使用Sniffer工具分析以太网帧和IP数据报 一、实验目的 通过使用Sniffer Pro软件掌握Sniffer(嗅探器)工具的使用方法,实现捕捉FTP、HTTP等协议的数据包,以理解TCP/IP协议中多种协议的数据结构。 二、实验原理 Sniffer即网络嗅探器,用于监听网络中的数据包,分析网络性能和故障。Sniffer 主要用于网络管理和网络维护,系统管理员通过Sniffer可以诊断出通过常规工具难以解决的网络疑难问题,包括计算机之间的异常通信、不同网络协议的通信流量、每个数据包的源地址和目的地址等,它将提供非常详细的信息。 通常每个网络接口都有一个互不相同的硬件地址(MAC地址),同时,每个网段有一个在此网段中广播数据包的广播地址(代表所有的接口地址)。一般情况下,一个网络接口只响应目的地址是自己硬件地址或者自己所处网段的广播地址的数据帧,并由操作系统进一步进行处理,同时丢弃不是发给自己的数据帧。 通过Sniffer工具,可以将网络接口设置为“混杂”(promiscuous)模式。在这种模式下,网络接口就处于一个对网络进行“监听”的状态,它可以监听此网络中传输的所有数据帧-而不管数据帧的目标地址是广播地址还是自己或者其它网络接口的地址了。它将对遭遇的每一个数据帧产生硬件中断.交由操作系统对这个帧进行处理,比如截获这个数据帧,进而实现实时分析数据帧中包含的内容。 当然,如果一个数据帧没有发送到目标主机的网络接口,则目标主机将无法监听到该帧。所以Sniffer所能监听到的信息将仅限于在同一个物理网络内传送的数据帧.就是说和监听的目标中间不能有路由(交换)或其它屏蔽广播包的设备。因此。当Sniffer 工作在由集线器(hub)构建的广播型局域网时,它可以监听到此物理网络内所有传送的数据;而对于由交换机(switch)和路由器(router)构建的网络中,由于这些网络设备只根据目标地址分发数据帧,所以在这种网络中,Sniffer工具就只能监测到目标地址是自己的数据帧再加上针对广播地址的数据帧了。 Sniffer工作在OSI模型中的第2层,它一般在已经进入对方系统的情况下使用。实验中要注意,虽然Sniffer能得到在局域网中传送的大量数据,但是不加选择的接收所有的数据包,并且进行长时间的监听,那么你需要分析的数据量将是非常巨大的,并且会浪费大量硬盘空间。 Sniffer工具分为软件和硬件两大类,在这里我们主要以Sniffer Pro软件为例对Sniffer工具的使用方法和功能进行简单的介绍。当然,Sniffer软件工具还有很多种,例如 SQLServerSniffer、FsSniffer等,它们的功能和使用的环境有所不同,如果读者感兴趣,可以自己进行深入探索。 对于Sniffer工具的防范可以从以下几个方面进行:首先,如果通过网管工具发现在局域网内存在长时间占用较大带宽的计算机,这台计算机可能在进行嗅探:其次,Sniffer的记录文件增长很快,通过分析文件系统大小的变换情况,可以找到这个文件;最后,如果计算机的网络接口处于混杂模式下(在Unix环境下通过ifconfig -a命令查看网络接口状态),则它很可能运行了Sniffer。通过上面的几种方法,可以对Sniffer 进行分析监测。除了这些间接分析方法外,还可以利用AntiSniff工具,它具有直接检测Sniffer的功能,从而可以对Sniffer进行有效防范。
sniffer使用及图解 注:sniffer使用及图解sniffer pro 汉化注册版下载 黑白影院高清免费在线电影聚集网无聚集无生活,聚集网络经典资源下载 sniffer软件的安装还是比较简单的,我们只需要按照常规安装方法进行即可。需要说明的是: 在选择sniffer pro的安装目录时,默认是安装在c:\program files\nai\snifferNT目录中,我们可以通过旁边的Browse按钮修改路径,不过为了更好的使用还是建议各位用默认路径进行安装。 在注册用户时,随便输入注册信息即可,不过EMAIL一定要符合规范,需要带“@”。(如图1) 图1 点击放大 注册诸多数据后我们就来到设置网络连接状况了,一般对于企业用户只要不是通过“代理服务器”上网的都可以选择第一项——direct connection to the internet。(如图2) 图2 接下来才是真正的复制sniffer pro必需文件到本地硬盘,完成所有操作后出现setup complete提示,我们点finish按钮完成安装工作。 由于我们在使用sniffer pro时需要将网卡的监听模式切换为混杂,所以不重新启动计算机是无法实现切换功能的,因此在安装的最后,软件会提示重新启动计算机,我们按照提示操作即可。(如图3) 重新启动计算机后我们可以通过sniffer pro来监测网络中的数据包。我们通过“开始->所有程序->sniffer pro->sniffer”来启动该程序。 第一步:默认情况下sniffer pro会自动选择你的网卡进行监听,不过如果不能自动选择或者本地计算机有多个网卡的话,就需要我们手工指定网卡了。方法是通过软件的file菜单下的select settings来完成。 第二步:在settings窗口中我们选择准备监听的那块网卡,记得要把右下角的“LOG ON”前打上对勾才能生效,最后点“确定”按钮即可。(如图4) 图4 第三步:选择完毕后我们就进入了网卡监听模式,这种模式下将监视本机网卡流量和错误数据包的情况。首先我们能看到的是三个类似汽车仪表的图象,从左到右依次为“Utiliz ation%网络使用率”,“Packets/s 数据包传输率”,“Error/s错误数据情况”。其中红色区域是警戒区域,如果发现有指针到了红色区域我们就该引起一定的重视了,说明网络线路不好或者网络使用压力负荷太大。一般我们浏览网页的情况和我图11中显示的类似,使用率不高,传输情况也是9到30个数据包每秒,错误数基本没有。(如图5) 图5
