简介 Sniffer 软件是NAI 公司推出的功能强大的协议分析软件,具有捕获网络流量进行详细分析、利用专家分析系统诊断问题、实时监控网络活动和收集网络利用率和错误等功能,实验中使用Sniffer Pro4.7.5来截获网络中传输的FTP 和HTTP 数据包,并进行分析。 2. 使用说明 在sniffer pro 初次启动时,可能会提示选择一个网络适配器进行镜像,如图1所示,此时正确选择接入网络的网卡,这样sniffer pro 才可以把网卡设置为混杂(Promiscuous )模式,以接收在网络上传输的数据包。 Sniffer Pro 运行后的主界面如图2所示。 (1 )工具栏简介如图3所示。 图1 网卡设置 图2 sniffer pro 主界面 图3工具栏
快捷键的含义如图4所示。 (2 )网络监视面板简介 在捕获过程中可以通过Capture Panel 查看网络的利用率、捕获报文的数量和缓冲区的利用率,如图 5所示。 (3)捕获数据包窗口简介 Sniffer 软件提供了强大的分析能力和解码功能。如图6所示,对于捕获的报文提供了一个Expert 专家分析系统进行分析,还有解码选项及图形和表格的统计信息。 专家分析 专家分析系统提供了一个智能的分析平台,对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。 在图7中显示出在网络中WINS 查询失败的次数及TCP 重传的次数统计等内容,可以方便了解网络中高层协议出现故障的可能点。 捕获停止 捕获条件 选择捕获捕获开始 捕获暂停 捕获停止并查看捕获查看 编辑条件 图4 快捷键含义 图5 Capture Panel 图6 捕获数据窗口
无线网络抓包不再愁新版sniffer讲解 企业无线网络的实施往往都是请专业的无线网络系统集成商来完成,当然专业团队有专业的工具,很多都是硬件的,通过这些硬件设备实现无线信号的扫描与定位,帮助企业无线网络实现无盲点实施。然而当集成商将无线网络实施完毕后我们该如何维护呢?能够像维护有线网络一样进行管理呢?其实无线和有线在管理方面还是存在一定差别的,特别是在无线网络抓包方面,而下面笔者介绍的软件则可以将这种差别彻底消除。 一,无线网络后期维护为什么让网络管理员头疼: 企业内部无线网络建立后的后期维护也相当关键。以往网络管理员使用的网络管理工具大多都不支持无线网络的管理,例如sniffer这种数据包扫描和监听工具就只对有线网络有用,一旦无线网络出现时断时续,网络不稳定的故障时网络管理员将没有有效办法。不过最近这个问题被有效解决了。新版sniffer 可以支持针对无线网络数据包的扫描和监听了。下面我们就在第一时间体验下新版sniffer如何让我们无线网络抓包不再愁。 二,sniffer的安装: 我们可以到IT168的下载专区找到最新版sniffer 4.9英文版,接下来就是解压缩并安装。 第一步:运行sniffer 4.9安装程序,欢迎界面点“NEXT”下一步按钮继续。(如图1) 第二步:sniffer自解压缩完成安装工作。(如图2)
第三步:根据提示开始安装必须文件到本地硬盘,在这之前程序会扫描当前计算机硬件配置,如果符合要求才容许继续下面的安装操作。(如图3) 第四步:默认sniffer 4.9会安装到c:program filesnetwork generalsniffer portable目录中,我们可以通过浏览按钮修改,建议大家使用默认值。(如图4)
Sniffer工具使用实验报告 学院:计算机科学与工程学院 班级: 专业: 学生姓名: 学号:
目录 实验目的 (3) 实验平台 (3) 实验内容 (3) 实验1:抓ping和回应包 (3) 实验要求: (3) 实验过程与分析 (3) 实验2 :捕获内网发往外网的重要数据 (4) 实验要求: (4) 实验过程与分析: (5) 实验3 :Arp包编辑发送 (6) 实验要求: (6) 实验过程与分析: (6) 实验4 :ARP欺骗 (7) 实验要求: (7) 实验过程与分析 (8) 实验深入分析: (11) 实验5:交换机端口镜像的简单配置 (11) 实验要求: (11) 实验过程与分析: (12) 实验心得 (13)