实验一Sniffer Pro的使用 【实验目的】 1) 熟练掌握Sniffer Pro对数据包捕获的使用方法。 2) 掌握利用Sniffer Pro进行数据包结构分析、进而理解协议对数据的封装。 【实验环境】 Windows XP、2003 Server等系统,Sniffer Pro软件。 【实验内容】 第一部分:学习sniffer 1.首先,打开Sniffer Pro程序,如果系统要求的话,还要选择一个适配器(使用哪个网卡)。打开了程序后,会看到图中的屏幕。 图1 Sniffer Pro程序主界面 2.打开Sniffer Pro程序后,选择Capture(捕获)-Start(开始),或者使用F10键,或者是工具栏上的开始箭头。因为捕获过程需要几分钟才能完成,这时我们可以先了解如何自定义Sniffer Pro高级与捕获窗口,这样后面就可以节省一点时间。 3.下面,在Sniffer Pro程序中,会看到高级系统(Expert)被自动调用,如图2所示。打开这个窗口后,不会看到任何东西,除非停止捕获过程才可以查看内容。让捕获过程持续运行一段时间,这时可以自定义高级系统,这样就能实时地看到不断出现的问题。
图2 开始捕获过程时调用高级系统 4.浏览图2中的屏幕。高级窗口这时会滚动到窗口左边,只能看到工具栏,而没有任何详细资料。如果要查看详细资料,就要找到高级窗口对话框左上角的箭头,这个箭头在“层次”这个词的右边。单击这个箭头后,会显示出高级功能的另一部分窗口,如图3所示。 5.你可以看到我们能自定义Sniffer Pro程序用于将来的捕获过程,所以我们在下面要对如何使用高级功能进行分析。如果要进一步自定义我们的Sniffe Pro高级功能,就要在一个视图中显示所有定义对象的详细资料。如果再看一次图3,你会发现在高级对话框的最右边有两个卷标:一个是“总结”卷标,另一个是“对象”卷标。在图4中,你会看到这两个卷标都消失了,被两个窗口取代。如果要改变视图,只需要将鼠标停在图4中圈起的位置,这时箭头的形状会改变,然后可以将这一栏上移,就可以看到Sniffer Pro高级窗口中对象的所有详细资料了。 图3 在高级系统中查看更多的细节
Sniffer功能和使用详解 一Sniffer介绍 Sniffer,中文翻译为嗅探器,是一种基于被动侦听原理的网络分析方式。使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。当信息以明文 的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。Sniffer技术常常被黑客们用来截获用户的口令,据说某个骨干网络的路由器网段曾经被黑客攻入,并嗅探到大量的用户口令。但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网 络Sniffer的分类 如果Sniffer运行在路由器上或有路由功能的主机上,就能对大量的数据进行监控,因为所有进出网络的数据包都要经过路由器。 二sniffer pro Sniffer软件是NAI公司推出的功能强大的协议分析软件。 Sniffer Pro - 功能 ●捕获网络流量进行详细分析 ●利用专家分析系统诊断问题 ●实时监控网络活动 ●收集网络利用率和错误等 使用Sniffer捕获数据时,由于网络中传输的数据量特别大,如果安装Sniffer的计算机内存太小,会导致系统交换到磁盘,从而使性能下降。如果系统没有足够的物理内存来执行捕获功能,就很容易造成Sniffer系统死机或者崩溃。因此,网络中捕获的流量越多,建议Sniffer系统应该有一个速度尽可能快的计算机。 1. Sniffer Pro计算机的连接 要使Sniffer能够正常捕获到网络中的数据,安装Sniffer的连接位置非常重要,必须将它安装在网络中合适的位置,才能捕获到内、外部网络之间数据的传输。如果随意安装在网络中的任何一个地址段,Sniffer就不能正确抓取数据,而且有可能丢失重要的通信内容。一般来说,Sniffer应该安装在内部网络与外部网络通信的中间位置,如代理服务器上,也可以安装在笔记本电脑上。当哪个网段出现问题时,直接带着该笔记本电脑连接到交换机或者路由器上,就可以检测到网络故障,非常方便。 (1) 监控Internet连接共享 如果网络中使用代理服务器,局域网借助代理服务器实现Internet连接共享,并且交换机为傻瓜交换机时,可以直接将Sniffer Pro安装在代理服务器上,这样,Sniffer
1捕获面板 报文捕获功能可以在报文捕获面板中进行完成,如下是捕获面板的功能图:图中显示的是处于开始状态的面板 2捕获过程报文统计 在捕获过程中可以通过查看下面面板查看捕获报文的数量和缓冲区的利用率。 3捕获报文查看
Sniffer软件提供了强大的分析能力和解码功能。如下图所示,对于捕获的报文提供了一个Expert专家分析系统进行分析,还有解码选项及图形和表格的统计信息。 专家分析 专家分分析系统提供了一个只能的分析平台,对网络上的流量进行了一些分析对于分析出的诊断结果可以查看在线帮助获得。 在下图中显示出在网络中WINS查询失败的次数及TCP重传的次数统计等内容,可以方便了解网络中高层协议出现故障的可能点。 对于某项统计分析可以通过用鼠标双击此条记录可以查看详细统计信息且对于每一项都可以通过查看帮助来了解起产生的原因。
解码分析 下图是对捕获报文进行解码的显示,通常分为三部分,目前大部分此类软件结构都采用这种结构显示。对于解码主要要求分析人员对协议比较熟悉,这样才能看懂解析出来的报文。使用该软件是很简单的事情,要能够利用软件解码分析来解决问题关键是要对各种层次的协议了解的比较透彻。工具软件只是提供一个辅助的手段。因涉及的内容太多,这里不对协议进行过多讲解,请参阅其他相关资料。 对于MAC地址,Snffier软件进行了头部的替换,如00e0fc开头的就替换成Huawei,这样有利于了解网络上各种相关设备的制造厂商信息。
功能是按照过滤器设置的过滤规则进行数据的捕获或显示。在菜单上的位置分别为 Capture->Define Filter和Display->Define Filter。过滤器可以根据物理地址或IP地址和协议选择进行组合筛选。 统计分析 对于Matrix,Host Table,Portocol Dist. Statistics等提供了丰富的按照地址,协议等内容做了丰富的组合统计,比较简单,可以通过操作很快掌握这里就不再详细介绍了。 4设置捕获条件 基本捕获条件 基本的捕获条件有两种: 1、链路层捕获,按源MAC和目的MAC地址进行捕获,输入方式为十六进制连续输入,如:00E0FC123456。 2、IP层捕获,按源IP和目的IP进行捕获。输入方式为点间隔方式,
①虚拟机安装: 实验环境: 操作系统Microsoft Windows 8 专业版(64位) CPU (英特尔)Intel(R) Core(TM) i7-3517U CPU @ 1.90GHz(2401 MHz) 主板华硕S400CA 内存12.00 GB ( 1600 MHz) 主硬盘500 GB (希捷ST500LT012-9WS142 已使用时间: 2715小时) 显卡Intel(R) HD Graphics 4000 (2112 MB) 显示器LG LG Display 32位真彩色60Hz 声卡High Definition Audio 设备 网卡Qualcomm Atheros AR9485WB-EG Wireless Network Adapter 虚拟机版本:Vmware 9.0 一.下载XP系统的光盘镜像(可在内网下载浙师大版的XP) 二.虚拟机软件的安装 桌面上下载完的文件 解压得到 先运行setup,将软件安装到电脑上,注册码可以在注册机中生成,然后汉化,汉化需要先将VM相关的服务停止才可以,右击计算机-管理-服务与应用程序-服务
将VMware的相关服务的启动类型改为停用,然后将汉化文件覆盖到安装目录中,汉化就完成了,下面是汉化好的VMware 9.0:(网上最新有10.0,支持原生中文) VM的图标: 系统托盘的图标: 主界面:
三.虚拟系统的安装与配置选择文件-新建虚拟机 选择自定义,下一步
兼容性选择9.0就行,下一步 选择安装盘的位置,软件会自动识别操作系统版本,然后下一步
从网上找一个XP系统的密钥,然后下一步 设定虚拟机的名称和位置,下一步
Sniffer的数据包分析与防范 【摘要】本文首先阐述了当前信息监听的重要意义,并简单介绍了目前比较常见的信息监听软件Sniffer的特点及工作原理。然后系统地介绍了网络中几种重要的协议的数据报格式,在此基础上,介绍Snifer对这几种协议进行的解码分析,通过Sniffer的分析能够清楚地看到几种数据报的详细内容。 鉴于Sniffer对信息的监听,本文提出了几种防范Sniffer监听的方法,主要有防火墙技术、加密技术等。最后,针对当前我国的信息监听面临的形势,提出了自己对信息监听技术发展前景的看法。 关键字:信息监听 Sniffer 数据包分析信息安全 Sniffer的防范 1.信息监听的意义; 我国的网络正在快速发展中,相应的问题也就显现出来,网络管理及相关应用自然将越发重要,而监听技术正是网络管理和应用的基础,其意义当然重要,随着中国网络的发展,监听系统必将大有用武之地,因此监听技术的研究已是时势的要求。 监听技术有助于网络管理、故障报警及恢复,也就是运用强大的专家分析系统帮助维护人员在最短时间内排除网络故障。 2、Sniffer的介绍; Sniffer Pro是一款一流的便携式网管和应用故障诊断分析软件,不管是在有线网络还是在无线网络中,它都能够给予网管管理人员实时的网络监视、数据包捕获以及故障诊断分析能力。进行快速的网络和应用问题故障诊断,基于便携式软件的解决方案具备最高的性价比,却能够让用户获得强大的网管和应用故障诊断功能。Sniffer程序是一种利用以太网的特性把网络适配卡置为杂乱模式状态的工具,一旦同卡设置为这种模式,它就能接收传输在网络上的每一个信息包。 Sniffer之所以著名,是因它在很多方面都做的很好,它可以监听到网上传输的所有信息。Sniffer可以是硬件也可以是软件。主要用来接收在网络上传输的信息。网络是可以运行在各种协议之下的,包括以太网Ethernet、TCP/IP 等等,也可以是集中协议的联合体系。 Sniffer的优点是易于安装部署,易于学习使用,同时也易于交流;缺点是无法抓取网络上所有的传输,某些情况下也就无法真正了解网络的故障和运行情况。硬件的Sniffer通常称为协议分析仪,具备支持各类扩展的链路捕获能力以及高性能的数据实时捕获分析的功能。 Sniffer是个非常之危险的东西,它可以截获口令,可以截获到本来是秘密的或者专用信道内的信息,截获到信用卡号、经济数据、E-mail等等,更加可以用来攻击与己相临的网络。 3、网络数据包的结构;