实验目的 了解著名协议分析软件sniffer的主要功能,以及sniffer能处理什么网络问题 实验平台 Sniffer软件是NAI公司推出的功能强大的协议分析软件。 与Netxray比较,Sniffer支持的协议更丰富,如Netxray不支持PPPOE协议,但Sniffer能快速解码分析;Netxray不能在Windows 2000和Windows XP上正常运行,而SnifferPro 4.6可以运行在各种Windows平台上。 缺点:运行时需要的计算机内存比较大,否则运行比较慢 功能: 1)捕获网络流量进行详细分析 2)利用专家分析系统诊断问题 3)实时监控网络活动 4)收集网络利用率和错误等 实验内容 实验1:抓ping和回应包 实验要求: Ping xxxx–t 观察icmp:echo和icmp:echo(reply)包信息 实验过程与分析 1)设置过滤器过滤ICMP协议 2)让Sniffer开始抓包 Ping 222.201.146.92 –t 截获包如下
实验八-网络性能监测分析工具Sniffer捕获高层协议数据包并分析 实验目的:使用Sniffer抓取ftp的数据报 分析FTP的三次“握手”的过程。 分析FTP客户端和服务器端通信过程 实验环境:Windows环境下常用的协议分析工具:sniffer 搭建Serv-U FTP Server,在计算机上建立FTP服务器 VMware虚拟机,用虚拟机进行登录FTP。 实验内容和步骤: 1.建立网络环境。用Serv-U FTP Server在计算机上建立一台FTP服务器,设置IP地址为:192.168.0.10。在Serv-U FTP Server中已设定用户xyz,密码123123。(也可以自行设定其他帐号) 2.在此计算机上安装了sniffer。 3.启动该机器上的虚拟机作为一台FTP客户端,设置IP地址为:192.168.0.12。 4.使用ping命令看是否连通。记录结果。 5.使用虚拟机登录FTP服务器。 6.运行sniffer嗅探器,并在虚拟机的“运行”中输入ftp://192.168.0.10,点确定后出现如下图的登录窗口: 在登录窗口中输入:用户名(xyz),密码(123123) 7.使用sniffer抓包,再在sniffer软件界面点击“stop and display”,选择“Decode”选项,完成FTP命令操作过程数据包
的捕获。 8.在sniffer嗅探器软件上点击Objects可看到下图,再点击“DECODE(反解码)。 记录FTP三次握手信息,写出判断这三个数据包的依据(如syn及ack)。记录端口信息等内容。 9.找出数据包中包含FTPUSER命令的数据包,记录显示的用户名。10.捕获用户发送PASS命令的数据包,记录显示的密码。 11.找出FTP服务器端与客户端端口20进行三次握手打开数据传输。记录数据信息。
IGMP IGMP 是Internet Group Management Protocol(互联网组管理协议)的简称。它是TCP/IP 协议族中负责IP 组播成员管理的协议,用来在IP 主机和与其直接相邻的组播路由器之间建立、维护组播组成员关系。 到目前为止,IGMP 有三个版本: 1、IGMPv1(由RFC 1112 定义) 2、IGMPv2(由RFC 2236 定义) 3、IGMPv3(由RFC 3376定义) 一、IGMPv1 1.1报文格式 1、版本: 版本字段包含IGMP版本标识,因此设置为1。 2、类型: 成员关系查询(0x11) 成员关系报告(0x12) 3、校验和 4、组地址: 当一个成员关系报告正被发送时,组地址字段包含组播地址。 当用于成员关系查询时,本字段为0,并被主机忽略。 1.2组成员加入过程 当一个主机希望接收一个组播组的数据,则发送成员加入报告给组播组。
IGMPv1 join包如下:
1.3查询与响应过程 路由器RTA(IGMP查询器)周期性地(默认60秒)向子网内所有主机(224.0.0.1代表子网内所有主机)发送成员关系查询信息。 所有主机收到IGMPv1成员关系查询信息,一主机首先向组播组发送IGMPv1成员关系报告。 组的其他成员监听到报告后抑制自己的成员关系报告发送。 1.4 抑制机制 当主机收到IGMP成员关系查询时,对它已经加入的每个组播组启动一个倒计数报告计时器。各个报告计时器初始值为从0到最大响应之间一个随机数,默认值是10秒。 计时器到时的主机则主动发送成员关系报告,目的地为该主机所属的组地址。 其它主机收到该成员关系报告,则抑制成员关系报告的发送,并删除计时器。
Sniffer Pro的基本使用和实例[图文] 运行环境及安装Sniffer Pro可运行在局域网的任何一台机器上,如果是练习使用,网络连接最好用Hub且在一个子网,这样能抓到连到Hub上每台机器传输的包。本文用的版本是4.6,Sniffer Pro软件的获取可在https://www.doczj.com/doc/219093900.html,或https://www.doczj.com/doc/219093900.html, 中输入Sniffer Pro 4.6,查找相应的下载站点来下载。该版本是不要序列号的。安装非常简单,setup后一路确定即可,第一次运行时需要选择你的网卡。最好在win2000下运行,在win2003下运行网络流量表有问题。 常用功能介绍1、Dashboard (网络流量表)点击图1中①所指的图标,出现三个表,第一个表显示的是网络的使用率(Utilization),第二个表显示的是网络的每秒钟通过的包数量(Packets),第三个表显示的是网络的每秒错误率(Errors)。通过这三个表可以直观的观察到网络的使用情况,红色部分显示的是根据网络要求设置的上限。选择图1中②所指的选项将显示如图2所示的更为详细的网络相关数据的曲线图。每个子项的含义无需多言,下面介绍一下测试网络速度中的几个常用单位。在TCP/IP协议中,数据被分成若干个包(Packets)进行传输,包的大小跟操作系统和网络带宽都有关系,一般为64、128、256、512、1024、1460等,包的单位是字节。很多初学者对Kbps、KB、Mbps 等单位不太明白,B 和 b 分别代表 Bytes(字节) 和 bits(比特),1比特就是0或1。1 Byte = 8 bits 。1Mbps (megabits per second兆比特每秒),亦即 1 x 1024 / 8 = 128KB/sec(字节/秒),我们常用的ADSL下行512K指的是每秒 512K比特(Kb),也就是每秒512/8=64K字节(KB) 图1
说明: 本文档针对FortiGate 产品的后台抓包命令使用进行说明,相关详细命令参照 相关手册。 在使用后台抓包分析命令时,建议大家使用如SecureCRT 这样的远程管理工 具,通过telnet 或者ssh 的方式登陆到网关,由于UTM 本身不支持将抓包的结 果保存在设备自身的存储空间,因此需要借助SecureCRT 这样远程管理工具接收 文件。 1.基本命令 命令: diagnose sniffer packet. # diag sniffer packet
实验8:利用Sniffer Pro捕获内网用户密码 一、Sniffer常用功能介绍 1、Dashboard (网络流量表) 点击图1中①所指的图标,出现三个表,第一个表显示的是网络的使用率(Utilization),第二个表显示的是网络的每秒钟通过的包数量(Packets),第三个表显示的是网络的每秒错误率(Errors)。通过这三个表可以直观的观察到网络的使用情况,红色部分显示的是根据网络要求设置的上限。 选择图1中②所指的选项将显示如图2所示的更为详细的网络相关数据的曲线图。每个子项的含义无需多言,下面介绍一下测试网络速度中的几个常用单位。 在TCP/IP协议中,数据被分成若干个包(Packets)进行传输,包的大小跟操作系统和网络带宽都有关系,一般为64、128、256、512、1024、1460等,包的单位是字节。 很多初学者对Kbps、KB、Mbps 等单位不太明白,B 和b 分别代表Bytes(字节) 和bits(比特),1比特就是0或1。1 Byte = 8 bits 。 1Mbps (megabits per second兆比特每秒),亦即1 x 1024 / 8 = 128KB/sec(字节/秒),我们常用的ADSL下行512K指的是每秒?512K比特(Kb),也就是每秒512/8=64K 字节(KB) 图1
图2 2、Host table(主机列表) 如图3所示,点击图3中①所指的图标,出现图中显示的界面,选择图中②所指的IP 选项,界面中出现的是所有在线的本网主机地址及连到外网的外网服务器地址,此时想看看192.168.113.88这台机器的上网情况,只需如图中③所示单击该地址出现图4界面。 图3 图4中清楚地显示出该机器连接的地址。 点击左栏中其它的图标都会弹出该机器连接情况的相关数据的界面。
网络协议分析软件 Sniffer V4.75 与教程 NAI公司出品的可能是目前最好的网络协议分析软件之一了,支持各种平台,性能优越,做为一名合格的网络管理员肯定需要有这么一套好的网络协议分析软件了… Sniffer 的网络分析器可以运行于桌面、便携式和笔记本PC,使用了400多种协议解释和强大的专家分析功能,可以对网络传输进行分析,找出故障和响应缓慢的原因。它甚至可以对多拓扑、多协议网络进行分析---所有这些功能都可以自动地实时实现。 前言: 范老师现在是Sniffer中国技术服务中心的技术总监,是中国唯一的Sniffer大师(SCM),他有丰富的经验和经典案例,讲课讲得不错。 我是范老师的学生,我2005年学习了Sniffer,发现收获很大,但我不能透露我的单位,因为我想范老师不会允许我把他的讲课内容公开。 以下内容是我根据上课录音编写的,基本上是范老师的原话。