超级网络嗅探器——Sniffer pro 的使用 Sniffer软件是NAI公司推出的功能强大的协议分析软件。实现对网络的监控,更深入地了解网络存在的问题,检测和修复网络故障和安全问题。 Sniffer可以监听到网上传输的所有信息,主要用来接收在网络上传输的信息。 Sniffer可以截获口令、专用信道内的信息、信用卡号、经济数据、E-mail等,还可以用来攻击与自己相临的网络。 Sniffer的功能主要包括如下几方面: 捕获网络流量进行详细分析。 利用专家分析系统诊断问题。 实时监控网络活动情况。 监控单个工作站、会话或者网络中任何一部分的网络利用情况和错误统计。 支持主要的LAN、WAN和网络技术。 提供在位和字节水平过滤数据包的能力。 1 Sniffer Pro的启动和设置 2 理解Sniffer Pro主要4种功能组件的作用: 监视:实时解码并显示网络通信流中的数据。 捕获:抓取网络中传输的数据包并保存在缓冲区或指定的文件中,供以后使用。 分析:利用专家系统分析网络通信中潜在的问题,给出故障症状和诊断报告。 显示:对捕获的数据包进行解码并以统计表或各种图形方式显示在桌面上。 3 学会sniffer工具的基本使用方法,用sniffer捕获报文并进行分析。 环境: windows XP, windows 7,能访问INTERNET。
Sniffer pro主界面 在默认情况下,Sniffer将捕获其接入的域中流经的所有数据包,但在某些场景下,有些数据包可能不是我们所需要的,为了快速定位网络问题所在,有必要对所要捕获的数据包作过滤。Sniffer提供了捕获数据包前的过滤规则的定义,过滤规则包括2、3层地址的定义和几百种协议的定义。 定义过滤规则的做法一般如下: (1) 在主界面选择【Capture】→【Define Filter】。 (2) 在“Define Filter”对话框中选择“Address”选项卡,这是最常用的定义。其中包括MAC地址、IP地址和IPX地址的定义。以定义IP地址过滤为例,如图3-20所示。 图3-20 定义IP地址过滤 (3) 在“Define Filter”对话框中选择“Advanced”选项卡,定义希望捕获的相关协议
Sniffer Pro的基本使用和实例[图文] 运行环境及安装Sniffer Pro可运行在局域网的任何一台机器上,如果是练习使用,网络连接最好用Hub且在一个子网,这样能抓到连到Hub上每台机器传输的包。本文用的版本是4.6,Sniffer Pro软件的获取可在https://www.doczj.com/doc/ef5630644.html,或https://www.doczj.com/doc/ef5630644.html, 中输入Sniffer Pro 4.6,查找相应的下载站点来下载。该版本是不要序列号的。安装非常简单,setup后一路确定即可,第一次运行时需要选择你的网卡。最好在win2000下运行,在win2003下运行网络流量表有问题。 常用功能介绍1、Dashboard (网络流量表)点击图1中①所指的图标,出现三个表,第一个表显示的是网络的使用率(Utilization),第二个表显示的是网络的每秒钟通过的包数量(Packets),第三个表显示的是网络的每秒错误率(Errors)。通过这三个表可以直观的观察到网络的使用情况,红色部分显示的是根据网络要求设置的上限。选择图1中②所指的选项将显示如图2所示的更为详细的网络相关数据的曲线图。每个子项的含义无需多言,下面介绍一下测试网络速度中的几个常用单位。在TCP/IP协议中,数据被分成若干个包(Packets)进行传输,包的大小跟操作系统和网络带宽都有关系,一般为64、128、256、512、1024、1460等,包的单位是字节。很多初学者对Kbps、KB、Mbps 等单位不太明白,B 和 b 分别代表 Bytes(字节) 和 bits(比特),1比特就是0或1。1 Byte = 8 bits 。1Mbps (megabits per second兆比特每秒),亦即 1 x 1024 / 8 = 128KB/sec(字节/秒),我们常用的ADSL下行512K指的是每秒 512K比特(Kb),也就是每秒512/8=64K字节(KB) 图1
【运行环境】 安装Windows 2000/XP的PC两台:在其中一台(192.168.52.49)上安装Sniffer Pro4.75,记为A。 1.Sniffer Pro 的主要功能如下: 监视功能用于计算机并显示实时网 络通信量数据。 捕获功能用于捕获网络通信量并将 当前数据包存储子缓冲(或文件)中,以便分析使用。 实时专家系统分析用在捕获过程中 分析网络数据包,并对网络中潜在的问题发出警告。 显示功能用于解码和分析捕获缓冲 区中的数据包,并用各种格式加以显示。 2.监视功能介绍。 (1)Dashboard(仪表盘) 仪表盘是Sniffer Pro的可视化网络
性能监视器。在第一次启动Sniffer Pro 时,仪表盘就会出现在屏幕上,如图17-2所示。如果关闭了仪表盘窗口,选择菜单Monitor(监控)→Dashboard(仪表盘)来启动它,或者单击Sniffer Pro工具栏中的仪表盘图标。仪表盘窗口包括3个数字表盘,从左到右依次是: 利用率百分比(Utilization %)说明路线使用带宽的百分比,是用传输量与端口能够处理的最大带宽的比值来表示的。表盘的红色区域表示警戒值。在表盘下方有2个数字,用破折号隔开。第一个数字代表当前利用率百分比,破折号后面的数字代表最大的利用率百分比。 每秒传输的数据包(Packets/s)说明当前数据包传输速度。表盘的红色区域表示警戒值,表盘下方显示的是当前的数据包传输速度及其峰值。
每秒产生的错误(Errors/s)说明网络的出错率。表盘的红色区域表示警戒值,表盘下方的数值表示当前的出错率和最大出错率。图1-2 图1-2 Sniffer仪表窗口 Sinffer Pro 的很多网络分析结果都可以设定阈值。如果超出了阈值,报警记录就会生成一条信息。在仪表盘上,超过设定阈值的范围用红色标记。单击仪表盘上方Set Thresholds(设置阈值)按钮,会出现仪表盘属性对话框,如图17-3所示。在仪表盘属性对话框中,左边是名称栏,右边就是高阈值栏,底部是以秒为单位计算的监控样本间隔。如果修正了一个参数,但是又想恢复默认值,首先