我整理了一个星期才整理出来,因为范 老师在上课时有很多笔书,整理起来很困难,有人会问,为什么不把录音共享出来,主要是课程中很多实验,只有录音,作用不大,我把他整理成文字,看起来会方便一些,当我全部整理完,估计可以出书了,版权费给谁呢?哈哈 我希望大家喜欢,如果反应良好,我把后面的内容也贴出来,很辛苦的,大家要珍惜。 大家不要放映,精华内容都在注释里。 大家有什么问题,可以发E-mail给范老师,fanweidao@https://www.doczj.com/doc/219093900.html,,记住如果他问你是谁,你说是北京移动或广东移动或工商银行随便一个省分行的,因为这些单位的学生特别多,他肯定搞不清楚。哈哈,对不起了!范老师,我只是想帮你推广Sniffer. 大家好!欢迎大家参加Sniffer的认证课程! 先自我介绍一下!我叫范伟导,这是我的邮件,我现在没有工作(同学们:自由职业者)可以这么说。介绍一下我的经历:毕业后我在一个台资电脑厂工作了一年,做硬件的。后来到了日本三洋工作,作X400的软件开发,做ERP,用RPG开发,做了4年后来到了神州数码,作CISCO网络,原来在技术中心做实施,后来在培训中心做讲师,一共做了5年。现在我是CISCO和Sniffer的授权讲师,不过现在我不想做CISCO了,想做Sniffer,因为我觉得网络分析是一个很好的技术方向。等一下我还会跟大家聊一聊我们该往哪一个方向发展。 先看一下我们这个课程,这个课程事实上是两门课,第一门我们介绍怎样用Sniffer来做网络故障诊断,还有网络管理的一些方法和思路,第二门课我们介绍如何做应用的分析,这是Sniffer的新课程,我个人觉得非常好,以前的几个班学员也很喜欢。第一门课我们会讲3天,第二门课我们会讲2天。
南京信息工程大学实验(实习)报告 实验(实习)名称sniffer工具的基本使用方法实验(实习)日期 2012.11.21 指导教师朱节中专业年级班次姓名学号得分 熟悉sniffer 一、实验目的: 1、掌握Sniffer软件的安装 2、掌握Sniffer软件的简单应用 3、练习sniffer工具的基本使用方法; 4、用sniffer捕获报文并进行分析。 二、实验环境: 在同一台物理机上打开两台虚拟机,预装Windows 及windows sever2003操作系统。 三、实验准备: 两台虚拟机必须ping通,接入本地网络,然后把二者的ip地址设在同一网段,因为vpc与vmc虚拟机环境不同,在vpc里必须手动将二者防火墙关闭,才能网络互通! 之后,将sniffer安装在xp的系统上,用2003系统做客户端。 四、实验内容: 1、实现Sniffer软件的安装 2、简单应用Sniffer软件,了解其基本功能。 常用功能介绍: 1、Dashboard (网络流量表) 点击图1中①所指的图标,出现三个表,第一个表显示的是网络的使用率(Utilization),第二个表显示的是网络的每秒钟通过的包数量(Packets),第三个表显示的是网络的每秒错误率(Errors)。通过这三个表可以直观的观察到网络的使用情况,红色部分显示的是根据网络要求设置的上限。选择图1中②所指的选项将显示如图2所示的更为详细的网络相关数据的曲线图。
2. Host table(主机列表)如图所示,点击图中所指的图标,出现图中显示的界面,选择图中所指的IP选项,界面中出现的是所有在线的本网主机地址及连到外网的外网服务器地址,此时想看看192.168.5.20这台机器的上网情况,只需如图中所示单击该地址出现界面。
TCP协议分析实验 学号: 姓名: 院系: 专业:
一.实验目的 学会使用Sniffer抓取ftp的数据报,截获ftp账号及密码,并分析TCP 头的结构、分析TCP的三次“握手”和四次“挥手”的过程,熟悉TCP 协议工作方式。 二.实验(软硬件以及网络)环境 利用VMware虚拟机建立网络环境,并用Serv-U FTP Server在计算机上建立FTP服务器,用虚拟机进行登录。 三.实验工具 sniffer嗅探器,VMware虚拟机,Serv-U FTP Server。 四.实验基本配置 Micrsoft Windows XP操作系统 五.实验步骤 1.建立网络环境。 用Serv-U FTP Server在计算机上建立一台FTP服务器,设置IP地址 为:,并在其上安装sniffer嗅探器。再并将虚拟机作为一台FTP客户 端,设置IP地址为:。设置完成后使用ping命令看是否连通。 2.登录FTP 运行sniffer嗅探器,并在虚拟机的“运行”中输入,点确定后出现 如下图的登录窗口: 在登录窗口中输入:用户名(hello),密码(123456)【在Serv-U FTP Server中已设定】,就登录FTP服务器了。再输入“bye”退出FTP 3.使用sniffer嗅探器抓包 再sniffer软件界面点击“stop and display”,选择“Decode”选 项,完成FTP命令操作过程数据包的捕获。 六.实验结果及分析 1.在sniffer嗅探器软件上点击Objects可看到下图:
再点击“DECODE(反解码)”按钮进行数据包再分析,我们一个一个的分析数据包,会得到登录用户名(hello)和密码(123456)。如下图: 2. TCP协议分析 三次握手: 发报文头——接受报文头回复——再发报文(握手)开始正式通信。
一、sniffer 的分类 1、常用软件wireshark/ethereal、sniffer pro、omnipeek。最常用可能都是ethereal 2、抓包文件格式是可以通用的,所以注意保存文件的时候尽可能使用标准格式。 二、什么时候会用到sniffer 1、对单个用户或者某些特定用户、特定应用需要分析的时候才使用。 2、要确定你需要抓取的范围和对象。(目的IP和源IP,端口,应用,协议) 3、抓包前应该尽可能排除网络本身的问题。 确保ping、trace正常,路由正常。 需要确定的内容: (1)故障现象是什么?哪一类应用(VPDN、QQ、HTTP、FTP)或者哪一段IP存在不正常的问题? (2)尽可能缩小抓包的范围、关闭不需要的应用,或者通过filter定制你需要抓取的流量。(3)确定测试手段。 镜像、或自己实测。 三、分析 1、把故障现象转换为网络协议中的问题 2、找一个正常的流程作为参照 3、针对特定的协议网络协议进行分析,找出可能有问题的地方 常用协议:tcp、udp的基本传输过程(如何建立一个链接,如何释放,什么时候会出现异常复位,三次握手的过程)、ppp认证过程(pap、chap)、pppoe认证过程。 4、找出和故障有关的指标或者数据 5、注意结合网络情况分析 客户端和服务器之间是否有防火墙,大概经过了什么设备 有可能需要分段抓包分析,或者在不同设备下对比。 四、适合进行抓包的场景 1、ppp拨号或者vpdn拨号失败(如果有条件,应该现在华为bas上trace) 2、用户某些应用不正常,例如开某个网页慢,ftp异常中断/连接不上 3、某些情况下网速慢,可以考虑在出口进行抓包。 1、网络层面是否正常? (1)拨号确实拨上?检查用户的账号,在radius上是否有上线在bas上是否有上线?用户是否欠费? (2)获取的IP是什么dns是什么? (3)本机向外网访问的路由正常否?从bas上是否看到用户的IP上线,从用户端ping 外网或者trace是否正常 2、访问其他网站的80端口正常否?(这个步骤只是协助判断路由是否正常) telnet https://www.doczj.com/doc/219093900.html, 80 等黑屏以后输入get 回车 3、如果都正常,才考虑抓包分析 访问任何一个网站,抓包看结果
Sniffer-por抓包图文解析教程小编:gzq 运行环境及安装 Sniffer Pro可运行在局域网的任何一台机器上,如果是练习使用,网络连接最好用Hub且在一个子网,这样能抓到连到Hub上每台机器传输的包。 本文用的版本是4.6 该版本是不要序列号的。安装非常简单,setup后一路确定即可,第一次运行时需要选择你的网卡。最好在win2000下运行,在 win2003下运行网络流量表有问题。 常用功能介绍 1、Dashboard (网络流量表) 点击图1中①所指的图标,出现三个表,第一个表显示的是网络的使用率(Utilization),第二个表显示的是网络的每秒钟通过的包数量(Packets),第三个表显示的是网络的每秒错误率(Errors)。通过这三个表可以直观的观察到网络的使用情况,红色部分显示的是根据网络要求设置的上限。 选择图1中②所指的选项将显示如图2所示的更为详细的网络相关数据的曲线图。每个子项的含义无
需多言,下面介绍一下测试网络速度中的几个常用单位。 在TCP/IP协议中,数据被分成若干个包(Packets)进行传输,包的大小跟操作系统和网络带宽都有关系,一般为64、128、256、512、1024、1460等,包的单位是字节。很多初学者对Kbps、KB、Mbps 等单位不 太明白,B 和 b 分别代表 Bytes(字节) 和 bits(比特),1比特就是0或1。1 Byte = 8 bits 。 1Mbps (megabits per second兆比特每秒),亦 即 1 x 1024 / 8 = 128KB/sec(字节/秒),我们常用的ADSL下行512K指的是每秒 512K比特(Kb),也就是每秒512/8=64K字节(KB) 图1