Sniffer使用配置说明 简介 当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。Sniffer技术常常被黑客们用来截获用户的口令,据说某个骨干网络的路由器网段曾经被黑客攻入,并嗅探到大量的用户口令。但实际上Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。 操作环境 操作系统Windows2003 Server企业标准版(Sniffer Pro4.6及以上版本均支持Windows2000 Windows-xp Windows2003)、NAI协议分析软件-Sniffer Portable 4.75 环境要求: 1、如果需要监控全网流量,安装有Sniffer Portable 4.7.5(以下简称Sniffer Pro)的终端计算机,网卡接入端需要位于主交换镜像端口位置。(监控所有流经此网卡的数据) 2、Snffier pro 475仅支持10M、100M、10/100M网卡,对于千M网卡,请安装SP5补丁,或4.8及更高的版本 监控目的:通过Sniffer Pro实时监控,及时发现网络环境中的故障(例如病毒、攻击、流量超限等非正常行为)。对于很多企业、网吧网络环境中,网关(路由、代理等)自身不具备流量监控、查询功能,本文将是一个很好的解决方案。Sniffer Pro强大的实用功能还包括:网内任意终端流量实时查询、网内终端与终端之间流量实时查询、终端流量TOP排行、异常告警等。同时,我们将数据包捕获后,通过Sniffer Pro的专家分析系统帮助我们更进一步分析数据包,以助更好的分析、解决网络异常问题。 步骤一:配置交换机端口镜像(Mirroring Configurations)以H3C-S2126-EI 二层交换机为例,我们来通过WEB方式配置端口镜像(也可用CLI命令行模式配置)。如果您的设备不支持WEB方式配置,请参考相关用户手册。 1.H3C-S2126-EI默认登陆IP为:10.54.6.111(ip地址为内网地址, 需要通过consle线在交换机上配置)因此,需要您配置本机IP 为相同网段才可通过浏览器访问WEB界面。
目录 第1章 Sniffer软件简介............................................................................................................ 1-1 1.1 概述.................................................................................................................................... 1-1 1.2 功能简介............................................................................................................................. 1-1第2章报文捕获解析................................................................................................................ 2-1 2.1 捕获面板............................................................................................................................. 2-1 2.2 捕获过程报文统计.............................................................................................................. 2-1 2.3捕获报文查看..................................................................................................................... 2-2 2.4设置捕获条件..................................................................................................................... 2-4第3章报文放送 ...................................................................................................................... 3-1 3.1 编辑报文发送 ..................................................................................................................... 3-1 3.2捕获编辑报文发送 ............................................................................................................. 3-2第4章网络监视功能................................................................................................................ 4-1 4.1 Dashbord ........................................................................................................................... 4-1 4.2 Application Response Time (ART) .................................................................................... 4-1第5章数据报文解码详解......................................................................................................... 5-1 5.1数据报文分层..................................................................................................................... 5-1 5.2以太报文结构..................................................................................................................... 5-1 5.3 IP协议................................................................................................................................ 5-3 5.4 ARP协议............................................................................................................................ 5-5 5.5 PPPOE协议......................................................................................................................... 5-6 5.6 Radius协议 ....................................................................................................................... 5-9
Sniffer Pro的基本使用和实例 运行环境及安装 Sniffer Pro可运行在局域网的任何一台机器上,如果是练习使用,网络连接最好用Hub 且在一个子网,这样能抓到连到Hub上每台机器传输的包。 本文用的版本是4.6 该版本是不要序列号的。安装非常简单,setup后一路确定即可,第一次运行时需要选择你的网卡。最好在win2000下运行,在win2003下运行网络流量表有问题。 常用功能介绍 1、Dashboard (网络流量表) 点击图1中①所指的图标,出现三个表,第一个表显示的是网络的使用率(Utilization),第二个表显示的是网络的每秒钟通过的包数量(Packets),第三个表显示的是网络的每秒错误率(Errors)。通过这三个表可以直观的观察到网络的使用情况,红色部分显示的是根据网络要求设置的上限。 选择图1中②所指的选项将显示如图2所示的更为详细的网络相关数据的曲线图。每个子项的含义无需多言,下面介绍一下测试网络速度中的几个常用单位。 在TCP/IP协议中,数据被分成若干个包(Packets)进行传输,包的大小跟操作系统和网络带宽都有关系,一般为64、128、256、512、1024、1460等,包的单位是字节。很多初学者对Kbps、KB、Mbps 等单位不太明白,B 和 b 分别代表 Bytes(字节) 和 bits(比特),1比特就是0或1。1 Byte = 8 bits 。 1Mbps (megabits per second兆比特每秒),亦即 1 x 1024 / 8 = 128KB/sec(字节/秒),我们常用的ADSL下行512K指的是每秒 512K比特(Kb),也就是每秒512/8=64K字节(KB)
FortiGate 用Sniffer 命令命令抓包分析说明文档抓包分析说明文档 说明说明:: 本文档针对FortiGate 产品的后台抓包命令使用进行说明,相关详细命令参照相关手册。 在使用后台抓包分析命令时,建议大家使用如SecureCRT 这样的远程管理工具,通过telnet 或者ssh 的方式登陆到网关,由于UTM 本身不支持将抓包的结果保存在设备自身的存储空间,因此需要借助SecureCRT 这样远程管理工具接收文件。 1.基本命令 命令: diagnose sniffer packet. # diag sniffer packet
2.2 verbose
Sniffer Pro中文使用教程 第1章 Sniffer软件简介............................................................................................................ 1-1 1.1 概述 ............................................................................................................................. 1-1 1.2 功能简介...................................................................................................................... 1-1第2章报文捕获解析................................................................................................................ 2-1 2.1 捕获面板...................................................................................................................... 2-1 2.2 捕获过程报文统计 ....................................................................................................... 2-1 2.3捕获报文查看.............................................................................................................. 2-2 2.4设置捕获条件.............................................................................................................. 2-3第3章报文放送 ...................................................................................................................... 3-1 3.1 编辑报文发送............................................................................................................... 3-1 3.2捕获编辑报文发送....................................................................................................... 3-2第4章网络监视功能................................................................................................................ 4-1 4.1 Dashbord ..................................................................................................................... 4-1 4.2 Application Response Time (ART) ............................................................................. 4-1第5章数据报文解码详解......................................................................................................... 5-1 5.1数据报文分层.............................................................................................................. 5-1 5.2以太报文结构.............................................................................................................. 5-1 5.3 IP协议......................................................................................................................... 5-3 5.4 ARP协议..................................................................................................................... 5-4 5.5 PPPOE协议 .................................................................................................................. 5-6 5.6 Radius协议................................................................................................................. 5-9